Diskutiert man in sozialen Medien über Themen wie Sicherheit und Souveränität von Business Cloud Diensten, kommen immer wieder die selben Themen zur Sprache. Trump, die Sperre des Mailaccounts beim internationalen Gerichtshof, der Zugriff der US-Geheimdienste usw.
Damit ich mir das Tippen der Antworten jedes Mal erspare, gibts hier eine kurze Übersicht über die einzelnen Themen
Microsoft, Khan und IStGH
Vorwurf
Microsoft hat dem Chefankläger des internationalen Strafgerichtshofs, Karim Khan, das Office 365 Mailkonto gesperrt. Basis dafür waren die Sanktionen, die Donald Trump gegen den IStGH im Februar 2025 erlassen hat. Zu diesem Vorfall gibt es eine Reihe von Berichten in unterschiedlichen Onlinemedien.
Fakten
Dazu gibt es Seitens des internationalen Strafgerichtshofes keine offiziellen Aussagen.
Es gibt Seitens Microsoft dazu zwei Aussagen:
Ein Microsoft-Sprecher erläuterte gegenüber heise online schon damals vage: „Seit Februar stehen wir während des gesamten Vorgangs, der zum Ausschluss des sanktionierten Beamten von den Microsoft-Diensten führte, mit dem IStGH in Kontakt.“ (Quelle: Microsoft: Kein Mail-Block für IStGH, startet europäisches Sicherheitsprogramm | heise online )
Und die Aussage von Brad Smith, Präsident von Microsoft, der am 4. Juni klar gesagt hat: „Microsoft did not stop or suspend its services to the International Criminal Court“ (Quelle: Microsoft didn’t cut services to International Criminal Court, its president says – POLITICO)
Anmerkung
Hat Microsoft mit der Sperre des Kontos gar nichts zu tun ? Das sagen diese Aussagen definitiv nicht. Ich verstehe diese Aussagen so, dass Microsoft an den IStGH bez. der Sanktion gegen Khan herangetreten ist und es dann von diesem die Entscheidung gab, das Konto zu sperren. Allerdings wird es in Zukunft diese Gespräche lt. Heise mit Kunden nicht mehr geben, weil sich MS auf den Standpunkt stellt, nur die technische Plattform bereitzustellen und der Kunde entscheiden muss, ob er den Mitarbeitern Zugriff gewährt (Was aus meiner Sicht valide ist, weil der Vertragsnehmer ja in diesem Fall nicht Khan ist, sondern der IStGH)
Microsoft sperrt O365 für einige chinesischen Kunden
Vorwurf
Microsoft hat die Microsoft 365 Dienste für Guangzhou-based Sun Yat-sen Universität in China kurzfristig eingestellt. Lt. einem Helpdesk Mitarbeiters der Uni war dies eine Entscheidung von Microsoft. Ebenfalls soll Microsoft die Microsoft 365 Dienste der BGI Group in China eingestellt haben.
Fakten
Es gibt dazu keine gesicherten Fakten und keine offizielle Stellungnahme von Microsoft. Auch habe ich keinerlei offiziellen Stellungnahmen der betroffenen Firmen gefunden. Dh hier gibt es bis auf die Zeitungsartikel keine verlässlichen Fakten.
Anmerkung
Spannend in diesem Zusammenhang ist, dass Microsoft 365 in China NICHT von Microsoft betrieben wird. Dh hier gibt es keinerlei rechtliche Möglichkeit der US Regierung, Microsoft dazu zu zwingen, in China Dienste einzustellen. Microsoft 365 wird in China von 21Vianet, dem größten unabhängigen Rechenzentrumsbetreiber in China, betrieben und hier hat die USA keine rechtliche Grundlage für irgendwas.
MS gibt vor französischem Parlamentsausschuss zu, Daten nicht vor US Behörden schützen zu können
Vorwurf
Im Juli 2025 hat Anton Carniaux (General Manager, stellvertretender Chefjustiziar (Associate General Counsel) und Direktor für Unternehmenskommunikation, externe Beziehungen und rechtliche Angelegenheiten von Microsoft Frankreich) ausgesagt, dass Microsoft nicht garantieren kann, dass niemals Daten ohne Zustimmung der Kunden (im konkreten Fall der französischen Behörden) an die US-Regierung übermittelt werden
Fakten
US Behörden haben grundsätzlich 2 Wege, um von Microsoft die Herausgabe von Daten von einzelnen Kunden zu verlangen:
Es gibt den „ordentlichen“ Gerichtsweg, also mit Durchsuchungsbefehl bzw Gerichtsbeschluss. Diese gerichtlichen Anforderungen können Regierungen der ganzen Welt stellen und diese sind auch grundsätzlich natürlich DSGVO konform. Hier gibt es einen halbjährlichen Bericht von Microsoft, welches Land wie viele Anfragen stellt Government Requests for Customer Data Report | Microsoft CSR
Und es gibt in den USA 2 Verordnungen, FISA und NSL, die es US Behörden erlauben, Anfragen an US-Telekomanbieter zu stellen, die zwar eine richterliche Genehmigung brauchen, aber nicht den „ordentlichen“ Gerichtsweg beschreiten. NSL erlaubt dabei nur die Anforderung von Verbindungsdaten (zb wer hat mit wem wann kommuniziert), FISA erlaubt auch die Anforderung von Inhaltsdaten. FISA ist klar als „non bulk collection program“ definiert. Dh jede Anfrage nach FISA muss detailliert begründet sein und in einem mehrstufigen Prozess vom Foreign Intelligence Surveillance Court (FISC) geprüft werden. Auch hier gibt es unter dem obenstehenden Link einen Report – hier auf der Seite etwas runter scrollen und die National Security Order Reports auswählen.
Weitere Infos dazu sind hier zu finden: Microsoft EU Boundary Programm, Trump und Co – Cloud und mehr
Anmerkung
ich bin immer wieder erstaunt, welche Reaktionen die Aussage von Anton Carniaux hervorruft. Jedem, der sich auch nur ein wenig mit dem Thema beschäftigt hat, war das immer schon klar. FISA gibt es seit 1979…. Dh wenn diese Aussage für mich eine Überraschung war, hab ich meinen Job vorher schlecht gemacht…
Risiko des Zugriffes durch US-Behörden
Anmerkung – weil nur wenig Fakten dazu
Wie hoch ist denn jetzt das Risiko, dass die US-Behörden eine Anfrage auf meine Daten in M365 stellen?
Das kann man halbwegs gut schätzen:
- Anzahl der aktiven M365 Accounts: ca. 382.000.000
Stand April 24 (Microsoft FY24 Q4 Results Continue Growth in Cloud Revenues) - Anzahl der Microsoft Consumer Cloud Accounts: 400.000.000
Outlook.com – ca. 400 Mio. User (https://www.sellcell.com/blog/most-popular-email-provider-by-number-of-users/)
Alle weiteren Nutzungszahlen (OneDrive, Skype, Teams Consumer) sind nicht seriös ermittelbar - Anzahl der M365 User in US: 34 %
(und wir nehmen der Einfachheit die selbe Anzahl für die Consumer User) (https://www.sellcell.com/blog/most-popular-email-provider-by-number-of-users/ ) - Monatliche betroffene Accounts durch FISA Abfragen: 4.417
H2/24: 26.499 Accounts (Government Requests for Customer Data Report | Microsoft CSR) - Prozentzahl der Anfragen von Strafverfolgung, Sicherheitsbehörden und zivilen Stellen an Microsoft, die Accounts aus M365 betreffen: 0,8 %
(Government Requests for Customer Data Report | Microsoft CSR)
Dh wir haben in Summe 782 Millionen Useraccounts, die Microsoft in der Cloud betreibt
Davon rechnen wir jetzt 34 % der geschätzten US User weg (weil die FISA Anfragen ja nur Nicht.-US User betreffen dürfen) – bleiben rund 516 Millionen Useraccounts
Wir haben im Monat 4.417 betroffene Accounts durch FISA, rechnen wir davon 1% Business Accounts, bleiben im Monat 45 betroffene Accounts weltweit (ohne US)
Dh die Wahrscheinlichkeit ist 0,0000087 % bzw 1 zu 12 Millionen
Was man hier nicht vergessen darf:
Wer hat für alle Zugriffe auf OnPrem Ressourcen (nicht nur VPN) zwingend MFA ?
Wer erlaubt onPrem den Zugang nur von Geräten, die vom Unternehmen verwaltet werden ?
Wer kann die Nutzung von Consumer Cloud Diensten im Unternehmen ausschließen ?
Wie hoch ist das Risiko eines DSGVO-widrigen Datenverlustes durch einen durch Phishing übernommen Accounts, weil er nicht durch MFA geschützt ist ?
Wie hoch ist das Risiko eines DSGVO-widrigen Datenverlustes, wenn ein MA Unternehmensdaten auf seinem privaten, nicht geschützten Endgerät (PC, Phone) hat und dieses verliert ?
Wie hoch ist das Risiko eines DSGVO-widrigen Datenverlustes, wenn MA Consumer-Cloud Dienste (Dropbox, WhatsApp, Consumer-Chat-GPT, ..) nutzen, weil das Unternehmen keine adäquaten Business Cloud Dienste bereitstellt ?
Wie hoch ist das Risiko eines DSGVO-widrigen Datenverlustes, weil onPrem Systeme nicht rechtzeitig gepatcht wurden, Angriffe mittels fehlendes SOC und Früherkennung nicht erkannt werden ?
Gestohlener Masterkey
Vorwurf
Im Juni 2023 wurde festgestellt, dass die Hackergruppe Storm-0558 unerlaubte Zugriffe auf Exchange Online Konten von Exchange Online Kunden durchgeführt hat. Ursache war – vereinfacht gesagt – der Diebstahl eines Microsoft consumer signing keys (also ein Schlüssel, mit dem man Zugriffsschlüssel erzeugen kann), was den Angreifern das Erstellen von Zugriffstoken für Exchange Online ermöglicht hat (und damit den unberechtigten Zugriff auf Exchange-Mailboxen)
Fakten
Wie immer nach solchen gravierenden Security-Vorfällen veröffentlicht Microsoft nach Abschluss der Untersuchungen eine ausführliche und öffentliche Stellungnahme mit den Ergebnissen der Untersuchung.
Diese ist hier zu finden: Results of Major Technical Investigations for Storm-0558 Key Acquisition
Meine Zusammenfassung, wie dieser Diebstahl möglich war (für Details bitte den verlinkten Artikel lesen):
- In der isolierten und mit strengen Zugriffsrechten versehenen Consumer-Produktions-Umgebung gab es in einem Signing System im April 2021 einen System-Crash, der automatisch einen Crash-Dump erzeugt hat. Dieser Crash Dump sollte niemals einen Signing-Key enthalten. Aber durch einen Fehler war es in diesem Fall so, dass der Crash-Dump doch einen Signing Key enthalten hat
- Dieser Crash-Dump wurde von einem Microsoft-Mitarbeiter aus dem isolierten Netzwerk in ein debugging-Netzwerk gemoved – die normale Vorgehensweise in so einem Fall. Die Prüfung des Crash-Dumps auf Credentials hat dabei den Key nicht entdeckt.
- Die Hackergruppe Storm-0558 hat erfolgreich den Account eines Microsoft-Engineers übernehmen können, der unter anderem auch Zugriff auf dieses Debugging Netzwerk und den Crash-Dump hatte
Dadurch hatte Storm-0558 Zugriff auf den Key - Grundsätzlich hat ein Consumer-Signin Key keine Möglichkeit, Enterprise Keys auszustellen. Dies wurde von MS 2018 eingeführt. In einer API, die vor 2018 geschrieben wurde, war diese Änderung nicht nachgezogen worden. Damit haben Enterprise Mailsysteme irrtümlich auch Tokens akzeptiert, die von Consumer-Signin Keys ausgestellt wurden
Alle Fehler in dieser Fehlerkette wurden identifiziert und behoben.
Anmerkung
Weder Microsoft noch ich haben jemals behauptet (noch werden jemals behaupten) dass es unmöglich ist, die Cloud zu hacken bzw. dass die Cloud zu 100% sicher ist. Es gibt in der IT schlicht keine 100% Sicherheit vor Hacker.
Die Analyse dieses Vorfalles zeigt, dass hier 4 Fehler in Summe zusammen gespielt haben, um den Angriff zu ermöglichen. Jeder Fehler für sich hätte keine Auswirkung gehabt, erst die Kombination hat den erfolgreichen Angriff ermöglicht.
Ich gehe tauchen – beim Tauchen schützt man sich durch Redundanz ebenfalls vor Fehlern. Allerdings ist es beim Tauchen so, dass ein Problem üblicherweise kein Problem ist. Kommt zu dem einen Problem ein zweites dazu, wird es schon kritisch, beim dritten oder vierten stirbt man.
Ähnlich ist es bei der IT Security: Gegen einen Fehler kann man sich gut schützen. Gegen eine Kombination von 2 Problemen ebenfalls. Aber wenn 3-4 Fehler/Probleme zusammenspielen, verliert man.
Dh ja, es wird auch bei Microsoft wieder zu Security-Vorfällen kommen. (Siehe zb One Token to rule them all – obtaining Global Admin in every Entra ID tenant via Actor tokens – dirkjanm.io – wo MS das Problem binnen 2 Tagen gefixt hat) Aber die Wahrscheinlichkeit davon betroffen zu sein, ist aus meiner Einschätzung massivst geringer als in meiner eigenen IT Umgebung.
Trump kann jederzeit die M365 Services für die EU stoppen
Vorwurf
US Präsident Trump ist unberechenbar und könnte die Abhängigkeit der EU von US-Clouddiensten zur Erpressung nutzen und drohen, die Dienste zu sperren. Die US Firmen müssten dann gehorchen.
Fakten
Grundsätzlich könnte Präsident Trump eine diesbezügliche Verordnung unterschreiben. Und grundsätzlich wären die US-Firmen dann gezwungen, diese Verordnung umzusetzen.
Rein TECHNISCH kann Trump allerdings keine Services in der EU stoppen. Dh technisch können nur die jeweiligen Betreiber (MS, Google, Amazon) die Dienste in der EU stoppen. Selbst wenn Trump alle Internetleitungen zwischen US und Europa kappen lassen würde (was technisch eher schwierig ist) würden die europäischen Datacenter trotzdem weiterlaufen, weil diese technisch nicht von den Datacentern in US abhängig sind. Alle Services laufen innerhalb der EU und dort liegen auch die Daten (beides vertraglich zugesichert von Microsoft)
Anmerkung
Falls Sie diese Ängste haben, empfehle ich ein kleines Gedankenspiel:
Versetzen Sie sich gedanklich an die Stelle von Satya Nadella – dem CEO von Microsoft.
Sie erhalten einen Anruf von Präsident Trump, der Ihnen mitteilt, dass er gerade eine Verordnung unterschrieben hat, die Microsoft und die anderen US Cloudprovider auffordert, die Dienste in der EU ab 1.11. zu stoppen. Solange, bis die EU die Bedingungen der US erfüllt.
Wie würden Sie reagieren ? Würden Sie diese Verordnung umsetzen ?
Wenn ja, was würde das bedeuten ? Als CEO wissen Sie, das Business Cloud Geschäft zu einem hohen Anteil vom Vertrauen der Kunden in die Sicherheit und der Verfügbarkeit der Daten in den Datacentern liegt. (Anders als zb bei den Consumer Cloud Diensten) Als langjähriger Manager bei Microsoft wissen Sie auch, dass Steve Ballmer und Kevin Turner 2010 ein „All-In“ auf die Cloud-Karte gesetzt haben und in den letzten 15 Jahren der gesamte Konzern sich komplett Richtung Cloud gedreht hat und ein zurück nicht mehr möglich ist.
Und Sie wissen auch, stoppen Sie auf Grund dieser Verordnung auch nur für eine Stunde die Cloud-Dienste in Europa, würde das zu einem mittelfristigen Exit von einem Großteil der Kunden in Europa (und wahrscheinlich auch dem Rest der Welt ausgenommen US) bedeuten – weil damit das Vertrauen nachhaltig erschüttert wäre. Dieser mittelfristige Exit würde bedeuten, dass Sie wahrscheinlich der letzte CEO von Microsoft sein werden, weil das Unternehmen das nicht überleben würde.
Dh Sie würden mit ziemlicher Sicherheit alle rechtlichen und alle anderen Möglichkeiten ergreifen, diese Verordnung zu bekämpfen. Bis zu einer klaren Verweigerung, diese Verordnung umzusetzen.
Kann ich das garantieren ? Nein. (Satya hat darüber mit mir noch nicht gesprochen…)
Halte ich es für extremst unwahrscheinlich, dass so ein Szenario eintritt ? Ja.
Wir brauchen europäische Lösungen um digital souverän zu werden
Vorwurf
Die Nutzung von US Cloud Diensten macht uns von den Amerikanern abhängig. Wir müssen europäische Lösungen fördern, um eine digitale Unabhängigkeit zu erlangen.
Anmerkung
Ich stehe voll hinter dieser Forderung. Warum das aber nicht einfach ist, möchte ich an 2 Beispielen darlegen:
a) Das Marktauftreten vieler europäischer Hoster
Ganz viele EU-Hoster schüren in sozialen Medien die Angst vor den US-Providern. Tlw. mit unwahren Behauptungen. Und bringen als Hauptargument für ihre Leistungen: „Nimm mich, ich bin in der EU und daher Datenschutzkonform und sicher“. Unabhängig davon, dass ein RZ in der EU weder zwingend das eine noch das andere bedeutet, ist das aus meiner Sicht ein schlechter Weg. Den Mitbewerb schlechter zu machen um selber besser dazustehen, hat mittelfristig noch nie funktioniert.
Auch werden hier (besonders im IaaS und SaaS Bereich) sehr oft Äpfel mit Birnen verglichen. Dh auf der einen Seite ein Provider, der Self-Service bietet, eine minutengenaue Abrechnung, die Möglichkeit, Services binnen Minuten hoch- und runter zu skalieren. Mit einem fast unüberschaubaren Leistungsangebot.
Und auf der anderen Seite grundsolide Hoster. Designed für den sicheren, guten Betrieb von Services, die auf eine gleichbleibende Auslastung 7×24 gebaut sind. Die in Ruhe geplant, angeboten und dann umgesetzt werden um dann Jahre wenn nicht Jahrzehnte zu laufen.
Beide Ausprägungen sind wichtig. Aber eben grundverschieden. Und so wie Azure und Co für das unten beschrieben Szenario zwar grundsätzlich auch gedacht sind und einige Hoster in Ansätzen das erste Szenario bieten, ist beides in der anderen Welt nicht unbedingt optimal. Und diese Abgrenzung fehlt mir halt im Marktauftritt oft.
b) Wenn keiner EU-Dienste nutzt, können die nicht entwickelt werden
Quasi die Katze, die sich in den Schwanz beißt. So lange niemand Alternativen in der EU nutzt, wird sich nie so ein Ökosystem wie bei den US-Providern entwickeln können.
Hier wird aber ein ganz wesentlicher Punkt übersehen:
Microsoft zb hat vor 15 Jahren (!) die Entscheidung getroffen, die komplette Ausrichtung von Microsoft auf die Cloud umzudrehen. Kevin Turner, COO von MS, hat das 2010 auf der WPC in Washington vor tausenden Partnern verkündet: „And our big bold goal for the next couple of decades is we want to have a continuous cloud service for every person and every business. “ […] „So, we’re rebooting, re-pivoting, re-transitioning the whole company around betting big on cloud services.“ […] „We put over $9 billion into R&D. And what are we going to do this year, we could do up to $9.5 billion in R&D this year.“
9 Milliarden Investment in Research & Development. Viel mehr Investment in den Aufbau der Datacenter.
In einer Zeit, wo es nicht klar war, ob das der richtige Weg ist.
Warum schreibe ich das ? Weil das einfach zeigt, wie lande es dauert, wie viel Investment notwendig ist und welchen Mut zur Entscheidung es bedarf, solche Lösungen aufzubauen und zu betreiben.
Ja, wir brauchen lokale Alternativen. Aber wer hat den Mut ? Wer hat das Geld dazu ? Warum schreit hier jeder nach der EU, nach den Regierungen um Unterstützung ?
Nur Alternativen zu nutzen, damit man Alternativen nutzt, das wird nur in Ausnahmefällen funktionieren…
EU Datenschützer verbietet Nutzung von M365 innerhalb der EU-Kommission, deutsche Datenschutzkonferenz kommt zum Ergebnis, dass M365 nicht datenschutzkonform ist.
Vorwurf
Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hat im März 2025 entschieden, dass die Nutzung des Office-Paketes durch die EU-Kommission rechtswidrig ist und hat die EU-Kommission aufgefordert, die Nutzung auszusetzen. In 2020 und 2022 hat die deutsche Datenschutzkonferenz (DSK) zwei ausführliche Untersuchungsberichte veröffentlicht und kam zum Ergebnis, dass Verantwortliche auf Basis des Datenschutz-Dokumentes von Microsoft (dem DPA) nicht in der Lage sei, seinen Pflichten aus der DSGVO nachzukommen.
Fakten
Ja, das ist völlig richtig. Allerdings hat der EU-Datenschutzbeauftragte Wojciech Wiewiórowskiin einem Schreiben vom 11. Juli 2025 festgestellt, dass die Kommission alle datenschutzrechtlichen Bedenken behoben hat und eine datenschutzkonforme Nutzung daher möglich und erlaubt ist. Der Brief endet übrigens mit folgenden Worten: „I am convinced that, thanks to the EDPS’ thorough investigation, and the Commission’s follow-up – in close coordination with Microsoft – we have jointly contributed to a significant improvement of data protection compliance in the Commission’s use of Microsoft. This marks a meaningful and shared success for all parties involved, and a strong signal of what can be accomplished through constructive cooperation“
Und der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat M365 aktuell geprüft und befunden, dass es datenschutzkonform genutzt werden kann – HBDI: Microsoft 365 kann datenschutzkonform genutzt werden | datenschutz.hessen.de
Der Cloud Act
Vorwurf:
Ein Online-Standardleser bekrittelt, dass ich in meiner M365 FAQ den Cloud Act nicht erwähne, meint sogar hämisch „Oops. Kann ja mal passieren, dass man so was wichtiges vergisst.“ – ich bin sehr dankbar für konstruktive Kritik und auch wenn es Gründe gab, den Cloud Act nicht zu erwähnen, hole ich das gerne nach.
Fakten
Die offiziellen Infos inkl. dem Gesetzestext findet man hier: Criminal Division | CLOUD Act Resources
Der Cloud Act heißt übrigens nicht Cloud Act weil er was mit der Cloud zu tun hat, Cloud steht hier für „Clarifying Lawful Overseas Use of Data Act“ und es gibt ihn seit März 2018.
Hier wird zu Beginn die Problematik angesprochen, dass Kommunikationsdienstleister vor dem Problem stehen, dass es widersprüchliche rechtliche Verpflichtungen bei der Offenlegung von Daten in den unterschiedlichen Ländern gibt. (Auslöser war eine Klage von Microsoft gegen die US Behörden, die Daten eines EU-Bürgers wollten – in erster Instanz hat die US Behörde gewonnen, in 2. Instanz Microsoft und während wir alle gespannt auf die endgültige dritte Instanz gewartet haben, wurde (sicherlich auch aus diesem Rechtsstreit heraus) der Cloud Act in Kraft gesetzt)
Der Cloud Act ergänzt bzw erweitert hauptsächlich den „chapter 121 of title 18, United States Code“ (United States Laws, Stored Wire and Electronic Communications and Transactional Records Access – 2023 U.S. Code Title 18, Part I, Chapter 121 – Stored Wire and Electronic Communications and Transactional Records Access :: 2023 U.S. Code :: U.S. Codes and Statutes :: U.S. Law :: Justia – der Link auf die offizielle .gov Seite funktioniert leider nicht) der den Zugriff bzw die Herausgabe von Providern (!) auf Kundendaten regelt. Hier wurde durch den Cloud Act die Klarstellung hinzugefügt, dass dieses Gesetz auch für Daten gilt, die der Provider im Ausland gespeichert hat.
Er gibt den Providern die Möglichkeit, einen Antrag auf Aufhebung bzw Änderung rechtlicher Verfahren zu stellen, wenn die Datenherausgabe gegen ausländisches Recht verstößt.
Und es regelt weiters die Herausgabe von Daten an ausländische Behörden, wenn dies gegen US Gesetze verstößt.
Weiters wird im §105 (sinngemäß) geregelt, dass es Executiv-Abkommen zwischen Staaten geben soll, die den Datenaustausch regeln – dies wurde mit dem EU-US Privacy-Framework im Sommer 2023 umgesetzt.
Anmerkung
Der Cloud Act gibt US Behörden keine zusätzlichen Zugriffsrechte auf Kundendaten. Die Möglichkeiten der Behörden sind im oben verlinkten „chapter 121 of title 18, United States Code“ (den ich zugegebenermassen NICHT ausführlich durchgelesen habe) beschrieben. Der Cloud Act stellt nur klar (was vorher eben nicht klar definiert war, von den Behörden aber schon gelebt wurde) dass sich die im bestehenden Gesetz ausgezählten Möglichkeiten der Datenanfragen sich auch auf Kommunikationsdaten bezieht, die im Ausland gespeichert sind.
Umgekehrt gibt der Cloud Act den Providern rechtliche Sicherheit, wenn Anfragen zu Datenherausgabe von ausländischen Regierungen kommen.
Wichtig
Damit das ganz klar gesagt wird:
Anfragen der US Behörden, die durch FISA und NSL geregelt sind und durch den Cloud Act jetzt im US-Recht auch klar Daten außerhalb der US betreffen, waren bis Sommer 2023 ein klarer Verstoß gegen die DSGVO.
Seit Sommer 2023 regelt das EU-US Data Privacy framework diese Datenweitergabe und stellt es damit auf einen rechtlichen Rahmen.
Weitere Blogartikel zu diesem Thema
Microsoft EU Boundary Programm, Trump und Co – Cloud und mehr
