Der Chefjustiziar von Microsoft France gibt in einer Anhörung etwas zu, das der US-Konzern bisher schönredete. Microsoft könne nicht garantieren, dass Daten europäischer Bürger vor der Weitergabe an die US-amerikanische Regierung geschützt seien. Das gab Anton Carniaux, Chefjustiziar von Microsoft France, im Juni 2025 in einer öffentlichen Anhörung vor dem französischen Senat des Parlaments zu. Der Beitrag gibt Auskunft darüber, was Herr Carniaux konkret sagte.
Der Inhalt im Überblick
Was hat Herr Carniaux bei der Microsoft-Anhörung eingeräumt?
Am 10. Juni 2025 wurde Anton Carniaux, der bei Microsoft France als Head of Corporate, External & Legal Affairs tätig ist, im französischen Senat unter Eid zur souveränen Microsoft-Cloud befragt. Das Protokoll der Anhörung kann in französischer Sprache abgerufen werden. Die relevante Passage aus der Anhörung lautet wie folgt:
Dany Wattebled, rapporteur. – „Monsieur Carniaux, en tant que directeur des affaires publiques et juridiques, vous représentez Microsoft France auprès des décideurs publics. Pouvez-vous garantir devant notre commission, sous serment, que les données des citoyens français confiées à Microsoft via l’Ugap ne seront jamais transmises, à la suite d’une injonction du gouvernement américain, sans l’accord explicite des autorités françaises?“
Anton Carniaux. – „Non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit.“
Ins Deutsche übersetzt liest sich der Dialog in etwa wie folgt:
Dany Wattebled. – „Herr Carniaux, als Direktor für öffentliche und rechtliche Angelegenheiten vertreten Sie Microsoft France gegenüber politischen Entscheidungsträgern. Können Sie vor unserem Ausschuss unter Eid garantieren, dass die Daten französischer Bürger, die Microsoft über die Ugap anvertraut wurden, niemals auf Anordnung der US-Regierung ohne die ausdrückliche Zustimmung der französischen Behörden weitergegeben werden?“
Anton Carniaux. – „Nein, das kann ich nicht garantieren, aber ich wiederhole, dass dies noch nie vorgekommen ist.“
Die im Protokoll des Senats von Herrn Wattlebed angesprochene öffentliche Stelle „Ugap“ ist eine Beschaffungsstelle für den öffentlichen Sektor in Frankreich, auf die Schulen, Rathäuser und Kommunalverwaltungen des Landes zugreifen können, um insbesondere digitale und interaktive Werkzeuge zu erwerben – wie eben auch Produkte von Microsoft.
Aussagen zur Behandlung von Auskunftsbegehren der US-Behörden
Nach dieser Offenbarung fährt Herr Carniaux laut dem Senatsprotokoll zur Behandlung von US-Auskunftsanfragen fort:
Anton Carniaux. – „Nous commençons par analyser très précisément la validité d’une demande et la rejetons si elle est infondée. Nous demandons à ce qu’elle soit réorientée vers le client dans la mesure du possible. Lorsque cela s’avère impossible, nous répondons dans des cas extrêmement précis et limités. (…) Par ailleurs, si nous devons communiquer, nous demandons à pouvoir notifier le client concerné.“
Übersetzt heißt das in etwa:
Anton Carniaux. – „Wir prüfen zunächst sehr genau, ob eine Anfrage berechtigt ist, und lehnen sie ab, wenn sie unbegründet ist. Wir fordern, dass sie nach Möglichkeit an den Kunden weitergeleitet wird. Ist dies nicht möglich, antworten wir in äußerst präzisen und begrenzten Fällen. Wenn wir Informationen weitergeben müssen, verlangen wir außerdem, dass wir den betroffenen Kunden darüber informieren dürfen.“
Ist die souveräne EU-Cloud mit US-Firmen nun juristisch tot?
Ob Microsoft mit seinem Vorhaben, eine souveräne EU-Cloud zu bauen, sein Image wiederherstellen kann, muss sich nun zeigen. Das Eingeständnis vor dem französischen Senat hat jedenfalls Imageschäden und Vertrauensverlust verursacht.
Heise spricht von einem Souveränitäts-Debakel: Zwischen „blumiger Werbung“ und „keine Panik“ und lässt sowohl Dennis Kipker (Professor für IT-Sicherheitsrecht an der Hochschule Bremen) als auch Stefan Hessel (Rechtsanwalt von reuschlaw, die den Einsatz von Microsoft 365 oder Azure begründen) zu Wort kommen – mit divergierenden Meinungen. Welcher der Einschätzungen man folgen will, ist eine individuelle Frage – je nachdem, wie prekär man die Aussage von Herrn Carniaux versteht.
Wie geht es nun mit dem Data Privacy Framework weiter?
Die Enthüllungen vor dem französischen Senat bestätigen, was viele bereits als Bauchgefühl zur Sicherheit ihrer Daten hatten. Die Diskussion um die digitale Souveränität wurden bereits unlängst durch eine mutmaßliche Sanktion von US-Präsident Trump befeuert, aufgrund derer dem Chefankläger IStGH, Karim Khan, der Zugang zu seinem Microsoft-Konto entzogen worden sein soll. Microsoft hat stets seine Verantwortung hierfür dementiert. Ob das Dementie nach der Aussage von Herrn Carniaux glaubhafter wird, bleibt fraglich. So oder so, es kommen wohl geschäftlich bewegte Zeiten auf Microsoft zu.
Naja, wenn ich der französische Justitiar wäre, unter Eid stünde und gefragt werde, ob ich GARANTIEREN kann, dass NIEMALS Daten an die US Behörden weitergegeben werden, würde ich niemals JA sagen
ich glaube ein Anwalt oder Justitiar wird grundsätzlich nicht mit einem eindeutigen „ja“ oder „nein“ antworten. Ich habe jedenfalls noch keinen kennengelernt. Die lassen sich immer eine Hintertür offen :-)
Gibt es die souveräne EU-Cloud von Microsoft nicht schon?
Es gibt doch bereits Interessenten, die sie bei Microsoft einkaufen.