Vertrauen braucht Substanz – wie belastbar sind Microsofts digitale Zusicherungen für Europa?
Bericht über die mbuf digital lounge am 08. Mai 2026.
Im Frühjahr 2025 führten Medienberichte über eine angebliche Einschränkung eines E-Mail-Kontos im Kontext von US-Sanktionen zu Verunsicherung unter Microsoft‑Nutzern. Auch wenn inzwischen klar ist, dass die Berichte in dieser Form nicht die tatsächlichen Abläufe und Rahmenbedingungen widerspiegelten (vergleiche auch POLITICO am 4. Juni 2025), war das Echo für uns Anlass zu einer digital lounge.
Geopolitische Veränderungen, Medienberichte zu pull-the-plug Szenarien, CLOUD-Act-Ängste – wie reagiert Microsoft und wie sind die digitalen Zusicherungen für Europa in diesem Zusammenhang einzuordnen?
Um diese Fragen in der mbuf Community qualifiziert diskutieren zu können, luden wir zwei Spezialisten aus dem Hause Microsoft ein: Rebekka Weiß, Leiterin Regulierungspolitik bei Microsoft Deutschland, und Friedhelm Peplowski, EMEA Global Black Belt for Microsoft 365 Copilot.
Direkt beim Einstieg in ihre Präsentation stellte Rebekka Weiß klar, dass Microsoft den Begriff Digitale Souveränität vor allem als Wahlfreiheit und Kontrollmöglichkeit des Kunden versteht und sich selbst mehr als Dienstleister sieht, der es als seine Aufgabe versteht, den sich daraus ergebenden Anforderungen gerecht zu werden. Aus diesem Selbstverständnis seien Microsofts digitale Zusicherungen für Europa als zentraler Baustein für Digitale Souveränität zu verstehen. Das Microsoft Sovereign Cloud Portfolio sei daher breit aufgestellt, um verschiedenste Kriterien und Anforderungen umzusetzen. Microsoft bietet zudem bereits seit Jahren Angebote, Tools und vertragliche Absicherungen, die die Anforderungen an Digitale Souveränität im europäischen Raum adressieren. Dies werde gestützt durch den Ausbau lokaler Infrastrukturen in ganz Europa, der Schaffung der EU Data Boundary bis hin zur Mitwirkung bei der Umsetzung von DELOS nach den vom BSI vorgegebenen CPR Richtlinien. Das Thema Souveränität sei also nicht neu.
Vor dem Hintergrund der vielfältigen technischen Entwicklungen, den geänderten Kundenanforderungen und der geopolitischen Dynamik hat Microsoft im April 2025 fünf Kernsätze zu seiner digitalen Zusicherungen für Europa formuliert:

Der angestrebte Grad der Souveränität müsse sich dabei immer an den Risikobewertungen der Anwenderunternehmen orientieren. So stellt Microsoft sowohl verschiedene Cloud- und KI-Ökosysteme als auch Lösungen für den On-Premise-Betrieb bereit. Der Kunde kann frei entscheiden, wie er seine IT-Lösungslandschaft gestaltet.

Die Diskussion um die Digitale Souveränität sei andererseits auch ein Aspekt der Industriepolitik mit dem Ziel der Stärkung des europäischen Marktes und Microsoft unterstütze aktiv den Aufbau europäischer Infrastrukturen und Ökosysteme. Im Hinblick auf die „pull the plug“ oder „kill switch“ Diskussionen stellte Rebekka Weiß klar, dass Microsoft dies aktiv in den digitalen Zusicherungen für Europa adressiert habe. Und mit den bereits im Sommer 2025 umgesetzten Vertragsanpassung sichere Microsoft zu, sich auf dem Klageweg bis zur letzten Instanz gegen derartige Ansinnen zur Wehr zu setzen.
Microsoft sei auch in der Vergangenheit wiederholt den Weg durch die Instanzen gegangen. Und im November 2025 seien darüber hinaus auch mit DELOS zusätzliche Vereinbarungen geschlossen worden, um für den Fall, dass man in letzter Instanz vor Gericht unterliegen würde, dem Kunden alternative Umgebungen bereitstellen zu können (SAP Press Release, 18. November 2025).
Final ging Rebekka Weiß noch auf den US CLOUD Act (CLOUD = Clarifying Lawful Overseas Use of Data) ein, der seit 2018 einen Zugriff von US Behörden auf Datenbestände, die unter Kontrolle von US Unternehmen stehen, unter definierten Umständen weltweit zulässt. Zugleich hält Microsoft sich explizit an europäisches Recht, insbesondere auch beim Datenschutz, und hat daher zusätzliche Maßnahmen wie die “Defend your Data Commitments” umgesetzt, um Kunden vor Zugriffen zu schützen. Außerdem gebe es rund um den CLOUD Act viele Mythen, vieles würde diesem Gesetz zu Unrecht zugeschrieben. Für eine detaillierte Betrachtung empfiehlt Rebekka Weiß ein CMS Legal Update vom 26. Februar 2026: US CLOUD Act vs European/UK Data Sovereignty Explained.
So spreche der CLOUD Act in erster Linie Prozesse der Strafverfolgung an und gebe keinesfalls amerikanischen Behörden einen generellen Zugriff auf Firmendaten. Microsoft habe hierzu mehrfach öffentlich Position bezogen, zum Beispiel bereits am 3. April 2018: The CLOUD Act is an important step forward, but now more steps need to follow – Microsoft On the Issues. Zudem legt Microsoft zweimal pro Jahr einen Bericht zu Regierungsanfragen (nicht nur von US Behörden) vor: Government Requests for Customer Data Report | Microsoft CSR.
Weitere Links finden sich am Ende der Präsentation, die Rebekka Weiß mbuf zur Verfügung gestellt hat – zu finden für Mitglieder in unserer Teams-Umgebung und dort unter den Freigaben im Teams Team „mbuf Forum“.
Im zweiten Abschnitt des Termins ging Friedhelm Peplowski auf Aspekte der Sicherheit von KI Anwendungsszenarien ein. Denn im Zusammenhang mit der Souveränitäts-Diskussion gewinnen zwei Fragen an Bedeutung: Auf welche Daten greifen KI Systeme zu? Wo findet die Verarbeitung statt?
Zunächst sei es wichtig, KI-Anwendungsszenarien auf dem Fundament eines klaren Berechtigungsmanagements aufzubauen, wofür eine saubere Datenklassifizierung das Fundament bildet. Ferner sei es angebracht zu hinterfragen, ob die eigenen Daten in irgendeiner Form zum Training des hinterlegten Sprachmodells genutzt werden.
Bei Microsoft wird zwar in den Product- and Serviceterms grundsätzlich vertraglich zugesichert, dass zum Beispiel Sprachmodelle nicht mit Kundendaten trainieren, keine Prompts oder die gegebenen Antworten abspeichern und bei jeder Abfrage erneut auf den jeweils aktuellen Informationsbestand zugreifen. Dennoch kommt es hier auf Details an. So erfolgt im Falle der Nutzung der Anthropic Modelle über Copilot in M365-Apps (zum Beispiel in Word, Excel oder PowerPoint) die Datenverarbeitung außerhalb der Microsoft EU Data Boundary (EUDB). Für eine Bewertung des konkreten Use-Case sei es daher empfehlenswert die Microsoft Learn Umgebung zu konsultieren: Copilot in Microsoft 365-Apps mit Anthropic Modellen | Microsoft Learn.
Angereichert wurde der Vortrag durch zahlreiche Beispiele, deren Darstellung den Rahmen dieses Berichtes sprengen würde.
Bereits während der Vorträge waren Zwischenfragen ausdrücklich erwünscht, die im Rahmen des Termins für den ein oder anderen Deep-Dive gesorgt haben. Eine abschließende Q&A-Session bildete den Abschluss einer rundum gelungenen mbuf digital lounge. Wir bedanken uns herzlich bei Rebekka Weiß und Friedhelm Peplowski für die Offenheit und den Detailreichtum mit denen insbesondere auch auf die Nachfragen eingegangen wurde. Einige der Details dürfen auf Grund von Vertraulichkeitsvereinbarungen hier nicht schriftlich wiedergegeben werden, was deutlich macht, dass eine Live-Veranstaltung im Rahmen der mbuf Community ihren besonderen Reiz hat.
Gerne stehen wir in der Geschäftsstelle für Rückfragen zum Microsoft Business User Forum e.V. zur Verfügung – eine E-Mail an info@mbuf.de genügt.
