Als Microsoft den IStGH abklemmte: Der Vorfall von 2025, der die europäische Cloud-Politik veränderte

von BetterInEurope | | 7 Min. Lesezeit
digital-sovereigntyEU-toolscompliancecloud-sovereigntygovernance

Der Vorfall in fünf Sätzen

Im Jahr 2025 verhängten die Vereinigten Staaten Sanktionen gegen den Chefankläger des Internationalen Strafgerichtshofs (ICC) als Reaktion auf Ermittlungen, die der US-Regierung missfielen. Kurz darauf verlor der Ankläger den Zugriff auf sein Microsoft-Postfach. Microsoft hatte als in den USA ansässiges Unternehmen keine rechtliche Möglichkeit, sich der Anwendung des Sanktionsregimes zu entziehen. Der ICC – ein internationales Vertragsorgan mit Sitz in Den Haag und formellem niederländischen Gaststaatstatus – stellte mitten in einem laufenden Verfahren fest, dass die E-Mail-Infrastruktur, die seine Anklagefunktion trägt, vom Ermessen der US-Exekutive abhing. Es ist die bislang konkreteste Illustration dafür, dass „Datenstandort in Europa” eben nicht dasselbe ist wie „digitale Souveränität”.

Warum gerade dieser Vorfall zählt

Die europäische Debatte über Cloud-Souveränität hat jahrelang den CLOUD Act und die Rechtsprechungslinie rund um die Schrems-Urteile als theoretische Risiken behandelt. Ja, US-Behörden könnten amerikanische Unternehmen prinzipiell dazu zwingen, weltweit gespeicherte Daten herauszugeben. Ja, transatlantische Datenübermittlungen liefen prinzipiell unter brüchigen Rechtsrahmen. Für die meisten Beschaffungsstellen blieb das jedoch eine abstrakte Sorge. Microsoft-365-Verträge wurden weiter unterzeichnet.

Der ICC-Vorfall hat die Frage von „abstrakter Sorge” zu „unmittelbar bewiesen” verschoben. Ein amtierender Chefankläger eines der wichtigsten internationalen Tribunale der Welt verlor das grundlegende Werkzeug seiner Arbeit – E-Mail – wegen einer in Washington getroffenen Entscheidung. Es war kein Urteil eines US-Gerichts. Es war eine Sanktionsverfügung der Exekutive, angewandt gegen ein US-Unternehmen und vollzogen gegen eine europäische Institution, die vor der Einführung von Microsoft 365 vermutlich umfangreiche Due-Diligence-Prüfungen durchgeführt hatte.

Wenn dem Chefankläger des ICC die E-Mail abgeschaltet werden kann, lautet die strukturelle Frage für jedes europäische Krankenhaus, jedes Ministerium, jede Universität, jede Bank und jede Kanzlei schlicht: Wie hoch ist hier das Risiko?

Die strukturelle Lehre

Die Lehre lautet nicht: „Microsoft hat etwas falsch gemacht.” Microsoft hat genau so gehandelt, wie es jeder in den USA ansässige Anbieter tun würde und im geltenden Rechtsrahmen wohl auch tun muss.

Die Lehre lautet: Wer kritische europäische Geschäftsprozesse auf US-domizilierter Cloud-Infrastruktur betreibt, akzeptiert das Risiko, dass die US-Exekutive jederzeit entscheiden kann, dass eine bestimmte europäische Nutzerin oder ein bestimmter europäischer Nutzer nicht länger berechtigt ist, den Dienst zu verwenden. Das ist keine theoretische Fähigkeit. Sie wurde eingesetzt.

Das Risiko hat drei Dimensionen:

Direkte Abschaltung auf Nutzerebene. Der ICC-Fall. Eine bestimmte Person wird gelistet, und ihr Zugang zu US-Diensten wird gekappt. Das betrifft alle, die das US-Sanktionsregime erfasst – zunehmend auch Diplomatinnen und Diplomaten, Anwältinnen und Anwälte, NGOs und Forschende in politisch umkämpften Bereichen.

Störung auf Organisationsebene. Umfangreichere Sanktionsmaßnahmen können ganze Einrichtungen treffen. Europäische Unternehmen, die mit sanktionierten Jurisdiktionen Geschäfte machen, haben bereits erlebt, dass US-Anbieter ihre Dienste eingestellt haben – oft mit kaum Vorlaufzeit.

Datenzugriff durch ausländische Rechtsverfahren. Der CLOUD Act bleibt in Kraft. US-Behörden können US-Anbieter dazu zwingen, Daten unabhängig vom physischen Speicherort offenzulegen. Das ist rechtlich etwas anderes als Sanktionen, läuft aber über denselben strukturellen Kanal.

Europäische Datenresidenz adressiert keinen dieser Punkte. Das Microsoft-Rechenzentrum in Frankfurt, das Ihre Daten hostet, wird weiterhin von einem amerikanischen Unternehmen betrieben, das amerikanischem Recht unterliegt. Daten in Europa zu lagern, ändert nichts an der Konzernzuständigkeit der Einheit, die die Schlüssel dazu in der Hand hält.

Was der ICC-Fall konkret gezeigt hat

Einige Dinge hat der ICC-Fall empirisch greifbar gemacht, die in früheren Debatten bloß behauptet wurden:

Geschwindigkeit. Die Abschaltung erfolgte rasch. Für Außenstehende war kein längeres Rechtsverfahren erkennbar, keine Verhandlungsphase. An einem Tag funktionierte die E-Mail, am nächsten nicht mehr.

Asymmetrie der Optionen. Der ICC als Kunde hatte keine sinnvolle Handhabe. Der Anbieter als US-Rechtsperson hatte keine Wahl. Die Entscheidung lag bei keiner der beiden Parteien der Kundenbeziehung.

Sichtbarkeitslücke. Der Fall wurde öffentlich bekannt, weil eine prominente Institution und eine prominente Person betroffen waren. Wie viele weniger sichtbare Vorfälle es bei kleineren europäischen Kunden im sanktionsnahen Umfeld gegeben hat, ist unbekannt – aber vermutlich nicht null.

Reputationelle Eindämmung. Microsofts breiteres Europageschäft wurde durch den Vorfall kommerziell kaum berührt. Das strukturelle Risiko wurde sichtbar, doch die Trägheit der installierten Kundenbasis fing den politischen Druck auf.

Was die europäische Beschaffung daraus schließen sollte

Drei beschaffungsrelevante Schlussfolgerungen lassen sich heute belegen, die 2024 noch schwerer zu verteidigen waren.

1. Für anklagebezogene, justizielle und rechtssensible Workloads sind US-Cloud-Anbieter ungeeignet. Das ist keine Vorsichtsposition mehr. Es gibt einen direkten Präzedenzfall.

2. Für Workloads mit politischer oder diplomatischer Exposition gegenüber US-Sanktionsregimen gilt dasselbe. Das betrifft diplomatische Dienste, zwischenstaatliche Organisationen, bestimmte NGOs und jede europäische Einrichtung, deren Arbeit geopolitische Brennpunkte berührt.

3. Für normale kommerzielle Workloads hat sich die Rechnung verschoben, aber nicht umgekehrt. Kosten, Funktionsumfang und Integration zählen weiterhin. Doch die Antwort auf die Frage „Was ist das schlimmste Szenario?” ist so konkret geworden, dass sie in Risikoregistern stehen sollte.

Für die meisten öffentlichen Auftraggeber in Europa weist das den Weg zu Anbietern, die strukturell außerhalb der US-Rechtsreichweite stehen. Das bedeutet:

  • in der EU oder der Schweiz ansässige Anbieter
  • Hosting in EU- oder Schweizer Rechenzentren
  • Betrieb unter EU- oder Schweizer Recht ohne unterworfene US-Rechtspersonen
  • idealerweise zertifiziert nach europäischen Souveräne-Cloud-Rahmenwerken (SecNumCloud, BSI C5, das künftige EUCS)

Im Bereich der Cloud-Infrastruktur ist die Liste der Anbieter, die all dies erfüllen, kurz: OVHcloud, Scaleway, Hetzner, Infomaniak, die nationalen Champion-Clouds aus Frankreich, Deutschland und Italien sowie eine Handvoll spezialisierter Akteure.

Die Governance-Ebene

Einen Nicht-US-Anbieter zu wählen, löst nicht automatisch alles. Die Frage, was passiert, wenn dieser Anbieter im Jahr 2029 von einem US-Strategen übernommen wird, ist real. Ein an AWS verkaufter europäischer Anbieter bringt dasselbe Problem zurück, das man eigentlich hinter sich lassen wollte – nur zeitversetzt.

Genau deshalb ist die Ankündigung der Infomaniak-Stiftung im Mai 2026 strukturell so bedeutsam. Verantwortungseigentum – der rechtliche Mechanismus, der die Übertragung von Anteilen an Externe verhindert – schließt jene Lücke, die ein gewöhnlicher „EU-Hauptsitz” eben nicht schließt. Wir haben gesondert darüber geschrieben, was Verantwortungseigentum ist und warum es zählt für die europäische Tech-Souveränität.

Für Beschaffungsteams, die langfristige Lieferantenrisiken bewerten, lohnt sich zunehmend die Frage: „Ist dieser Anbieter strukturell vor einer Übernahme durch US-Tech geschützt?” Sie tritt neben die bereits etablierte Frage „Ist dieser Anbieter strukturell vor dem Zugriff des US-Rechts geschützt?”

Wie die EU-politische Antwort aussieht

In den Monaten nach dem ICC-Vorfall beschleunigten sich mehrere politische Stränge.

Rückenwind für Souveränitätskriterien im EUCS. Die umstrittenen Souveränitätsanforderungen im European Cybersecurity Certification Scheme for Cloud Services erhielten neuen Rückhalt von Mitgliedstaaten, die zuvor ambivalent waren. Die Debatte verlagerte sich von „brauchen wir das?” zu „wir haben es längst gebraucht”.

Cloud-first-EU-Beschaffungsrichtlinien. Mehrere Mitgliedstaaten – Frankreich (bereits zuvor), Italien, Belgien, die Niederlande – erließen oder verschärften Leitlinien, die öffentliche Auftraggeber und regulierte Branchen dort, wo möglich, in Richtung souveräner europäischer Cloud lenken.

Die Microsoft-ICC-Klauseln. In neuen Vergabevorlagen tauchten gezielt Klauseln auf, die Sanktions-Cut-off-Szenarien adressieren: Anbieter müssen ihre eigene Rechtsexposition offenlegen und vor einer Zugangsabschaltung Mitteilungs- und Heilungsrechte einräumen. Die Klauseln sind unvollkommen (US-Anbieter können die meisten dieser Zusagen rechtlich nicht geben), zeigen aber den Wandel in den Erwartungen der Käufer.

Workload-Kategorisierung. Risikoframeworks begannen, Workloads nicht mehr nur nach Datenschutzsensibilität, sondern nach Sanktions-Cut-off-Exposition zu kategorisieren. Ein Workload, der „nicht personenbezogen”, aber „operativ kritisch” ist, bekommt eine neue Spalte in der Tabelle.

Was sich nicht geändert hat

Ehrlichkeit verlangt einzuräumen, dass sich für die meisten europäischen Unternehmen am Alltag nichts ändert. Microsoft 365 ist weiterhin der einfachste Weg. AWS bietet weiterhin den größten Funktionsumfang. Die Migrationskosten beim Wechsel weg von US-Anbietern sind real. Viele europäische Beschaffungsteams werden weiterhin abwägen und sich bei den meisten Workloads weiterhin für US-Anbieter entscheiden.

Das ist nicht zwangsläufig falsch. Der Trade-off ist real, und die Antwort wird je nach Organisation unterschiedlich ausfallen.

Was sich geändert hat: Für bestimmte Workloads – sanktionssensible, rechtlich kritische, souveränitätsessenzielle – zeigt die Rechnung jetzt eindeutig weg von US-Anbietern. Diese Kategorie existierte theoretisch immer. Seit 2025 existiert sie auch in der Praxis.

Die praktische Konsequenz

Wer in Europa Verantwortung für Beschaffung oder Risiko trägt, sollte aus dem ICC-Vorfall nicht die Frage mitnehmen: „Müssen wir wegen Microsoft in Panik geraten?” Die Antwort darauf ist nein.

Die produktive Frage lautet: Welche unserer Workloads würden, wenn sie morgen dunkel würden, einen Schaden anrichten, den wir nicht tolerieren können – und hängen diese Workloads derzeit vom Ermessen der US-Exekutive ab?

Für die meisten Organisationen ist das eine kleine Teilmenge der Workloads. Aber nicht null. Und die Antwort auf diese Frage prägt die Beschaffung heute auf eine Art, wie es die abstrakte Debatte über den CLOUD Act in den letzten sieben Jahren nie vermocht hat.

Souveränität hört auf, eine Ideologie zu sein, sobald etwas Konkretes die Lücke sichtbar macht. Der ICC-Vorfall von 2025 ist diese konkrete Demonstration.

Wer beginnen möchte, die Exposition der eigenen Organisation zu kartieren: Unser US-Exposure-Assessment-Tool führt durch zwanzig gängige US-Anbieter und die Souveränitätsschicht unter jedem von ihnen. Oder Sie nutzen den Entscheidungsassistenten für eine kategoriebezogene Shortlist europäischer Alternativen.

Die Lehre des ICC-Vorfalls ist nicht, dass Souveränität wichtig ist. Sondern dass Souveränität keine Option mehr ist, sobald man gesehen hat, wie sie versagt.

War das hilfreich?

Bleiben Sie Informiert

Erhalten Sie die neuesten Nachrichten über europäische Alternativen und digitale Souveränität.

Wir respektieren Ihre Privatsphäre. Jederzeit abmelden. Kein Tracking, kein Spam.