Microsoft Sovereign Cloud: Ist das die Lösung

1. Sovereign Public Cloud

• Datenverarbeitung ausschließlich in Europa

• Zugriff nur durch Mitarbeitende mit Wohnsitz in der EU

• Kund:innen behalten die Kontrolle über ihre eigenen Verschlüsselungsschlüssel (External Key Management)

2. Sovereign Private Cloud

• Hochgradig isolierte Microsoft-365-Umgebung für Großkunden

• Betrieb in Azure Dedicated, Azure Stack oder sogar in eigenen Rechenzentren

• Entwickelt für nationale Behörden und strategische Partner

3. Partnerlösungen mit nationaler Governance

• Microsoft arbeitet mit Partnern wie Bleu (Frankreich) oder SAP/Delos (Deutschland) zusammen

• Diese betreiben souveräne Microsoft-Dienste unter nationaler Kontrolle

Begleitet wird das Ganze durch Microsofts „Digital Resilience Commitment“: eine freiwillige Zusage, Datenhoheit zu respektieren und sich juristisch gegen nicht-europäische Zugriffsforderungen zu wehren – sofern möglich. Hier ist zu sagen, dass Microsoft in der juristischen Verteidigung der Europäischen Rechte sehr vorbildlich war. 

Für wen ist die Microsoft Sovereign Cloud interessant?

• Für Ministerien, Polizei, kritische Infrastrukturen ist das ein Fortschritt: Sie bekommen eine klar definierte, vertraglich geregelte Umgebung, in der sie mehr Kontrolle über ihre Daten haben als bisher.

• Für große Unternehmen mit sehr hohen Compliance-Anforderungen kann das in ausgewählten Szenarien hilfreich sein – wenn Budget und Komplexität kein Hindernis darstellen.

Warum hilft das uns die Microsoft Sovereign Cloud in Europa insgesamt nicht wirklich?

1. Das Grundproblem bleibt: Microsoft ist ein US-Unternehmen

Solange Microsoft der US-Rechtsprechung unterliegt, kann das Unternehmen per Gesetz gezwungen werden, Zugriff auf Daten zu gewähren – auch auf Daten, die in Europa liegen. Der sogenannte CLOUD Act gilt weltweit für US-Unternehmen – unabhängig vom Speicherort.

Selbst wenn der Zugriff juristisch umstritten ist: Technisch ist er möglich – und das reicht.

2. Die „Sovereign Private Cloud“ ist nichts für Normalverbraucher

• Sie ist teuer, hochkomplex und nur für Großkunden mit spezieller Vereinbarung überhaupt verfügbar.

• Für NGOs, Schulen, KMU oder zivilgesellschaftliche Organisationen bleibt es beim klassischen Microsoft-365-Modell – mit all seinen Risiken.

3. Es bleibt ein Vertrauensmodell

Alle Zusagen basieren auf Selbstverpflichtung. Microsoft verspricht, sich zu wehren – wenn möglich. Aber wer garantiert das im Ernstfall? Ein gutes Compliance-Framework ersetzt keine technische und juristische Abschirmung.

Verschlüsselung mit eigenem Schlüssel
sinnvoll, aber kein Allheilmittel

Bring Your Own Key (BYOK) oder Double Key Encryption (DKE) klingt stark:
„Ich habe den Schlüssel, Microsoft hat keinen Zugriff.“
Aber:

1. Die Software gehört trotzdem Microsoft.

   • Niemand kann sicherstellen, dass die Systeme wirklich nur entschlüsseln, wenn es erlaubt ist.

   • Microsoft kontrolliert den Code, die Dienste und die Updates.

2. Der Code ist nicht vollständig offen oder überprüfbar.

   • Niemand außerhalb Microsofts hat vollständige Kontrolle über Azure, Exchange Online oder Teams.

   • Selbst Sicherheitsfirmen dürfen nur Teile überprüfen – wenn überhaupt.

3. US-Behörden könnten den Einbau von Backdoors fordern – und Microsoft dürfte es nicht sagen.

   • Unter Gesetzen wie dem Patriot Act, FISA 702 oder CLOUD Act können Behörden Unternehmen verpflichten, Funktionen einzubauen – inklusive Verschwiegenheitspflicht (Gag Order).

   • Das heißt: Selbst wenn Microsoft gezwungen würde, eine Backdoor einzubauen, dürften sie es nicht öffentlich machen und nicht darüber reden.

Die Verschlüsselung mit eigenem Schlüssel schützt dich also nur, wenn die Software sich auch an die Regeln hält – und du der Software vollständig vertrauen kannst. Kannst Du das bei einem Softwareunternehmen dass zur Implementierung von Backdoors behördlich gezwungen werden kann, und das dann nicht darüber reden darf?

Es gäbe einen eleganten Ausweg
aber Microsoft will ihn nicht gehen

Ironischerweise könnte Microsoft das Problem lösen, und hätte einen großen Wettbewerbsvorteil damit:

Man müsste nur wieder eine vollwertige On-Prem-Version von Exchange und Teams anbieten.
Aber genau das ist nicht mehr vorgesehen – denn die Zukunft liegt laut Microsoft in der Cloud. Exchange wird langsam heruntergefahren, Teams erst gar nicht angeboten.

Für alle, die nicht in diese Cloud-Welt passen (oder wollen), bleibt: akzeptieren – oder Alternativen suchen. Microsoft als einziger Anbieter für beide Welten (on Prem und Cloud) – your choice.  Das war leider einmal.

Fazit

Microsoft Sovereign Cloud ist ein Schritt in die richtige Richtung – für ausgewählte Zielgruppen.
Aber sie löst das strukturelle Problem nicht, das durch die globale Rechtsunsicherheit und die technische Kontrollverteilung entsteht.

Solange Zugriff technisch möglich ist, ist Souveränität eine Illusion.

Wer echte Unabhängigkeit will, braucht Systeme, die nicht auf Vertrauen beruhen, sondern auf Kontrolle, Transparenz und europäischer Verantwortung.

Genau deshalb bauen wir als 4future.digital den Blueprint und die Lösung 4future.one (Nachfolger von cc-Drive) – als offene, föderierte und souveräne Alternative zu Microsoft, Google & Co.