Stellen Sie sich vor, Sie möchten eines Morgens auf Ihre E-Mails bei Microsoft zugreifen – und Ihr Konto zeigt: Zugriff gesperrt. Sie wurden nicht gehackt, Ihr Passwort stimmt ebenfalls.
Am Ende stellt sich heraus: Microsoft hat Ihren Account gesperrt – auf Anordnung des US-Präsidenten. Warum? Ganz einfach: Weil Sie Ihre Arbeit getan haben.
Internationales Recht schützt nicht vor Interessenpolitik
So erging es dem Chefankläger Karim Khan des Internationalen Strafgerichtshofs (IStGH). Dieser beantragte im Mai 2024 Haftbefehle gegen den israelischen Ministerpräsidenten Benjamin Netanyahu und den damaligen Verteidigungsminister Yoav Gallant wegen mutmaßlicher Kriegsverbrechen und Verbrechen gegen die Menschlichkeit im Zusammenhang mit dem Krieg im Gazastreifen. Im November 2024 erließ die Vorverfahrenskammer des IStGH die beantragten Haftbefehle.
Daraufhin reagierte der US-Präsident mit einer Executive Order (EO 14203) – einer Art Durchführungsverordnung und verhängte Sanktionen gegen Mitglieder des IStGH. Diese umfassten Einreiseverbote, finanzielle Sanktionen und ein Verbot der Zusammenarbeit mit dem Gericht. Gemäß Sec. 3 der EO darf niemand in den USA sanktionierten Personen Dienstleistungen anbieten. Genau das dürfte Microsoft im Mai dazu veranlasst haben, die Dienste – und damit den E-Mail-Account – des Chefanklägers zu sperren.
Microsoft: Alles nicht so schlimm?
Im Juni teilte Microsoft mit, man habe die Dienste für den IStGH weder beendet noch ausgesetzt. Man stelle lediglich eine technische Plattform bereit; die Entscheidung über den Zugriff liege bei den Kunden. Zudem wolle Microsoft Bedenken in Europa ausräumen und sich verpflichten einer Aufforderung zur Einstellung des Cloud-Betriebs in Europa „unverzüglich und energisch mit allen verfügbaren rechtlichen Mitteln“ entgegenzutreten – einschließlich der Einleitung eines Gerichtsverfahrens. Durch die Aufnahme einer neuen europäischen Verpflichtung zur digitalen Resilienz in allen Verträgen mit europäischen Regierungen und der EU-Kommission soll diese Zusage für die Microsoft Corporation und alle Tochtergesellschaften rechtsverbindlich werden, so das Unternehmen weiter. Diese findet sich im aktuellsten Vertrag zur Auftragsverarbeitung (September 2025) im Anhang D: Sollte Microsoft eine Anordnung bzw. eine anderweitige rechtliche Verpflichtung erhalten, die Microsoft verpflichtet, seine Dienste für einen Kunden ganz oder teilweise auszusetzen oder einzustellen, wird Microsoft eigenständig alle verfügbaren und rechtmäßigen Mittel (bspw. eine einstweilige Unterlassungsverfügung) einsetzen, um die Anordnung bzw. Verpflichtung anzufechten.
Druck auf EU-Kommission steigt
Der Vorfall zeigt: Die aktuelle US-Administration ist bereit, aktiv in den digitalen Sektor einzugreifen – mit direkten Auswirkungen auf Europa. Unlängst kritisierte die US-Regierung den Digital Services Act, der u. a. Plattformen wie Facebook, Instagram oder x.com verpflichtet, gegen Desinformation, Hetze und illegale Inhalte vorzugehen. Die US-Regierung sieht dadurch die Meinungsfreiheit gefährdet.
Zusätzliche Brisanz zeigt der aktuelle Fall um eine Kartellstrafe in Höhe von 2,95 Milliarden Euro gegen die Google -Mutter Alphabet, verhängt durch die EU. Daraufhin drohte US-Präsident Trump mit Strafzöllen. Es stellt sich die Frage: Wie unabhängig kann die EU ihre Gesetze gestalten und durchsetzen, wenn wirtschaftliche Vergeltungsmaßnahmen drohen?
Gilt das Data Privacy Frameworks noch?
Diese Gemengelage führt direkt zur Frage, ob eine sichere Datenübermittlung in die USA auf Grundlage des Data Privacy Frameworks (DPF) noch möglich ist.
Ein Urteil des Europäischen Gerichts (EuG) (Urt. v. 3.9.2025 – T-553/23) befasste sich mit dem neu gegründeten Data Protection Review Court (DPRC) – einem Gericht für Beschwerden über die Datenverarbeitung durch den US-Generalstaatsanwalt, das Handelsministerium und ein unabhängiges Bürgerrechtsgremium.
Das Gericht stellte fest, dass das DPRC unabhängig sei. Es betonte zudem, dass die EU-Kommission die Anwendung des Rechtsrahmens laufend überwachen und bei Änderungen die Anwendung des DPF aussetzen, ändern oder aufheben sowie dessen Anwendungsbereich einschränken könne.
Gleichzeitig ist zu beachten, dass zum Beispiel der Vertrag zur Auftragsverarbeitung mit Microsoft die Daten seiner Kunden nicht offen legt, es sei denn, es gibt gesetzliche Bestimmungen. Diese beziehen sich auch auf gesetzliche Bestimmungen der USA und daher auch auf Executive Orders von US-Präsident Trump. Bisher hat die Executive Order von Präsident Biden, die maßgeblich für den Abschluss des Data Privacy Frameworks war, Bestand. Solche Orders können aber jederzeit von einem nachfolgenden Präsidenten aufgehoben werden.
EU-Kommission steht in der Verantwortung
Die EU-Kommission muss bei der Evaluierung des DPF prüfen, ob sich die Rechtslage in den USA grundlegend verändert hat – und ob dies eine Gefahr für ein angemessenes Datenschutzniveau darstellt.
Im aktuellen Umfeld, in dem Strafzölle angedroht werden, wird sich zeigen, welche wirtschaftlichen Risiken die EU-Kommission bereit ist einzugehen, um einerseits dem EU-Recht Geltung zu verschaffen und andererseits die Beziehungen zu den USA nicht übermäßig zu belasten.
19. September 2025 @ 6:53
Zur Frage in der Überschrift: War das denn je eine gute Idee? …..
18. September 2025 @ 12:30
Sehr gute Hinweise. Das trifft ja dann auch für die gesamte SaaS-Produkte zu. Da wird dann der Software-Zugang schnell mal ausgeschaltet. Ob da dann SCC weiterhelfen??
18. September 2025 @ 12:14
Falsches Framing im Titel!
Es war nämlich NOCH NIE eine gute Idee, US-Anbieter auf Daten zugreifen zu lassen.
Nicht nur wegen unzuverlässiger Verfügbarkeit wie im Falle Khan, sondern in erster Linie wegen Mangel an Vertraulichkeit. Siehe [Link entfernt, Anm. d. Red.] (dort viele weitere Links zu Quellen).