Diese Seite ist auch verfügbar in: English (Englisch)
Im Mai 2025 sperrte Microsoft das E-Mail-Konto von Karim Khan – dem Chefankläger des Internationalen Strafgerichtshofs (IStGH) in Den Haag. Der Grund: US-Präsident Donald Trump hatte Sanktionen gegen den IStGH verhängt, nachdem dieser Haftbefehle gegen israelische Beamte erlassen hatte. Microsoft, als US-Unternehmen an US-Recht gebunden, setzte die Sanktionen um – und kappte damit die offizielle Kommunikation einer internationalen Justizbehörde. Khan musste auf den Schweizer Anbieter Proton ausweichen, um seine Arbeit fortsetzen zu können.
Dieser Vorfall ist kein Einzelfall. Er ist Symptom eines strukturellen Problems.
„Souveräne Cloud“ – ein Marketingversprechen mit Ablaufdatum
Fast zeitgleich sagte Anton Carniaux, Chief Legal Officer von Microsoft Frankreich, unter Eid vor dem französischen Senat aus: Microsoft könne nicht garantieren, dass EU-Kundendaten in europäischen Rechenzentren vor dem Zugriff durch US-Behörden geschützt seien. Wenn eine rechtlich gültige Anfrage aus den USA kommt, muss Microsoft liefern – egal, wo die Server stehen. Und: Kunden dürfen unter Umständen nicht einmal über den Vorgang informiert werden.
Damit ist die Illusion der „Sovereign Cloud“ offiziell entlarvt. Solange ein Anbieter dem US-Recht unterliegt – insbesondere dem CLOUD Act und dem Patriot Act – bleibt der Standort der Infrastruktur zweitrangig. „EU-lokalisiert“ ist nicht dasselbe wie „EU-kontrolliert“.
Drei unbequeme Wahrheiten
Jurisdiktionelle Verwundbarkeit: Wer einen Cloud-Dienst eines ausländischen Anbieters nutzt, unterwirft sich dessen Heimatrecht. US-Gesetze können EU-Recht im Zweifelsfall aushebeln – auch für Daten, die physisch in Europa liegen.
Politische Dienstunterbrechung: Das IStGH-Beispiel zeigt: Ein Cloud-Anbieter kann auf politische Anweisung hin Dienste für eine zentrale öffentliche Institution abschalten – ohne Gerichtsbeschluss im betroffenen Land, ohne Vorwarnung.
Schleichender Kontrollverlust: Organisationen verlieren schrittweise die Fähigkeit nachzuvollziehen, wer auf ihre Daten zugreift, wohin diese fliessen und unter welchen Umständen ein Zugriff stattfindet.
Warum ein hybrides Modell der bessere Weg ist
Niemand fordert ernsthaft, sämtliche Hyperscaler-Dienste abzuschalten. Ihre Vorteile – Skalierbarkeit, Servicebreite, OPEX-Effizienz – sind real. Aber sie sind kein Ersatz für Souveränität. Ein durchdachtes hybrides Modell kombiniert das Beste beider Welten:
Kontrolle und Jurisdiktion: Private On-Prem- oder EU-native Infrastruktur hält sensible Daten in der eigenen Rechtsordnung. Keine externe Vorladung kann eine Herausgabe erzwingen.
Resilienz: Lokale Infrastruktur reduziert die Abhängigkeit von geopolitischen Konflikten, die den eigenen Betrieb nicht direkt betreffen – aber indirekt treffen können.
Compliance mit Substanz: Für sensible Bereiche – Regierung, Justiz, Gesundheit, kritische Infrastruktur – bietet private Cloud eine belastbare Grundlage für DSGVO-Konformität und echte Datensouveränität.
Risikodiversifikation: Ein einziger Anbieter ist ein Single Point of Failure – technisch und rechtlich. Hybride Modelle verteilen dieses Risiko intelligent.
Open Source als strategische Säule
Die jüngsten Entwicklungen machen eines deutlich: Digitale Souveränität ist nicht nur eine Frage der Infrastruktur, sondern auch der Software. Open Source spielt dabei eine Schlüsselrolle – nicht nur technisch, sondern geopolitisch und wirtschaftlich.
Die globale digitale Ökonomie fusst auf Open-Source-Technologien wie Linux, Apache, Nginx und Kubernetes. Diese bilden das Rückgrat moderner Cloud-Infrastrukturen und werden von weltweiten Entwicklergemeinschaften getragen.
Ein instruktives Beispiel liefert China: Als Huawei 2019 durch US-Sanktionen vom Android-Ökosystem ausgeschlossen wurde, investierte das Land massiv in eigene Open-Source-Projekte wie OpenHarmony und gründete die OpenAtom Foundation. Heute ist China nach den USA und Indien die drittgrösste Entwicklernation auf GitHub und treibt Open-Source-KI-Modelle wie DeepSeek und Qwen (Alibaba) voran.
Für Europa – und besonders für die Schweiz – sendet das ein klares Signal: Open Source ist strategische Notwendigkeit. Während China Open Source primär zur Reduktion westlicher Abhängigkeiten nutzt, kann Europa damit Transparenz, Vertrauen und kollaborative Innovation fördern.
Gerade die Schweiz, mit ihrer starken Forschungslandschaft, regulierten Branchen und neutralen Vermittlerrolle, ist prädestiniert dafür, auf Open Source zu setzen – um digitale Eigenständigkeit zu sichern und interoperable, vertrauenswürdige Technologien aufzubauen.
Fazit: Souveränität braucht mehr als Geografie
Wahre digitale Souveränität erfordert Governance und Kontrolle – nicht nur einen europäischen Serverstandort. Wer robuste Kontrolle über Daten und Betrieb will, muss in Infrastrukturen investieren, die vollständig unter eigener Aufsicht stehen. Und er muss auf offene Standards und Open-Source-Technologien setzen, die keine versteckten Abhängigkeiten von einzelnen Anbietern oder Rechtsordnungen schaffen.
Die Vorfälle rund um Microsoft und den IStGH sind kein Randphänomen. Sie sind ein Weckruf. Die Frage ist nicht, ob wir handeln – sondern wie schnell.
Quellen: heise online – IStGH E-Mail-Sperre, heise online – Microsoft EU-Daten, Knack Trends – China Open Source
