Ein aktueller Fall aus den Niederlanden zeigt, wie real das Risiko von US-Cloud-Diensten ist:
Microsoft hat die Namen und internen Kommunikationen niederländischer Beamter und Wissenschaftler an den US-Kongress weitergegeben – ohne die Namen zu schwärzen.
Was ist passiert?
Ein Untersuchungsausschuss des US-Repräsentantenhauses forderte von Microsoft Daten zu niederländischen Regulierungsbeamten an, die an der Durchsetzung des EU-Digital Services Act (DSA) arbeiten. Microsoft kam dieser Aufforderung nach und übergab E-Mails, Besprechungsnotizen und Einladungen von Mitarbeitern der niederländischen Wettbewerbsbehörde ACM und der Datenschutzbehörde AP.
Die Namen der betroffenen Beamten wurden nicht geschwärzt. Das niederländische Kabinett bezeichnete den Vorgang als „äußerst besorgniserregend“ – die genannten Personen könnten nun mit Einreiseverboten oder sogar Sanktionen belegt werden. Auch Meta soll ähnliche Daten weitergegeben haben.
Der rechtliche Hebel: Der US CLOUD Act
Der Vorfall ist kein Betriebsunfall, sondern systemisch bedingt. Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Unternehmen, der US-Regierung auf Anforderung sämtliche gespeicherten Daten herauszugeben – unabhängig davon, wo auf der Welt diese Daten physisch gespeichert sind. Serverstandort in Frankfurt? Azure-Rechenzentrum in Amsterdam? Die Daten in einer europäischen Region von Microsoft 365? Aus Sicht des CLOUD Act irrelevant. Solange das Unternehmen seinen Hauptsitz in den USA hat, unterliegt es US-Jurisdiktion.
Die niederländische Digitalministerin Willemijn Aerdts brachte es auf den Punkt: „Wenn Sie Politik diskutieren wollen, dann tun Sie das mit uns – oder, wenn nötig, in Europa – aber nicht auf dem Rücken von Beamten.“
Die Ohnmacht der Kunden
Besonders bezeichnend: Auf die Frage, ob die Niederlande die Zusammenarbeit mit Microsoft beenden könnten, antwortete Wirtschaftsstaatssekretär Eric van der Burg: Kurzfristig keine Option. Die Abhängigkeit ist zu groß. Microsoft 365 ist in der öffentlichen Verwaltung, im Gesundheitswesen und in Bildungseinrichtungen tief verwurzelt.
Eine Untersuchung des niederländischen Public Broadcasters NOS ergab, dass 67 % von rund 16.500 untersuchten Websites staatlicher Stellen, Krankenhäuser, Schulen und anderer essenzieller Organisationen mit mindestens einem US-Cloud-Dienst verbunden sind.
Die Lehre für Praxen im DACH-Raum
Was für niederländische Ministerien gilt, gilt erst recht für Psychotherapiepraxen, Arztpraxen und kleinere Einrichtungen: Wer Patientendaten in Microsoft 365 verwaltet oder auf Azure-basierte KI-Dienste setzt, unterliegt mittelbar dem US CLOUD Act. Die DSGVO verlang von Verantwortlichen in der EU, dass sie personenbezogene Daten vor unbefugtem Zugriff schützen. Ein Cloud-Dienst, der per US-Gesetz zur Herausgabe dieser Daten gezwungen werden kann, ist mit der DSGVO nur schwer vereinbar – eine Einschätzung, die Datenschutzbehörden zunehmend teilen.
Für Psychotherapeut:innen bedeutet das konkret: Wer seine Abrechnung, Patientenakten oder Dokumentation über einen Microsoft-basierten Dienst laufen lässt, geht ein reales Datenschutzrisiko ein – nicht, weil Microsoft böswillig handeln würde, sondern weil US-Recht über EU-Recht gestellt werden kann.
Fazit
Microsoft hat nicht versagt, Microsoft hat sich an US-Recht gehalten. Genau das ist das Problem. Der Fall der Niederlande zeigt, dass dies keine abstrakte theoretische Diskussion mehr ist, sondern eine reale Gefahr für alle, die auf US-Cloud-Infrastruktur angewiesen sind. Wer sensible Patientendaten verarbeitet, sollte sich bewusst sein: Standort Europa allein schützt nicht vor US-Zugriff. Entscheidend ist, wem die Infrastruktur gehört und welchem Recht sie unterliegt.
#CLOUDAct #Datenschutz #DSGVO #Psychotherapie #Psychotherapeuten #Praxisalltag #MedizinischeDokumentation
Quelle: https://nltimes.nl/2026/05/22/microsoft-accused-leaking-dutch-civil-servants-names-us-government
