Ist Digitale EU-Souveränität mit Microsoft 365 möglich?

Im Prinzip ja, aber es ist kompliziert, sagt Wilfried Reiners. Per "Knopfdruck-Compliance" geht es ganz sicher nicht, sagt der Geschäftsführer des Legal-Tech-Dienstleisters PRW. Hinzu kommt, dass der technische Aufwand erheblich ist, wie er im Gastkommentar erläutert.

Ein Bild, das Text, Symbol, Clipart, Logo enthält. KI-generierte Inhalte können fehlerhaft sein.

Digitale Souveränität in der EU mit Technologie von US-Herstellen? Ist möglich, aber kompliziert (Grafik: PRW/Schaubild KI-generiert)

Juristen denken in Paragraphen, Absätzen, Sätzen, Nummern und Buchstaben. Das gibt Struktur, Halt und im Idealfall Klarheit. Letzteres ist indes nicht gewiss, denn Gesetze sind bekanntlich Auslegungssache, weil sie sich widersprechen können. Das ist im grenzüberschreitenden Datenverkehr zwischen der EU und Drittstaaten wie vor allem den USA der Fall. Wilfried Reiners ist Geschäftsführer des Legal-Tech-Dienstleisters PRW aus München und er ist Rechtsanwalt, spezialisiert auf Datenschutz.

Die Gabe, die ihn von Kollegen der Juristerei unterscheidet: Wenn Reiners Kommentare schreibt, muss er natürlich auf die komplizierte Rechtsmaterie rekurrieren, aber anders als andere Advokaten, verstehen auch juristische Laien seine Texte und können seiner Argumentation folgen.

Reiners aktueller Kommentar, wie sich Microsoft 365 mit dem in der EU von vielen propagierten Wunsch nach digitaler Souveränität verträgt, ist eine, wie wir finden, wohltuende Differenzierung, die nicht juristischen Entscheidern und im Channel tätigen IT-Berater Orientierung und Leitfaden sein kann. Denn: Digitale Souveränität ist kein Rechtsbegriff, sondern eine Entscheidung, die viel weitreichendere Folgen für IT im Unternehmenseinsatz hat. Wir geben Reiners Ausführungen, die er selbst "Appell" nennt, im Wortlaut wieder.

1. Der Begriff nimmt Fahrt auf

"Europäische Datensouveränität" ist kein fest definierter Rechtsbegriff, sondern ein politisch-strategisches Konzept. Gemeint ist i.d.R. die Fähigkeit Europas (bzw. der EU und ihrer Mitgliedstaaten), über die Nutzung und Kontrolle von Daten selbstbestimmt zu entscheiden, ohne in Abhängigkeit von Drittstaaten oder deren Technologien zu geraten. Dieses Begriffsverständnis sieht die wesentlichen Punkte in vier Dimensionen:

a) Rechtliche Dimension

Datenverarbeitung soll im Einklang mit europäischen Werten und Gesetzen (insbesondere DSGVO, Grundrechtecharta) erfolgen.
Schutz vor Zugriffen durch Drittstaaten (z. B. US-Cloud Act, chinesische Sicherheitsgesetze).

b) Technologische Dimension

Aufbau eigener Infrastrukturen und Dienste (Cloud, KI, Plattformen), die unabhängig von außereuropäischen Anbietern betrieben werden können.
Beispiele: Europäische Cloud-Initiativen, Projekte zu High-Performance-Computing oder europäische Chips.

c) Wirtschaftliche Dimension

Förderung europäischer Unternehmen, um Wertschöpfung in der EU zu halten.
Vermeidung einseitiger Abhängigkeit von Hyperscalern (Microsoft, Amazon, Google, …).

d) Politische/gesellschaftliche Dimension

Sicherstellung, dass Daten im europäischen Raum nach europäischen Regeln genutzt werden können.
Demokratische Kontrolle über Datenströme und Schutz kritischer Infrastrukturen.

Im Ergebnis bedeutet Europäische Datensouveränität, dass Europa die Kontrolle darüber behält, wer Daten sammelt, verarbeitet, speichert und nutzt – und zwar nach europäischen Standards und Interessen.

2. Politische Wertung von M365: die kritische Sicht

Die wesentlichen Argumente der Microsoft 365-Skeptiker sind:

a) Datenschutz und Rechtliches

Durch den US-Sitz von Microsoft herrschen seit dem Urteil "Schrems II" Zweifel darüber, ob die Nutzung von M365 DSGVO-konform möglich ist. US-Cloud-Dienste stehen generell unter geopolitischer Beobachtung, gerade in Europa.
Behörden und Aufsichtsbehörden (z. B. in Deutschland und Frankreich) haben mehrfach Bedenken geäußert.

b) Lock-in-Effekte

Unternehmen sind sehr stark von M365 abhängig, da es nicht nur E-Mail und Office umfasst, sondern auch Teams, SharePoint, OneDrive, Power Platform usw.
Der Wechsel zu Alternativen ist teuer und komplex.

c) Kostenmodell

Das Lizenzmodell ist für einige schwer nachvollziehbar, die Preise steigen kontinuierlich.
Durch Zusatzmodule (Security, Compliance, Copilot usw.) wachsen die Kosten.

d) Technische und organisatorische Kritik

Sicherheitsvorfälle haben bei einigen Kritikern Zweifel an der Robustheit geweckt.
Microsoft bringt sehr viele Änderungen in kurzer Zeit, was Administratoren und IT-Abteilungen überlastet.

3. Positive Argumente für Microsoft 365

a) Integration & Ökosystem

Es gibt ein nahtloses Zusammenspiel von Outlook, Teams, SharePoint, OneDrive, Word, Excel, PowerPoint, Power BI, Power Automate etc.
Es gibt ein Login, ein Identity-Management, eine Benutzeroberfläche.

b) Produktivität & Zusammenarbeit

Echtzeit-Kollaboration in Word, Excel, PowerPoint, etc.
Teams als zentrale Plattform für Chat, Meetings, Telefonie und Projektarbeit.
Gemeinsame Dateiablage in OneDrive/SharePoint.

c) Standardisierung & Kompatibilität

Office-Formate (.docx, .xlsx, .pptx) sind weltweit Standard.
Nahezu jedes Unternehmen, jede Behörde und jede Schule arbeitet damit – Kommunikation und Austausch sind reibungslos.

d) Sicherheits- und Compliance-Features

Umfangreiche Security-Tools (Defender, Purview, DLP, MDM, Conditional Access).
ISO- und andere Zertifizierungen, die für viele Unternehmen Voraussetzung sind.
Permanente Weiterentwicklung von Compliance-Werkzeugen, wie auch dem PRW® Compliance Set M365 von der PRW Legal Tech GmbH, die 2024 von der CRN als Start UP des Jahres ausgezeichnet wurde.

e) Skalierbarkeit & Flexibilität

Für kleine Unternehmen genauso geeignet wie für Konzerne.
Lizenzmodelle erlauben flexible Anpassung an Nutzerzahl und Funktionsumfang.

f) Cloud + Hybrid

Zugriff von überall, auf nahezu jedem Gerät.
Integration mit On-Premises-Systemen möglich.
Updates und neue Funktionen kommen automatisch.

g) Innovation & KI

Microsoft Copilot, Power Platform und weitere KI-gestützte Automatisierungen.
Laufende Investitionen in neue Funktionen (z. B. Security Copilot, Dynamics-Integration).
Globaler Support & Partnernetzwerk
Weltweit verfügbare Infrastruktur
Riesiges Ökosystem an Partnern, Beratern und Add-ons.

Im Ergebnis ist M365 ein Produktivitäts- und Kollaborations-Standard, der technisch sehr weit ist, Innovationen schnell ausrollt und in fast jedes Unternehmen passt. M 365 ist nicht perfekt – aber so umfassend und integriert, dass es für viele IT-Entscheider praktisch alternativlos ist.

4. Regulatorische und technologische Gesichtspunkte

a) Ist es leicht, M365 EU-rechtskonform zu gestalten?

Kurz gesagt: Nein, es ist nicht leicht. Die Rechtslage ist bekanntermaßen komplex. Dies gilt auch für die technische und organisatorische Umsetzung. Beispiele:

Viele Einstellungen müssen aktiv gesetzt werden: Datenschutzkonfiguration, Verschlüsselung, Protokollierung, Berechtigungsmanagement, Data Loss Prevention, eDiscovery etc.
Microsoft liefert Defaults, die aber nicht automatisch DSGVO-konform sind.
Eine Datenschutz-Folgenabschätzung (DSFA) ist fast immer nötig.
Verarbeitungsverzeichnisse, TOMs (technische und organisatorische Maßnahmen), AV-Verträge müssen erstellt und/oder geprüft werden.
Schulungen und Policies für Anwender müssen entwickelt und durchgeführt werden.

Fazit: Es ist machbar M 365 rechtskonform zu gestalten aber nur mit erheblichem juristischem und technischem Aufwand. "Knopfdruck-Compliance" kann es bei M365 nicht geben, da die Anforderungen der Nutzerorganisation unterschiedlich und vielschichtig sind.

Interdisziplinäre Expertise: Welche Expertise wird benötigt, um M365 rechtskonform zu gestalten?

IT-Dienstleister/Systemhäuser: Können die technischen Einstellungen (Tenant Hardening, Security Defaults, Compliance Center, Rollenmodell) vornehmen. Sie ersetzen jedoch keine juristische Prüfung.

Datenschutz- & IT-Rechtskanzleien: Erstellen DSFA, prüfen AV-Verträge, formulieren Rechtsgutachten zu Schrems II, EU Data Boundary etc. Sie sichern die Entscheiderebene ab, falls Aufsichtsbehörden nachfragen. Sie besitzen i.d.R. jedoch nicht die technische Expertise.

Fazit: Am besten ist eine Kombination aus Technik und Recht. M365 EU-rechtskonform einzurichten ist anspruchsvoll, erfordert interdisziplinäre Expertise und sollte nicht allein der IT oder allein dem Juristen überlassen werden.

5. Juristische Argumente

Der Jurist stellt sich die Frage, ob die oben genannte Begrifflichkeit um eine weitere (juristische) Sichtweise ergänzt werden muss. Juristisch wird "Souveränität" in konkrete Rechtsnormen und Tatbestände eingeordnet ("subsumiert"). Sie ist dann ein Rechtsstatus mit klaren Folgen. Juristisch bedeutet Souveränität ein klarer Rechtsanspruch mit durchsetzbaren Normen, nicht nur ein politisches Ziel.

Politisch ist die Aussage: "Wir wollen digitale Souveränität, damit wir nicht von US-Konzernen abhängig sind."

Juristisch ist die Aussage: "Liegt in meiner Entscheidung ein rechtlicher Verstoß?"

Folge: Wenn nun ein Entscheider (m/w/d) bewusst die Entscheidung für M365 trifft, er dabei die politischen Argumente, die technische Funktionalität und dessen DSGVO konformen Einstellungen beachtet sowie in seiner Risikoanalyse zu dem Ergebnis kommt, dass M365 für seine Organisation die richtige Lösung ist, dann ist diese Entscheidung souverän getroffen. Ein rechtlicher Verstoß liegt nicht vor.

6. Statement und Appell

Es ist verständlich, dass das Thema digitale Souveränität emotional diskutiert wird. Es gibt gute Gründe, eine konsequent europäische Lösung zu bevorzugen.

Die Behauptung, Entscheider wüssten nicht, was sie tun, wenn sie sich für Microsoft 365 entscheiden, ist schlicht unzutreffend, wenn sie eine fundierte Risikoabwägung vorgenommen, alle relevanten rechtlichen, technischen und organisatorischen Faktoren berücksichtigt und die strengsten EU-Einstellungen implementiert haben.

Es geht also nicht um Unwissenheit, sondern um eine bewusste Prioritätensetzung. Die Entscheider wägen Nutzen, Sicherheit, Kosten und Rechtslage gegeneinander ab. Hierbei kann es zu unterschiedlichen Ergebnissen kommen. Dies ist jedoch eine Frage der Strategie, nicht der Kompetenz.

Digitale Souveränität bedeutet also nicht automatisch, jede US-Cloud zu meiden. Souveränität bedeutet auch, Risiken zu kennen, diese zu beherrschen und selbstbestimmt zu entscheiden, welche Technologien eingesetzt werden. Genau das tun wir.

Anstatt die Entscheidungsfähigkeit anderer infrage zu stellen, ist es produktiver, die unterschiedlichen Wege zur digitalen Souveränität zu vergleichen – und voneinander zu lernen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden