Das Problem mit den vermeintlich harmlosen Daten

Wie US-Behörden an eure Microsoft-365-Daten kommen – und warum das kaum jemand merkt

Ein Großteil der europäischen Unternehmen nutzt heute Microsoft 365. E-Mails, Teams-Chats, SharePoint-Dateien, Kalender, Metadaten über Anmeldungen und Standorte – ein wachsender Teil dieser Daten wird von einem US-Konzern verarbeitet und liegt in dessen Kontrolle, unabhängig davon, in welchem Rechenzentrum sie physisch gespeichert sind. Genau das ist der Punkt, an dem zwei US-Gesetze relevant werden, die in Vertragsverhandlungen und Datenschutz-Folgenabschätzungen viel zu selten konkret durchdekliniert werden: der Stored Communications Act (SCA) von 1986 und der CLOUD Act von 2018.

Der Kernsatz, um den es geht, steht in 18 U.S.C. § 2713: Ein Anbieter wie Microsoft muss Inhalte und Kundendaten herausgeben, "regardless of whether such communication, record, or other information is located within or outside of the United States" – solange er sie in seiner "possession, custody, or control" hat. Ob eure Tenant-Daten in Frankfurt, Dublin oder Amsterdam liegen, ändert an dieser Pflicht grundsätzlich nichts. Diese Regelung war die gesetzgeberische Reaktion auf den Fall Microsoft Corp. v. United States, in dem sich Microsoft jahrelang geweigert hatte, in Irland gespeicherte E-Mails an US-Ermittler herauszugeben – der CLOUD Act hat diesen Streit zugunsten des Behördenzugriffs beendet.

Welche Behörde fragt was an, und wie genau wird das geprüft?

Der SCA (18 U.S.C. §§ 2701–2713) kennt keine einheitliche "Erlaubnis". Er staffelt den Zugriff nach Art der Daten, und jede Stufe hat einen anderen Antragsteller, ein anderes Prüfungsniveau und eine andere Geschwindigkeit.

Für Inhalte – also tatsächliche E-Mail- oder Chat-Texte, Dateianhänge – braucht eine Strafverfolgungsbehörde (FBI, US Attorney's Office etc.) einen Warrant, ausgestellt von einem Bundesrichter (Magistrate Judge) auf Basis von probable cause, also eines eidesstattlich begründeten, konkreten Tatverdachts. Das ist die höchste Hürde im SCA-System und dauert typischerweise Tage bis Wochen.

Für "erweiterte" Bestandsdaten – etwa detailliertere Nutzungsprofile, die über die unten genannte Kernliste hinausgehen – reicht eine sogenannte § 2703(d)-Order. Die stellt ebenfalls ein Gericht aus, verlangt aber nur "specific and articulable facts", dass die Daten für eine laufende Ermittlung relevant sind – ein spürbar niedrigerer Maßstab als probable cause, und entsprechend schneller zu bekommen.

Für die sogenannten "basic subscriber information" – Name, Adresse, Verbindungs- bzw. Sitzungsdaten, Art und Dauer der genutzten Dienste, Kunden-/Gerätenummer inklusive temporärer IP-Adresse, Zahlungsmittel – reicht eine einfache Subpoena. Diese kann die Ermittlungsbehörde selbst ausstellen, ganz ohne Richter, ohne inhaltliche Prüfung durch ein Gericht. Das ist in der Praxis der mit Abstand häufigste Weg, an Kundendaten zu kommen, weil er am schnellsten geht – oft innerhalb weniger Stunden bis Tage.

Und dann gibt es noch den National Security Letter (NSL, 18 U.S.C. § 2709) – rechtlich nicht Teil des SCA, aber funktional fast identisch zur Subpoena-Stufe: Das FBI stellt ihn ohne jede richterliche Beteiligung selbst aus, verlangt dieselbe Kategorie von Bestandsdaten, und verbindet ihn fast immer mit einer unbefristeten Schweigepflicht (Gag Order) für den Anbieter.

Erfährt der betroffene Nutzer davon – vorher oder nachher?

Grundsätzlich sieht der SCA bei Subpoena und § 2703(d)-Order eine Benachrichtigungspflicht vor. Aber § 2705 SCA erlaubt es, diese Benachrichtigung um bis zu 90 Tage zu verzögern – beliebig oft verlängerbar –, wenn eine Gefahr für Ermittlungserfolg, Beweismittel, Zeugen oder Personen droht. Bei einer Subpoena genügt dafür die interne schriftliche Bestätigung eines Vorgesetzten der Behörde, kein Gericht ist beteiligt. Nach Ablauf der Frist muss der Nutzer nachträglich informiert werden – theoretisch. In der Praxis kann sich das über Jahre hinziehen, insbesondere weil Gerichte zusätzlich nach § 2705(b) dem Anbieter selbst verbieten können, den Kunden zu informieren ("Gag Order"). Microsoft hat genau deswegen 2016 das US-Justizministerium verklagt, weil unbefristete Gag Orders bei Unternehmenskunden inzwischen zur Regel statt zur Ausnahme geworden waren.

Wie oft passiert das – ein paar Zahlen

Microsoft veröffentlicht seit Jahren einen halbjährlichen Transparenzbericht. Für das zweite Halbjahr 2025 meldet der Konzern 5.587 rechtliche Anfragen von US-Strafverfolgungsbehörden für Verbraucherdaten – Subpoenas, Warrants, Gerichtsanordnungen zusammengenommen. Bei Anfragen zu Unternehmenskunden weltweit waren es 190 Anfragen, wovon Microsoft in 94 Fällen (49 Prozent) zur Herausgabe verpflichtet war, davon 45-mal auch zu Inhaltsdaten. Bemerkenswert: 32 Prozent aller US-Anfragen – 1.823 Stück – kamen mit einer Schweigepflicht (Secrecy Order), 1.473 davon von Bundesbehörden. Das heißt: fast ein Drittel aller Anfragen ist von vornherein mit einer Anordnung verbunden, den Kunden nicht zu informieren. Andere Unternehmen sind nicht so transparent, und es gibt hunderte oder tausende US-Cloud-Services, die in Deutschland genutzt werden.

Bei National Security Letters ist die historische Größenordnung noch eindrücklicher: Nach den Snowden-Enthüllungen und Berichten der ACLU stellte das FBI zeitweise über 30.000 bis 60.000 NSLs pro Jahr aus – mit einem hundertfachen Anstieg nach dem Patriot Act 2001 gegenüber der Zeit davor. Der USA FREEDOM Act 2015 hat neue Grenzen eingeführt und die Zahlen seither auf einem niedrigeren, aber weiterhin signifikanten Niveau eingependelt, wie aktuelle ODNI-Transparenzberichte jährlich dokumentieren. Entscheidend dabei: Diese Zahlen betreffen ausschließlich das FBI und nationale Sicherheit – die viel größere Menge an klassischen Strafverfolgungs-Subpoenas nach § 2703(c)(2) wird gar nicht zentral erfasst.

Was sich aus "harmlosen" Verbindungsdaten alles ableiten lässt

Der Grund, warum die niedrige Hürde für Bestandsdaten in der Kritik steht, liegt nicht in den einzelnen Datenpunkten, sondern in ihrer Kombinierbarkeit. Zwei Forschungsergebnisse zeigen das eindrücklich:

Die Informatikerin Latanya Sweeney zeigte bereits 2000, dass sich 87 Prozent der US-Bevölkerung eindeutig identifizieren lassen, wenn man nur drei öffentlich oder leicht erhältliche Merkmale kombiniert: Postleitzahl, Geburtsdatum und Geschlecht. Mit genau dieser Methode re-identifizierte sie die angeblich anonymisierten Krankenakten des damaligen Gouverneurs von Massachusetts.

Eine Stanford-Studie (MetaPhone, 2016) ließ über 800 Freiwillige ihre Anruf- und SMS-Metadaten – nicht die Inhalte, nur wer wann wie lange mit wem kommuniziert hat – zur Verfügung stellen. Aus diesen reinen Verbindungsdaten ließen sich zuverlässig Rückschlüsse auf Gesundheitszustände, Beziehungen, politische und religiöse Zugehörigkeiten sowie soziale Netzwerke ziehen. Ein Teilnehmer etwa telefonierte mit mehreren neurologischen Praxen, einer Spezialapotheke und einer MS-Hotline – die Diagnose ließ sich aus den Metadaten ableiten, ganz ohne ein einziges Gesprächswort zu kennen.

Übertragen auf Microsoft 365 heißt das: Kundennummer, IP-Adressen, Anmeldezeiten, Sitzungsdauern und Zahlungsdaten – all das, was per einfacher Subpoena ohne richterliche Prüfung erhältlich ist – lässt sich mit Datenbroker-Informationen, Standortdaten, sozialen Netzwerken oder anderen kommerziell verfügbaren Datensätzen zu einem sehr genauen Bewegungs-, Beziehungs- und Verhaltensprofil zusammensetzen. Man braucht dafür keinen einzigen E-Mail-Inhalt.

Diese Kombinierbarkeit hat zwei Dimensionen, die man auseinanderhalten sollte. Die eine ist kommerziell und relativ gut dokumentiert: Genau solche niederschwellig erhältlichen Datenpunkte – Kundennummern, IP-Adressen, Standort- und Nutzungsmuster – sind für Datenbroker und Werbenetzwerke hochwertige Handelsware, weil sie sich mit anderen Quellen zu präzisen Personenprofilen verdichten lassen; ein Markt, der seit Jahren dokumentiert und beziffert wird.

Die andere Dimension ist behördlich bzw. geheimdienstlich, und hier wird es naturgemäß intransparent. Was Ermittlungsbehörden oder Nachrichtendienste aus solchen Bestandsdaten tatsächlich ableiten – und ob diese Rückschlüsse anschließend dazu dienen, die juristische Grundlage für den nächsthöheren Eingriff zu schaffen, also mit den per Subpoena gewonnenen "harmlosen" Metadaten die "specific and articulable facts" für eine § 2703(d)-Order oder gar die probable cause für einen Warrant auf die eigentlichen Inhalte zu begründen –, entzieht sich einer belastbaren Bewertung von außen. Genau das ist der Punkt: Eine geheimdienstliche Weiternutzung lässt sich aufgrund der Geheimhaltungspraxis kaum systematisch belegen, sondern nur erahnen. Die konkretesten Anhaltspunkte dafür liefern nach wie vor die Enthüllungen von Edward Snowden 2013, die zeigten, in welchem Umfang auch vermeintlich nachrangige Metadaten großflächig gesammelt und ausgewertet wurden – eine Größenordnung, die sich seither eher weiterentwickelt als zurückgebildet haben dürfte.

Warum das für europäische Unternehmen mehr als eine akademische Frage ist

Der European Data Protection Board vertritt die Position, dass CLOUD-Act-Anfragen allein keine rechtmäßige Grundlage für eine Datenübermittlung durch einen der DSGVO unterworfenen Anbieter sind, und Art. 48 DSGVO verlangt für die Anerkennung von Anordnungen aus Drittstaaten grundsätzlich eine völkerrechtliche Grundlage. Der CLOUD Act umgeht diesen Mechanismus. Microsofts eigener Chefjustiziar für Frankreich hat vor dem französischen Senat eingeräumt, dass der Konzern nicht garantieren kann, EU-Daten seien vor US-Zugriffen geschützt. Eine formale Auflösung dieses Konflikts zwischen CLOUD Act und DSGVO gibt es bis heute nicht.

Wer als Unternehmen M365 oder vergleichbare US-Cloud-Dienste einsetzt, sollte diesen Umstand nicht als exotisches Rechtsproblem abtun, sondern aktiv in Risikobewertung, Verschlüsselungskonzepte (Stichwort: Customer-Managed Keys) und Auftragsverarbeitungsverträge einpreisen.


Rechtlicher Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall.

Quellen: