Microsoft sagt: souverän. Die Frage ist: souverän wovor?

By Firma enthus | 28. Mai 2026

Was Microsoft konkret zusagt: physische Datenresidenz für Inferenz-Prozesse innerhalb Deutschlands. Wer Copilot in Word, Teams oder Outlook nutzt, dessen Anfragen und Kontextdaten werden auf Servern in deutschen Rechenzentren verarbeitet – nicht in den USA, nicht in Irland. Für viele Unternehmen, die wir auf dem Weg in die Cloud begleiten, ist das eine substanzielle Verbesserung gegenüber dem bisherigen Stand.

Und dennoch: Der Schritt beantwortet eine wichtige Frage. Nicht die entscheidende.

Was physische Residenz nicht regelt

Die Jurisdiktion. Microsoft ist und bleibt ein US-amerikanisches Unternehmen. Der CLOUD Act von 2018 verpflichtet US-Unternehmen unter bestimmten Voraussetzungen, auf behördliche Anforderung hin Daten herauszugeben – unabhängig davon, in welchem Land diese Daten physisch gespeichert sind. Ein deutsches Rechenzentrum ändert die gesellschaftsrechtliche Struktur des Anbieters nicht. Es ändert die Adresse der Server.

Das ist kein versteckter Vorwurf. Es ist eine Feststellung der Rechtslage – und eine, die Microsoft selbst nicht auflösen kann, weil sie an seiner Unternehmensstruktur hängt, nicht an seiner Infrastruktur.

Wer Microsofts Sovereign-Commitment deshalb als vollständige Antwort auf die Souveränitätsfrage liest, hat eine Dimension ausgelassen: Wo ein Server steht und welche Rechtsordnung im Zweifelfall für den darauf befindlichen Inhalt gilt, sind zwei verschiedene Aussagen. Die erste hat Microsoft mit seiner Ankündigung präzisiert. Die zweite bleibt offen.

Was der BSI-Katalog jetzt leistet

Genau für diese Unterscheidung ist der am 27. April 2026 veröffentlichte Kriterienkatalog C3A des BSI das richtige Instrument. Er macht Souveränitätsansprüche prüfbar – nicht als politisches Manifest, sondern als operatives Raster: Residenz, Portabilität, Transparenz über Sub-Dienstleister, Zugriffsrechte, und explizit: die anwendbare Rechtsordnung im Zugriffsfall.

Microsofts Ankündigung erfüllt nach diesem Raster einen relevanten Teil der Anforderungen. Sie erfüllt nicht alle. Das ist keine Schwäche des Anbieters – es ist der Befund einer ehrlichen Analyse. Und genau das ist der Wert des Katalogs: Er zwingt zu Präzision, wo bisher Behauptung ausreichte.

Was Entscheider vor der Einführung klären sollten

Nicht: M365 Copilot meiden. Nicht: die Ankündigung für bare Münze nehmen und den Vertrag ungelesen lassen.

Sondern: drei Fragen stellen – am besten, bevor die Rollout-Entscheidung fällt. Erstens: Was sichert Microsoft vertraglich zu – und was steht nur in der Produkt-Ankündigung? Zweitens: Welche Auskunftspflichten hat Microsoft gegenüber staatlichen Stellen, und unter welcher Rechtsordnung? Drittens: Falls sich die Antworten auf Frage eins und zwei ändern – kann ich ohne prohibitive Migrationskosten wechseln?

Wir stellen diese Fragen in jedem Cloud-Architekturprojekt. Die Antworten bestimmen, welche Daten in welche Umgebung gehören – und welche nicht. Das ist keine Compliance-Übung. Es ist Architekturhandwerk.

Microsofts Schritt ist ein gutes Signal – dass der Marktführer auf Souveränitätsanforderungen reagiert, ist für uns als Cloud-Praktiker relevant. Aber ein Signal ist kein Vertrag. Wer heute die Architekturfrage richtig stellt, muss sie morgen nicht unter Druck beantworten.

Andreas Knols verantwortet die enthus cloud, das Managed Private Cloud Angebot von enthus, und begleitet mittelständische Unternehmen beim Aufbau souveräner, belastbarer Cloud-Architekturen.

Über die enthus GmbH

Die enthus GmbH mit Sitz in Böblingen begleitet mittelständische Unternehmen bei der sicheren, wirtschaftlichen und zukunftsfähigen Gestaltung ihrer IT. Der Fokus liegt auf moderner IT-Infrastruktur, Managed Services, Cloud-Architekturen sowie strategischer Beratung. Ziel ist es, technologische Innovation mit den realen Anforderungen mittelständischer Organisationen zu verbinden – praxisnah, skalierbar und nachhaltig.

Gemeinsam mit führenden Technologiepartnern entwickelt enthus Lösungen in den Bereichen Cybersecurity, Kosteneffizienz, Zukunftssicherheit sowie KI & Governance. Dabei steht nicht das Produkt, sondern der konkrete Mehrwert für den Mittelstand im Mittelpunkt. Durch klare Strategien, strukturierte Umsetzung und messbare Ergebnisse positioniert sich enthus als langfristiger IT-Partner auf Augenhöhe.

Weitere Informationen unter: www.enthus.de

Firmenkontakt und Herausgeber der Meldung:

enthus GmbH
Hanns-Klemm-Str. 56
71034 Böblingen
Telefon: +49 (800) 1199151
Telefax: +49 (7031) 9859-199
http://www.enthus.de

Ansprechpartner:

Eva Mickler
Senior Communication Manager
E-Mail: e.mickler@evernine.de

Jakob Rinkewitz
Director Strategy & Marketing
E-Mail: hallo@enthus.de

Weiterführende Links

Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.