Am 10. Juni 2025 erklärte der Chefjustiziar von Microsoft France vor dem französischen Senat, er könne nicht garantieren, dass europäische Daten niemals ohne Zustimmung europäischer Behörden an ausländische Stellen übermittelt würden. Diese Aussage hat in Fachkreisen für Aufmerksamkeit gesorgt – insbesondere bei Steuerkanzleien, die hohen Anforderungen an Datenschutz, Verschwiegenheitspflichten und Compliance unterliegen.
Der Artikel beleuchtet, wie groß das Risiko tatsächlich ist, ordnet es im Vergleich zu alltäglichen Risiken ein und zeigt auf, wie Steuerkanzleien Microsoft 365 dennoch datenschutzkonform nutzen können.
Aussage von Anton Carniaux (10. Juni 2025)
Anton Carniaux, Chefjustiziar von Microsoft France, sagte unter Eid vor dem französischen Senat:
- Er könne nicht garantieren, dass europäische Daten niemals – ohne Zustimmung europäischer Behörden – an ausländische Behörden übermittelt werden würden.
Kontext
Hintergrund sind gesetzliche Vorgaben außerhalb der EU, die unter bestimmten Umständen auch Anbieter mit europäischen Rechenzentren zur Herausgabe von Daten verpflichten können. Microsoft kann Anfragen nur ablehnen, wenn sie formell oder unbegründet sind. Bei rechtlich stichhaltigen Anfragen besteht eine Verpflichtung zur Herausgabe. Betroffene Mandanten und Kanzleien sollen „so weit wie möglich“ informiert werden, aber es gibt keine Garantie auf Benachrichtigung.
Flugzeug-Vergleich – Was taugt er?
Wird ein Pilot gefragt, ob er 100 % garantieren kann, dass das Flugzeug heute nicht abstürzt, wird die Antwort ähnlich sein: Nein – aber die Statistiken zeigen extrem geringe Risiken, und wir akzeptieren sie, weil der erwartete Nutzen der Reise überwiegt.
Dieser Vergleich passt auch zum Thema Cloud-Datenzugriff: Absolute Garantien existieren nicht – weder im Flugbetrieb noch beim Datenschutz. Stattdessen arbeitet man mit Risikoanalysen und Wahrscheinlichkeiten.
Wie groß ist das tatsächliche Risiko?
Methode Rosenthal: Transfer Impact Assessment (TIA)
David Rosenthal entwickelte ein Modell (TIA), das die Wahrscheinlichkeit eines Zugriffs durch ausländische Behörden quantifiziert. Ein oft zitiertes Beispiel ist die Risikoanalyse des Kantons Zürich (2022), bei der folgende Werte ermittelt wurden:
- Risiko über fünf Jahre: 0,74 % (für Geschäftsfalldaten)
- Risiko für „normale Daten“: 0,95 %
Die Methode wurde ursprünglich für eine Schweizer Großbank entwickelt (2019) und ist seit 2020 als Open-Source-Tool öffentlich verfügbar (datenrecht.ch).
Sie wird im Rahmen der EU-Standardvertragsklauseln (SCC) genutzt, um Risiken bei Drittlandübermittlungen transparent zu bewerten und zu dokumentieren – ein Vorgehen, das auch für Steuerkanzleien relevant ist, um Mandantendaten DSGVO-konform zu verarbeiten.
Fazit: Bedeutung für Steuerkanzleien
Ob die Aussage von Microsoft ein Grund ist, Microsoft 365 nicht zu nutzen, hängt stark vom individuellen Risikoprofil, den Compliance-Anforderungen und der Sensibilität der verarbeiteten Mandantendaten ab. Das Risiko eines Zugriffs durch ausländische Behörden ist zwar nicht völlig auszuschließen, wird aber nach aktuellen Einschätzungen als sehr gering bewertet – beispielsweise unter 1 % innerhalb von fünf Jahren. Für Steuerkanzleien bedeutet dies: In den meisten Fällen ist der Einsatz von Microsoft 365 möglich, sofern technische und organisatorische Maßnahmen konsequent umgesetzt werden. Besonders sensibel ist dabei die Einhaltung der berufsrechtlichen Verschwiegenheitspflichten, die über die DSGVO hinausgehen. In Situationen mit besonders schützenswerten Daten oder hohem Risiko ist eine noch detailliertere Prüfung und Dokumentation erforderlich. Entscheidend ist letztlich, dass Microsoft 365 so konfiguriert wird, dass es die Datenschutz- und Compliance-Anforderungen einer Steuerkanzlei vollständig erfüllt.
Wie das in der Praxis funktioniert, zeigt unser Leitfaden:
👉 Wie können Sie Microsoft 365 datenschutzkonform nutzen? Ein umfassender Leitfaden
