4 Min. Lesezeit

Gastkommentar von Andreas Knols, Director enthus cloud

Microsofts Ankündigung, M365 Copilot-Daten künftig auf deutschen Servern zu verarbeiten, verdient weder reflexartige Skepsis noch unkritischen Applaus. Sie verdient Präzision.

Das Wichtigste in Kürze

• Microsoft sichert physische Datenresidenz zu: M365 Copilot-Anfragen und Kontextdaten werden in deutschen Rechenzentren verarbeitet, nicht mehr in den USA oder Irland.
• Der CLOUD Act bleibt: Microsoft ist und bleibt US-Unternehmen. Server-Adresse ändert nicht die anwendbare Rechtsordnung im Zugriffsfall.
• BSI-Kriterienkatalog C3A macht Souveränität prüfbar: Residenz, Portabilität, Sub-Dienstleister, Zugriffsrechte und Rechtsordnung als operatives Raster vor dem Rollout.

Verwandt:Google Gemini im Unternehmen: was der AI Act erzwingt  /  SAP Sovereign Cloud France: Folgen für IT-Entscheider

Was Microsoft konkret zusagt: physische Datenresidenz für Inferenz-Prozesse innerhalb Deutschlands. Wer Copilot in Word, Teams oder Outlook nutzt, dessen Anfragen und Kontextdaten werden auf Servern in deutschen Rechenzentren verarbeitet – nicht in den USA, nicht in Irland. Für viele Unternehmen, die wir auf dem Weg in die Cloud begleiten, ist das eine substanzielle Verbesserung gegenüber dem bisherigen Stand.

Und dennoch: Der Schritt beantwortet eine wichtige Frage. Nicht die entscheidende.

Was physische Residenz nicht regelt

Die Jurisdiktion. Microsoft ist und bleibt ein US-amerikanisches Unternehmen. Der CLOUD Act von 2018 verpflichtet US-Unternehmen unter bestimmten Voraussetzungen, auf behördliche Anforderung hin Daten herauszugeben – unabhängig davon, in welchem Land diese Daten physisch gespeichert sind. Ein deutsches Rechenzentrum ändert die gesellschaftsrechtliche Struktur des Anbieters nicht. Es ändert die Adresse der Server.

Das ist kein versteckter Vorwurf. Es ist eine Feststellung der Rechtslage – und eine, die Microsoft selbst nicht auflösen kann, weil sie an seiner Unternehmensstruktur hängt, nicht an seiner Infrastruktur.

Wer Microsofts Sovereign-Commitment deshalb als vollständige Antwort auf die Souveränitätsfrage liest, hat eine Dimension ausgelassen: Wo ein Server steht und welche Rechtsordnung im Zweifelfall für den darauf befindlichen Inhalt gilt, sind zwei verschiedene Aussagen. Die erste hat Microsoft mit seiner Ankündigung präzisiert. Die zweite bleibt offen.

Was der BSI-Katalog jetzt leistet

Genau für diese Unterscheidung ist der am 27. April 2026 veröffentlichte Kriterienkatalog C3A des BSI das richtige Instrument. Er macht Souveränitätsansprüche prüfbar – nicht als politisches Manifest, sondern als operatives Raster: Residenz, Portabilität, Transparenz über Sub-Dienstleister, Zugriffsrechte, und explizit: die anwendbare Rechtsordnung im Zugriffsfall.

Microsofts Ankündigung erfüllt nach diesem Raster einen relevanten Teil der Anforderungen. Sie erfüllt nicht alle. Das ist keine Schwäche des Anbieters – es ist der Befund einer ehrlichen Analyse. Und genau das ist der Wert des Katalogs: Er zwingt zu Präzision, wo bisher Behauptung ausreichte.

Was Entscheider vor der Einführung klären sollten

Nicht: M365 Copilot meiden. Nicht: die Ankündigung für bare Münze nehmen und den Vertrag ungelesen lassen.

Sondern: drei Fragen stellen – am besten, bevor die Rollout-Entscheidung fällt. Erstens: Was sichert Microsoft vertraglich zu – und was steht nur in der Produkt-Ankündigung? Zweitens: Welche Auskunftspflichten hat Microsoft gegenüber staatlichen Stellen, und unter welcher Rechtsordnung? Drittens: Falls sich die Antworten auf Frage eins und zwei ändern – kann ich ohne prohibitive Migrationskosten wechseln?

Wir stellen diese Fragen in jedem Cloud-Architekturprojekt. Die Antworten bestimmen, welche Daten in welche Umgebung gehören – und welche nicht. Das ist keine Compliance-Übung. Es ist Architekturhandwerk.

Microsofts Schritt ist ein gutes Signal – dass der Marktführer auf Souveränitätsanforderungen reagiert, ist für uns als Cloud-Praktiker relevant. Aber ein Signal ist kein Vertrag. Wer heute die Architekturfrage richtig stellt, muss sie morgen nicht unter Druck beantworten.

Über den Autor: Andreas Knols verantwortet die enthus cloud, das Managed Private Cloud Angebot von enthus, und begleitet mittelständische Unternehmen beim Aufbau souveräner, belastbarer Cloud-Architekturen.

Häufige Fragen

Was sagt Microsoft mit Sovereign Data Processing konkret zu?

Physische Datenresidenz für Inferenz-Prozesse innerhalb Deutschlands. Anfragen und Kontextdaten aus M365 Copilot werden auf Servern in deutschen Rechenzentren verarbeitet, nicht in den USA und nicht in Irland.

Warum reicht physische Datenresidenz für Souveränität nicht?

Weil sie die Jurisdiktion nicht regelt. Microsoft bleibt ein US-Unternehmen, und der CLOUD Act von 2018 verpflichtet US-Anbieter unter bestimmten Voraussetzungen zur Datenherausgabe, unabhängig vom physischen Speicherort. Server-Adresse und anwendbare Rechtsordnung sind zwei verschiedene Aussagen.

Was leistet der BSI-Kriterienkatalog C3A?

Er macht Souveränitätsansprüche prüfbar. Das operative Raster umfasst Residenz, Portabilität, Transparenz über Sub-Dienstleister, Zugriffsrechte und explizit die anwendbare Rechtsordnung im Zugriffsfall. Veröffentlicht am 27. April 2026.

Welche drei Fragen sollten Entscheider vor dem Rollout klären?

Erstens: Was sichert Microsoft vertraglich zu, und was steht nur in der Produkt-Ankündigung? Zweitens: Welche Auskunftspflichten hat Microsoft gegenüber staatlichen Stellen, und unter welcher Rechtsordnung? Drittens: Falls sich die Antworten ändern, kann ich ohne prohibitive Migrationskosten wechseln?

Heißt das, M365 Copilot meiden?

Nein. Aber die Architekturfrage gehört vor die Rollout-Entscheidung, nicht danach. Die Antworten bestimmen, welche Daten in welche Umgebung gehören und welche nicht. Das ist keine Compliance-Übung, sondern Architekturhandwerk.

Quelle Titelbild: panumas nikhomkhai / Pexels