TLDR : Microsoft Frankreich gibt zu, dass es sich einer amerikanischen Anordnung zur Herausgabe von Daten nicht widersetzen kann, was die digitale Souveränität Frankreichs in Frage stellt.
Am 10. Juni wurde Microsoft Frankreich von der Untersuchungskommission des Senats zu den tatsächlichen Kosten und Modalitäten öffentlicher Aufträge angehört. Die Vertreter des Unternehmens, Anton Carniaux (Justiziar) und Pierre Lagarde (Technischer Direktor öffentlicher Sektor), versuchten, die Senatoren hinsichtlich ihrer Datenschutzpolitik zu beruhigen. Sie gaben jedoch zu, sich einer amerikanischen Anordnung, die auf in unserem Land gehostete Daten abzielt, nicht widersetzen zu können, eine Bestätigung, die die digitale Souveränität Frankreichs in Frage stellt.
Der Cloud Act, der am 23. März 2018 unter der Trump-Administration erlassen wurde, ermöglicht es den amerikanischen Behörden, Zugang zu Daten zu verlangen, die von Unternehmen unter amerikanischer Gerichtsbarkeit gehalten werden, auch wenn sie außerhalb der USA gespeichert sind: Microsoft muss sich wie jedes amerikanische Unternehmen daran halten.
"Wenn wir gezwungen werden, übergeben wir die Daten"
Während der Anhörung wurde Anton Carniaux vom Berichterstatter zu der Garantie befragt, dass die Daten der französischen Behörden, die über die Rahmenverträge der UGAP (Union des groupements d’achats publics) verwaltet werden, niemals an die amerikanischen Behörden übermittelt würden. Er räumte ein, dass Microsoft bei einer fundierten amerikanischen gerichtlichen Anordnung gesetzlich verpflichtet ist, diese Daten herauszugeben.
Er wollte jedoch relativieren, indem er betonte, dass bis heute kein europäisches Unternehmen oder öffentliche Einrichtung von einer solchen Übermittlung betroffen war, seit die Transparenzberichte eingeführt wurden. Diese Berichte, die Microsoft seit 2013 veröffentlicht, geben Auskunft über behördliche Anfragen und die rechtlichen Anfechtungen, die das Unternehmen einleitet, wenn die Anfrage als missbräuchlich oder nicht konform angesehen wird.
Nach den Vertretern von Microsoft hörte die Kommission mehrere Regierungsbeamte an, darunter Clara Chappaz, die Ministerin für Digitales, und Agnès Buzyn, ehemalige Gesundheitsministerin, über den Health Data Hub (HDH), der seit seiner Gründung 2019 auf Microsoft Azure gehostet wird, obwohl die Regierung versprochen hatte, die Daten bis Ende 2022 auf eine europäische Plattform zurückzuführen. Das Gesundheits- und Präventionsministerium hatte damals argumentiert, dass es keine alternativen einsatzbereiten europäischen Lösungen gebe.
Die CNIL hatte Bedenken hinsichtlich des Risikos der Datenübertragung in die USA aufgrund des Cloud Act geäußert. Mehrere Verbände, Gesundheitsfachleute und Forscher haben den Staatsrat angerufen, da sie der Meinung sind, dass der Betrieb des Health Data Hub auf Azure gegen die DSGVO verstößt. Diese verbietet in Artikel 48 ausdrücklich die Übertragung personenbezogener Daten an ausländische Behörden ohne klaren und konsensualen rechtlichen Rahmen. Trotz dieser Vorbehalte hielt die oberste Gerichtsbarkeit die Plattform aufgrund ihrer als wesentlich erachteten Rolle im Umgang mit der Gesundheitskrise in Betrieb.
Clara Chappaz erinnerte daran, dass das 2024 verabschiedete SREN-Gesetz (Sichern und Regulieren des digitalen Raums) nun die Speicherung sensibler Daten auf Infrastrukturen vorschreibt, die Souveränitätsgarantien bieten. Der HDH sollte daher auf eine qualifizierte SecNumCloud-Cloud migrieren, die diejenigen ausschließt, die dem Cloud Act unterliegen. Ein Ausschreibungsverfahren für diese Rückführung wurde übrigens am 1. Juli eröffnet.