Der Hinweis wirkt zunächst technisch, hat aber erhebliche strategische Tragweite: Microsoft bestätigt, dass Wiederherstellungsschlüssel der Festplattenverschlüsselung BitLocker unter bestimmten Bedingungen an Strafverfolgungsbehörden herausgegeben werden können.
Laut Microsoft erreichen den Konzern jährlich rund 20 Anfragen von Ermittlungsbehörden, die auf BitLocker-Wiederherstellungsschlüssel abzielen. Wie das US-Magazin Forbes berichtet, hat Microsoft im vergangenen Jahr erstmals einen solchen Schlüssel an das FBI übergeben – im Rahmen strafrechtlicher Ermittlungen zu Betrug im Zusammenhang mit einem Covid-Hilfsprogramm auf Guam. Microsoft weist darauf hin, dass die Speicherung der Schlüssel im Onlinekonto zwar die Wiederherstellung erleichtert, zugleich aber das Risiko eines unerwünschten Zugriffs erhöht. Kunden könnten grundsätzlich selbst entscheiden, wie sie ihre Schlüssel verwalten. Kritisch ist jedoch, dass Microsoft die Nutzung lokaler Windows-Installationen ohne Onlinekonto in den vergangenen Jahren zunehmend eingeschränkt hat – was die Zahl zentral gespeicherter Schlüssel faktisch erhöht.
Für Unternehmen ist dieser Sachverhalt nicht nur eine Frage der IT-Konfiguration, sondern eine Governance- und Risikofrage. BitLocker schützt auch Daten mit hoher Schutzbedürftigkeit: Gesundheitsdaten, behördliche Akten, Preis- und Vertragsinformationen, geistiges Eigentum sowie Forschungs- und Entwicklungsdaten. Dass Verschlüsselungsschlüssel außerhalb der eigenen Kontrolle liegen und im Zweifel über rechtliche Wege zugänglich gemacht werden können, ist insbesondere für Organisationen mit regulatorischen Pflichten problematisch. Hinzu kommt, dass Microsoft als US-Unternehmen dem US CLOUD Act unterliegt, der US-Behörden unter bestimmten Voraussetzungen Zugriff auf Daten ermöglicht – auch wenn diese außerhalb der USA gespeichert sind. Der halbjährlich veröffentlichte Microsoft Law Enforcement Requests Report verdeutlicht die Größenordnung: Allein aus Deutschland gingen zwischen Juli und Dezember 2024 über 5.000 Ermittlungsanfragen ein, die sich auf fast 10.000 Konten bezogen.
Der BitLocker-Fall ist kein Einzelfall, sondern symptomatisch für ein strukturelles Dilemma moderner Cloud- und Plattformmodelle. Je stärker Komfort, zentrale Verwaltung und enge Integration ausgeprägt sind, desto mehr Kontrolle verlagert sich vom Nutzer zum Plattformbetreiber. Selbst wenn Anbieter betonen, Daten nur auf richterliche Anordnung herauszugeben, bleibt für Unternehmen ein Restrisiko – insbesondere in grenzüberschreitenden Rechtsräumen. Datenschutz- und Bürgerrechtsorganisationen wie die American Civil Liberties Union weisen seit Jahren darauf hin, dass zentral gespeicherte Schlüssel und Metadaten für staatliche Stellen von besonderem Interesse sind.
Vor diesem Hintergrund wird zunehmend offen diskutiert, ob echte europäische Datensouveränität mit US-Anbietern überhaupt erreichbar ist. Ein viel beachtetes Beispiel ist der Schritt des Landes Schleswig-Holstein, große Teile seiner IT-Arbeitsplätze von proprietären US-Anbietern abzukoppeln und auf offene, europäisch kontrollierbare Alternativen zu setzen. Ziel ist es ausdrücklich, Abhängigkeiten von US-Rechtsräumen und Plattformen zu reduzieren. Auch wenn dieser Weg anspruchsvoll ist, zeigt er, dass Datensouveränität zunehmend als strategische Infrastrukturfrage verstanden wird – nicht nur als juristische.
Für Behörden und Unternehmen mit sensiblen Daten rücken daher alternative Architekturen in den Fokus. Dazu gehören Infrastrukturen und Cloud-Services in europäischer Hand, konsequent kundeneigenes Key Management, eine klare Trennung von Daten, Identitäten und Zugriffsrechten sowie der Betrieb in europäischen Rechenzentren ohne US-Rechtsbezug. Auch der Einsatz von Private-AI-Ansätzen, bei denen Modelle und Trainingsdaten vollständig unter eigener Kontrolle bleiben, gewinnt an Bedeutung. Solche Konzepte erfordern mehr Planung als standardisierte Public-Cloud-Modelle, bieten dafür aber ein deutlich höheres Maß an Kontrolle und Rechtssicherheit.
Der Fall BitLocker macht deutlich, dass Verschlüsselung allein keine Datensouveränität garantiert. Entscheidend ist, wer die Kontrolle über Schlüssel, Plattformen und Betriebsmodelle besitzt. Echte europäische Datensouveränität beginnt daher bei grundlegenden Infrastrukturentscheidungen: beim Key Management, bei der Wahl souveräner Cloud-Architekturen und bei der Frage, wie KI-Anwendungen betrieben und trainiert werden.
Securecloud unterstützt Organisationen genau bei diesen Fragestellungen – etwa bei der Ausgestaltung souveräner Cloud-Infrastrukturen, bei kundeneigenen Schlüssel- und Identitätskonzepten sowie bei Private-AI-Szenarien für besonders schützenswerte Daten. So lassen sich Abhängigkeiten vom US-Tech-Stack reduzieren und regulatorische Anforderungen nachhaltig umsetzen. Der aktuelle Diskurs zeigt: Die entscheidende Frage ist nicht mehr, ob Datensouveränität relevant ist, sondern wie konsequent Unternehmen und Behörden sie in ihrer Infrastruktur verankern.