Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort DSGVO-Probleme finden
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

ChatGPT über Microsoft Azure: Digitales Wunder oder unsicher?

Veröffentlicht am 10. März 2026 von Dr. DSGVO · Lesezeit: 11 Minuten
0
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live

Kategorien: Datenschutz

Einige deutsche Anbieter behaupten, die Nutzung von ChatGPT auf einem deutschen Server sei sicher und DSGVO-konform. DSGVO-konform mag offiziell stimmen, aber Sicherheit ist nicht vorhanden. US-Rechtsvorschriften zwingen Microsoft und andere US-Unternehmen zur Zusammenarbeit mit US-Behörden, ohne dass wir etwas davon mitbekommen dürfen (das nennt sich "Spionage gegen Ausländer" oder "Sicherheitsinteressen der USA").

"Wir wollen unbedingt ChatGPT nutzen, also muss es erlaubt sein. Und wenn es nicht erlaubt ist, machen wir es erlaubt.

Das geht ganz einfach: ChatGPT auf einem Tenant (Server) in Deutschland oder Europa in der Azure Cloud hosten. Also in einem sicheren Datenraum, der nur einem selbst gehört. Immerhin steht der Server ja in Deutschland und ist somit sicher."

Bullshit.

Leider gibt es verachtenswerte Unternehmen aus Deutschland, die das oder etwas ähnliches als Lösung verkaufen. Statt ChatGPT wird ann wahlweise Gemini und statt Azure wahlweise AWS eingesetzt.

Zu ChatGPT in der Azure Cloud schreibt Microsoft:

Quelle: Microsoft, 06.03.2026

Der Text gibt Anlass zum Nachdenken. WIr nehmen ihn Satz für Satz auseinander. Was hier nicht diskutiert ist, sind sogenannte KI-Anonymisierer, die angeblich automatisiert Texte anonymisieren, bevor sie ins unsichere ChatGPT geschickt werden. Das ist ebenso Bullshit. Vorab ein Bonbon (gilt für alle Cloud-Dienste):

Betrifft alle US-Anbieter, nicht nur Microsoft oder andere KI-Anbieter.

Die folgenden Ausführungen betreffen in Teilen speziell Microsofts Datenschutzversprechen. Im Kern gelten alle Kritikpunkte für alle US-Unternehmen, die teils sogar auf (fragwürdige) Versprechen verzichten und ebenso unsicher oder noch unsicherer sind (falls es für "unsicher" überhaupt eine Steigerung gibt).

Microsoft-Datenschutzversprechen – was wirklich gemeint ist

Die folgende Zitate beziehen sich allesamt auf die Microsoft Seite zum Azure Datenschutz.

Original: „Microsoft schützt Ihre Daten durch klar definierte und bewährte Richtlinien und Prozesse für die Reaktion auf Anfragen, starke vertragliche Verpflichtungen und, falls nötig, durch gerichtliche Maßnahmen."

Realität: Microsoft ist als US-Unternehmen nach FISA Section 702 und dem CLOUD Act gesetzlich verpflichtet, auf behördliche Anordnung Kundendaten herauszugeben – unabhängig von eigenen Richtlinien oder Verträgen. Vertragliche Zusagen (z. B. SCCs) werden durch einen US-Warrant schlicht überschrieben. Gerichtliche Maßnahmen gegen US-Behörden sind strukturell aussichtslos.

Original: „Wir sind der Meinung, dass alle behördlichen Datenanfragen direkt an Sie gerichtet werden sollten."

Realität: Diese Meinung ist rechtlich irrelevant. Nach FISA Section 702 werden Anfragen nicht an den Kunden, sondern direkt und geheim an Microsoft gestellt. Der Kunde wird bewusst umgangen – und Microsoft darf ihn kraft Geheimhaltungspflicht nicht informieren.

Original: „Wir erteilen keiner staatlichen Stelle direkten oder uneingeschränkten Zugriff auf Kundendaten."

Realität: Nach EO 12333 kann die NSA Daten abgreifen, bevor sie überhaupt bei Microsoft ankommen – durch Anzapfen von Unterseekabeln. Microsoft muss gar keinen Zugriff „erteilen", weil die Daten außerhalb seiner Kontrolle abgefangen werden. Zudem erlaubt EO 12333 die massenhafte Weitergabe dieser Daten an 16 weitere US-Behörden – ohne Gerichtsbeschluss.

Zugriff auf Daten ist möglich, trotz Versprechen.

Das Versprechen schützt gegen genau einen Zugriffstyp – den direkten, uneingeschränkten – der in der Praxis so gut wie nie vorkommt. Alle realen Zugriffsmechanismen unter US-Recht sind entweder indirekt (Microsoft liefert selbst) oder formell eingeschränkt (auf bestimmte Daten begrenzt), aber für die Betroffenen in der Wirkung identisch: ihre Daten landen bei US-Behörden – ohne ihr Wissen, ohne Rechtsschutz.

Original: „Microsoft folgt bei Datenanfragen strikten Prinzipien und Transparenzanforderungen."

Realität: Die Transparenz endet dort, wo US-Recht beginnt. Unter FISA Section 702 und dem SCA besteht eine gesetzlich erzwungene Geheimhaltungspflicht. Microsoft kann und darf betroffene Kunden in vielen Fällen nicht informieren – Transparenz wird strukturell unmöglich gemacht.

Original: „Wir gehen davon aus, dass Sie die Kontrolle über Ihre eigenen Daten haben."

Realität: EU-Kunden haben de facto keine Kontrolle über ihre Daten. Der EuGH hat in Schrems I & II festgestellt, dass US-Überwachungsgesetze (insbesondere FISA 702) mit den EU-Grundrechten unvereinbar sind, weil sie Betroffenen keinen wirksamen Rechtsschutz gewähren. Nicht-US-Bürger haben keinerlei einklagbare Rechte gegenüber US-Behörden.

Original: „Daher werden wir keine Daten an staatliche Stellen weitergeben, es sei denn, Sie weisen uns dazu an oder wir sind gesetzlich dazu verpflichtet."

Realität: Die Ausnahme „gesetzlich dazu verpflichtet" ist der Normalfall, nicht die Ausnahme. CLOUD Act, FISA 702 und SCA schaffen weitreichende gesetzliche Herausgabepflichten. Der Zusatz „oder Sie weisen uns dazu an" verschleiert, dass Microsoft diese Daten auch ohne jede Kundenanweisung herausgeben muss – und muss er das, darf er den Kunden nicht einmal informieren.

Original: „Microsoft prüft alle behördlichen Anfragen, um sicherzustellen, dass diese rechtsgültig und angemessen sind."

Realität: Die Prüfung erfolgt ausschließlich nach US-Recht – nicht nach der DSGVO. Was nach US-Recht „rechtsgültig" ist (z. B. ein CLOUD-Act-Warrant oder eine FISA-702-Direktive), verstößt nach DSGVO Art. 48 gegen EU-Recht, da kein anerkanntes internationales Abkommen zugrunde liegt. Microsoft ist strukturell nicht in der Lage, beide Rechtsordnungen gleichzeitig zu erfüllen.

Original: „Falls Kundendaten bei Microsoft angefragt werden, weisen wir die anfragende Partei an, die Daten direkt beim Kunden anzufordern."

Realität: Unter FISA Section 702 ist genau das ausgeschlossen. Die Behörde wendet sich per Direktive an Microsoft – nicht an den Kunden. Microsoft hat keine rechtliche Handhabe, die NSA oder das DOJ auf den Kunden zu verweisen.

Original: „Falls Microsoft verpflichtet ist, Kundendaten offenzulegen oder den Zugriff darauf zu gewähren, werden wir den Kunden unverzüglich darüber unterrichten und ihm eine Kopie der Anfrage zukommen lassen, solange uns dies nicht rechtlich untersagt ist."

Realität: Der Nachsatz „solange uns dies nicht rechtlich untersagt ist" macht die gesamte Zusage wertlos. Unter FISA 702, SCA und CLOUD Act ist die Benachrichtigung des Kunden regelmäßig gesetzlich verboten. In den praktisch relevantesten Fällen – geheimdienstliche Überwachung und Strafverfolgung – erfährt der Kunde nichts. Die Benachrichtigungszusage gilt damit nur für den rechtlich uninteressanten Ausnahmefall.

Microsofts Datenschutzversprechen: Kritischer Kern.

Fazit: Die Datenschutzversprechen von Microsoft sind nach strenger Betrachtung keine rechtlich durchsetzbaren Garantien, sondern Absichtserklärungen, die unter US-Recht systematisch ausgehöhlt werden. Sie stehen im direkten Widerspruch zu DSGVO Art. 44 ff. (Drittlandtransfers) und Art. 48 (behördliche Zugriffsanordnungen) und vermitteln EU-Kunden ein falsches Sicherheitsgefühl.

US-Spionage per Gesetz

Die DSGVO ist unvereinbar mit US-Rechtsvorschriften. US-Unternehmen müssen sich entscheiden:

  1. DSGVO einhalten und Probleme mit der amerikanischen Justiz oder Regierung bekommen
    ODER stattdessen
  2. DSGVO ignorieren und die amerikanische Justiz oder Regierung zufrieden stellen.

Beides gleichzeitig gleich nicht, wie eine Prüfung der US-Rechtsvorschriften zeigt.

Die wichtigsten US-Rechtsgrundlagen, die uns deutsche und andere Ausländer (aus US-Sicht) betreffen, sind folgende.

1. FISA Section 702

  • Erlaubt der US-Regierung, US-Anbieter per Direktive zu zwingen, Kommunikation ausländischer Zielpersonen herauszugeben
  • Keine individuelle richterliche Genehmigung pro Zielperson, Massenzugriff möglich
  • Führt zu "incidental collection" von EU-Bürgerdaten
  • Zweimal vom EuGH für unvereinbar mit EU-Grundrechten erklärt (Schrems I & II)
  • Anbieter dürfen Betroffene nicht informieren (Geheimhaltungspflicht)

2. Executive Order 12333 (EO 12333)

  • Gibt US-Geheimdiensten weitreichende Befugnis zur "Signals Intelligence" weltweit – ohne Gerichtsbeschluss
  • Erlaubt der NSA, massenhaft private Daten ohne Warrants mit 16 anderen Behörden zu teilen
  • Kernproblem laut EuGH: Massenüberwachung durch Anzapfen von Unterseekabeln, Daten werden abgegriffen bevor sie in den USA ankommen
  • Kein effektiver Rechtsschutz für Nicht-US-Bürger

3. CLOUD Act (2018)

  • Ermöglicht US-Strafverfolgungsbehörden, Daten von US-Unternehmen im Ausland per Warrant anzufordern
  • Kollidiert direkt mit DSGVO Art. 48: EU-Daten dürfen nur auf Basis eines anerkannten internationalen Abkommens an Drittstaaten übermittelt werden – ein CLOUD Act Warrant ist kein solches
  • US-Anbieter stecken im Dilemma: CLOUD Act befolgen = DSGVO-Verstoß; verweigern = US-Contempt of Court
  • Standard Contractual Clauses (SCCs) lösen das Problem nicht – ein Warrant überschreibt vertragliche Zusagen

4. SCA – Stored Communications Act (1986)

  • Regelt die freiwillige und erzwungene Herausgabe gespeicherter digitaler Kommunikation (E-Mails, Cloud-Daten) durch ISPs
  • Für Inhalte unter 180 Tagen ist ein Warrant nötig – für ältere Daten reicht teils eine Vorladung (Subpoena), was DSGVO-Standards deutlich unterschreitet
  • Veraltet (1986), von modernen Cloud-Diensten längst überholt; schafft Rechtsunsicherheit für internationale Anbieter
  • Bildet die Grundlage des CLOUD Act – dessen Probleme (s.o.) bauen direkt darauf auf
  • Kein Äquivalent zu DSGVO-Betroffenenrechten (Auskunft, Löschung etc.)

Kurz zusammengefasst:

Alle vier Regelwerke ermöglichen US-Behörden den Zugriff auf EU-Personendaten ohne ausreichenden Rechtsschutz für Betroffene – im direkten Widerspruch zu DSGVO Art. 44 ff. (Drittlandtransfers) und Art. 48 (Behördliche Zugriffsanordnungen). Der EuGH hat deshalb zwei EU-US-Datentransferrahmen (Safe Harbor, Privacy Shield) gekippt (Schrems I und II); auch das aktuelle EU-US Data Privacy Framework steht vor einer neuen Klage.

Serverstandort Deutschland

Hoffentlich wird die Menschheit bald durch KI ausgelöscht. Dann verschwinden auch die Individuen, die behaupten, der Serverstandort Deutschland oder Europa wäre ein Garant für Sicherheit.

Egal, wo ein Server steht: Wer die Zugangsdaten hat, kann auf diesen Server zugreifen.

Nur unterbeleichtete Personen behaupten, dass der Serverstandort eine Garantie für Datensicherheit wäre.

Es ist egal, wo der Server steht! Egal ob in

  • Deutschland
  • Europa
  • Amerika
  • Timbuktu oder
  • auf dem Mond

Jeder mit den Zugangsdaten kann auf Ihren Server zugreifen, egal wo der Server steht. Jeder.

Was allerdings faktisch auch richtig ist: Wenn der Server nicht in Deutschland oder Europa steht, ist die DGSVO-Konformität nicht wirklich gegeben. Das gilt auf jeden Fall für US-Standorte. Kein deutsches Unternehmen, das Wert auf Datensicherheit fü Kundendaten legt, wird einen Server in den USA betreiben, wenn er auch in Deutschland betrieben werden könnte. OK, das BSI mag eine Ausnahme sein. Das BSI ist aber auch kein Unternehmen, sondern eine in Teilen fragwürdig agierende Behörde.

Purpose Creep: US-Datenweiterverwertung

Es wird noch schlimmer: Nicht jede US-Behörde darf Daten von EU-Bürgern abgreifen. Aber die NSA darf es oft, zu bestimmten Zwecken. Nachdem die NSA die Daten erhalten hat, können die Daten an andere US-Behörden weitergegeben werden, die eigentlich keinen Zugriff hatten.

Purpose Creep: Gib mir Deine Daten, weil ich sie für Zweck X haben darf. Dann gebe ich sie an andere weiter, die sie vorher nicht haben durften, damit diese anderen Deine Daten für andere Zwecke weiterverarbeiten.

Außerdem können die Daten dann von den anderen US-Behörden für andere Zwecke verarbeitet (insbesondere ausgewertet oder gar noch einmal weitergegeben) werden, als es ursprünglich nach US-Recht zulässig war.

US Intelligence Community laut ODNI und INTEL.gov.

EU-Bürger haben dagegen keinerlei Rechtsschutz:

  • Kein Auskunftsrecht gegenüber US-Behörden (≠ DSGVO Art. 15)
  • Kein Löschungsrecht (≠ DSGVO Art. 17)
  • Keine Klagemöglichkeit vor US-Gerichten für Nicht-US-Bürger
  • Keine Benachrichtigungspflicht bei Weitergabe zwischen Behörden
  • Kein Zweckbindungsgebot – Daten können unbegrenzt weiterverwendet werden

Zahlung von Cloud-Diensten in USD: juristische Vollktatastrophe

Wer meint, das wäre schon sehr schlimm, dem fehlt noch eine wichtige Information. Es geht um IEEPA / OFAC, den oft unterschätzten Hebel. Hinter diesen kryptischen Kürzeln verbirgt sich eine einfache Tatsache. Wer in US Dollar seine Rechnungen bezahlt, unterwirft sich (oft ungewollt und unwissend) dem amerikanischen Rechtssystem.

DIe Zahlung von Rechnungen in USD unterwirft Sie "freiwillig" der US-Jurisdiktion.

Rechnung in USD bezahlen: Keine gute Idee.

Microsoft verspricht Datenschutz. OFAC und IEEPA operieren eine Ebene tiefer – im Zahlungsverkehr. Wer auf US-Cloud-Dienste angewiesen ist, hat seinen Geschäftsbetrieb strukturell unter den Einfluss des US-Finanzministeriums gestellt – unabhängig von allen Datenschutzversprechen, Verträgen oder EU-Rechtsrahmen.

Abhängigkeit von US-Cloud-Diensten: Pech gehabt?

In der vorigen Abbildung wurde die SDN-Liste genannte. SDN steht für Specially Designated Nationals and Blocked Persons List.

Dies ist eine vom US-Finanzministerium (Treasury / OFAC) geführte Liste von Personen, Unternehmen und Organisationen, mit denen US-Personen grundsätzlich keine Geschäfte machen dürfen und deren Vermögenswerte unter US-Jurisdiktion eingefroren werden.

Wer steht drauf: Terroristen, Drogenhändler, staatliche Akteure aus Sanktionsländern (Iran, Nordkorea, Russland, etc.), sowie Unternehmen und Einzelpersonen, die diesen nahestehen. Im Jahr 2019 enthielt die Liste laut der deutschen Stiftung Wissenschaft und Politik bereits über 13.000 Einträge.

Was die Listung bedeutet:

  • Alle Vermögenswerte unter US-Jurisdiktion werden eingefroren
  • US-Personen und US-Unternehmen (also auch Microsoft) dürfen keine Transaktionen mit SDN-Einträgen durchführen
  • Dies gilt auch für Unternehmen, die zu 50 % oder mehr einem SDN gehören (sog. „50% Rule") – auch wenn das Unternehmen selbst nicht gelistet ist

Die Relevanz für EU-Unternehmen ist enorm: Ein EU-Unternehmen, das auf die SDN-Liste gesetzt wird, verliert den Zugang zu allen US-Cloud-Diensten.

Der Patriot Act und das PRISM-Programm (seit Edward Snowden bekannt) sollen hier nicht weiter thematisiert werden. Sie sind für Microsoft-Kunden genauso relevant wie für Kunde anderer US-Unternehmen. Allerdings wird berichtet, dass Microsoft im Jahr 2007 der erste "Partner" des PRISM-Spionageprogramms war.

Alternative zu Cloud-KI

Die Wahrheit ist: Je allgemeiner und unkonkreter die Nutzung von KI ist, desto mehr ist man auf große Cloud-Modelle wie ChatGPT oder Gemini angewiesen. Die Nutzung dieser LLMs ist nicht sicher, wie oben gezeigt wurde. Ihre Daten sind dort nicht sicher.

Fokus, Fokus Fokus.

Welchen Prozess wollen Sie mit KI konkret optimieren?

Auch wenn OpenAI verbal zusichert, dass Ihre Daten nicht zum KI-Training verwendet werden würden: Heißt das etwa auch, dass Ihre Daten nicht angeschaut oder geprüft werden? Keine Sorge, alles ist sicher bei OpenAI und Microsoft! Einfach alle Geschäftsgeheimnisse, Kundendaten und Assets reingeben. Es wird schon nichts passieren. Niemand wird Ihr Wissen absaugen. Versprochen.

Mittlerweile können riesige KI-Modelle auf einer Hardware betrieben werden, die ca. 35 TSD Euro kostet. Das ist für viel Unternehmen machbar. Realistischerweise wird das aber nicht stattfinden.

Die Lösung ist eine Fokussierung auf konkrete Anwendungsfälle. Hier im Blog auf Dr. DSGVO finden Sie zahlreiche Beispiele dafür, was damit und mit vorgedachten KI-Anwendungen gemeint ist.

Damit ist eine optimierte sichere KI möglich: Die KI läuft auf Ihrer Hardware in Ihrem Rechenzentrum oder über Colocation in einem Rechenzentrum Ihrer Wahl oder auf einem Miet-Server ausschließlich aus Deutschland und in Deutschland.

Es ist Ihre Entscheidung. Digitale Souveränität ist möglich. Man muss es nur wollen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere Lösungen an (mit und ohne KI).
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/microsoft-datenschutz-in-der-cloud-wegen-serverstandort-eu
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Agentic Coding: Schlechte Wahl (mit Beweis und Empfehlung)