Der Artikel erschien am 26.11.2025
Die unsichtbaren Mitleser - Microsoft und Adobe
Wie Europa in der digitalen Verwaltung die Kontrolle über seine Daten verliert und warum Microsoft und Adobe mehr wissen, als Staaten zugeben wollen
Die Frage wirkt zunächst technisch, fast beiläufig, so als ginge es um Einstellungen, die man irgendwo in den Tiefen eines Menüs findet: „Lässt sich sicherstellen, dass Microsoft oder Adobe keinerlei Zugriff auf die Daten europäischer Behörden erhalten?“ Es ist eine dieser Fragen, bei denen Experten erst tief Luft holen, dann viel zu lange nicht antworten, und schließlich einen Satz sagen, der härter und ernüchternder ausfällt, als es die meisten Vermutungen erwarten lassen. Denn die wahre Antwort lautet: Nein. Nicht einmal im Ansatz. Nicht technisch, nicht juristisch, nicht vertraglich, nicht praktisch – und vor allem nicht überprüfbar.
Die Verwaltungen Europas, Landesämter, Jugendbehörden, Gerichte, Parlamente, Polizei- und Gesundheitsbehörden, nutzen seit Jahren Produkte von Unternehmen, die dem Rechtssystem eines fremden Staates unterliegen. Sie tun das in der trügerischen Zuversicht, dass man diese Programme schon irgendwie „datensparsam“ konfigurieren könne; dass es genüge, ein paar Schalter umzulegen, ein paar Optionen abzuwählen, ein paar Häkchen zu entfernen. Doch diese Hoffnung ist ein Fossil aus einer Zeit, in der Software noch aus klar abgezirkelten Modulen bestand und Daten nicht über halbe Kontinente wanderten, um dort in Rechenzentren zu landen, auf die europäische Staaten keinen Zugriff haben.
Denn Microsoft und Adobe sammeln – selbst im sogenannten „Minimalmodus“ – eine Vielzahl an Datenpunkten. Sie tun dies, wie Microsoft es selbst nennt, „aus Gründen der Funktionssicherheit“ (10). Das klingt harmlos, wie etwas, das man im Vertrauen durchwinkt, ohne zu fragen, was *Funktionssicherheit* in Systemen bedeutet, deren Architektur längst so tief in Netzwerken verankert ist, dass sich der einzelne Rechner kaum noch isoliert betreiben lässt. Und wo die Funktionssicherheit davon abhängt, dass die Firma selbst jederzeit prüfen kann, ob das Produkt ordnungsgemäß läuft. In der Praxis bedeutet es: Die Software sendet Daten nach Hause. Immer. Und zwar in einer Form, die sich in weiten Teilen nicht prüfen lässt.
Diese Lage wäre schon für private Unternehmen unangenehm. Für Staaten jedoch ist sie ein strukturelles Risiko.
Der lange Schatten des CLOUD Act
Ein entscheidender Faktor des modernen Datenkonflikts liegt nicht im Quellcode von Windows oder Acrobat, sondern in einem politischen Dokument, unscheinbar wie ein Verwaltungspapier, aber wirkmächtig wie ein Exekutiverlass: dem US CLOUD Act, dem Gesetz, das amerikanischen Behörden seit 2018 erlaubt, auf Daten von US-Unternehmen zuzugreifen, egal wo auf der Welt sich diese Daten befinden (3). Das ist der Kern der eigentlichen Krise.
Denn Microsoft und Adobe können sämtliche europäische Datenschutzregeln einhalten, sie können Daten in Rechenzentren in Irland oder den Niederlanden speichern, sie können verschlüsseln, segmentieren, anonymisieren – all das hilft nicht gegen die juristische Reichweite eines Gesetzes, das den Zugriff auf Daten nicht an den geografischen Speicherort knüpft, sondern allein an die Frage: *Wem gehört das Unternehmen?*
Der Europäische Gerichtshof hat genau aus diesem Grund 2020 im berühmten Schrems-II-Urteil (1) entschieden, dass die Übertragung personenbezogener Daten in die USA in zentralen Fällen unzulässig sei. Nicht, weil die Unternehmen schlecht arbeiten. Sondern weil die Vereinigten Staaten Überwachungsrechte besitzen, die mit europäischen Grundrechten unvereinbar sind. Der Gerichtshof schrieb damals, die US-Geheimdienste verfügten über Befugnisse, die es nicht erlaubten, „ein Schutzniveau zu gewährleisten, das dem der EU gleichwertig wäre“ (1).
Der damalige Richterspruch traf die Verhältnisse ins Mark – aber er änderte wenig in der Praxis. Denn weder europäische Regierungen noch ihre Verwaltungen waren willens, ihre digitale Infrastruktur in den folgenden Jahren neu auszurichten. Vieles blieb beim Alten, weil das Neue zu teuer, zu komplex, zu störanfällig gewesen wäre. Man setzte weiter auf Windows und Office, auf Acrobat und Creative-Cloud-Produkte, und hoffte darauf, dass die Politik irgendwann nachliefert.
Sie tat es zumindest rhetorisch. Die EU-Kommission verkündete 2023 einen neuen „Transatlantic Data Privacy Framework“. Dessen Zweck: die Datenflüsse zwischen der EU und den USA zu stabilisieren, ohne den Cloud Act anzutasten. Doch wenn zwei Rechtssysteme miteinander kollidieren, gewinnt am Ende dasjenige, das stärkere Eingriffsrechte besitzt. Und das sind nicht die europäischen.
Die Telemetrie, die keiner prüfen kann
Tatsächlich beginnt das Problem viel früher, bevor irgendein Geheimdienst Interesse an Daten europäischer Behörden entwickelt. Es beginnt beim Grundsystem: Windows sammelt Telemetriedaten – selbst dann, wenn Administratoren versuchen, diese zu minimieren. Der genaue Umfang dieser Datenübermittlungen ist nicht vollständig dokumentiert und kann von Außenstehenden nicht abschließend auditiert werden. Microsoft spricht von „diagnostischen Informationen“, die für die Sicherheit und Stabilität des Systems notwendig seien (10).
Zu diesen Informationen gehören nicht nur die klassischen Systemdaten wie Gerätekennung, Systemversion und Hardwaremerkmale. Es geht um Kontextdaten, Funktionsaufrufe, Feature-Nutzungen, Netzwerktests, Zertifikatsprüfungen, Update-Metadaten. All dies wird im Hintergrund gesendet, unabhängig davon, ob ein Nutzer damit einverstanden ist oder nicht.
Das Gleiche gilt für Office. Wer eine Word-Datei öffnet, eine Signatur prüft, ein Serienbrief-Makro lädt, oder eine Formatvorlage verwendet, löst eine Reihe von Anfragen an Microsoft-Server aus (11). Die Firma selbst spricht offen davon, dass Office „Cloud-vernetzte Funktionen“ nutze. Was nicht gesagt wird: dass selbst die Deaktivierung vieler dieser Funktionen nicht verhindert, dass das Produkt im Hintergrund weiter kommuniziert.
Adobe Acrobat verhält sich ähnlich. Die Firma weist darauf hin, dass Acrobat „anonyme Nutzungsdaten“ erhebe und übermittle (12). Was als „anonym“ gilt, bestimmt jedoch allein Adobe. Europäische Datenschutzbehörden haben wiederholt darauf hingewiesen, dass der Begriff in vielen Fällen irreführend ist (5, 7).
In all diesen Fällen existiert ein grundlegendes strukturelles Problem: Staaten können nicht unabhängig überprüfen, was die Software tatsächlich sammelt und sendet. Sie sind auf die Dokumentation der Firmen angewiesen. Die Software ist proprietär, verschlüsselt, tief integriert, modular verschachtelt. Selbst große Behörden mit erheblicher IT-Kompetenz sind nicht in der Lage, eine vollständige technische Kontrolle über Windows oder Acrobat zu erlangen.
Diese Kontrolle ist nicht vorgesehen. Sie ist nicht möglich. Sie ist nicht einmal erwünscht – aus Sicht der Hersteller.
Warum Europa nicht aussteigen kann
Man könnte annehmen, dass Staaten, die ein solches Risiko erkennen, die Software wechseln. Die Realität sieht anders aus. Die Verwaltungen Europas stecken tief in dem fest, was Technologen „Pfadabhängigkeit“ nennen – ein Zustand, in dem frühere Entscheidungen die Gegenwart so stark prägen, dass ein Ausstieg aus alten Systemen kaum noch praktikabel erscheint.
Seit den späten neunziger Jahren wurden unzählige Fachverfahren exklusiv auf Windows-Infrastrukturen entwickelt. Gerichtsdatenbanken, Gesundheitsportale, Steuerprogramme, kommunale Verwaltungssoftware – alles gebaut für genau ein Ökosystem. Dokumentprozesse basieren auf Microsoft-Office-Makros, Prüfketten auf Microsoft-Signaturen, interne Arbeitsflüsse auf Exchange und Active Directory.
Weite Teile der EU-Verwaltungen verwenden PDF-Formulare, die auf Adobe-XFA-Technologie basieren, einer proprietären Erweiterung, die nur mit Adobe-Produkten stabil funktioniert. Manche dieser Formulare sind so komplex, dass sie sich außerhalb des Adobe-Readers kaum bearbeiten lassen.
Wer diese Welt verlassen will, muss nicht nur Programme austauschen, sondern ganze Verwaltungsabläufe neu denken. Migrationen könnten Jahre dauern, Milliarden kosten und Behörden temporär handlungsunfähig machen.
Es ist das klassische Dilemma einer technisierten Gesellschaft: Die Abhängigkeit entsteht schleichend, die Auswege sind abrupt und kostspielig.
Und so behelfen sich europäische Staaten damit, das Problem rhetorisch zu umkreisen, ohne es zu lösen.
Das deutsche Beispiel: Die DSK schlägt Alarm – und nichts passiert
In Deutschland veröffentlichte die Datenschutzkonferenz (DSK) zwischen 2019 und 2023 mehrere Bewertungen, in denen sie den Einsatz von Microsoft 365 als datenschutzrechtlich bedenklich einstufte (5). Sie stellte fest, dass nicht alle Datenklarheiten beseitigt seien, dass manche Datenflüsse nicht überprüfbar seien, und dass Microsoft in wesentlichen Punkten keine verlässlichen Garantien über die Datenverarbeitung abgeben könne.
Die deutsche Politik reagierte darauf mit einem Verhalten, das symptomatisch für die Lage ist: Man nahm die Kritik zur Kenntnis – und arbeitete weiter wie bisher. Nichts wurde eingestellt, kaum etwas wurde umgestellt. Schulen arbeiteten weiter mit Microsoft, die Bundesverwaltung ebenso, und Länder nutzten Microsoft-365 teils sogar stärker als zuvor.
Ähnlich verliefen Entwicklungen in Dänemark, wo die Datenschutzbehörde zeitweise den Einsatz von Microsoft-Produkten im Schulbetrieb untersagte (7). Doch auch dort blieb am Ende alles beim Alten. Die praktische Notwendigkeit überwog die datenschutzrechtlichen Bedenken.
Es ist nicht Überzeugung, sondern Ohnmacht.
Technische Realität: Es gibt keinen „Offline-Staat“
Oft hört man in politischen Debatten die naive Forderung, man könne Windows oder Acrobat doch „offline betreiben“. Eine Illusion. Moderne Software hängt an fortlaufenden Anfragen: Sicherheitszertifikate müssen geprüft, Updates geladen, Signaturen kontrolliert, Zeitserver abgeglichen, Netzwerkrichtlinien validiert werden.
Eine Verwaltung, die Software nicht aktualisiert, wird innerhalb weniger Monate zu einem Sicherheitsrisiko. Eine Verwaltung, die Signaturketten nicht überprüft, kann keine rechtsgültigen Dokumente erzeugen. Eine Verwaltung ohne funktionierende Zertifikatsprüfung kann keine digitalen Verwaltungsakte annehmen.
Der Staat von heute ist ein Staat im Netz. Und im Netz kommuniziert jede Software – ob sie will oder nicht.
Der tiefe europäische Widerspruch
Europa hat in den vergangenen zwei Jahrzehnten eines der strengsten Datenschutzregime der Welt aufgebaut. Die Datenschutz-Grundverordnung (2) gilt als Goldstandard für den Schutz persönlicher Daten. Europäische Institutionen sprechen vom „digitalen Selbstbestimmungsrecht“, vom „Recht auf Privatsphäre“.
Doch gleichzeitig betreiben dieselben Institutionen eine digitale Infrastruktur, die mit diesen Prinzipien nicht vereinbar ist. Ein Staat, der seine Verwaltung mit Software betreibt, deren Datenflüsse er nicht kontrollieren kann, besitzt keine digitale Souveränität. Ein Staat, der Datenstrukturen nach Amerika schickt, ohne zu wissen, was in diesen Strukturen enthalten ist, kann seinen Bürgern keinen verlässlichen Schutz gewähren.
Europa verlangt etwas, das Europa selbst nicht einhält.
Der Mythos vom „richtigen Vertrag“
Oft verweisen Regierungen auf Verträge mit Microsoft oder Adobe. Man spricht von „Datenschutzvereinbarungen“, „Auftragsdatenverarbeitungsverträgen“ oder „Standardvertragsklauseln“. Doch kein Vertrag hebt ein Gesetz wie den CLOUD Act auf. Kein Vertrag kann einem US-Unternehmen verbieten, auf eine US-Anordnung zu reagieren.
Dasselbe gilt für Adobe, dessen enorme Datenmengen in der Creative Cloud oft noch granularer erfasst werden als bei Microsoft. Die Dokumentation der Firma betont, man halte sich streng an das europäische Datenschutzrecht (12). Doch ob Adobe im Ernstfall einem US-Zugriff widersprechen könnte, ist eine Frage, die nicht Adobe, sondern der CLOUD Act beantwortet – und das Gesetz ist eindeutig.
Verträge schaffen Zuversicht.
Gesetze schaffen Realität.
Der Weg zurück in die Unabhängigkeit
Europa steht heute vor einer Frage, die weit größer ist als die Telemetrie von Betriebssystemen. Sie lautet: *Wie viel Kontrolle wollen Staaten künftig über die digitale Infrastruktur behalten, auf der ihre Verwaltung, ihre Wirtschaft und ihre demokratischen Prozesse basieren?*
Es gibt Ansätze, die Mut machen. Die Europäische Union spricht von „digitaler Souveränität“ und „europäischen Cloudräumen“ (13). Programme wie **Gaia-X** sollen eine Cloud-Architektur schaffen, die europäischen Datenschutzstandards genügt (14). Auch in Deutschland existieren Strategiepapiere, die den verstärkten Einsatz offener Software empfehlen (15).
Doch bislang sind dies Visionen. Die Realität ist ein Flickenteppich. Frankreich baut souveräne Alternativen, Deutschland diskutiert, Dänemark experimentiert, die EU-Kommission plant und modelliert. Doch die Verwaltungen selbst arbeiten weiter in der vertrauten Welt der alten Systeme. Dort ist alles eingerichtet, alles kompatibel, alles vertraut – und die Risiken liegen tief in den Schichten, die keiner mehr berührt.Der notwendige Umbau wird Jahrzehnte dauern. Die Frage ist, ob Europa ihn ernsthaft angeht – oder weiter in struktureller Abhängigkeit verharrt.
Fazit: Die Wahrheit hinter der Frage
Wer heute fragt, ob man Windows, Office oder Acrobat so betreiben könne, dass die Hersteller keinen Einblick in die verarbeiteten Daten erhalten, stellt im Grunde die falsche Frage. Die richtige lautet: Wie konnte es dazu kommen, dass europäische Staaten ihre digitale Souveränität einem ausländischen Rechtsraum überlassen haben?
Denn der Kern der Sache ist unmissverständlich: Es gibt keinen Betrieb dieser Produkte, der eine vollständige Abschirmung der Daten gewährleistet. Weder technisch noch juristisch.
Was bleibt, ist die Erkenntnis, dass die europäischen Staaten an einem Wendepunkt stehen. Entweder sie akzeptieren die Konsequenzen ihrer Abhängigkeit oder sie beginnen, die Strukturen aufzubauen, die ihnen die Kontrolle zurückgeben.
Beides ist möglich. Eines davon ist notwendig.
Hier ein interessantes Video zum Thema: https://www.youtube.com/watch?v=cX6rBoegaMg
Quellen
(1) Court of Justice of the European Union (CJEU): Urteil „Schrems II“, C-311/18 (16. Juli 2020).
(2) EU-General Data Protection Regulation (GDPR), Verordnung (EU) 2016/679.
(3) United States CLOUD Act, H.R.4943 — 115th Congress (2018).
(5) Datenschutzkonferenz (DSK) Deutschland: Bewertungen zu Microsoft 365, Beschlüsse 2019–2023.
(7) Danish Datatilsynet: Entscheidungsunterlagen zu Microsoft 365 im Schulbetrieb (2022).
(10) Microsoft: „Windows Diagnostic Data Documentation“.
(11) Microsoft: „Office Diagnostic Data Specification“.
(12) Adobe: „Adobe Acrobat Reader Privacy & Data Collection“.
(13) Europäische Kommission: Europäische Datenstrategie (2020).
(14) Gaia-X: Architektur- und Projektunterlagen (2020–2024).
(15) Bundesministerium des Innern: Strategiepapiere zur Digitalen Souveränität.
#Datenschutz #SoftwareSicherheit #Microsoft #Adobe #EURecht #ÖffentlicheVerwaltung #DigitalSouveränität #ITCompliance #CloudRisiken #Privatsphäre #Office365 #Windows #PDFSicherheit #Behördensoftware #Datenkontrolle #Informationssicherheit #SoftwareAbhängigkeit #TechKritik
Diskussion und Vertiefung: Sie können diesen Artikel mit meinem Brunhuber-Assistenten in ChatGPT weiter diskutieren.