Wenn ein US-Dekret die E-Mails einer europäischen Organisation abschaltet
Eine Executive Order in Washington kann den Login einer ganzen Organisation in Europa abschalten. Der IStGH-Vorfall zeigt, warum vertragliche und juristische Trennung von US-Anbietern keine akademische Frage mehr ist.
Problem
Cloud-Verträge mit US-Anbietern enthalten eine implizite Sanktions-Klausel. Sie steht nicht in den AGB, sondern im US-Recht, und sie kann den Login einer ganzen Organisation mit einer Anweisung aus Washington heraus abschalten. Wer das für nur hypotheisch hält, hat das vergangene Jahr nicht genau aufgepasst.
Kurze Antwort
Eine US-Person ist gesetzlich verpflichtet, eine US-Sanktion zu vollziehen. Microsoft, AWS oder Google können sich der Anordnung nicht entziehen, ohne dadurch selbst strafbar zu werden. Der Betrieb in einem Rechenzentrum in Frankfurt ändert daran nichts. Robust ist nur eine Lieferkette, in der keine US-Person an der Erbringung beteiligt ist.
Der Mechanismus
Das einschlägige Werkzeug ist der International Emergency Economic Powers Act. Erklärt ein US-Präsident per Executive Order eine Person für sanktioniert, dürfen US-Unternehmen ihr keine "funds, goods, or services" mehr bereitstellen, einschließlich technischer Dienste. Die Pflicht trifft den US-Konzern und seine ausländischen Töchter; Verstöße werden in den USA verfolgt. Eine deutsche GmbH-Tochter eines amerikanischen Anbieters folgt der Konzernanordnung, weil sonst der Vorstand persönlich haftet.
Der Fall, der das Risiko sichtbar gemacht hat
Im Frühjahr 2025 verlor Karim Khan, der Chefankläger des Internationalen Strafgerichtshofs, den Zugang zu seinem Microsoft-E-Mail-Konto. Vorausgegangen war eine Executive Order als Reaktion auf IStGH-Haftbefehle gegen israelische Regierungsmitglieder. Britische Bankkonten Khans wurden eingefroren, US-Reisen für IStGH-Mitarbeitende blockiert. Khan wechselte auf einen Schweizer Mail-Anbieter; einige Monate später verließ der IStGH Microsoft 365 komplett.
Bemerkenswert ist die Eskalations-Logik des Vorfalls: sanktioniert ist eine Person, abgeschaltet wird ein Account, gefährdet ist die ganze Organisation. Ein moderner Cloud-Anbieter trennt Personen-Accounts nicht sauber von Mandantendiensten. Verzeichnisdienste, geteilte Postfächer, SSO-Sitzungen, Kalenderfreigaben hängen am selben Vertrag. Wer einen Mitarbeitenden zwingen kann, zwingt indirekt den ganzen Tenant.
Was daraus folgt
Datensouveränität ist nicht primär eine Datenschutzfrage, sondern eine Frage darüber, wer den Stecker ziehen kann. Verschlüsselung im Ruhezustand schützt nichts, wenn der Login deaktiviert wird. Vertragliche Garantien beim US-Anbieter, europäische Rechenzentren, lokale Tochtergesellschaften und "Sovereign Cloud"-Pakete decken den Datenexport ab, nicht aber den Zugang. Der Mutterkonzern bleibt US-Person; ein Dekret wirkt durch.
Der einzige robuste Hebel ist juristische Trennung. Vertragspartner und Betreiber müssen ausschließlich in Europa sitzen, ohne Tochterverhältnis zu einem US-Konzern. Das ist unbequem, weil es echten Marktaufbau erfordert statt einer Konfigurations-Zeile. Aber kein anderer Weg schließt die Lücke.
Wie Dernium hier hilft
Dernium baut Identität und Arbeitsplatz so, dass keine US-Person im kritischen Pfad steht. Alle Systeme werden ausschließlich in Deutschland entwickelt und laufen auf Servern in Deutschland. Dernium Desk liefert einen vollwertigen Browser-Arbeitsplatz auf eigener Infrastruktur. Dernium Office deckt Texte, Tabellen und Whiteboards mit Ende-zu-Ende-Verschlüsselung ab, sodass selbst Dernium die Inhalte nicht lesen kann. Zahlreiche weitere Werkzeuge ergänzen in sicherheitsrelevanten Spezialanwendungen.
Eine Executive Order aus Washington kann an diesen Diensten nichts ändern.
Offene Punkte
Souveränität ist gradient, nicht binär. Halbleiter, Netzwerk-Hardware und Energie sind weiterhin global. Aber der Hebel verlagert sich: ein Dekret in Washington wirkt nicht mehr unmittelbar auf eine Software, die in Den Haag eingesetzt wird.