Microsoft unter Beschuss: DSGVO-Beschwerde wegen Überwachung in Gaza

Die irische Datenschutzbehörde muss sich mit brisanten Vorwürfen befassen: Microsoft Ireland soll über seine Cloud-Infrastruktur Massenüberwachung und militärische Zielsysteme in Gaza ermöglicht haben. Eine formelle Beschwerde könnte den Tech-Riesen teuer zu stehen kommen – und die Debatte über die Verantwortung von Cloud-Anbietern grundlegend verändern.

Der Irish Council for Civil Liberties (ICCL) reichte am Donnerstag gemeinsam mit der Unternehmens-Watchdog-Gruppe Ekō Beschwerde bei der irischen Datenschutzkommission (DPC) ein. Der Vorwurf: Microsoft habe gegen die Datenschutz-Grundverordnung (DSGVO) der EU verstoßen, indem seine Azure-Cloud-Plattform Datenbanken mit abgefangenen Kommunikationsdaten palästinensischer Zivilisten beherbergte – Daten, die angeblich von der israelischen Armee für Angriffsziele genutzt wurden.

Damit erreicht die Diskussion über Big Techs Rolle in modernen Kriegen eine neue Eskalationsstufe: Aus ethischen Leitlinien werden potenzielle rechtliche Konsequenzen nach Europas strengsten Datenschutzgesetzen.

Passend zum Thema KI-Einsatz in Konflikten: Seit August 2024 gelten strenge EU-Regeln für KI-Systeme – besonders für Hochrisiko-Anwendungen. Wer KI-Modelle betreibt oder einsetzt, muss Kennzeichnung, Risikobewertung und umfassende Dokumentation nachweisen. Ein kostenloses E-Book erklärt kompakt, welche Pflichten jetzt gelten, wie Sie KI-Systeme richtig klassifizieren und welche Fristen und Nachweise relevant sind. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Die Beschwerde stützt sich nach ICCL-Angaben auf “Material aus Microsoft-internen Quellen von Whistleblowern”. Sie wirft Microsoft Ireland vor, personenbezogene Daten verarbeitet zu haben, die “Kriegsverbrechen, Verbrechen gegen die Menschlichkeit und Völkermord” durch die israelischen Streitkräfte ermöglicht hätten.

Konkret soll Microsofts Azure-Dienst für die Speicherung riesiger Mengen abgefangener Telefonate, Textnachrichten und Standortdaten von Palästinensern in Gaza und im Westjordanland genutzt worden sein. Die ICCL behauptet, diese Daten seien für Unit 8200 – die Signalaufklärungseinheit der israelischen Armee – zugänglich gewesen und hätten KI-gesteuerte Zielsysteme gespeist.

“Microsofts Technologie hat Millionen Palästinenser in Gefahr gebracht. Das sind keine abstrakten Datenschutzversäumnisse – das sind Verstöße, die reale Gewalt ermöglicht haben”, erklärte Joe O’Brien, Geschäftsführer der ICCL, am Donnerstag. “Wenn EU-Infrastruktur für Überwachung und Angriffsziele genutzt wird, muss die irische Datenschutzkommission einschreiten – und ihre vollen Befugnisse nutzen, um Microsoft zur Rechenschaft zu ziehen.”

Die Beschwerde hebt besonders die angebliche Nutzung von Azure für “Al Minasseq” hervor – ein System zur Kontrolle palästinensischer Bewegungsfreiheit. Zudem verbindet sie die Datenverarbeitung mit “Lavender”, einem KI-System, das laut Medienberichten Todeslisten für militärische Angriffe erstellt haben soll.

Die umstrittene Datenverschiebung

Ein zentraler Punkt der Beschwerde dreht sich um eine verdächtige Datenübertragung. Die ICCL behauptet, dass nach Recherchen des Guardian und anderer Medien über die Nutzung von Microsoft-Cloud-Diensten durch die israelische Armee im August 2025 plötzlich riesige Datenmengen von EU-Servern nach Israel verschoben wurden.

Diese Übertragung sei ein Versuch gewesen, “Beweise für illegale Verarbeitung zu verschleiern, bevor Untersuchungen beginnen konnten”. Da die Daten ursprünglich auf Servern in Irland und den Niederlanden gespeichert waren, fallen sie nach Ansicht der ICCL eindeutig unter EU-Recht.

Nach der DSGVO müssen Datenverantwortliche sicherstellen, dass personenbezogene Daten nicht rechtswidrig verarbeitet oder auf Weise genutzt werden, die hohe Risiken für die Rechte und Freiheiten von Personen mit sich bringen. Die Beschwerde argumentiert, Microsoft habe nicht verhindert, dass seine Infrastruktur für unterschiedslose Massenüberwachung genutzt wurde – eine Praxis, die europäische Gerichte wiederholt für illegal erklärt haben.

Microsofts Verteidigung: Neutralität und Kundenkontrolle

Microsoft wehrt sich gegen die Vorwürfe und betont seine Rolle als neutraler Dienstleister. In einer Stellungnahme zur Beschwerde unterstrich ein Unternehmenssprecher, dass die Kunden ihre Daten kontrollieren.

“Unsere Kunden besitzen ihre Daten, und die Entscheidung dieses Kunden, seine Daten im August zu übertragen, war seine eigene Wahl”, erklärte der Sprecher. “Diese Handlungen haben unsere Untersuchung in keiner Weise behindert.”

Das Unternehmen verwies zudem darauf, bereits Maßnahmen ergriffen zu haben. Nach einer internen Prüfung aufgrund erster Medienberichte habe Microsoft im September 2025 “den Zugang” bestimmter israelischer Militäreinheiten zu spezifischen Cloud-Produkten “gesperrt”.

Die ICCL und Ekō halten diese nachträglichen Maßnahmen jedoch für unzureichend. “Den Zugang zu sperren, nachdem der Schaden angerichtet ist, befreit ein Unternehmen nicht von der Haftung dafür, die Verarbeitung von Daten ermöglicht zu haben, die zum Verlust ziviler Leben geführt hat”, heißt es in der Beschwerde.

Regulatorische Tragweite und Ausblick

Die Beschwerde rückt die irische Datenschutzbehörde ins globale Rampenlicht. Als Microsofts federführende Aufsichtsbehörde in der EU – aufgrund des europäischen Hauptsitzes in Dublin – ist die DPC die einzige Instanz mit der Befugnis, diese Vorwürfe zu untersuchen und potenziell Bußgelder zu verhängen. Diese können nach DSGVO bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens erreichen.

Die DPC bestätigte am Donnerstag den Eingang der Beschwerde und teilte mit, diese werde “derzeit geprüft”.

Rechtsexperten vermuten, dieser Fall könnte einen Präzedenzfall für “neutrale Infrastruktur”-Argumente schaffen. Während Cloud-Anbieter historisch behaupteten, nicht für auf ihren Servern gehostete Inhalte haftbar zu sein, könnte die spezifische Natur der Vorwürfe – bekannte Massenüberwachung und tödliche Zielsysteme – die Grenzen dieser Verteidigung testen.

“Diese Beschwerde stellt die Vorstellung infrage, dass Tech-Unternehmen passive Beobachter bleiben können, wenn es um den Einsatz ihrer Werkzeuge in Konflikten geht”, betonten Datenschutzaktivisten, die die Beschwerde unterstützen.

Sollte die DPC eine vollständige förmliche Untersuchung einleiten, könnte diese Monate oder sogar Jahre dauern. Die ICCL drängt jedoch auf sofortiges Handeln angesichts des fortbestehenden Lebensrisikos in der Region.

PS: Haben Sie geprüft, ob Ihre Cloud- und KI-Nutzung als Hochrisiko eingestuft wird und welche Fristen gelten? Die EU-KI-Verordnung verlangt genaue Dokumentation, Risikobewertung und Nachweise – Versäumnisse können weitreichende Folgen haben. Dieser Gratis-Guide liefert eine praxisnahe Checkliste, erklärt die wichtigsten Übergangsfristen und zeigt, wie Verantwortliche ihre Systeme konform gestalten. Kostenloses E-Book zur EU-KI-Verordnung herunterladen

Zeitlicher Ablauf der Ereignisse:
* August 2025: Der Guardian berichtet über die Nutzung von Microsoft Azure durch israelische Streitkräfte zur Speicherung abgefangener Daten
* Ende August 2025: Angebliche Übertragung von Daten von EU-Servern nach Israel
* September 2025: Microsoft sperrt nach interner Prüfung den Zugang für bestimmte Militäreinheiten
* 4. Dezember 2025: ICCL reicht formelle DSGVO-Beschwerde bei der irischen Datenschutzbehörde ein