Nincs garancia a szuverén adatokra
A Microsoft France vezető jogásza, Anton Carniaux a francia szenátus meghallgatásán elismerte, hogy nem tudja garantálni, hogy az EU-ból származó adatok ne kerüljenek átadásra a US kormányzat számára az amerikai Cloud Act vagy Patriot Act alapján. Ugyan kiemelte, hogy eddig ez nem történt meg, de az amerikai szolgáltatók elvárják az összes formailag megfelelő adatkérést, és teljesíteniük kell, az illetékes ügyekről pedig csak előzetes engedélyezés után tájékoztathatják az ügyfelet.
Ez az EU-digitális szuverenitás problémájának a lényege, a Cloud Act idején amerikai felhőszolgáltatók—például Microsoft, AWS—gyakran EU-n belüli adattárolást ígérnek, de jogi felsőbíróságként az amerikai hatóságok felé nem élveznek teljes függetlenséget. Bár egyes szolgáltatók (AWS) külön európai leányvállalatokkal és irányítással próbálják megszüntetni ezt a kockázatot, mások (Microsoft Sovereign Cloud) az infrastruktúrát helyben működtetnék EU-s alkalmazottakkal – azonban a kulcskezelést is – még mindig amerikai befolyás alatt állhat.
Ez a nyitott kérdés különösen érzékeny az állami és kritikus infrastruktúrák számára, amelyeknek szigorú GDPR- és adattartózási előírásokat kell követniük. A felhasználók és szervezetek körében ezért nő az érdeklődés az open-source és EU-alapú alternatív szolgáltatások – mint a Nextcloud – iránt, amelyek valódi ellenőrzést ígérnek az adatok tárolása és feldolgozása felett.
A vallomás azt mutatja, hogy az EU-s adatok védelme szempontjából nem elegendő az adattárolás földrajzi helye – a joghatósági aspektusokat is figyelembe kell venni. Az amerikai jogrendszer által támasztott kötelezettségek miatt a Microsoft nem garantálhatja, hogy az EU-s ügyféladatok teljesen védettek maradnak az USA beavatkozásával szemben. Ez újraéleszti azt a kérdést, ha a Cloud Act és a Patriot Act igényelte adatszolgáltatás lehetséges, akkor csak az EU-n belüli, open-source vagy teljesen EU alapú alternatívákkal lehet biztosítani a valódi szuverenitás.
