Wie Microsoft digitale Souveränität in Österreich ermöglicht

Wenn es um digitale Souveränität geht, stehen häufig ähnliche Fragen im Mittelpunkt: Wo werden meine Daten gespeichert? Wer kann darauf zugreifen? Werde ich Zugang zu den neuesten Funktionen haben?

Im Folgenden beantworten wir diese Fragen und stellen unsere Verpflichtungen sowie die in Österreich verfügbaren Technologien vor.

1. Welche souveränen Cloud-Lösungen stellt Microsoft in Österreich bereit?

Microsoft bietet ein umfassendes Portfolio, um alle Anforderungen an die digitale Souveränität in Österreich zu erfüllen:

Sovereign Public Cloud: Umfassende Souveränitätsfunktionen – einschließlich Datenresidenz, Verschlüsselungskontrollen und Verwaltung regulierter Umgebungen – sind in allen europäischen Regionen verfügbar, einschließlich in Österreich. Eine Migration in separate Rechenzentren ist nicht erforderlich.
Sovereign Private Cloud: Für Unternehmen, die maximale operative Autonomie benötigen, ermöglichen Azure Local und Microsoft 365 Local die Ausführung von Workloads in kundenkontrollierten und lokal gehosteten Umgebungen mit einheitlicher Verwaltung und Sicherheit.
Wichtige Funktionen: Data Guardian (Zugriffsgenehmigung und -überwachung mit Sitz in Europa), External Key Management (vom Kunden verwaltete Verschlüsselungsschlüssel) und Regulated Environment Management (zentralisierte Souveränitätskontrollen).
Von Grund auf offen und hybrid: Azure Arc ermöglicht eine einheitliche Verwaltung über Multi-Cloud- und On-Premises-Umgebungen hinweg und unterstützt hybride und herstellerunabhängige Strategien.

Mehr erfahren: Umfassende souveräne Lösungen

2. Wo werden Daten gespeichert und wer kann darauf zugreifen?

Für österreichische Kunden sind der Speicherort ihrer Daten und die maximale Kontrolle darüber, wo sich die Daten befinden, wie auf sie zugegriffen wird und wie sie verarbeitet werden, von zentraler Bedeutung. Microsoft bietet mehrere, mehrschichtige Schutzmaßnahmen:

Cloud-Region “Austria East” seit 2025. Wir betreiben eine Cloud-Region mit drei Rechenzentren rund um Wien, damit Kunden ihre Daten bei Bedarf innerhalb der Landesgrenzen speichern können.

EU-Datengrenze bedeutet, dass Kunden aus dem öffentlichen Sektor und der Privatwirtschaft in der EU/EFTA ihre Daten innerhalb der EU/EFTA-Regionen speichern und verarbeiten können. Dies umfasst Kundendaten, pseudonymisierte personenbezogene Daten und Professional Services-Daten, einschließlich Microsoft 365, Dynamics 365, Power Platform und die meisten Azure-Dienste. Bei einigen Azure-Diensten müssen Kunden dokumentierte Konfigurationen befolgen, um die Verpflichtung zur Speicherung von Professional Services-Daten zu erhalten.

Kein direkter oder ungehinderter Zugriff durch Behörden. Microsoft prüft jede behördliche Datenanfrage, gibt Daten nur bei gesetzlicher Verpflichtung weiter, und beschränkt jede Offenlegung auf spezifische Konten, die in einer gültigen Anordnung identifiziert werden. Unsere Richtlinien sind in unserem Government Requests for Customer Data Report detailliert aufgeführt.

Wir stellen keiner Regierung Verschlüsselungsschlüssel oder die Möglichkeit zur Verfügung, unsere Verschlüsselung aufzuheben.

Zusätzlich zur EU-Datengrenze bieten wir europäischen Kunden mehrere Optionen zur Sicherung und Verschlüsselung ihrer Daten. Unsere Confidential Compute-Angebote in Azure verhindern, dass Dritte – einschliesslich Microsoft – auf Kundendaten zugreifen können, indem sichergestellt wird, dass Daten in einer vertrauenswürdigen Umgebung verarbeitet werden, die allein von Kunden kontrolliert wird. Wir ermöglichen es Kunden, eine „Lockbox» für ihre Daten in Azure, Dynamics 365 und Microsoft 365 zu erstellen, indem wir ihnen die Möglichkeit geben, Zugriffe zu prüfen und zu genehmigen, bevor Microsoft für Kunden- und Service-Supportzwecke auf ihre Daten zugreift. Ausserdem ermöglichen wir Kunden, ihre Daten mit Verschlüsselung zu sichern, wobei sie die Schlüssel – nicht Microsoft – mit Azure Key Vault und Purview Customer Key kontrollieren. Unsere Microsoft Cloud for Sovereignty bietet Kunden eine Reihe weiterer Tools, um Daten zu schützen, vor unbefugtem Zugriff zu sichern und gesetzliche Anforderungen zu erfüllen.

Von europäischen Mitarbeitern kontrollierter Betrieb. Mit Data Guardian sorgen wir für zusätzliche Sicherheit, indem wir sicherstellen, dass nur in Europa ansässige Microsoft-Mitarbeitende den Fernzugriff auf diese Systeme kontrollieren. Data Guardian sorgt für zusätzliche menschliche und technische Überprüfung, wenn Techniker ausserhalb Europas Zugriff benötigen. Jeder Fernzugriff von Microsoft-Technikern auf die Systeme, die Ihre Daten in Europa speichern und verarbeiten, wird von Mitarbeitern mit Wohnsitz in Europa in Echtzeit genehmigt und überwacht und in einem manipulationssicheren Ledger protokolliert.

Für Microsoft 365 und ausgewählte Dienste erlaubt Customer Lockbox Datenzugriffsanfragen von Technikern zu überprüfen und zu genehmigen, sowie damit verbundene Aktivitäten zu kontrollieren. Für Verschlüsselungsschlüssel bietet Azure Key Vault Audit-Protokolle und Einblicke, sodass Schlüssel-Vorgänge überwacht und über Azure Monitor nahezu in Echtzeit Warnungen eingerichtet werden können. Kunden, die unveränderliche, manipulationssichere Audit-Trails für ihre eigenen Workloads benötigen, können Azure Confidential Ledger verwenden.

Defending Your Data-Verpflichtung: Wir werden jede behördliche Anfrage nach Daten von Kunden aus dem öffentlichen Sektor oder Unternehmen anfechten, wenn eine rechtliche Grundlage dafür besteht. Wir verpflichten uns zur Transparenz bezüglich behördlicher Datenanfragen und veröffentlichen regelmässige, detaillierte Berichte über diesbezügliche Anfragen.

3. Erfordern Souveränitätskontrollen eine Migration oder schränken sie die Funktionalität ein?

Mit Microsoft Sovereign Public Cloud aktivieren Sie Souveränitätskontrollen in bestehenden europäischen Regionen ohne Migration in separate Rechenzentren. Sie behalten dabei das volle Innovationspotenzial der Public Cloud. Sovereign Private Cloud gibt Kunden noch mehr Kontrolle, aber es gelten bestimmte Einschränkungen.

Wichtige Funktionen für operationale Souveränität:

Data Guardian für europäisch kontrollierten Betrieb und Zugriffsgenehmigungen.

External Key Management, damit Sie Schlüssel in Ihren eigenen HSMs aufbewahren können (lokal oder der bei einem vertrauenswürdigen Drittanbieter).

Regulated Environment Management zur Konfiguration und Überwachung aller Souveränitätskontrollen an einem Ort.

4. Was, wenn vollständige betriebliche Autonomie erforderlich ist?

In einigen Branchen müssen Workloads in einer physisch isolierten und durch den Kunden kontrollierten Umgebung ausgeführt werden – einschließlich vernetzter, hybrider oder nicht-vernetzer Szenarien.
Azure Local bringt Azure-Dienste an Ihre Standorte für in‑country, on‑premises, oder von Partnern betriebene Rechenzentren.
Microsoft 365 Local bietet eine validierte Architektur, um Produktivitäts-Workloads wie Exchange Server und SharePoint Server auf Azure Local mit konsistenter Verwaltung über Azure-Tools auszuführen. Die Sovereign Private Cloud-Lösung (Azure Local + Microsoft 365 Local) befindet sich in der Preview-Phase und wird im Laufe dieses Jahres in Europa verfügbar sein.

5. Können Daten transferiert werden?

Digitale Souveränität und Datenportabilität gehen Hand in Hand.

Open by Design: Azure unterstützt offene Standards, Open-Source-Runtimes, und ein breites Partner-Ökosystem.

Die Clouddienste von Microsoft sind auf Offenheit und Flexibilität ausgelegt. Kunden können ihre Daten jederzeit mithilfe gut dokumentierter Prozesse und weit verbreiteter, branchenüblicher Formate exportieren. Es gibt keine proprietären Barrieren, die Sie daran hindern, Ihre Daten oder Workloads auf andere Plattformen zu übertragen. Diese Verpflichtung zur Portabilität gewährleistet, dass Sie die volle Kontrolle und Wahlfreiheit beibehalten – ohne Risiko einer Herstellerabhängigkeit.

6. Unterstützt Microsoft Open-Source-Lösungen?

Dank Open Source können Microsoft-Produkte und -Dienste unseren Kunden Wahlmöglichkeiten, Technologie und Community bieten. Souveränität erfordert Offenheit, und offene Standards sowie Open-Source-Technologien können in unserer gesamten Infrastruktur verwendet werden. Laut dem Open-Source Contributor Index (OSCI) liegt Microsoft mit derzeit 5.079 aktiven Mitwirkenden und insgesamt 11.217 Community-Mitgliedern weltweit auf Platz 2 und ist damit eine grundlegende Komponente der Open-Source-Innovation.

Weitere Informationen: Microsoft Open Source

7. Wie verhält es sich mit Resilienz, Governance und Sicherheitsaufsicht in Europa?

Wir haben formalisierte Selbstverpflichtungen festgelegt, damit Kunden langfristig planen können.

Verpflichtung zur digitalen Resilienz. Wir verpflichten uns, jede Anordnung zur Aussetzung oder Einstellung des Cloud-Betriebs in Europa mit allen verfügbaren rechtlichen Mitteln anzufechten, einschließlich der Verfolgung von Rechtsstreitigkeiten vor Gericht. Diese Verpflichtung ist für die Microsoft Corporation und alle Tochtergesellschaften rechtsverbindlich.
Resilienz ist die Fähigkeit, sich an geänderte Rahmenbedingungen anpassen zu können. Indem Microsoft die Public Cloud mit Souveränitätsmaßnahmen anbietet, kann die Innovationsfähigkeit erhalten bleiben und wahrt damit die Grundlage für Resilienz.
Wir werden Sicherungskopien unseres Codes in einem sicheren Repository in der Schweiz speichern und unseren europäischen Partnern die erforderlichen rechtlichen Zugriffsrechte gewähren, um bei Bedarf auf diesen Code zugreifen und ihn verwenden zu können.
Europäische Board-Aufsicht. Der Betrieb unserer europäischen Rechenzentren und deren Vorstände werden von einem europäischen Board of Directors überwacht, das ausschließlich aus europäischen Staatsangehörigen besteht und nach europäischem Recht arbeitet.
Europäisches Sicherheitsprogramm. Wir erweitern den Austausch von KI-gestützter Threat Intelligence, den Aufbau von Kapazitäten und Partnerschaften (einschließlich mit Europol) für Regierungen in der EU, EFTA, dem Vereinigten Königreich und anderen Ländern – kostenlos. Wir haben außerdem die Position eines Deputy CISO für Europa geschaffen, der sich auf sich entwickelnde Vorschriften wie DORA, NIS2 und den Cyber Resilience Act konzentriert.
Globale Cybersicherheitskapazitäten. Die Sicherheitsplattform von Microsoft analysiert täglich über 84 Billionen Bedrohungssignale, einen der weltweit größten und vielfältigsten Datensätze zu Bedrohungsinformationen, um Kunden in Österreich und weltweit vor den sich ständig weiterentwickelnden Cyberbedrohungen zu schützen. Im Jahr 2024 blockierte Microsoft über 7.000 Passwortangriffe pro Sekunde und verfolgte weltweit mehr als 1.500 Bedrohungsakteure.

Mehr erfahren: Digitale Zusicherungen für Europa

8. Wie können Transparenz und Verifizierung gewährleistet werden?

Trust Center. Unser Trust Center zentralisiert Zertifizierungen, Auditberichte, Datenschutzdokumentation und produktspezifische Compliance-Inhalte.
Kunden haben das Recht, ein Audit durchzuführen, sofern die erforderlichen Bedingungen erfüllt sind.
Government Security Program. Für Behörden können qualifizierte Stellen den Microsoft-Quellcode in sicheren Transparency Centers (unter anderem in Irland) überprüfen.
Halbjährliche Transparenzberichterstattung. Wir veröffentlichen detaillierte, globale Berichte über behördliche Anfragen nach Kundendaten sowie unsere Antworten.
Wir verwenden branchenübliche sichere Transportprotokolle wie IPsec und TLS zwischen Rechenzentren und Benutzergeräten. Data at Rest profitiert von doppelter Verschlüsselung, Verschlüsselung auf Serviceebene und Festplattenverschlüsselung. Azure Confidential Computing ermöglicht Verschlüsselung sogar während der Datenverarbeitung.
Microsoft verpflichtet sich vertraglich alle für die für die Bereitstellung der Produkte und Services durch Microsoft geltenden Gesetze und Vorschriften, einschliesslich Gesetzen zu Meldepflichten bei Sicherheitsverletzungen, sowie Datenschutzvorschriften (inkl. DSGVO) zu befolgen.

9. Wie engagiert sich Microsoft in Österreich?

Mit der Eröffnung der österreichischen Niederlassung im Jahr 1991 begann eine enge Partnerschaft zwischen Microsoft und der Alpenrepublik. Seither hat sich Microsoft Österreich mit rund 500 Mitarbeitenden und einem Netzwerk von 4,000 lokalen Partnern zu einem wichtigen Akteur in der digitalen Landschaft entwickelt – und unterstützt Unternehmen und Organisationen bei ihrer digitalen Transformation. Für jeden Euro, den Microsoft erwirtschaftet, schafft unser Partner-Ökosystem mehr als 7 Euro Mehrwert.

Mach heute Morgen möglich
Seit Beginn der 2010er-Jahre bildet die Cloud das Rückgrat der digitalen Transformation. Mit Angeboten wie Azure und Microsoft 365 begleitet Microsoft Unternehmen und Organisationen aller Größen auf ihrem Weg in die Cloud. In den vergangenen Jahren hat Microsoft seine Investitionen in den Wirtschaftsstandort Österreich intensiviert: 2022 startete Microsoft gemeinsam mit über 100 Unternehmen und Organisationen die Initiative „Mach heute Morgen möglich“, um die digitale Transformation in den vier Kernbereichen Innovation, digitale Kompetenz, Nachhaltigkeit und Sicherheit voranzutreiben. Heute zählt die Initiative mehr als 250 unterstützende Organisationen in den unterschiedlichsten Branchen und Größen.

Die AI Innovation Factory in Wien
2025 eröffnete Microsoft Österreich gemeinsam mit Partnern die AI Innovation Factory in Wien, um Unternehmen in der KI-Adoption zu begleiten. Die Initiative bietet praxisnahe Workshops, Expertenberatung und Zugang zu modernster KI-Technologie, damit Unternehmen unterschiedlicher Branchen das Potenzial von KI gezielt nutzen können.

Hermann Erlach, General Manager Microsoft Österreich

Eine sichere digitale Infrastruktur direkt in Österreich
Ebenfalls 2025 folgt die Eröffnung der ersten lokalen Cloud-Region Österreichs. Diese umfasst mehrere Rechenzentren, die es österreichischen Unternehmen und öffentlichen Einrichtungen ermöglichen, ihre Daten lokal zu speichern und zu verarbeiten, während sie die gesamte Palette der Microsoft-Cloud-Services nutzen können. Die Rechenzentren werden zirkulär, hoch-energieeffizient und zu 100 Prozent mit erneuerbarer Energie aus Österreich betrieben.

Hermann Erlach mit Staatssekretär Alexander Pröll

Stärkung der digitalen Kompetenzen in Österreich
Ein zentrales Anliegen bleibt die digitale Qualifizierung: Im Rahmen des bisher größten Weiterbildungsprogramms des Unternehmens in Österreich hat Microsoft gemeinsam mit Bildungspartnern und dem AMS bereits über 200.000 Personen aus- und weitergebildet – ein wichtiger Beitrag zur Stärkung der digitalen Kompetenzen und zur Zukunftsfähigkeit des Arbeitsmarkts. Bis zum Ende 2025 hat sich Microsoft gemeinsam mit seinen Partnern zum Ziel gesetzt, insgesamt 300.000 Personen in Österreich in digitalen Kompetenzen zu schulen.

Österreich gemeinsam digital stärker machen
Von seinem Hauptsitz am Wienerberg in Wien arbeitet Microsoft Österreich eng mit Unternehmen, Behörden und Bildungseinrichtungen zusammen. Auch in Zukunft wird das Unternehmen partnerschaftlich mit Wirtschaft, öffentlichem Sektor und Wissenschaft daran arbeiten, Innovation und Digitalisierung in Österreich verantwortungsvoll weiterzuentwickeln.

Microsoft European Digital Commitment Day in Wien

Am 26. November 2025 fand im Wiener Palais Ferstel der Microsoft European Digital Commitment Day statt. Mit 300 Teilnehmenden vor Ort und mehr als 1.000 Interessierten im Stream wurden die neuesten Entwicklungen im Bereich Technologie vorgestellt und diskutiert, wie Investments in KI, Cloud, Sicherheit und Datenschutz Europas digitale Souveränität stärken können.

Vortragende waren u.a.:

Philippe Rogge, Corporate Vice President, Worldwide Public Sector & Sovereignty Lead, Microsoft
Jeff Bullwinkel, VP & Deputy General Counsel, Corporate & External Legal Affairs, Microsoft EMEA
Zach Meyers, Director of Research, CERRE
Adrianna Mangion, General Manager, Global Lead, Customer Consulting Group, Microsoft
Hermann Erlach, General Manager Microsoft Austria