Microsoft kann grundsätzlich nicht vollständig verhindern, dass US-Behörden unter bestimmten Umständen auf Daten in europäischen Cloud-Rechenzentren zugreifen – auch wenn diese in der EU gespeichert sind. Der Grund liegt im US-amerikanischen Cloud Act (Clarifying Lawful Overseas Use of Data Act), der es US-Behörden erlaubt, Daten von US-Unternehmen wie Microsoft auch dann anzufordern, wenn sich diese im Ausland befinden. Voraussetzung ist eine gerichtliche Anordnung oder ein Ersuchen im Rahmen internationaler Rechtshilfeabkommen.

Microsoft setzt zwar technische, organisatorische und vertragliche Schutzmaßnahmen ein – beispielsweise durch verschlüsselte Speicherung, lokale Datenhaltung oder spezielle Verträge mit Kunden –, doch ein absoluter Schutz vor US-Zugriffen ist rechtlich nicht garantiert, solange Microsoft dem US-Recht unterliegt.

Eine vollständige Abschaltung der Clouddienste in Europa durch die US-Regierung ist sehr unwahrscheinlich, da sie enorme wirtschaftliche und diplomatische Konsequenzen hätte. Technisch wäre eine gezielte Sperrung einzelner Dienste jedoch theoretisch möglich, etwa durch Sperren von Lizenzen oder durch Infrastrukturkontrolle, sofern dies politisch oder sicherheitsrelevant begründet wird. Solche Szenarien gelten aber eher als hypothetisch und extrem.

Um dem zu begegnen, hat Microsoft unter anderem das Projekt „Microsoft EU Data Boundary“ gestartet, das verspricht, sämtliche Kundendaten aus der EU auch nur dort zu verarbeiten – ergänzt durch juristische und technische Schutzmaßnahmen. Dennoch bleibt eine gewisse Rechtsunsicherheit, solange keine grundsätzliche internationale Einigung über den Datenschutz besteht.