„Unsere Daten liegen doch auf deutschen Servern – da kann doch niemand ran.“ Diesen Satz hören wir bei Never Code Alone in Beratungsgesprächen fast täglich. Ein bisher unveröffentlichtes Gutachten der Universität Köln, das im Auftrag des Bundesinnenministeriums erstellt wurde, zeigt jetzt schwarz auf weiß: Diese Annahme ist falsch. US-Behörden haben weitreichenden Zugriff auf europäische Cloud-Daten – und der Serverstandort spielt dabei kaum eine Rolle.
IT aus Europa für alle Kategorien
Das Gutachten wurde Anfang Dezember 2025 nach einer Anfrage nach dem Informationsfreiheitsgesetz öffentlich und bestätigt, was viele IT-Experten schon lange vermuteten. Als Spezialisten für Softwarequalität, Open Source und Remote Consulting mit über 15 Jahren Erfahrung ordnen wir für euch ein, was das konkret bedeutet und welche Handlungsoptionen ihr habt.
1. Was ist der CLOUD Act und warum betrifft er europäische Unternehmen?
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-amerikanisches Gesetz aus dem Jahr 2018. Es verpflichtet US-Unternehmen, auf Anforderung von US-Behörden Daten herauszugeben – unabhängig davon, wo diese physisch gespeichert sind. Das bedeutet: Selbst wenn eure Daten in einem Rechenzentrum in Frankfurt liegen, können US-Behörden darauf zugreifen, solange der Cloud-Anbieter ein US-Unternehmen ist oder unter US-Kontrolle steht.
Das Gutachten der Uni Köln macht deutlich: Neben dem CLOUD Act gibt es weitere rechtliche Grundlagen für US-Datenzugriffe. Der Stored Communications Act (SCA) und Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) erweitern die Zugriffsrechte noch einmal erheblich. Für europäische Unternehmen bedeutet das einen fundamentalen Konflikt zwischen US-Recht und DSGVO.
2. Schützt ein europäischer Serverstandort vor US-Zugriffen?
Die kurze Antwort: Nein. Das ist die zentrale Erkenntnis des Gutachtens. Entscheidend ist nicht, wo die Daten liegen, sondern wer die Kontrolle über sie hat. Wenn die US-Muttergesellschaft die Kontrolle über die Daten besitzt, fallen auch europäische Tochtergesellschaften unter die US-Herausgabepflicht.
Microsoft hat das in einer offiziellen Anhörung in Frankreich bestätigt: Eine Garantie, dass keine Daten an US-Behörden weitergegeben werden, ist nicht möglich. Die viel beworbenen „souveränen Clouds“ von Amazon, Microsoft und Google lösen dieses Problem nicht grundsätzlich. Technische Konstrukte wie „Bring Your Own Key“ oder regionale Datenresidenz bieten keinen ausreichenden Schutz vor rechtlichen Herausgabepflichten.
Noch problematischer: Selbst rein europäische Unternehmen können betroffen sein, wenn sie signifikante Geschäftsbeziehungen in den USA unterhalten.
3. Welche konkreten Gesetze ermöglichen US-Behörden den Datenzugriff?
Das Gutachten identifiziert drei zentrale rechtliche Grundlagen:
- Stored Communications Act (SCA): Ermöglicht Strafverfolgungsbehörden den Zugriff auf gespeicherte Kommunikationsdaten bei US-Providern.
- CLOUD Act: Erweitert den SCA auf Daten, die außerhalb der USA gespeichert sind, solange der Provider US-Kontrolle unterliegt.
- FISA Section 702: Erlaubt US-Geheimdiensten die Überwachung von Kommunikationsdaten von Nicht-US-Bürgern außerhalb der USA – ohne richterliche Einzelfallprüfung.
Besonders FISA 702 ist für europäische Unternehmen kritisch, weil es eine anlasslose Massenüberwachung ermöglicht. Der Europäische Gerichtshof hat genau diese Überwachungspraxis in seinem Schrems-II-Urteil 2020 kritisiert und das Privacy-Shield-Abkommen für ungültig erklärt.
4. Wie steht es um das aktuelle EU-US Data Privacy Framework?
Das EU-US Data Privacy Framework von 2023 sollte die rechtliche Grundlage für transatlantische Datenübermittlungen wiederherstellen. Das Gutachten macht jedoch deutlich: Die fundamentalen Probleme wurden nicht gelöst. Die US-Überwachungsgesetze bestehen unverändert fort.
Die Situation hat sich seit Januar 2025 weiter verschärft. Die Trump-Administration hat drei Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) entlassen – jener Behörde, die die Einhaltung der Datenschutzgarantien überwachen soll. Damit hängt das gesamte Abkommen, wie es in Fachkreisen heißt, am seidenen Faden einer einzigen präsidialen Verordnung.
Für uns bei Never Code Alone bedeutet das: Wer strategisch plant, sollte sich nicht auf die langfristige Gültigkeit des Data Privacy Frameworks verlassen.
5. Kann Verschlüsselung vor dem CLOUD Act schützen?
Theoretisch ja, praktisch oft nicht. Das Gutachten stellt klar: Verschlüsselung verhindert die Herausgabepflicht nicht in jedem Fall. US-amerikanisches Prozessrecht kann Unternehmen verpflichten, Daten zu entschlüsseln oder Schlüssel herauszugeben. Bei Weigerung drohen empfindliche Bußgelder oder strafrechtliche Konsequenzen.
Der einzige wirksame Schutz ist clientseitige Ende-zu-Ende-Verschlüsselung, bei der der Anbieter selbst keinen Zugriff auf die Schlüssel hat. Dann gilt: Was der Anbieter nicht sehen kann, kann er auch nicht herausgeben. Einige europäische Dienste wie Proton, Wire oder verschlüsselte Nextcloud-Instanzen setzen genau auf dieses Prinzip.
Für sensible Geschäftsdaten, Betriebsgeheimnisse oder personenbezogene Daten im Sinne der DSGVO reicht eine serverseitige Verschlüsselung bei US-Anbietern nicht aus.
6. Welche europäischen Cloud-Alternativen gibt es?
Die gute Nachricht: Es gibt inzwischen ausgereifte europäische Alternativen, die vollständig unter EU-Recht operieren:
- Nextcloud: Die weltweit führende Open-Source-Collaboration-Plattform. Kann selbst gehostet oder bei europäischen Anbietern betrieben werden. Gaia-X hat sich explizit für Nextcloud entschieden.
- ownCloud/OpenCloud: Deutsche Alternativen für File-Sharing und Zusammenarbeit. OpenCloud als jüngster Fork setzt auf eine moderne, in Go geschriebene Architektur.
- STACKIT: Die Cloud-Plattform der Schwarz-Gruppe (Lidl/Kaufland) mit Rechenzentren ausschließlich in Deutschland und Österreich.
- IONOS/Hetzner: Europäische Hosting-Provider mit umfangreichen Cloud-Services und klarer DSGVO-Konformität.
- Infomaniak/Proton: Schweizer Anbieter mit starkem Fokus auf Privacy und Verschlüsselung.
Für Collaboration-Tools bieten europäische Lösungen wie Collabora (LibreOffice-basiert), OnlyOffice oder Element (Matrix-basiert) vergleichbare Funktionalität zu Microsoft 365 oder Google Workspace.
7. Ist Microsoft 365 noch DSGVO-konform nutzbar?
Die rechtliche Lage ist komplex. Einige Rechtsanwälte argumentieren, dass ein datenschutzkonformer Einsatz von Microsoft 365 grundsätzlich weiterhin möglich sei. Das abstrakte Risiko durch die US-Rechtslage reiche allein nicht aus, um die Zuverlässigkeit automatisch in Frage zu stellen.
Das Gutachten zeigt jedoch: Das Risiko ist nicht abstrakt, sondern konkret. Erst bei nachgewiesenen systematischen Verstößen müsse die Nutzung überdacht werden – aber dann ist es für die betroffenen Daten bereits zu spät.
Unsere Empfehlung aus der Praxis: Für unkritische Daten mag Microsoft 365 akzeptabel sein. Für sensible Bereiche – Gesundheitswesen, Rechtsberatung, Forschung, kritische Infrastruktur – solltet ihr auf europäische Alternativen setzen. Die Datenschutzbehörden in mehreren EU-Ländern haben bereits Warnungen ausgesprochen.
8. Was sind die konkreten Konsequenzen für sensible Unternehmensdaten?
Das Gutachten verdeutlicht die realen Risiken:
- Betriebsgeheimnisse: Technisches Know-how, strategische Informationen und geistiges Eigentum können durch staatlichen Zugriff abfließen. Das Risiko von Industriespionage wird zunehmend als real wahrgenommen.
- DSGVO-Verstöße: Unternehmen, die personenbezogene Daten ohne ausreichende Rechtsgrundlage an US-Behörden übermitteln, riskieren Bußgelder von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.
- Vertrauensverlust: Kunden und Geschäftspartner erwarten zunehmend nachweisbaren Datenschutz. Ein bekannt gewordener US-Datenzugriff kann erheblichen Reputationsschaden verursachen.
- Compliance-Probleme: Für regulierte Branchen wie Finanzdienstleistungen, Gesundheitswesen oder kritische Infrastruktur können US-Cloud-Dienste zum Compliance-Risiko werden.
Das Microsoft-Beispiel zeigt, dass diese Risiken nicht theoretisch sind: Im Zuge von US-Sanktionen wurde bereits das Konto des Chefanklägers des Internationalen Gerichtshofs gesperrt.
9. Wie setze ich eine europäische Cloud-Strategie praktisch um?
Die Migration von US-Cloud-Diensten erfordert eine strukturierte Vorgehensweise. So gehen wir in unseren Consulting-Projekten vor:
Schritt 1: Datenklassifizierung
Nicht alle Daten sind gleich sensibel. Klassifiziert eure Daten nach Schutzbedarf: öffentlich, intern, vertraulich, streng vertraulich. Nur hochsensible Daten erfordern zwingend europäische Alternativen.
Schritt 2: Ist-Analyse
Welche US-Dienste nutzt ihr aktuell? Welche Daten liegen dort? Welche Abhängigkeiten bestehen? Diese Bestandsaufnahme ist die Grundlage für jeden Migrationsplan.
Schritt 3: Alternativen evaluieren
Testet europäische Alternativen mit Pilotprojekten. Nextcloud, OpenCloud oder STACKIT bieten Testumgebungen. Prüft Funktionalität, Performance und Integration in bestehende Workflows.
Schritt 4: Schrittweise Migration
Beginnt mit unkritischen Systemen und sammelt Erfahrung. Dokumentiert Prozesse und Fallstricke. Erst dann die sensiblen Bereiche migrieren.
Schritt 5: Schulung und Change Management
Neue Tools erfordern neue Gewohnheiten. Investiert in Schulungen und begleitet das Team bei der Umstellung.
10. Was bedeutet das konkret für Developer und IT-Entscheider?
Für Developer bedeutet das Gutachten: Die Wahl der Infrastruktur ist keine rein technische Entscheidung mehr. Wenn ihr Anwendungen entwickelt, die personenbezogene Daten oder Geschäftsgeheimnisse verarbeiten, solltet ihr von Anfang an europäische Hosting-Optionen einplanen.
Open-Source-Tools wie Nextcloud, Matrix, Mattermost oder Keycloak bieten DSGVO-konforme Alternativen zu US-Diensten. Sie lassen sich auf europäischer Infrastruktur selbst hosten oder bei europäischen Managed-Service-Providern betreiben. Die Developer Experience ist bei vielen dieser Tools mittlerweile auf Augenhöhe mit den US-Konkurrenten.
Für IT-Entscheider ist das Gutachten ein Weckruf. Die Frage „Cloud ja oder nein?“ war gestern. Die Frage heute lautet: „Welche Cloud – und unter welcher Jurisdiktion?“ Die Entscheidung für US-Cloud-Anbieter ist keine Standardentscheidung mehr, sondern eine bewusste Risikoabwägung, die dokumentiert und regelmäßig überprüft werden sollte.
Unterstützung für eure Cloud-Strategie
Habt ihr Fragen zur DSGVO-konformen Cloud-Infrastruktur oder plant ihr eine Migration? Mit über 15 Jahren Erfahrung in Softwarequalität, Open Source und Remote Consulting unterstützen wir euch gerne.
Wir bieten:
- Analyse eurer aktuellen Cloud-Nutzung und Risikoeinschätzung
- Evaluierung europäischer Alternativen für eure Anforderungen
- Begleitung bei der Migration von US-Cloud-Diensten
- Workshops zu Nextcloud, Kubernetes und europäischen Cloud-Strategien
Schreibt uns eine E-Mail an roland@nevercodealone.de – wir melden uns zeitnah zurück.
Never Code Alone – Gemeinsam für bessere Software-Qualität!
