Digitale Souveränität · Datenschutz · Cloud Act
Der US CLOUD Act: Was deutsche Unternehmen jetzt wissen müssen
Warum der Serverstandort nicht schützt – und was wirklich hilft.
Ein Jurist sagt die Wahrheit – und erschüttert Europa
Am 10. Juni 2025 saß Anton Carniau, Chefjustiziar von Microsoft Frankreich, vor dem französischen Senat. Unter Eid. Ein Senator stellte ihm eine einfache Frage: Können Sie garantieren, dass Daten französischer Bürger nicht an US-Behörden weitergegeben werden?
Seine Antwort: „Non, je ne peux pas le garantir." Nein, das kann ich nicht garantieren.
Ein Satz. Sieben Worte. Und damit war offiziell bestätigt, was viele IT-Verantwortliche in Deutschland schon lange ahnen: Die Versprechen der großen US-Technologiekonzerne halten der juristischen Realität nicht stand. Egal ob die Server in Frankfurt stehen. Egal was im Vertrag steht.
Wer das versteht, versteht auch, warum das Thema digitale Souveränität gerade für den deutschen Mittelstand keine abstrakte Datenschutzdiskussion mehr ist – sondern eine unternehmerische Kernfrage.
Was ist der US CLOUD Act überhaupt?
Der Clarifying Lawful Overseas Use of Data Act – kurz CLOUD Act – wurde im März 2018 in den USA verabschiedet, eingebettet in ein riesiges Haushaltsgesetz, weitgehend unbemerkt von der europäischen Öffentlichkeit. Präsident Trump unterzeichnete ihn.
Das Gesetz verpflichtet US-amerikanische Unternehmen dazu, auf behördliche Anforderung gespeicherte Daten herauszugeben – unabhängig davon, wo auf der Welt diese Daten physisch gespeichert sind.
Das entscheidende Kriterium: nicht der Serverstandort, sondern Besitz, Gewahrsam oder Kontrolle durch ein US-Unternehmen.
Warum das so wichtig ist:
Ein Server in Frankfurt, betrieben von Microsoft oder Amazon, steht zwar in Deutschland. Aber das Unternehmen dahinter ist amerikanisch. Und damit greift der CLOUD Act – unabhängig von deutschem Recht, unabhängig von der DSGVO.
Wie kam es dazu? Die Geschichte beginnt 2013, als das FBI von Microsoft die Herausgabe von E-Mails verlangte, die auf einem Server in Dublin, Irland, gespeichert waren. Microsoft weigerte sich: Ein US-Beschluss gelte auf irischem Boden nicht. Es folgte ein fünfjähriger Rechtsstreit durch alle Instanzen. Als der Fall 2018 vor dem Supreme Court landete, zog der Kongress die Reißleine – und schuf mit dem CLOUD Act einfach ein neues Gesetz, das die Frage für alle Zukunft zugunsten der US-Behörden beantwortete.
Der Konflikt mit der DSGVO: Ein juristisches Dilemma ohne Ausweg
Für europäische Unternehmen, die US-Cloud-Dienste nutzen, entsteht damit ein echtes Problem: zwei Rechtssysteme, die sich direkt widersprechen.
Artikel 48 der DSGVO sagt: Eine Datenübermittlung an ein Drittland ist nur auf Basis eines internationalen Abkommens zulässig – nicht aufgrund eines ausländischen Gerichtsbeschlusses allein.
Der CLOUD Act sagt: US-Unternehmen müssen Daten herausgeben, wenn ein US-Gericht es anordnet.
Ein US-Cloud-Anbieter mit Rechenzentrum in Deutschland steckt damit in einer Zwickmühle: Gibt er die Daten heraus, verstößt er gegen die DSGVO. Verweigert er die Herausgabe, verstößt er gegen US-Recht. Strafen drohen auf beiden Seiten.
Was ist mit dem Data Privacy Framework?
Viele Unternehmen verlassen sich auf das EU-US Data Privacy Framework – den Nachfolger des gescheiterten Privacy Shield. Die ernüchternde Antwort: Das DPF ändert an der grundsätzlichen Problematik des CLOUD Act nichts. Die US-Überwachungsgesetze gelten weiterhin uneingeschränkt. Der Hamburger Datenschutzbeauftragte Thomas Fuchs hat das ausdrücklich festgehalten.
„Europäische Rechenzentren" schützen nicht – ein weit verbreiteter Irrtum
Microsoft wirbt mit der „EU Data Boundary". Amazon mit der „Sovereign Cloud". Die Botschaft: Eure Daten bleiben in Europa, ihr seid sicher.
Das stimmt so nicht.
Der physische Standort eines Servers ist ohne Bedeutung, wenn die Muttergesellschaft amerikanisch ist. Echte digitale Souveränität erfordert, dass der Cloud-Anbieter zu 100 % in europäischem Besitz ist. Nicht nur das Rechenzentrum – das gesamte Unternehmen.
Was wir beim Bündnis Digitale Freiheit eine „Digitale Festung" nennen, ist genau das: eine IT-Infrastruktur, die von außen unsichtbar ist. Durch Mesh-VPN-Technologie existiert Ihr Server für Angreifer schlicht nicht. Wer nicht sichtbar ist, kann auch nicht angegriffen werden.
Und selbst die großen US-Konzerne räumen das im Kleingedruckten ein. Microsoft hat zwar zugesagt, Behördenanfragen juristisch anzufechten und im Zweifel Kunden zu entschädigen. Aber wie der Auftritt vor dem französischen Senat gezeigt hat: Wenn ein formal korrekter Beschluss nach dem CLOUD Act vorliegt, hat selbst Microsoft keine rechtliche Möglichkeit, sich zu verweigern.
Das politische Risiko: Wenn Gesetze nicht mehr reichen
Der CLOUD Act ist noch das Berechenbare. Schlimmer ist das, was darüber hinausgeht.
Die Trump-Administration hat deutlich gemacht, dass US-Technologiekonzerne auf politischen Druck reagieren – ohne Gerichtsbeschluss, ohne Vorwarnung. Das prominenteste Beispiel: Karim Khan, Chefankläger des Internationalen Strafgerichtshofs. Sein Microsoft-Konto wurde nach US-Sanktionen einfach gesperrt. Kein Verfahren. Kein Urteil. Ein Klick.
Was einem internationalen Gericht passiert, kann jedem Unternehmen passieren, das sich in einem politisch sensiblen Umfeld bewegt – oder das einfach zur falschen Zeit den falschen Geschäftspartner hat.
Gesetze lassen sich prüfen. Unberechenbarkeit nicht.
Was Unternehmen jetzt konkret tun können
Niemand muss von heute auf morgen alles umstellen. Eine pragmatische Strategie in zwei Schritten:
Schritt 1: Trennen, was getrennt werden muss
Nicht alle Daten sind gleich schutzbedürftig. Unkritische Alltagsdaten können zunächst in bestehenden Systemen bleiben. Aber sensible Geschäftsdaten – Verträge, Kundendaten, Finanzkommunikation, strategische Planungen – gehören auf souveräne, europäische Infrastruktur.
Schritt 2: Schlüsselgewalt behalten
Ende-zu-Ende-Verschlüsselung mit eigener Schlüsselverwaltung (Bring Your Own Key) ist der technische Ausweg. Hat ein Cloud-Anbieter keinen Zugriff auf die Schlüssel, kann er einem US-Behördenauftrag nur verschlüsselten Datensalat liefern. Das US-Justizministerium hat das selbst bestätigt: Der CLOUD Act enthält keinen Zwang zur Entschlüsselung, wenn der Anbieter den Schlüssel nicht besitzt.
Schritt 3: Komplexität auslagern – nicht selbst stemmen
„Selbst gehostet" klingt für viele Unternehmer nach Aufwand, Fehleranfälligkeit und IT-Fachkräften, die man nicht hat. Das ist ein berechtigter Einwand. Deshalb ist unser Ansatz ein anderer: Das Bündnis Digitale Freiheit übernimmt die technische Verwaltung. Der Kunde bekommt volle Datensouveränität, ohne selbst IT-Experte sein zu müssen.
Ein wichtiger Unterschied zu einem klassischen IT-Dienstleister: Das Bündnis Digitale Freiheit finanziert sich ausschließlich über Mitgliedsbeiträge und freiwillige Spenden – ohne kommerzielle Einnahmen. Wir empfehlen keine Software, weil wir daran verdienen, sondern weil sie funktioniert.
Was der BDF-Standard umfasst
| Statt… | BDF-Lösung | Ihr Vorteil |
|---|---|---|
| Microsoft 365 / OneDrive | Nextcloud + OnlyOffice | Volle Datenhoheit, DSGVO-sicher |
| Exchange Online / Gmail | Mailcow | E-Mail auf deutschem Server, kein Cloud Act |
| Microsoft Teams / Zoom | Nextcloud Talk | Verschlüsselte Kommunikation, kein US-Anbieter |
| Klassisches VPN | NetBird Mesh-Netzwerk | Ihr Server ist im öffentlichen Netz unsichtbar |
| Manuelle IT-Verwaltung | KI-gestützte Orchestration | Keine Sicherheitslücken durch Konfigurationsfehler |
Alles gehostet auf deutschen Servern (Hetzner), GoBD- und DSGVO-konform, unter Ihrer Kontrolle.
Fazit: Das Zeitfenster ist jetzt offen
Die geopolitische Lage hat das Bewusstsein für digitale Abhängigkeit in den letzten Monaten schlagartig verändert. Viele Unternehmen, die das Thema jahrelang aufgeschoben haben, stellen es jetzt zum ersten Mal ernsthaft auf die Agenda.
Das ist eine Chance – aber sie bleibt nicht ewig offen.
Wer jetzt handelt, baut Infrastruktur auf, die nicht von politischen Entscheidungen in Washington abhängt. Wer wartet, riskiert, eines Tages in einer Situation zu sein, in der er nicht mehr selbst entscheiden kann.
Kostenloser IT-Souveränitäts-Check
30 Minuten, kein Verkaufsgespräch. Wir schauen gemeinsam, wo Ihr Unternehmen steht und welche Schritte wirklich sinnvoll sind.
Jetzt Termin vereinbaren →Walter Bergkemper ist Gründer von Bündnis Digitale Freiheit und begleitet seit Jahrzehnten Unternehmen in IT-Fragen. Als ehemaliger Steuerberater und IT-Veteran kennt er die Realität des deutschen Mittelstands aus erster Hand.
Quellen
- Aussage Anton Carniau (Microsoft Frankreich) vor dem französischen Senat, 10. Juni 2025
- Thomas Fuchs (Hamburger Datenschutzbeauftragter): Bericht zu US-Behördenzugriff auf EU-Daten (2025)
- US Department of Justice: The Purpose and Impact of the CLOUD Act
- Microsoft Corp. v. United States (Supreme Court, 2018)
- Clarifying Lawful Overseas Use of Data Act (CLOUD Act), März 2018