In den letzten Jahren ist „EU-Hosting” zum Standardargument der US-Cloud-Anbieter geworden. Microsoft hat seine EU Data Boundary ausgebaut, HubSpot bietet EU-Datenresidenz, AWS hat Frankfurt-Rechenzentren. Wirkt beruhigend. Reicht aber rechtlich nicht.
Hier ist, warum.
Schrems II — der Auslöser
Am 16. Juli 2020 hat der Europäische Gerichtshof in seinem Urteil C-311/18 (Schrems II) das damalige EU-US Privacy Shield für ungültig erklärt. Der Kern: US-Recht erlaubt staatlichen Behörden Zugriff auf Daten in einem Maß, das mit dem EU-Datenschutz-Niveau nicht vereinbar ist.
Daraus folgte eine massive Welle juristischer Unsicherheit. Datenschutz-Aktivisten klagten, Aufsichtsbehörden mahnten, US-Anbieter bauten EU-Datenresidenz. Aber das eigentliche Problem blieb: US-Recht greift weiter.
Der CLOUD Act — was er konkret regelt
Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde im März 2018 verabschiedet. Er regelt, dass US-Strafverfolgungsbehörden den Zugriff auf Daten anordnen können, die ein US-Anbieter verwaltet — unabhängig vom physischen Standort der Server.
Praktisch heißt das: Wenn das FBI einen Beschluss erwirkt, dass Microsoft Daten herausgeben muss, dann muss Microsoft das tun. Auch wenn die Daten in Frankfurt liegen. Microsoft hat dies in einem viel beachteten Verfahren 2018 selbst bestätigt.
EU-US Data Privacy Framework — die neue Lage
Im Juli 2023 hat die EU-Kommission das EU-US Data Privacy Framework als Nachfolge des Privacy Shield für angemessen erklärt. Damit ist die Übermittlung personenbezogener Daten in die USA grundsätzlich wieder rechtlich erlaubt — vorausgesetzt, der US-Empfänger ist im DPF zertifiziert.
Aber: Datenschutz-Aktivisten und mehrere Aufsichtsbehörden haben angekündigt, das DPF gerichtlich anzugreifen. Die nächste „Schrems III”-Klage läuft. Eine endgültige Rechtssicherheit ist also nicht gegeben.
Selbst mit DPF bleibt der CLOUD Act in Kraft. EU-Daten in US-Anbieter-Hand bleiben grundsätzlich von US-Behördenzugriff erreichbar.
Was die deutschen Aufsichtsbehörden sagen
Die Datenschutzkonferenz (DSK) — der Zusammenschluss der deutschen Aufsichtsbehörden — hat mehrfach Bedenken gegen den Einsatz US-amerikanischer Cloud-Dienste in der öffentlichen Verwaltung geäußert. Für die Privatwirtschaft gibt es keine pauschale Verbote, aber klare Hinweise auf Risiken.
Die BfDI empfiehlt eine Risiko-Abwägung im Einzelfall. Für besondere Kategorien personenbezogener Daten (Gesundheit, Vorstrafen, religiöse Anschauungen) gibt es deutlich höhere Anforderungen.
Was das für Ihren Betrieb heißt
Die Frage ist nicht „dürfen wir Microsoft 365 noch nutzen?”. Die Frage ist „was ist unser Risiko-Profil und was sind die Alternativen?”.
Drei Szenarien:
Niedriges Risiko: Sie verwalten überwiegend eigene Geschäftsdaten ohne sensible Personendaten Dritter. Ein Wechsel ist möglich, aber nicht akut zwingend. Compliance-Argumentation gegenüber Auditoren wird mit der Zeit aufwendiger.
Mittleres Risiko: Sie verarbeiten Daten von Verbrauchern (Kundenkontakte, Kalkulationen mit personenbezogenen Bezügen, Bewerber-Daten). Bei einer Auseinandersetzung mit einem Aktivisten oder einer Aufsichtsbehörde wird die Argumentation aufwendig. Migration zu europäischen Alternativen ist sinnvoll geplant.
Hohes Risiko: Sie verarbeiten besondere Kategorien personenbezogener Daten. Klar: weg von US-SaaS, wo immer es geht.
Was die Alternativen sind
Für nahezu jede Funktion existiert eine erwachsene europäische oder Open-Source-Alternative. Wir haben die wichtigsten in einer eigenen Übersicht zusammengefasst: Themen-Landingpage US-Cloud-Risiko.
Kurzfassung:
- Microsoft 365 / Google Workspace → Nextcloud + Mailcow
- HubSpot / Salesforce → Twenty CRM oder EspoCRM
- Mailchimp → Brevo (Paris) oder Listmonk (Self-Hosted)
- Slack → Mattermost
- Zoom → Jitsi Meet
Was nicht hilft
„Aber unser US-Anbieter hat doch zugesichert, dass die Daten in der EU bleiben.” Das ist eine vertragliche Zusage. Der CLOUD Act sticht jeden Vertrag, weil er staatliches Recht ist.
„Wir nutzen doch Standardvertragsklauseln (SCCs).” SCCs adressieren das Übermittlungs-Problem, nicht das CLOUD-Act-Problem. Auch mit perfekt formulierten SCCs greift das US-Recht weiter.
„Aber niemand hat noch nie ein Bußgeld dafür bekommen.” Stimmt — die Aufsichtsbehörden konzentrieren sich auf andere Themen. Das kann sich aber ändern. Und das eigentliche Risiko ist nicht das Bußgeld, sondern die unkontrollierte Datenausleitung.
Wie wir damit umgehen
Bei jedem Digitalisierungs-Beratungs-Auftrag prüfen wir die laufenden Tools auf US-CLOUD-Act-Exposition. Wir benennen die Risiken schwarz auf weiß. Dann diskutieren wir mit Ihnen, was bleibt und was wechselt.
Kein Drama. Aber auch kein Wegschauen.