Der Kern in einem Satz
Wenn der Anbieter ein US-Konzern ist, kann eine US-Behörde unter dem CLOUD Act den Zugriff auf Ihre Daten anordnen — selbst wenn die Daten physisch auf einem Server in Frankfurt liegen.
Schrems II (16.07.2020)
Der Europäische Gerichtshof hat im Urteil C-311/18 (Schrems II) das EU-US Privacy Shield gekippt. Der Grund: US-Recht erlaubt Behörden den Zugriff auf Daten, die EU-Bürger:innen schützen sollten.
EU-US Data Privacy Framework (2023)
Im Juli 2023 hat die EU-Kommission das EU-US Data Privacy Framework als Nachfolge angenommen. Datenschutz-Aktivisten haben angekündigt, das DPF gerichtlich anzugreifen. Eine endgültige Rechtssicherheit ist nicht gegeben.
Welche Anbieter sind „US-Konzerne” in diesem Sinne
Microsoft (M365, Azure, GitHub), Google (Workspace, Drive, Cloud), AWS, Meta, HubSpot, Salesforce, Slack, Zoom, Dropbox, Mailchimp, Notion, Asana — alle dem CLOUD Act unterliegend, auch mit EU-Rechenzentren.
Welche Alternativen es gibt
- M365 / Workspace → Nextcloud + Mailcow
- HubSpot / Salesforce → Twenty CRM oder EspoCRM
- Mailchimp → Brevo (Paris) oder Listmonk (Self-Hosted)
- Slack → Mattermost
- Zoom → Jitsi Meet
- Dropbox → Nextcloud
- Notion → Outline oder AppFlowy
- Asana → Vikunja oder OpenProject
Was wir behaupten: Datensouveränität ist 2026 keine Spielerei mehr. Es gibt erwachsene Wege, sie zu adressieren — ohne in Panik zu verfallen.