US-Zugriff auf EU-Cloud-Daten: Gutachten bestätigt Risiken

Ein aktuelles Rechtsgutachten im Auftrag des Bundesinnenministeriums bestätigt die schlimmsten Befürchtungen von Datenschutzexperten: US-Behörden haben weitreichende Zugriffsmöglichkeiten auf Daten, die in europäischen Rechenzentren gespeichert sind – sofern diese von US-Unternehmen kontrolliert werden.

Die im Dezember 2025 veröffentlichten Erkenntnisse haben weitreichende Konsequenzen für alle Unternehmen, die auf amerikanische Cloud-Dienste wie Microsoft Azure, Amazon AWS oder Google Cloud setzen. In diesem Artikel erfahren Sie, welche rechtlichen Grundlagen den US-Zugriff ermöglichen, warum selbst EU-Rechenzentren keinen Schutz bieten und wie Sie mit rein deutschem Hosting Ihre digitale Souveränität sichern können.

Cloud
Cloud

Die rechtliche Grundlage: Cloud Act, FISA 702 und die extraterritoriale Reichweite der USA

Das im Dezember 2025 durch eine Anfrage nach dem Informationsfreiheitsgesetz (IFG) veröffentlichte Gutachten der Rechtswissenschaftlichen Fakultät der Universität Köln analysiert erstmals umfassend die rechtlichen Mechanismen, die US-Behörden den Zugriff auf europäische Cloud-Daten ermöglichen. Die Ergebnisse sind eindeutig – und für europäische Unternehmen besorgniserregend.

🏛️ Cloud Act (2018)
  • Verpflichtet US-Unternehmen zur Datenherausgabe
  • Speicherort der Daten ist irrelevant
  • Entscheidend ist die Kontrolle über die Daten
  • Gilt auch für EU-Tochtergesellschaften
  • Keine Benachrichtigungspflicht gegenüber Betroffenen
🔍 FISA Section 702
  • Erlaubt Überwachung ohne richterliche Anordnung
  • Gilt für alle Nicht-US-Bürger weltweit
  • 2024 durch RISAA deutlich erweitert
  • Betrifft alle elektronischen Kommunikationsdienste
  • Keine wirksamen Rechtsschutzmöglichkeiten für EU-Bürger

Der Stored Communications Act und seine Erweiterung durch den Cloud Act

Der Stored Communications Act (SCA) bildete ursprünglich die Grundlage für den Zugriff auf elektronisch gespeicherte Kommunikationsdaten durch US-Behörden. Mit der Verabschiedung des Clarifying Lawful Overseas Use of Data Act (Cloud Act) im Jahr 2018 wurde diese Befugnis dramatisch erweitert. Das Gesetz stellt unmissverständlich klar: US-Unternehmen sind zur Herausgabe von Daten verpflichtet – völlig unabhängig davon, wo diese physisch gespeichert sind.

⚠️ Kernaussage des Cloud Act: Der physische Speicherort der Daten ist rechtlich irrelevant. Entscheidend ist einzig und allein, ob ein US-Unternehmen die Kontrolle über diese Daten ausübt. Das bedeutet: Selbst Daten in einem deutschen Rechenzentrum fallen unter US-Recht, wenn sie von Microsoft, Amazon, Google oder einem anderen US-Konzern verwaltet werden.

FISA Section 702: Geheimdienstliche Überwachung ohne Grenzen

Noch weitreichender als der Cloud Act ist Section 702 des Foreign Intelligence Surveillance Act (FISA). Dieses Gesetz erlaubt US-Geheimdiensten den Zugriff auf Kommunikationsdaten ausländischer Personen – und zwar ohne richterliche Anordnung und ohne dass die Betroffenen davon erfahren. Der 2024 verabschiedete Reforming Intelligence and Securing America Act (RISAA) hat den Anwendungsbereich noch einmal massiv erweitert: Die Definition von „elektronischen Kommunikationsdienstleistern“ umfasst nun praktisch jede Organisation, die Zugang zu Geräten hat, auf denen Kommunikation gespeichert wird.

2018
Inkrafttreten Cloud Act
702
FISA Section für Auslandsüberwachung
2024
RISAA-Erweiterung der Befugnisse
0
Effektiver Rechtsschutz für EU-Bürger

Microsoft-Manager unter Eid: „Nein, das kann ich nicht garantieren“

Die theoretischen rechtlichen Bedenken wurden am 10. Juni 2025 durch eine aufsehenerregende Aussage bestätigt. Anton Carniaux, Chefjustiziar von Microsoft Frankreich, wurde vor dem französischen Senat unter Eid befragt. Seine Antwort auf die entscheidende Frage wird in die Geschichte des europäischen Datenschutzes eingehen.

„Non, je ne peux pas le garantir.“ – „Nein, das kann ich nicht garantieren.“ Anton Carniaux, Chefjustiziar Microsoft France, auf die Frage, ob er garantieren könne, dass Daten französischer Bürger niemals ohne Zustimmung französischer Behörden an die USA übermittelt würden (10. Juni 2025, Französischer Senat)

Die Bedeutung der Senatsanhörung

Die Anhörung fand im Rahmen einer Untersuchungskommission des französischen Senats statt, die sich mit der öffentlichen IT-Beschaffung und digitaler Souveränität befasste. Auslöser war die umstrittene Vergabe eines Hosting-Auftrags für sensible Gesundheitsdaten an Microsoft im Jahr 2019. Nach 51 Anhörungen und Reisen im In- und Ausland kam die Kommission zu einem vernichtenden Urteil über die bisherige Praxis.

Besonders brisant: Microsoft hat seit Jahren massiv in seine „EU Data Boundary“ investiert – ein Projekt, das im Februar 2025 abgeschlossen wurde und sicherstellen sollte, dass Daten europäischer Kunden die EU nicht verlassen. Pierre Lagarde, Microsofts technischer Direktor, betonte in derselben Anhörung, dass „die Daten unserer europäischen Kunden seit Januar 2025 die EU nicht verlassen“. Doch wie die Aussage von Carniaux zeigt, ist diese technische Garantie rechtlich wertlos.

⚡ Die unbequeme Wahrheit: Alle technischen Schutzmaßnahmen – EU-Rechenzentren, Verschlüsselung, Data-Boundary-Projekte – können die rechtliche Realität nicht ändern. Wenn US-Behörden eine formal korrekte Anfrage nach dem Cloud Act stellen, ist Microsoft (und jedes andere US-Unternehmen) zur Herausgabe verpflichtet. Die Versprechen von „sicheren EU-Clouds“ sind Marketingaussagen ohne rechtliche Substanz.

Auch andere US-Hyperscaler betroffen

Die Aussage von Microsofts Chefjustiziar gilt nicht nur für Microsoft. Alle US-Hyperscaler – Amazon Web Services (AWS), Google Cloud Platform, Oracle Cloud und andere – unterliegen denselben rechtlichen Rahmenbedingungen. Ein Wechsel von Microsoft zu einem anderen US-Anbieter würde das Problem nicht lösen, sondern nur verlagern.

☁️
Microsoft Azure
Unterliegt dem Cloud Act. EU Data Boundary bietet keinen rechtlichen Schutz vor US-Zugriffen. Carniaux bestätigte dies unter Eid.
🌐
Amazon AWS
Als US-Unternehmen vollständig dem Cloud Act und FISA 702 unterworfen. Europäische Rechenzentren ändern daran nichts.
🔍
Google Cloud
Gleiche rechtliche Situation. Zusätzlich sammelt Google umfangreiche Metadaten, die ebenfalls herausgegeben werden müssen.

Das EU-US Data Privacy Framework: Ein Kartenhaus im Wind

Das 2023 eingeführte EU-US Data Privacy Framework (DPF) sollte nach dem Aus für Safe Harbor (2015) und Privacy Shield (2020) endlich Rechtssicherheit für den transatlantischen Datenaustausch schaffen. Doch die politischen Entwicklungen in den USA haben dieses Fundament erheblich erschüttert.

Die Erosion unter der Trump-Administration

20. Januar 2025
Amtsantritt Trump 2.0

Beginn einer neuen Amtszeit mit angekündigter Überprüfung aller Biden-Verordnungen.

27. Januar 2025
PCLOB-Entlassungen

Entlassung aller drei demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board – das Kontrollorgan wird funktionsunfähig.

Juni 2025
Microsoft-Anhörung

Chefjustiziar bestätigt unter Eid: Keine Garantie für Schutz europäischer Daten vor US-Zugriff.

September 2025
EuG-Entscheidung

Europäisches Gericht weist Klage gegen DPF ab – Verfahren geht zum EuGH, der schon Safe Harbor und Privacy Shield kippte.

Dezember 2025
Gutachten veröffentlicht

Rechtsgutachten des Bundesinnenministeriums bestätigt: Weitreichender US-Zugriff auf EU-Cloud-Daten möglich.

Das Privacy and Civil Liberties Oversight Board (PCLOB) ist das zentrale Kontrollorgan, das die Einhaltung der Datenschutzbestimmungen im Rahmen des DPF überwachen soll. Da es mindestens drei aktive Mitglieder benötigt, um beschlussfähig zu sein, ist es seit Januar 2025 faktisch handlungsunfähig. Kritiker warnen, dass dies erst der Anfang einer umfassenden Erosion des Datenschutzrahmens sein könnte.

ℹ️ Historische Parallelen: Der Europäische Gerichtshof hat bereits 2015 Safe Harbor (Schrems I) und 2020 Privacy Shield (Schrems II) für ungültig erklärt. Beide Male waren die weitreichenden Überwachungsbefugnisse der US-Geheimdienste der Hauptgrund. Es gibt keinen Grund zur Annahme, dass der EuGH beim Data Privacy Framework zu einer anderen Einschätzung kommen wird – zumal sich die rechtliche Situation in den USA seitdem nicht verbessert hat.

Auch rein europäische Unternehmen im Visier

Besonders alarmierend ist eine weitere Feststellung des Gutachtens: Die extraterritoriale Reichweite der US-Gesetze kann nicht nur europäische Tochtergesellschaften von US-Unternehmen erfassen. Sie hat auch das Potenzial, rein europäische Unternehmen zu treffen – sofern diese relevante geschäftliche Verbindungen in die USA unterhalten.

Wann greift die US-Jurisdiktion?

Die US-Behörden können ihre Jurisdiktion auf verschiedene Weisen begründen:

🏢
Konzernzugehörigkeit
Europäische Tochtergesellschaften von US-Mutterkonzernen sind direkt betroffen, wenn die US-Mutter die Kontrolle ausübt.
💼
Geschäftsbeziehungen
Signifikante geschäftliche Aktivitäten in den USA können ausreichen, um europäische Unternehmen dem US-Recht zu unterwerfen.
🔗
Technische Verbindungen
Nutzung von US-Cloud-Diensten oder Kommunikationsplattformen kann zur Anwendbarkeit von FISA 702 führen.
🏦
Finanztransaktionen
Abwicklung von Zahlungen über US-Finanzinstitute kann einen Anknüpfungspunkt für US-Jurisdiktion bieten.

Technische Schutzmaßnahmen unzureichend

Das Gutachten stellt zudem fest, dass selbst technische Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung keinen vollständigen Schutz bieten. Das US-Prozessrecht verpflichtet Unternehmen zur sogenannten „Litigation Hold“ – der Pflicht, verfahrensrelevante Informationen schon vor Beginn eines Rechtsstreits zu speichern. Ein Cloud-Anbieter, der regelmäßig mit Herausgabeverlangen konfrontiert ist und sich durch technische Maßnahmen vom Zugang ausschließt, riskiert erhebliche Bußgelder oder strafrechtliche Konsequenzen.

🚨 Wichtig zu verstehen: Verschlüsselung schützt die Daten während der Übertragung und Speicherung. Sie schützt jedoch nicht vor der rechtlichen Verpflichtung zur Herausgabe. Ein US-Unternehmen, das über die Schlüssel verfügt oder diese beschaffen kann, muss diese im Zweifelsfall an US-Behörden übergeben.

Die Lösung: Rein deutsches Hosting ohne US-Verbindung

Die einzige Möglichkeit, sich rechtlich vollständig vor US-Zugriffen zu schützen, ist die Nutzung von Cloud- und Hosting-Diensten, die keinerlei Verbindung zu US-Unternehmen haben. Nur Anbieter, die vollständig außerhalb der US-Rechtsordnung operieren, können echte digitale Souveränität gewährleisten.

✓ SEO NW – Alexander Müller: 100% deutsches Hosting

Bei uns sind Ihre Daten vor US-Zugriffen geschützt. Wir betreiben unsere gesamte Infrastruktur ausschließlich auf eigenen Servern in Deutschland – ohne jegliche Verbindung zu US-Unternehmen.

  • Keine US-Muttergesellschaft: SEO NW ist ein inhabergeführtes deutsches Unternehmen mit Sitz in Bertingen. Es gibt keine amerikanische Konzernstruktur.
  • Keine Geschäftsbeziehungen mit den USA: Wir unterhalten keinerlei geschäftliche Verbindungen (Cloud, Server, Webhosting) in die Vereinigten Staaten.
  • Server ausschließlich in Deutschland: Ihre Daten verlassen Deutschland nicht und unterliegen ausschließlich deutschem und europäischem Recht.
  • Vollständige DSGVO-Konformität: Keine Kompromisse bei Datenschutz und Compliance.
  • Kein Datenabfluss möglich: Wir sind rechtlich und faktisch nicht zur Herausgabe an US-Stellen verpflichtet.

Vergleich: US-Cloud vs. Deutsches Hosting

Kriterium US-Cloud-Anbieter SEO NW (Deutschland)
Unterliegt Cloud Act ✗ Ja ✓ Nein
Unterliegt FISA 702 ✗ Ja ✓ Nein
US-Muttergesellschaft ✗ Ja ✓ Nein
Geschäftstätigkeit in USA ✗ Ja ✓ Nein
Serverstandort nur Deutschland ✗ Teilweise ✓ Ja
Vollständige DSGVO-Konformität ✗ Fraglich ✓ Garantiert
Schutz vor US-Behördenzugriff ✗ Nein ✓ Ja

Handlungsempfehlungen für Unternehmen

Angesichts der rechtlichen Situation sollten Unternehmen ihre Cloud-Strategie dringend überprüfen. Die folgenden Schritte sind empfehlenswert:

Sofortmaßnahmen

📋
1. Bestandsaufnahme
Erfassen Sie alle genutzten Cloud-Dienste und prüfen Sie, welche von US-Unternehmen kontrolliert werden. Berücksichtigen Sie auch indirekte Abhängigkeiten.
⚖️
2. Risikoanalyse
Bewerten Sie, welche Daten besonders schützenswert sind (personenbezogene Daten, Geschäftsgeheimnisse, Gesundheitsdaten) und welches Risiko ein US-Zugriff darstellt.
📑
3. Datenschutz-Folgenabschätzung
Führen Sie für kritische Verarbeitungen eine DSFA durch, die explizit das Risiko von US-Zugriffen berücksichtigt.
🔄
4. Migrationsstrategie
Entwickeln Sie einen Plan zur Migration kritischer Daten und Anwendungen zu europäischen Anbietern ohne US-Verbindung.

Langfristige Strategie: Digitale Souveränität

Die Ereignisse der letzten Jahre zeigen: Digitale Souveränität ist kein Luxus, sondern eine Notwendigkeit. Unternehmen, die heute auf europäische Alternativen setzen, sind besser aufgestellt für eine Zukunft, in der geopolitische Spannungen zunehmen und der Schutz von Daten immer wichtiger wird.

Schleswig-Holstein macht es vor: Als erstes deutsches Bundesland plant es den vollständigen Ausstieg aus der Microsoft-Abhängigkeit bis September 2025. Auch die Niederlande, Frankreich und die Schweiz arbeiten an entsprechenden Strategien. Die drei Länder kooperieren sogar bei der Entwicklung freier Office-Software als Alternative zu Microsoft 365.

💡 Fazit: Das Gutachten des Bundesinnenministeriums und die eidliche Aussage des Microsoft-Managers bestätigen, was Datenschutzexperten seit Jahren warnen. Wer seine Daten bei US-Cloud-Anbietern speichert, nimmt bewusst in Kauf, dass diese für US-Behörden zugänglich sind. Die einzige sichere Alternative ist die Nutzung von Anbietern, die vollständig außerhalb der US-Rechtsordnung operieren – wie SEO NW mit seinem rein deutschen Hosting.

Quellen:

  • heise.de: Gutachten – US-Behörden haben weitreichenden Zugriff auf europäische Cloud-Daten
    (10.12.2025)
  • heise.de: Microsoft kann Sicherheit von EU-Daten nicht garantieren (Juni 2025)
  • IT Finanzmagazin: FISA 702, Cloud Act & Co – US-Überwachung killt europäischen Datenschutz
    (Juli 2025)
    ───────────────────────────────────────
    SEO NW – Alexander MüllerDeutsches bzw. europäisches Webhosting und Cloud
    Webhosting | SEO | Webentwicklung | 24/7 IT-Support
    Bertingen, Deutschland | www.seo-manager.info

Was ist der Cloud Act und warum betrifft er europäische Unternehmen?

Der Clarifying Lawful Overseas Use of Data Act (Cloud Act) ist ein US-amerikanisches Gesetz aus dem Jahr 2018, das US-Unternehmen verpflichtet, Daten an US-Behörden herauszugeben – unabhängig davon, wo diese Daten physisch gespeichert sind. Das bedeutet: Auch Daten, die in einem deutschen Rechenzentrum liegen, fallen unter US-Recht, wenn ein amerikanisches Unternehmen wie Microsoft, Amazon oder Google die Kontrolle darüber ausübt. Für europäische Unternehmen bedeutet dies, dass ihre bei US-Cloud-Anbietern gespeicherten Daten potenziell US-Behörden zugänglich sind.

Bietet die Speicherung in EU-Rechenzentren Schutz vor US-Datenzugriff?

Nein, die physische Speicherung in EU-Rechenzentren bietet keinen rechtlichen Schutz vor US-Zugriffen. Dies wurde im Juni 2025 vom Chefjustiziar von Microsoft Frankreich unter Eid vor dem französischen Senat bestätigt. Entscheidend ist nicht der Speicherort, sondern ob ein US-Unternehmen die Kontrolle über die Daten ausübt. Microsofts EU Data Boundary und ähnliche technische Maßnahmen können die rechtliche Realität nicht ändern: Bei einer formal korrekten Anfrage nach dem Cloud Act ist das Unternehmen zur Herausgabe verpflichtet.

Was ist FISA Section 702 und wie unterscheidet es sich vom Cloud Act?

FISA Section 702 ist Teil des Foreign Intelligence Surveillance Act und ermöglicht US-Geheimdiensten den Zugriff auf Kommunikationsdaten ausländischer Personen ohne richterliche Anordnung. Während der Cloud Act primär der Strafverfolgung dient und einen formalen Anfrageprozess erfordert, erlaubt FISA 702 geheimdienstliche Massenüberwachung. Der Reforming Intelligence and Securing America Act (RISAA) von 2024 hat den Anwendungsbereich noch erweitert, sodass praktisch jede Organisation mit Zugang zu Kommunikationsgeräten betroffen sein kann.

Ist das EU-US Data Privacy Framework ein ausreichender Schutz?

Das EU-US Data Privacy Framework steht auf wackeligem rechtlichen Fundament. Seit Januar 2025 ist das zentrale Kontrollorgan PCLOB nach der Entlassung mehrerer Mitglieder funktionsunfähig. Das gesamte Abkommen basiert auf einer Executive Order, die jederzeit aufgehoben werden kann. Der Europäische Gerichtshof hat bereits zwei Vorgängerabkommen (Safe Harbor und Privacy Shield) für ungültig erklärt. Experten erwarten, dass auch das aktuelle Framework vor dem EuGH keinen Bestand haben wird.

Können auch rein europäische Unternehmen von US-Gesetzen betroffen sein?

Ja, laut dem Gutachten des Bundesinnenministeriums kann die US-Jurisdiktion auch rein europäische Unternehmen erfassen, sofern diese relevante geschäftliche Verbindungen in die USA unterhalten. Dies kann signifikante Geschäftsaktivitäten in den USA, die Nutzung von US-Cloud-Diensten oder die Abwicklung von Zahlungen über US-Finanzinstitute umfassen. Nur Unternehmen ohne jegliche US-Verbindung sind vollständig vor der extraterritorialen Reichweite der US-Gesetze geschützt.

Schützt Verschlüsselung vor US-Datenzugriffen?

Verschlüsselung bietet keinen vollständigen Schutz vor US-Zugriffen. Zwar schützt sie die Daten während der Übertragung und Speicherung technisch, jedoch nicht vor der rechtlichen Verpflichtung zur Herausgabe. US-Unternehmen, die über Verschlüsselungsschlüssel verfügen oder diese beschaffen können, müssen diese bei einer rechtmäßigen Anfrage an US-Behörden übergeben. Zudem verpflichtet das US-Prozessrecht Unternehmen zur Aufbewahrung verfahrensrelevanter Daten – ein Ausschluss durch technische Maßnahmen kann zu Bußgeldern führen.

Was macht deutsches Hosting ohne US-Verbindung sicherer?

Ein deutscher Hosting-Anbieter ohne US-Verbindung unterliegt weder dem Cloud Act noch FISA 702. Ohne US-Muttergesellschaft, ohne Geschäftsbeziehungen in die USA und ohne Nutzung von US-Infrastruktur besteht kein rechtlicher Anknüpfungspunkt für US-Behörden. Solche Anbieter operieren vollständig innerhalb der deutschen und europäischen Rechtsordnung, wodurch ausschließlich DSGVO und deutsches Recht gelten. Eine Verpflichtung zur Datenherausgabe an US-Stellen besteht nicht.

Welche Alternativen gibt es zu US-Cloud-Diensten?

Es gibt zahlreiche europäische Alternativen zu US-Cloud-Diensten. Für Webhosting und Cloud-Infrastruktur bieten deutsche Anbieter wie SEO NW vollständig DSGVO-konforme Lösungen ohne US-Verbindung. Für Office-Anwendungen entwickeln Deutschland, die Niederlande und Frankreich gemeinsam Open-Source-Alternativen. Schleswig-Holstein plant als erstes Bundesland den vollständigen Ausstieg aus Microsoft-Produkten. Initiativen wie Gaia-X fördern den Aufbau einer souveränen europäischen Cloud-Infrastruktur.

Letzte Bearbeitung am Freitag, 12. Dezember 2025 – 15:13 Uhr von Alex, Head of SEO Manager.

Avatar-Foto
Alex

Alex aus Bertingen ist SEO-Experte mit langjähriger Erfahrung im Online-Marketing und spezialisiert auf nachhaltige Strategien zur Verbesserung der Web-Sichtbarkeit. Als Teil des Teams der SEO Manager entwickelt er individuell abgestimmte Konzepte, um Webseiten effektiv im Ranking zu steigern. Mit seiner Leidenschaft für datengetriebene Analysen und zielgerichtete Content-Optimierung unterstützt er Unternehmen dabei, ihre digitale Präsenz stetig auszubauen.

Ähnliche Beiträge