Wenn Ihr Unternehmen Google Workspace, Microsoft 365, AWS oder einen anderen US-amerikanischen Cloud-Dienst nutzt, unterliegen Ihre Daten dem amerikanischen Recht — unabhängig davon, wo sich die Server physisch befinden. Das ist keine Vermutung. Es ist ein Bundesgesetz namens CLOUD Act.
Der im März 2018 unterzeichnete Clarifying Lawful Overseas Use of Data Act sollte ein Zuständigkeitsproblem für US-Strafverfolgungsbehörden lösen. Für europäische Unternehmen hat er jedoch ein weitaus größeres Problem geschaffen: einen direkten Konflikt mit der DSGVO, der Ihre Compliance gefährdet.
Was genau ist der Cloud Act?
Der CLOUD Act gibt US-Strafverfolgungsbehörden die rechtliche Befugnis, US-amerikanische Unternehmen zur Herausgabe von Daten zu zwingen, die überall auf der Welt gespeichert sind — vorausgesetzt, das Unternehmen hat „Besitz, Gewahrsam oder Kontrolle" über diese Daten.
Konkret bedeutet das:
- Google kann gezwungen werden, Ihre Gmail-Daten herauszugeben, selbst wenn Sie gezielt ein europäisches Rechenzentrum gewählt haben
- Microsoft kann angewiesen werden, Ihre SharePoint-Dateien aus Irland oder den Niederlanden zu liefern
- Amazon Web Services kann verpflichtet werden, Zugriff auf Datenbanken in Frankfurt zu gewähren
Der entscheidende Faktor ist nicht, wo die Daten gespeichert sind, sondern wer die Infrastruktur kontrolliert. Ist das Unternehmen in den USA ansässig oder hat es bedeutende Geschäftstätigkeit dort, gilt der Cloud Act.
Kernaussage: Die Wahl eines „europäischen Rechenzentrums" bei einem US-Cloud-Anbieter schützt Ihre Daten NICHT vor dem Cloud Act. Das Gesetz folgt dem Unternehmen, nicht dem Serverstandort.
Cloud Act vs. DSGVO: ein unauflösbarer Konflikt
Die europäische Datenschutz-Grundverordnung (DSGVO) besagt, dass personenbezogene Daten von EU-Bürgern nicht ohne angemessene Schutzmaßnahmen in Drittländer übertragen werden dürfen (Artikel 44-49). Der Cloud Act verlangt genau diese Übermittlung — und macht es für Unternehmen strafbar, sie zu verweigern.
US-Cloud-Anbieter stehen vor einem Dilemma:
- Cloud Act befolgen → DSGVO verletzen (Risiko: bis zu 4 % des weltweiten Jahresumsatzes)
- DSGVO befolgen → US-Recht verletzen (Risiko: strafrechtliche Verfolgung)
In der Praxis kommen US-Unternehmen fast immer den Anforderungen der US-Behörden nach. Zwischen 2019 und 2024 erhielt Google über 200.000 Datenanfragen von US-Behörden und erfüllte die Mehrheit davon.
Die Schrems-II-Verbindung
Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den EU-US Privacy Shield im wegweisenden Schrems-II-Urteil (Rechtssache C-311/18) für ungültig. Das Gericht nannte ausdrücklich US-Überwachungsgesetze — einschließlich des Cloud Act — als Grund dafür, dass die USA kein angemessenes Datenschutzniveau bieten.
Obwohl 2023 der EU-US-Datenschutzrahmen als Nachfolger verabschiedet wurde, erwarten Rechtsexperten weitgehend, dass auch dieser gekippt wird. Max Schrems' Organisation noyb hat bereits angekündigt, ihn anzufechten.
Konkrete Folgen für europäische Unternehmen
1. Compliance-Risiko
Wenn Ihr Unternehmen personenbezogene Daten von EU-Bürgern über US-Cloud-Dienste verarbeitet, stützen Sie sich auf einen Rechtsrahmen (SCCs + ergänzende Maßnahmen), den mehrere Datenschutzbehörden in Frage gestellt haben. Mehrere europäische Aufsichtsbehörden haben bereits entschieden, dass die Nutzung von Google Analytics gegen die DSGVO verstößt — und dieselbe Logik gilt für Google Workspace, Microsoft 365 und AWS.
2. Preisgabe von Geschäftsgeheimnissen
Der Cloud Act beschränkt sich nicht auf personenbezogene Daten. US-Behörden können beliebige Daten anfordern: Geschäftsgeheimnisse, Finanzdokumente, strategische Unterlagen, proprietären Code. Ein Cloud-Act-Beschluss erfordert keine Benachrichtigung des Dateneigentümers — Ihr Unternehmen erfährt möglicherweise nie, dass auf seine Daten zugegriffen wurde.
3. Vertragliche Haftung
Wenn Sie Ihren Kunden garantieren, dass deren Daten in Europa bleiben (üblich in B2B-Verträgen), birgt die Nutzung eines US-Cloud-Anbieters ein Vertragsbruch-Risiko. Dies ist besonders relevant für Unternehmen in regulierten Branchen: Gesundheitswesen, Finanzdienstleistungen, Rechtsberatung und öffentliche Aufträge.
4. Ausschluss vom öffentlichen Sektor
Mehrere EU-Regierungen verlangen inzwischen „souveräne Cloud"-Lösungen für öffentliche Aufträge. Frankreichs SecNumCloud-Zertifizierung, Deutschlands Gaia-X-Initiative und das europäische Cybersicherheits-Zertifizierungsschema schließen Standard-US-Cloud-Angebote faktisch aus.
Was europäische Unternehmen tun sollten
Die gute Nachricht: Das europäische Software-Ökosystem ist erheblich gereift. Es gibt mittlerweile glaubwürdige, funktional vollständige Alternativen für praktisch jeden US-Cloud-Dienst.
Schritt 1: US-Cloud-Abhängigkeiten prüfen
Listen Sie jeden US-amerikanischen Dienst auf, den Ihr Unternehmen nutzt: E-Mail, Dateispeicher, CRM, Projektmanagement, Videokonferenzen, Analytics. Identifizieren Sie für jeden, welche Art von Daten darüber fließt.
Schritt 2: Nach Risiko priorisieren
Beginnen Sie mit den Diensten, die die sensibelsten Daten verarbeiten. E-Mail und Dateispeicher stehen typischerweise an erster Stelle — sie enthalten praktisch alles.
Schritt 3: Europäische Alternativen bewerten
Suchen Sie nach Lösungen, die:
- In Europa ansässig sind — nicht dem Cloud Act unterworfen
- Auf europäischer Infrastruktur gehostet werden — Daten physisch in der EU
- DSGVO-konform by Design sind — nicht als nachträgliche Ergänzung
- Funktional wettbewerbsfähig sind — Migration soll kein Rückschritt sein
Schritt 4: Migration planen
Die meisten europäischen Alternativen bieten Migrationstools und Dokumentation. Beginnen Sie mit einem Pilotteam, validieren Sie den Workflow und rollen Sie dann unternehmensweit aus. Planen Sie 1-3 Monate für E-Mail-/Speicher-Migrationen, mehr für komplexe CRM- oder ERP-Umstellungen.
Finden Sie Ihre europäischen Alternativen
SwitchTo.eu vergleicht europäische Software-Alternativen mit unabhängiger, ehrlicher Bewertung. Keine Werbung, keine Affiliates, keine gesponserten Empfehlungen — nur objektive Daten zu Migrationserleichterung, DSGVO-Konformität und Funktionsparität.
Alternativen vergleichenDas große Bild: Digitale Souveränität
Der Cloud Act ist ein Symptom eines größeren Problems: der technologischen Abhängigkeit. Wenn europäische Unternehmen vollständig auf US-Infrastruktur angewiesen sind, setzen sie sich nicht nur rechtlichen, sondern auch geopolitischen Risiken aus. Zölle, Sanktionen, Politikwechsel und Handelsstreitigkeiten können den Zugang zu kritischen Diensten stören.
Digitale Souveränität bedeutet nicht, Technologie von außerhalb Europas abzulehnen. Es geht darum, die Wahl zu haben — und sicherzustellen, dass diese Wahl nicht mit versteckten rechtlichen Bedingungen verbunden ist.
Das europäische Software-Ökosystem war nie stärker. Dutzende Unternehmen auf dem ganzen Kontinent entwickeln erstklassige Alternativen, die US-Angebote in der Qualität erreichen oder übertreffen — und gleichzeitig Ihre Daten unter europäischem Recht halten. Die Frage ist nicht mehr, ob geeignete Alternativen existieren — sondern ob Sie bereit sind, den Wechsel zu vollziehen.