Americké úřady odposlouchávají: Proč servery ve Frankfurtu nechrání data vaší společnosti
Předběžné vydání Xpertu
Výběr jazyka 📢
Publikováno: 28. března 2026 / Aktualizováno: 28. března 2026 – Autor: Konrad Wolfenstein
Americké úřady odposlouchávají: Proč servery ve Frankfurtu nechrání firemní data – Obrázek: Xpert.Digital
Velký omyl v cloudu: Proč je mít servery v Německu pastí na ochranu dat
Zákon CLOUD Act poráží GDPR: Nebezpečný mýtus o bezpečném cloudovém serveru v USA
Datová suverenita v ohrožení: Skutečná cena pro Microsoft, AWS a Google v Německu
Mnoho německých firem se nechává ukolébat falešným pocitem bezpečí: věří, že jejich citlivá data jsou chráněna před neoprávněným přístupem, pokud se server nachází ve Frankfurtu nebo Mnichově. Tato údajná ochrana je však nebezpečným omylem. Americký zákon CLOUD Act nutí americké technologické giganty, jako jsou Microsoft, AWS a Google, předávat data americkým úřadům – bez ohledu na to, kde na světě jsou fyzicky uložena. To vede k neslučitelnému rozporu s evropským nařízením GDPR. Vzhledem k výrazně zpřísněným regulačním požadavkům uloženým zákonem NIS-2 a nařízením DORA se datová suverenita do roku 2026 promění z abstraktní IT otázky v povinnost přísného dodržování předpisů. Tento článek zkoumá právní úskalí amerických cloudů, vysvětluje probíhající Schremsovo dilema a ukazuje, které skutečné německé a evropské alternativy by nyní měly společnosti využít, aby zůstaly strategicky konkurenceschopné.
Souvisí s tím:
Umístění serveru v Německu: Proč to samo o sobě nechrání před přístupem z USA
Častý omyl: Německé datové centrum a americký poskytovatel – to není ochrana, to je past
V německých firmách, vládních agenturách a veřejné správě panuje rozšířený názor, že pokud jsou naše data uložena na serveru ve Frankfurtu nebo Mnichově, jsou v bezpečí před přístupem ze zahraničí, v souladu s GDPR a právně bezproblémová. Tento názor je pochopitelný. Je však také nebezpečně mylný. Protože zaměňuje fyzické místo uložení s jurisdikcí – a právě tento zmatek je vstupní branou k jednomu z nejsložitějších problémů ochrany údajů v našem digitálním věku.
Americký zákon CLOUD Act z roku 2018 – Clarifying Lawful Overseas Use of Data Act – opravňuje americké orgány k tomu, aby požadovaly, aby jakákoli společnost se sídlem v USA předala data, která má v držení, úschově nebo pod kontrolou, bez ohledu na to, kde jsou tato data fyzicky uložena. Například datové centrum ve Frankfurtu ze zákona patří společnostem AWS, Microsoft Azure nebo Google Cloud – všem americkým společnostem. Soudní příkaz v USA může vynutit vydání těchto dat, aniž by byl nutně informován dotčený evropský správce údajů.
Souvisí s tím:
CLOUD Act versus GDPR: Neřešitelný konflikt
Konflikt mezi americkým zákonem CLOUD a obecným nařízením EU o ochraně osobních údajů (GDPR) není pouze abstraktní právní otázkou. Jde o přímý střet dvou právních systémů, které se drží odlišných základních hodnot. GDPR stanoví, že osobní údaje občanů EU mohou být do třetích zemí předávány pouze za přísných podmínek. Zákon CLOUD umožňuje americkým orgánům získat právě tyto údaje – bez nutnosti smluv EU o vzájemné právní pomoci.
Dotčené společnosti se ocitly v dilematu: Pokud vyhoví americkému nařízení, riskují porušení GDPR. Pokud tak neučiní, čelí v USA právním důsledkům. Evropský sbor pro ochranu osobních údajů jednoznačně uvedl, že cloudové služby nesmí přenášet data pouze na základě zákona CLOUD. Právní stanovisko Univerzity v Kolíně nad Rýnem, které si nechalo vypracovat německé spolkové ministerstvo vnitra, stručně shrnuje praktické důsledky: Schopnost amerických orgánů získat data „nelze spolehlivě vyloučit“ – a to ani prostřednictvím technických nebo organizačních opatření.
Schremsovo dilema a jeho následky
Historie transatlantických sporů o ochranu osobních údajů je historií neúspěšných kompromisů. Dohoda „Safe Harbor“ byla v roce 2015 zrušena rozhodnutím Evropského soudního dvora (ESD) ve věci Schrems I. Rozsudek o „Privacy Shield“ následoval v roce 2020 rozhodnutím ve věci Schrems II. V každém případě ESD shledal, že americké zákony, jako je FISA Section 702 a CLOUD Act, brání účinné ochraně evropských údajů. Současný Transatlantický rámec pro ochranu osobních údajů (TADPF/DPF) byl přijat v červenci 2023 a Evropský soudní dvůr jej předběžně potvrdil v září 2025. Odvolání k ESD je však možné – a vzhledem k precedentům ani nepravděpodobné.
I kdyby DPF obstál u soudu, nezměnilo by to základní problém: výkonné nařízení 14086, na kterém je DPF založen, je prezidentský dekret – a americký prezident jej může kdykoli pozastavit nebo změnit. Každý, kdo staví svou strategii ochrany dat na tomto politicky nestabilním mechanismu, proto staví na písku. Společnost Microsoft nyní otevřeně přiznala, že nemůže zaručit, že evropská data jsou v bezpečí před přístupem amerických úřadů.
Co umístění serveru skutečně znamená
Technicky vzato existují přístupy, které toto riziko snižují. Takzvaná datová hranice EU od Microsoftu slibuje exkluzivní zpracování v rámci EU, podporu ze strany personálu EU a kontrolu nad šifrovacími klíči. AWS a Google Cloud nabízejí podobné koncepty suverénního cloudu. Přístup z USA však v některých případech stále existuje, protože mateřská společnost podléhá americkému právu. Zásadní rozdíl, který je často přehlížen, spočívá v tom, že nezáleží jen na umístění serveru, ale také na jurisdikci společnosti, která server vlastní. Zákon CLOUD se nepoužije pouze v případě, že poskytovatel a datové centrum plně podléhají německému a evropskému právu.
Idgard to stručně vyjadřuje: Americká společnost, která získá německého poskytovatele cloudových služeb, zdědí také zákon CLOUD Act – bez ohledu na to, kde se servery nacházejí. Tento scénář není teoretický. V posledních letech americké technologické společnosti agresivně získávají evropské poskytovatele cloudových služeb nebo je integrují jako strategické partnery. Každý, kdo pravidelně nekontroluje vlastnickou strukturu svého poskytovatele, se může stát obětí tohoto trendu, aniž by si to uvědomoval.
🎯🎯🎯 Datově řízené centrum pro B2B průmysl jako kvazi-interní řešení
Kvazi-interní řešení: Jak Xpert.Digital uzavírá provozní mezery v marketingu a prodeji B2B – Smart Content-Driven Business - Obrázek: Xpert.Digital
Xpert.Digital je datově orientované B2B centrum pro průmysl, které vede Konrad Wolfenstein . Společnost funguje jako externí, kvazi-interní řešení pro průmyslové partnery a odstraňuje provozní mezery v marketingu, obsahu a prodeji – aniž by vyžadovala další zdroje na straně klienta.
Více informací zde:
Proč se německé cloudové výpočty stávají povinností v oblasti zadávání veřejných zakázek: řešení, poskytovatelé, doporučení k akci
Německé a evropské alternativy
Existuje jasné řešení: využití cloudových poskytovatelů, kteří nejen provozují svá datová centra v Německu, ale mají zde i svá ústředí, a proto podléhají výhradně německému a evropskému právu. Tito poskytovatelé existují – v rostoucím počtu a se stále sofistikovanějšími portfolii služeb.
V segmentu velkých poskytovatelů infrastruktury je IONOS Cloud jedním z nejvýraznějších příkladů. Společnost IONOS se sídlem v Montabauru provozuje všechny své služby pod německou jurisdikcí, je certifikována dle BSI C5 a ISO 27001 a nabízí plný soulad s GDPR. Rozhraní datových center jsou zabezpečena evropskými zákony na ochranu osobních údajů a zahraniční zpravodajské služby nemají žádný právní základ pro žádosti o přístup k údajům.
Dalším významným hráčem je plusserver z Kolína nad Rýnem, který se specializuje na hybridní cloudové scénáře a datovou suverenitu. U německých poskytovatelů, jako je plusserver, podléhá veškeré zpracování dat výhradně německému a evropskému právu – žádný přístup zahraničních orgánů, žádná nejistota kvůli americkému zákonu CLOUD Act. Hetzner Cloud z Gunzenhausenu je známý svým vynikajícím poměrem ceny a výkonu a provozuje datová centra výhradně v Německu a EU. Stakit, cloudová dceřiná společnost skupiny Schwarz se sídlem v Neckarsulmu – známém pro Lidl a Kaufland – nabízí suverénní cloudová řešení pro firmy a veřejnou správu.
V segmentu řešení pro koncové uživatele a týmy jsou k dispozici také němečtí poskytovatelé se silnými profily ochrany dat. MagentaCLOUD od Deutsche Telekom ukládá data ve vysoce zabezpečených německých datových centrech. STRATO HiDrive je široce používaná online úložná služba od berlínské společnosti Strato AG. TeamDrive z Hamburku se specializuje na vysoce bezpečnou, end-to-end šifrovanou spolupráci. luckycloud, rovněž z Berlína, se zaměřuje na bezpečnost a flexibilní cenové modely. Úložná řešení od společností GMX, WEB.DE a mail.com, které jsou součástí skupiny United Internet Group se sídlem v Karlsruhe a Montabauru, doplňují řadu možností pro spotřebitele a malé týmy.
Souvisí s tím:
Regulační tlak se zvyšuje
Rok 2026 představuje v tomto ohledu zlomový bod. Regulační prostředí se výrazně změnilo a vytvořilo nové povinnosti, které značně zvyšují tlak na využívání suverénních poskytovatelů cloudových služeb. Implementační zákon NIS II vstoupil v platnost 5. prosince 2025 a zahrnuje zásadní revizi zákona BSI. Požadavky na kybernetickou bezpečnost byly výrazně rozšířeny a nyní se dotýkají i velkých segmentů malých a středních podniků (MSP) – se závaznými požadavky na řízení rizik, přísnějšími povinnostmi v oblasti podávání zpráv a systémy pokut založenými na příjmech.
Zákon o digitální operační odolnosti (DORA), který bude plně použitelný od 17. ledna 2025, je obzvláště důležitý pro finanční instituce a provozovatele kritické infrastruktury. Zavazuje tyto společnosti k přehodnocení celé své strategie pro řízení rizik v oblasti IKT vůči třetím stranám – včetně otázky, zda američtí poskytovatelé cloudových služeb stále splňují zákonné požadavky s ohledem na zákon CLOUD. Právní stanovisko v Kolíně nad Rýnem, které si nechalo vypracovat německé spolkové ministerstvo vnitra (BMI), poskytuje jednoznačnou odpověď. Podle analýzy společnosti Manage IT již od roku 2026 nebude suverenita jen módním slovem, ale stane se povinností při zadávání veřejných zakázek. Veřejné orgány a kritická odvětví si budou moci vybírat pouze poskytovatele, kteří jsou plně pod kontrolou EU.
GAIA-X a zákon EU o datech jako strukturální zlom
Na evropské úrovni existuje dlouhodobá iniciativa, jejímž cílem je politicky a technicky zakotvit rámec pro digitální suverenitu: projekt GAIA-X. Tato iniciativa, spuštěná v roce 2019, si klade za cíl vytvořit platformy a služby pro evropskou datovou infrastrukturu, kde si společnosti mohou přesně definovat a technicky vynucovat používání svých dat. GAIA-X není ani poskytovatelem cloudových služeb, ani evropským hyperscalerem – je to rámec pro interoperabilní, suverénní datové prostory.
Zákon EU o ochraně osobních údajů souběžně vytváří nové povinnosti pro poskytovatele cloudových služeb: lepší přenositelnost dat, interoperabilitu a spravedlivé smluvní podmínky. Posílena jsou práva zákazníků na změnu dodavatele, což strukturálně prospívá evropským poskytovatelům a snižuje závislost na amerických hyperscalerech. EU rovněž pracuje na zákoně o rozvoji cloudu a umělé inteligence, který by mohl stanovit závazná kritéria suverenity pro cloudové služby. Tyto regulační změny mění strukturu pobídek: využívání amerických poskytovatelů cloudových služeb se stává dražším a rizikovějším, zatímco přechod na evropské alternativy je snazší.
Souvisí s tím:
Praktická implementace: Co by firmy měly dělat nyní
Zjištění, že umístění serveru v Německu samo o sobě nestačí, staví mnoho společností před provozní otázky. Co to konkrétně znamená? Nejprve je nutné přezkoumat stávající cloudové smlouvy s ohledem na vlastnickou strukturu poskytovatele. Pokud má poskytovatel nebo jeho mateřská společnost sídlo v USA, existuje riziko dle zákona CLOUD Act bez ohledu na umístění serveru. Tento krok není triviální – zejména u složitých firemních struktur a nabídek „white-label“.
Dále je třeba data klasifikovat: Která data vyžadují zvláštní ochranu? Osobní údaje ve smyslu GDPR, ale také obchodní tajemství, patentové informace a dokumenty strategického plánování. Tato data by měla být nejlépe uložena u poskytovatelů působících podle německého nebo unijního práva. S méně citlivými daty a neosobními informacemi lze nakládat flexibilněji. Úplná migrace k německým poskytovatelům není v krátkodobém horizontu proveditelná ani pro mnoho společností vždy ekonomicky životaschopná. Pragmatickým přístupem pro většinu organizací je chytrá hybridní strategie, která přenáší citlivá data do suverénní infrastruktury a ponechává méně kritické systémy v multicloudových scénářích.
Datová suverenita jako strategická charakteristika firmy
Datová suverenita není jen otázkou IT. Je to strategická obchodní otázka. Společnosti, které ztratí kontrolu nad svými daty – ať už kvůli selhání regulačních orgánů, přístupu amerických úřadů nebo strukturální závislosti na jediném poskytovateli – ztrácejí také strategickou agilitu. Zákaznická data, vývojová data, data dodavatelů: to jsou suroviny pro budoucí konkurenční výhody. Jejich nekontrolované vystavení zahraničním právním systémům není vypočítatelným rizikem, ale strukturální zranitelností.
Dobrou zprávou je, že alternativy existují, technologicky se rychle vyvíjejí a regulační prostředí činí jejich využití stále atraktivnějším. IONOS Cloud, plusserver, Hetzner, Stakit, TeamDrive a jejich konkurenti nyní nabízejí řadu služeb dostatečných pro drtivou většinu obchodních potřeb. Rozhodující výhodou je snad to, že nabízejí jistotu právního plánování. A ve světě, kde je nutné transatlantický režim ochrany údajů znovu projednávat každé několik let, je jistota plánování hodnotou, kterou nelze měřit v terabajtech – ale rozhodně v důvěře, dodržování předpisů a strategické autonomii.
Váš globální partner pro marketing a rozvoj obchodu
☑️ Naším obchodním jazykem je angličtina nebo němčina
☑️ NOVINKA: Korespondence ve vašem rodném jazyce!
Konrad Wolfenstein
Já a můj tým jsme rádi, že vám můžeme být k dispozici jako váš osobní poradce.
Můžete mě kontaktovat vyplněním kontaktního formuláře zde nebo jednoduše zavolat na číslo +49 89 89 674 804 ( Mnichov) . Moje e-mailová adresa je: [email protected]
Těším se na náš společný projekt.
