US-Behörden lesen mit: Warum Server in Frankfurt Ihre Unternehmensdaten nicht schützen – Bild: Xpert.Digital
Der große Cloud-Irrtum: Warum der Serverstandort Deutschland eine Datenschutz-Falle ist
CLOUD Act schlägt DSGVO: Das gefährliche Märchen vom sicheren US-Cloud-Server
Datensouveränität in Gefahr: Der wahre Preis für Microsoft, AWS und Google in Deutschland
Viele deutsche Unternehmen wähnen sich in falscher Sicherheit: Sie glauben, dass ihre sensiblen Daten vor fremden Zugriffen geschützt sind, solange der Server nur in Frankfurt oder München steht. Doch dieser vermeintliche Schutz ist ein gefährlicher Irrtum. Der US CLOUD Act zwingt amerikanische Tech-Giganten wie Microsoft, AWS oder Google, Daten an US-Behörden herauszugeben – völlig unabhängig davon, wo auf der Welt diese physisch gespeichert sind. Das führt zu einem unlösbaren Konflikt mit der europäischen DSGVO. Angesichts der massiv verschärften regulatorischen Anforderungen durch das NIS-2-Gesetz und die DORA-Verordnung wird das Thema Datensouveränität 2026 nun von einer abstrakten IT-Frage zur harten Compliance-Pflicht. Dieser Artikel beleuchtet die rechtlichen Fallstricke der US-Clouds, erklärt das anhaltende Schrems-Dilemma und zeigt, welche echten deutschen und europäischen Alternativen Unternehmen jetzt nutzen sollten, um strategisch handlungsfähig zu bleiben.
Passend dazu:
Serverstandort Deutschland: Warum das allein nicht vor dem US-Zugriff schützt
Die verbreitete Fehlannahme: Ein deutsches Rechenzentrum und ein US-Anbieter – das ist kein Schutz, das ist eine Falle
In deutschen Unternehmen, Behörden und Verwaltungen ist eine Überzeugung weit verbreitet: Wenn unsere Daten auf einem Server in Frankfurt oder München liegen, dann sind sie sicher vor ausländischem Zugriff, DSGVO-konform und rechtlich einwandfrei. Diese Überzeugung ist verständlich. Sie ist auch gefährlich falsch. Denn sie verwechselt den physischen Speicherort mit der rechtlichen Zuständigkeit – und genau diese Verwechslung ist das Einfallstor für eines der komplexesten Datenschutzprobleme der digitalen Gegenwart.
Der US CLOUD Act von 2018 – der Clarifying Lawful Overseas Use of Data Act – ermächtigt US-amerikanische Behörden, von jedem Unternehmen mit Sitz in den USA die Herausgabe von Daten zu verlangen, die sich in dessen Besitz, Obhut oder Kontrolle befinden, unabhängig davon, wo diese Daten physisch gespeichert sind. Ein Datenzentrum in Frankfurt gehört rechtlich gesehen zu AWS, Microsoft Azure oder Google Cloud – US-Unternehmen. Ein richterlicher Beschluss in den USA kann die Herausgabe dieser Daten erzwingen, und zwar ohne dass der betroffene europäische Datenverantwortliche davon zwingend erfährt.
Passend dazu:
CLOUD Act gegen DSGVO: Ein unauflösbarer Konflikt
Der Konflikt zwischen dem US CLOUD Act und der Datenschutz-Grundverordnung der EU ist nicht nur eine abstrakte Rechtsfrage. Er ist ein direkter Kollisionskurs zweier Rechtsordnungen, die unterschiedlichen Grundwerten folgen. Die DSGVO schreibt vor, dass personenbezogene Daten von EU-Bürgern nur unter strengen Bedingungen in Drittstaaten übermittelt werden dürfen. Der CLOUD Act erlaubt US-Behörden, genau diese Daten zu erlangen – ohne den Umweg über EU-Rechtshilfeabkommen.
Die betroffenen Unternehmen stecken in einer Zwickmühle: Kommen sie einer US-Vorladung nach, riskieren sie einen Verstoß gegen die DSGVO. Kommen sie ihr nicht nach, drohen rechtliche Konsequenzen in den USA. Der Europäische Datenschutzausschuss hat unmissverständlich klargestellt, dass Cloud-Dienste nicht allein auf Grundlage des CLOUD Act Daten übermitteln dürfen. Was das für die Praxis bedeutet, hat ein Rechtsgutachten der Universität zu Köln, erstellt im Auftrag des Bundesministeriums des Innern, auf den Punkt gebracht: Die Fähigkeit der US-Behörden, Daten zu erlangen, kann „nicht zuverlässig ausgeschlossen werden“ – auch nicht durch technische oder organisatorische Maßnahmen.
Das Schrems-Dilemma und seine Nachwirkungen
Die Geschichte der transatlantischen Datenschutzkonflikte ist eine Geschichte gescheiterter Kompromisse. Safe Harbor fiel 2015 durch das Schrems-I-Urteil des Europäischen Gerichtshofs (EuGH). Privacy Shield folgte 2020 mit dem Schrems-II-Urteil. Der EuGH stellte jeweils fest, dass US-Gesetze wie FISA Section 702 und der CLOUD Act einen wirksamen Schutz europäischer Daten verhindern. Das aktuelle Trans-Atlantic Data Privacy Framework (TADPF / DPF) wurde im Juli 2023 beschlossen und im September 2025 vom Europäischen Gerichtshof vorerst bestätigt. Allerdings ist eine Revision beim EuGH möglich – und angesichts der Präzedenzfälle nicht unwahrscheinlich.
Selbst wenn das DPF rechtlich Bestand haben sollte, ändert es nichts an der grundlegenden Problematik: Die Executive Order 14086, auf der das DPF basiert, ist ein präsidialer Erlass – und kann von einem US-Präsidenten jederzeit ausgesetzt oder geändert werden. Wer also seine Datenschutzstrategie auf diesen politisch labilen Mechanismus aufbaut, baut auf Sand. Microsoft hat inzwischen offen eingeräumt, dass das Unternehmen nicht garantieren kann, dass europäische Daten vor einem Zugriff durch US-Behörden sicher sind.
Was der Serverstandort wirklich bedeutet
Technisch gibt es durchaus Ansätze, die das Risiko reduzieren. Microsofts sogenannte EU-Datengrenze verspricht ausschließliche Verarbeitung in der EU, Betreuung durch EU-Personal und Kontrolle über Verschlüsselungsschlüssel. AWS und Google Cloud bieten ähnliche Sovereign-Cloud-Konzepte an. Doch die Zugriffsmöglichkeit aus den USA besteht im Zweifel trotzdem, da das Mutterunternehmen dem US-Recht unterliegt. Der entscheidende Unterschied, der oft übersehen wird: Es kommt nicht nur auf den Ort des Servers an, sondern auf die Jurisdiktion des Unternehmens, dem der Server gehört. Nur wenn Anbieter und Rechenzentrum vollständig unter deutschem und europäischem Recht stehen, greift der CLOUD Act nicht.
Idgard bringt es präzise auf den Punkt: Ein Unternehmen aus den USA, das einen deutschen Cloud-Anbieter übernimmt, nimmt damit auch den CLOUD Act mit – unabhängig davon, wo die Server stehen. Diese Fallkonstellation ist kein theoretisches Szenario. US-Technologiekonzerne haben in den letzten Jahren aggressiv europäische Cloud-Anbieter akquiriert oder als strategische Partner eingebunden. Wer seinen Anbieter nicht regelmäßig auf seine Eigentümerstruktur prüft, kann Opfer dieser Entwicklung werden, ohne es zu bemerken.
🎯🎯🎯 Datengetriebener B2B-Industry-Hub als Quasi-Inhouse-Lösung
Die Quasi-Inhouse-Lösung: Wie Xpert.Digital operative Lücken in B2B-Marketing und Vertrieb schließt – Smart Content-Driven Business - Bild: Xpert.Digital
Xpert.Digital ist ein von Konrad Wolfenstein geführter, datengetriebener B2B-Industry-Hub. Das Unternehmen agiert als externe Quasi-Inhouse-Lösung für Industriepartner und schließt operative Lücken in Marketing, Content und Vertrieb – ohne zusätzlichen Ressourcenaufbau auf Kundenseite.
Mehr dazu hier:
Warum deutsche Clouds jetzt zur Beschaffungspflicht werden: Lösungen, Anbieter, Handlungsempfehlungen
Die deutschen und europäischen Alternativen
Es gibt eine klare Lösung: die Nutzung von Cloud-Anbietern, die nicht nur ihre Rechenzentren in Deutschland betreiben, sondern auch ihren Unternehmenssitz hier haben und damit ausschließlich deutschem und europäischem Recht unterliegen. Diese Anbieter gibt es – in wachsender Zahl und mit zunehmend ausgereiftem Leistungsportfolio.
Im Segment der großen Infrastrukturanbieter ist IONOS Cloud eines der profiliertesten Beispiele. Mit Hauptsitz in Montabaur betreibt IONOS alle Dienste unter deutscher Jurisdiktion, ist nach BSI C5 und ISO 27001 zertifiziert und bietet vollständige Konformität mit der DSGVO. Die Rechenzentrumsdatenschnittstellen sind durch europäisches Datenschutzrecht abgesichert, und ausländische Geheimdienste haben keinen rechtlichen Anknüpfungspunkt für Datenzugriffsbegehren.
Ein weiterer bedeutender Akteur ist plusserver aus Köln, der sich auf Hybrid-Cloud-Szenarien und Datensouveränität spezialisiert hat. Bei deutschen Anbietern wie plusserver unterliegen sämtliche Datenverarbeitungsprozesse ausschließlich deutschem und europäischem Recht – kein Zugriff durch ausländische Behörden, keine Unsicherheit durch den US CLOUD Act. Hetzner Cloud aus Gunzenhausen ist bekannt für ein sehr gutes Preis-Leistungs-Verhältnis und betreibt Rechenzentren ausschließlich in Deutschland und der EU. Stakit, die Cloud-Tochter der Schwarz Gruppe mit Sitz in Neckarsulm – bekannt durch Lidl und Kaufland –, bietet souveräne Cloud-Lösungen für Unternehmen und die öffentliche Verwaltung an.
Im Segment der Endnutzer- und Teamlösungen sind ebenfalls deutsche Anbieter mit starkem Datenschutzprofil verfügbar. Die MagentaCLOUD der Deutschen Telekom speichert Daten in hochgesicherten deutschen Rechenzentren. STRATO HiDrive ist ein weit verbreiteter Online-Speicher der Berliner Strato AG. TeamDrive aus Hamburg ist auf hochsichere, Ende-zu-Ende-verschlüsselte Zusammenarbeit spezialisiert. luckycloud aus Berlin setzt auf Sicherheit und flexible Preismodelle. Die Speicherlösungen von GMX, WEB.DE und mail.com, allesamt zur United Internet Gruppe mit Sitz in Karlsruhe und Montabaur gehörend, runden das Angebot für Verbraucher und kleine Teams ab.
Passend dazu:
Der regulatorische Druck wächst
2026 ist in dieser Hinsicht ein Wendejahr. Die regulatorische Landschaft hat sich erheblich verändert und schafft neue Verbindlichkeiten, die den Druck zur Nutzung souveräner Cloud-Anbieter erheblich verstärken. Das NIS-2-Umsetzungsgesetz trat am 5. Dezember 2025 in Kraft und bringt eine grundlegende Neufassung des BSI-Gesetzes mit sich. Die Anforderungen an Cybersicherheit wurden deutlich ausgeweitet und betreffen nun auch große Teile des Mittelstands – mit verbindlichen Vorgaben zum Risikomanagement, verschärften Meldepflichten und umsatzbezogenen Bußgeldsystemen.
Der Digital Operational Resilience Act (DORA), der ab dem 17. Januar 2025 vollständig gilt, ist vor allem für Finanzinstitute und Betreiber kritischer Infrastrukturen relevant. Er verpflichtet diese Unternehmen, ihre gesamte IKT-Drittparteien-Risikostrategie neu zu bewerten – einschließlich der Frage, ob US-Cloud-Anbieter angesichts des CLOUD Act noch mit den gesetzlichen Anforderungen vereinbar sind. Das Kölner Rechtsgutachten im Auftrag des BMI liefert hier eine unmissverständliche Antwort. Ab 2026 gilt laut einer Analyse von Manage IT: Souveränität ist kein Schlagwort mehr, sondern wird zur Beschaffungspflicht. Behörden und kritische Branchen dürfen nur noch Anbieter wählen, die vollständig unter EU-Kontrolle stehen.
GAIA-X und der EU Data Act als strukturelle Weichenstellung
Auf europäischer Ebene gibt es eine längerfristige Initiative, die den Rahmen für digitale Souveränität politisch und technisch verankern soll: das Projekt GAIA-X. Das 2019 gestartete Vorhaben will Plattformen und Dienste für eine europäische Dateninfrastruktur schaffen, bei der Unternehmen die Verwendungszwecke ihrer Daten präzise festlegen und technisch durchsetzen können. GAIA-X ist kein Cloud-Anbieter und kein europäischer Hyperscaler – es ist ein Rahmenwerk für interoperable, souveräne Datenräume.
Parallel dazu schafft der EU Data Act neue Pflichten für Cloud-Anbieter: bessere Datenportabilität, Interoperabilität und faire Vertragsbedingungen. Die Wechselrechte für Kunden werden gestärkt, was europäischen Anbietern strukturell zugutekommt und den Lock-in bei US-Hyperscalern reduziert. Die EU arbeitet außerdem am Cloud and AI Development Act, der Souveränitätskriterien für Cloud-Dienste verbindlich festschreiben könnte. Diese regulatorischen Entwicklungen verändern die Anreizstruktur: Es wird teurer und riskanter, US-Cloud-Anbieter zu nutzen, und einfacher, zu europäischen Alternativen zu wechseln.
Passend dazu:
Praktische Umsetzung: Was Unternehmen jetzt tun sollten
Die Erkenntnis, dass ein Serverstandort in Deutschland allein nicht ausreicht, stellt viele Unternehmen vor operative Fragen. Was bedeutet das konkret? Zunächst müssen bestehende Cloud-Verträge auf die Eigentümerstruktur des Anbieters geprüft werden. Ist der Anbieter oder sein Mutterkonzern in den USA ansässig, besteht ein CLOUD-Act-Risiko, unabhängig vom Serverstandort. Dieser Schritt ist nicht trivial – gerade bei komplexen Konzernstrukturen und White-Label-Angeboten.
Anschließend sollten Daten klassifiziert werden: Welche Daten sind besonders schützenswert? Personenbezogene Daten im Sinne der DSGVO, aber auch Geschäftsgeheimnisse, Patentinformationen und strategische Planungsdokumente. Diese Daten sollten bevorzugt bei Anbietern unter deutschem oder EU-Recht gespeichert werden. Weniger sensible Daten und Nicht-Personenbezogenes können flexibler behandelt werden. Eine vollständige Migration zu deutschen Anbietern ist für viele Unternehmen weder kurzfristig möglich noch immer wirtschaftlich sinnvoll. Eine kluge Hybridstrategie, die sensible Daten in eine souveräne Infrastruktur überführt und weniger kritische Systeme in Multi-Cloud-Szenarien belässt, ist für die meisten Organisationen der pragmatische Weg.
Datensouveränität als strategische Unternehmenseigenschaft
Datensouveränität ist kein IT-Thema. Es ist ein strategisches Unternehmensthema. Wer die Kontrolle über seine Daten verliert – sei es durch regulatorisches Versagen, durch einen US-Behördenzugriff oder durch die strukturelle Abhängigkeit von einem einzigen Anbieter –, verliert damit auch strategische Handlungsfähigkeit. Kundendaten, Entwicklungsdaten, Lieferantendaten: Sie sind das Rohmaterial für Wettbewerbsvorteile der Zukunft. Ihre unkontrollierte Exposition gegenüber fremden Rechtsordnungen ist kein kalkulierbares Risiko, sondern eine strukturelle Schwachstelle.
Die gute Nachricht ist: Die Alternativen sind vorhanden, sie reifen technologisch schnell, und das regulatorische Umfeld macht ihre Nutzung immer attraktiver. IONOS Cloud, plusserver, Hetzner, Stakit, TeamDrive und ihre Mitbewerber bieten heute ein Leistungsspektrum, das für die große Mehrheit der Unternehmensanforderungen ausreicht. Der vielleicht entscheidende Vorteil: Sie bieten rechtliche Planungssicherheit. Und in einer Welt, in der das transatlantische Datenschutzregime alle paar Jahre neu verhandelt werden muss, ist Planungssicherheit ein Wert, der sich nicht in Terabytes messen lässt – wohl aber in Vertrauen, in Compliance und in strategischer Autonomie.
Ihr globaler Marketing und Business Development Partner
☑️ Unsere Geschäftssprache ist Englisch oder Deutsch
☑️ NEU: Schriftverkehr in Ihrer Landessprache!
Konrad Wolfenstein
Gerne stehe ich Ihnen und mein Team als persönlicher Berater zur Verfügung.
Sie können mit mir Kontakt aufnehmen, indem Sie hier das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 7348 4088 965 an. Meine E-Mail Adresse lautet: wolfenstein∂xpert.digital
Ich freue mich auf unser gemeinsames Projekt.
