Abhängigkeit mit Ansage: Warum der CLOUD Act für deutsche Unternehmen zum echten Risiko wird
Trotz einer rasant wachsenden Zahl an Alternativen, zunehmendem Misstrauen in den internationalen Datenverkehr und sich verschärfender Compliance-Anforderungen greifen viele europäische Unternehmen weiter auf ausländische IT-Anbieter zurück. Das Ziel digitaler Souveränität, also der selbstbestimmten und unabhängigen Auswahl und Nutzung von IT-Anwendungen ist noch immer fern, die Abhängigkeit dagegen – insbesondere von US-amerikanischen Anbietern – ist groß. Dabei gilt besonders der CLOUD Act schon seit langem als großes Risiko für die Sicherheit von Daten. Wir erklären in diesem Artikel, wie viel Wahrheit hinter diesen Befürchtungen steckt, warum der CLOUD Act ein Risiko mit Ansage darstellt und wie sich Unternehmen unabhängiger machen können.
Was ist der CLOUD Act?
„CLOUD Act“ steht als Abkürzung für „Clarifying Lawful Overseas Use of Data Act“ und ist ein US-Gesetz, das 2018 als Reaktion auf einen Rechtsstreit zwischen Microsoft und der US-Regierung verabschiedet wurde. Hintergrund war die Frage, ob amerikanische Behörden auf Daten zugreifen dürfen, die zwar bei einem US-Anbieter, aber auf Servern außerhalb der USA – z. B. in Europa – gespeichert sind. Microsoft hatte sich damals geweigert, solche Daten herauszugeben. Seit Verabschiedung des CLOUD Act müssen US-Anbieter wie Microsoft, Amazon oder Google personenbezogene Daten auf Anfrage von US-Behörden herausgeben – unabhängig davon, wo diese gespeichert sind.
Das bedeutet: Auch Daten, die in europäischen Rechenzentren liegen, können für US-Ermittlungsbehörden zugänglich sein – wenn sie bei einem US-Anbieter liegen. Besonders kritisch ist, dass betroffene Unternehmen oder Nutzer nicht immer informiert werden dürfen, wenn ihre Daten herausgegeben wurden – der CLOUD Act erlaubt sogenannte Schweigeverpflichtungen. Ein Richterbeschluss ist dabei zwar in der Regel erforderlich, trotzdem steht der CLOUD Act in starkem Konflikt mit der europäischen Datenschutzgrundverordnung (DSGVO).
Wie verhalten sich Microsoft, Google & Co.?
Nicht nur Datenschützer kritisieren die Gesetzgebung und die weitreichenden Zugriffsmöglichkeiten, über die vor allem die US-amerikanische Regierung potenziell verfügt, seit langem: Auch Microsoft selbst wehrt sich immer wieder gegen die Einflussnahme durch Regierung und Behörden. Für die betroffenen Konzerne geht es allerdings weniger um den Datenschutz, sondern um das Vertrauen der Kunden – und damit ums Geschäft.
Zugriff durch amerikanische Behörden: Mythos oder Realität?
Unstrittig ist, dass ausländische Behörden grundsätzlich auf in Europa gespeicherte Daten zugreifen könnten. Das wurde erst kürzlich in einer Anhörung des Chefjustiziars von Microsoft in Frankreich, Anton Carniaux deutlich. Dieser bestätigte sinngemäß, dass Microsoft nicht ausschließen könne, zur Herausgabe von Daten gezwungen zu werden – auch wenn diese in Europa gespeichert sind. Die Beachtung europäischer Gesetze wie der DSGVO tritt damit aus amerikanischer Sicht hinter das nationale Recht der USA zurück.
Microsofts eigene Transparenzberichte zeigen, dass regelmäßig Daten infolge behördlicher Anfrage übergeben werden – auch wenn es sich dabei (noch) kaum um europäischer Business-Daten handelt. Tatsächlich gibt es bisher keine dokumentierten Fälle, in denen US-Behörden konkret auf Daten europäischer Firmen in der EU zugegriffen haben – etwa über Microsoft, AWS oder Google. Das kann aber auch an der Verschwiegenheitspflicht liegen: Denn Unternehmen dürfen laut CLOUD Act in vielen Fällen gar nicht offenlegen, dass sie Daten herausgeben mussten.
Die Frage ist deshalb nicht, ob Behörden Zugriff nehmen können – sondern wann und unter welchen Umständen sie es tun. Für Branchen und Geschäftsbereiche mit sensiblen Daten sollte das allein Grund genug sein, schnellstmöglich Alternativen zu prüfen.
Welche Alternativen gibt es?
Der CLOUD Act betrifft natürlich nicht nur Microsoft, Google oder AWS. Jedes Unternehmen mit Firmensitz oder Datenspeicherung in den USA fällt darunter. Darüber hinaus üben auch andere Nationen im Rahmen ihrer Gesetze weitreichenden Einfluss auf lokale Anbieter beziehungsweise lokal gespeicherte Daten aus. Russland und China, aber auch Großbritannien, Indien und Australien werden – nicht zuletzt aufgrund ihrer umfangreichen Anti-Terror-Gesetze sowie der aktuellen geopolitischen Spannungen – regelmäßig genannt. Erst Anfang dieses Jahres zog Apple seine Ende-zu-Ende-Verschlüsselung für iCloud-Daten in Großbritannien zurück, nachdem die dortige Regierung die Einführung einer technischen Hintertüre gefordert hatte. Vor dem Hintergrund globaler Konflikte stellen derartige Veränderungen ein immer größeres Risiko für Unternehmen dar. Denn nicht nur der Datenschutz wird durch solche Maßnahmen geschwächt, sondern auch die Angriffsfläche für alle Arten von Angriffen und – in der Folge – Datenlecks vergrößert.
Damit rückt ein Aspekt in den Fokus, der lange unterschätzt wurde: Es geht nicht nur um den Datenschutz, sondern um die generelle Sicherheit geschäftskritischer Informationen. Also etwa um interne Projektpläne, Forschungsdokumente, Produktionsdaten, vertragliche Informationen oder sonstige Geschäftsgeheimnisse. Viele dieser Informationen unterliegen nicht der DSGVO, sind aber für den wirtschaftlichen Erfolg eines Unternehmens entscheidend. In besonders kritischen Branchen regeln Compliance-Richtlinien und zusätzliche Gesetze deren Schutzbedarf.
Die deutsche Wirtschaft ist bei der Verarbeitung dieser Daten besonders abhängig, denn ein Großteil ihrer IT-Infrastruktur basiert auf Lösungen und Diensten US-amerikanischer Anbieter. Hier besteht besonders großer Handlungsbedarf. Gerade in regulierten Branchen wie der Finanzwirtschaft oder dem Gesundheitswesen steigen die Anforderungen an nachweisbar rechtssichere Prozesse stetig – nicht zuletzt durch Gesetze wie NIS-2 oder branchenspezifische Standards wie DORA und TISAX.
Das können Sie tun
Achten Sie bei der Auswahl Ihrer Anbieter genau auf die Rahmenbedingungen. Zwar gelten in Europa und insbesondere in Deutschland einige der weltweit strengsten Regelungen rund um Datenschutz und Datensicherheit. Doch das Label „Made in Germany“ allein ist kein Garant dafür. Insbesondere bei Cloud-Diensten zählt nicht nur der Standort der Rechenzentren, sondern mögliche rechtliche Einflüsse auf das Unternehmen als Ganzes.
Ein Beispiel: Der deutsche Datenraum-Anbieter Dracoon ist seit 2023 Teil der US-amerikanischen Kiteworks-Gruppe. Damit fällt Dracoon unter den Geltungsbereich des US-amerikanischen CLOUD Act – trotz Firmensitz und Hosting in Deutschland. Die Kontrolle über Daten endet nicht am physischen Serverstandort, sondern beginnt bei den Eigentümerverhältnissen.
Orientierung bieten unabhängige Plattformen wie die Initiative „Software Made in Europe“. Dort finden Sie eine wachsende Auswahl europäischer Alternativen für unterschiedlichste digitale Anwendungen.
Achten Sie bei der Anbieterauswahl insbesondere auf:
Eigentümerstruktur, Firmensitz und Standort der Datenhaltung
Support-Leistung und Erreichbarkeit im Ernstfall
Ausfallsicherheit und klare Backup-Strategien
Unabhängige Zertifizierungen und regelmäßige Audits
Allgemeine Sicherheitsmaßnahmen und Verschlüsselungskonzepte
Benutzerfreundlichkeit und Integrationsfähigkeit
Nicht alle Punkte müssen für jedes Unternehmen gleich gewichtet sein. Entscheidend ist: Was passiert, wenn der gewählte Dienst plötzlich nicht mehr sicher genug ist? Gibt es eine Migrationsstrategie? Ist der Fortbestand kritischer Prozesse sichergestellt – oder hängt der Betrieb am seidenen Faden eines einzigen Anbieters?
netfiles: Unabhängigkeit von US-Anbietern
Wer auf Nummer sicher gehen will, sollte auf vollständig unabhängige, europäische Anbieter wie netfiles setzen. netfiles wurde mit dem Anspruch entwickelt, Sicherheit, Compliance und Effizienz zuverlässig zu vereinen. Als inhabergeführtes Unternehmen mit Firmensitz, Entwicklung und Hosting ausschließlich in Deutschland folgt netfiles dem Prinzip: „Owned, made & hosted in Germany“ – ohne Abhängigkeit von US-Infrastruktur oder Drittanbietern wie Microsoft 365.
Im täglichen Einsatz zeigt sich dieser Anspruch unter anderem durch:
Regelmäßige Audits und Penetrationstests durch unabhängige Stellen
Zertifizierungen nach nationalen und internationalen Standards – auch für regulierte Branchen geeignet
Zugriff und Arbeit direkt im Browser – effizient und geräteunabhängig
OnlyOffice, Datei-Viewer, Videokonferenzen und mehr – Produktivität ohne Abhängigkeit von Office365 oder ausländischen Cloud-Diensten
Firmeneigener Support in Deutschland – qualifiziert, persönlich und zuverlässig
Damit erfüllt netfiles hohe Anforderungen an Datenschutz und Informationssicherheit und bildet die Grundlage für eine rechtssichere und Compliance-konforme Datenverarbeitung – selbst in sensiblen Projekt- oder Transaktionsumgebungen und regulierten Branchen.
Sicherer Datenaustausch: Wir beraten Sie gerne
Der CLOUD Act schafft eine dauerhafte Unsicherheitslage, die im Widerspruch zur europäischen Vorstellung von Datenschutz und -souveränität steht. Doch es gibt Alternativen, die zu 100 Prozent in deutscher Hand sind.
Wir beraten Sie gerne, wie Sie mit einem netfiles Datenraum Ihren Datenaustausch sicher und Compliance-konform gestalten und welche Funktionen netfiles im Einzelnen bietet. Kontaktieren Sie uns – wir freuen uns, von Ihnen zu hören!