Compliance

CLOUD Act trifft DSGVO: Warum US-Cloud-Lösungen 2026 endgültig zum Problem werden

Der US CLOUD Act erlaubt amerikanischen Behörden Zugriff auf Daten weltweit — auch wenn sie auf EU-Servern liegen. Was das 2026 für deutsche Unternehmen bedeutet, und welche Alternativen praktisch funktionieren.

Sascha Ladewig
Geschäftsführer & Gründer
23. Mai 2026
5 Min. Lesezeit
Error loading image

CLOUD Act trifft DSGVO: Warum US-Cloud-Lösungen 2026 endgültig zum Problem werden

Die Frage, ob der CLOUD Act ein Problem für deutsche Unternehmen ist, beantworten Microsoft, Amazon und Google seit Jahren mit einer interessanten Mischung aus Beruhigung und juristischen Winkelzügen. Beide Antworten sind technisch korrekt — und in der Praxis unbefriedigend. Hier eine ehrliche Einordnung 2026.

Worum es überhaupt geht

Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, ist ein US-Bundesgesetz von 2018. Er erlaubt US-Behörden (FBI, NSA, DEA etc.) unter bestimmten Bedingungen, Zugriff auf Daten zu verlangen — auch wenn diese außerhalb der USA gespeichert sind, sofern sie von einem US-Unternehmen oder dessen Tochterfirmen verwaltet werden.

Konkret: Wenn Ihre Firmendokumente in einem deutschen Microsoft-Azure-Rechenzentrum liegen, gilt für sie das deutsche Recht (DSGVO) — und gleichzeitig der amerikanische CLOUD Act. Microsoft kann von US-Behörden gezwungen werden, die Daten herauszugeben, ohne dass deutsche Behörden oder das betroffene Unternehmen davon wissen müssen ("Gag Order").

Das ist nicht hypothetisch. Microsoft selbst veröffentlicht halbjährlich Transparency Reports, in denen aufgelistet ist, wie viele Anfragen bearbeitet wurden. Im ersten Halbjahr 2025 waren es global rund 26.000 — eine kleine, aber nicht null Zahl betraf europäische Daten.

Warum das mit der DSGVO kollidiert

Die DSGVO verbietet die Weitergabe personenbezogener Daten in Drittländer ohne angemessenes Schutzniveau. Die USA gelten seit dem Schrems II-Urteil 2020 nicht mehr automatisch als sicheres Drittland.

Das aktuelle Trans-Atlantic Data Privacy Framework (EU-US Data Privacy Framework von 2023) gilt als juristisch wackelig — Datenschutzaktivist Max Schrems hat bereits "Schrems III" angekündigt.

Der Konflikt ist offensichtlich: Eine US-Behörde fordert nach CLOUD Act Daten an. Microsoft müsste sie liefern. Aber die Lieferung wäre ein DSGVO-Verstoß. Was hat Vorrang?

Die Antwort hat noch kein Gericht abschließend geklärt — aber im Zweifel haftet der Datenverarbeiter (also Sie als Aktenplatz-Kunde, der die Daten zu Microsoft gegeben hat) für den DSGVO-Verstoß, nicht Microsoft.

Mit anderen Worten: Wenn ein Microsoft-Datacenter in Frankfurt Daten aus Ihrem SharePoint an die NSA herausgibt, ist Ihre Firma die mit dem 4%-vom-Umsatz-Bußgeldrisiko unter der DSGVO.

Was sich 2026 verschärft

Drei Entwicklungen machen die Lage 2026 enger:

1. EU-Data-Act ab 12. September 2025 vollständig anwendbar. Der Data Act verlangt von Cloud-Anbietern, dass sie Kunden den Wechsel zu anderen Anbietern ermöglichen ("Data Portability") und keine ungerechtfertigten Drittlandsübertragungen vornehmen. US-Hyperscaler müssen das in ihren AGB umsetzen, was sie sukzessive tun — aber die Wirksamkeit ist umstritten.

2. NIS-2-Umsetzung in Deutschland. Ab 2026 sind viele KMU verpflichtet (siehe NIS-2-Artikel), nachzuweisen woher ihre Cloud-Dienste stammen und welche Subdienstleister-Kette dahinter steht. Ein "läuft halt bei Microsoft" reicht nicht mehr.

3. Branchenspezifische Verschärfungen. Bei Berufsgeheimnisträgern (Anwälte, Steuerberater, Ärzte — siehe Anwendungsfall Steuerberater) verschärft sich §203 StGB: Mandantendaten in einer US-Cloud sind im Zweifel ein Strafbestand. Erste Berufsverbote-Verfahren laufen.

Was die Anbieter sagen — und was sie nicht sagen

Microsoft, AWS und Google haben mit "EU Sovereign Cloud"-Initiativen reagiert. Die Versprechen klingen gut: Hosting nur in EU, Mitarbeiter nur EU-Bürger, technische Maßnahmen die US-Zugriff verhindern. In der Praxis sind das aber zumeist Vertrags-Versprechen — keine technischen Garantien.

Microsoft selbst formuliert vorsichtig: "Wir werden alle rechtlichen Mittel ausschöpfen, um Anfragen zu widersprechen."

Was sie nicht sagen: Sie können nicht garantieren, dass sie unter CLOUD Act + Gag Order nicht doch liefern müssen — denn die US-Mutter ist amerikanischem Recht unterworfen, und das überschreibt die EU-Tochterregeln.

Der einzige rechtssichere Weg ist ein Anbieter, der keine US-Mutter und keine US-Subprozessoren hat. Das ist mittlerweile gar nicht so schwer zu finden:

  • Hetzner (Deutschland) — Cloud-Infrastruktur, Rechenzentren in Falkenstein, Nürnberg, Helsinki
  • OVHcloud (Frankreich) — Europas größter Hoster, eigene Rechenzentren in Frankreich, Deutschland, Polen
  • IONOS (Deutschland) — 1&1-Konzern, Rechenzentren weltweit aber unter europäischer Leitung
  • STACKIT (Deutschland) — Schwarz-Gruppe (Lidl/Kaufland), souveräne EU-Cloud
  • plusserver (Deutschland) — Köln, deutscher Anbieter

Aktenplatz läuft auf Hetzner in Deutschland — keine US-Beziehung in der Lieferkette, vertraglich und technisch.

Praktische Migrationsschritte

Wer von US-Clouds wegmöchte, kann das nicht über Nacht. Ein realistischer Plan in vier Stufen:

Stufe 1 — Klassifizierung (1-2 Wochen). Welche Daten haben Sie überhaupt in US-Clouds? Personenbezogene Daten, Geschäftsgeheimnisse, Mandanten- oder Patientendaten? Eine einfache Excel-Liste pro Cloud-Dienst reicht zum Anfangen.

Stufe 2 — Risiko-Priorisierung (1 Woche). Welche Daten haben das höchste Risiko? Mandantendaten einer Anwaltskanzlei sind dringender als allgemeine Marketing-Texte. Priorisieren Sie nach DSGVO-Bußgeld-Potenzial.

Stufe 3 — Pilot-Migration (4-8 Wochen). Wählen Sie einen Bereich (z.B. das DMS) und migrieren Sie auf eine souveräne Alternative. Bei Aktenplatz dauert eine typische Migration von SharePoint oder DocuWare 4-6 Wochen, inkl. Datenmigration und Mitarbeiterschulung.

Stufe 4 — Roll-out auf weitere Bereiche. E-Mail, Office-Suite, Backup etc. nach und nach. Komplette Migration einer 50-Personen-Firma realistisch in 12-18 Monaten.

Kostenrechnung

Das Argument "souverän ist teurer" ist Quatsch. Bei den meisten Cloud-Diensten sind deutsche Anbieter günstiger als US-Hyperscaler — Hetzner ist bei vergleichbarem Setup oft 40-60% günstiger als Azure oder AWS. Bei DMS-Anbietern liegen Aktenplatz, fabasoft und ELO im Premium-Segment ähnlich wie Microsoft 365, schlankere Alternativen wie Aktenplatz Professional sogar deutlich darunter.

Der eigentliche Kostenpunkt ist die Migration — die einmalig Aufwand erzeugt. Aber gegen ein DSGVO-Bußgeld von 4% des Jahresumsatzes ist auch eine 30.000-€-Migration ein Schnäppchen.

Fazit: 2026 ist die Schmerzgrenze erreicht

Ich sage Geschäftsführern oft: Wer 2024 noch Argumente für US-Clouds hatte, kann das nachvollziehen. 2026 nicht mehr. Die Risiken sind dokumentiert, die Alternativen funktionieren, die Migration ist machbar. Die Frage ist nur: machen Sie es geordnet, oder warten Sie auf den Vorfall, der Sie zwingt.

Wir helfen mittlerweile mehrere Mittelständler pro Monat beim Microsoft-Exit. Wenn Sie an einer ehrlichen Erst-Einschätzung interessiert sind, ob und wie sich das bei Ihnen lohnt, sprechen Sie uns an — wir nehmen uns dafür 30 Minuten Zeit, kostenfrei und ohne Verkaufsdruck.

Tags:

CLOUD ActDSGVOSouveränitätUS-CloudSchrems IIMicrosoft Azure

Über den Autor

Weitere Artikel