Warum europäisches Cloud-Hosting nach dem CLOUD Act wichtiger denn je ist

von BetterInEurope | | 8 Min. Lesezeit
digital-sovereigntyprivacycloud

Das Gesetz, das alles verändert hat

Im März 2018 verabschiedeten die Vereinigten Staaten stillschweigend den Clarifying Lawful Overseas Use of Data Act — besser bekannt als CLOUD Act. Er wurde als Teil eines Sammelausgabengesetzes unterzeichnet und erhielt trotz seiner außerordentlichen Reichweite minimale öffentliche Debatte.

Der CLOUD Act macht etwas Beispielloses: Er gibt US-Strafverfolgungsbehörden und Geheimdiensten die rechtliche Befugnis, amerikanische Unternehmen zur Herausgabe von Daten zu zwingen — unabhängig davon, wo diese Daten physisch gespeichert sind. Wenn deine Geschäftsdaten auf einem Server in Frankfurt liegen, der von einem US-Unternehmen betrieben wird, kann die US-Regierung legal den Zugriff darauf verlangen, ohne dich oder die deutschen Behörden zu benachrichtigen.

Für europäische Unternehmen untergräbt dieses einzelne Gesetz grundlegend die Prämisse, dass die Speicherung von Daten in Europa sie unter europäischem Recht schützt.

Wie der CLOUD Act tatsächlich funktioniert

Der Mechanismus

Unter dem CLOUD Act kann ein US-Gericht einen Durchsuchungsbefehl erlassen, der jedes US-amerikanische Unternehmen — oder jedes Unternehmen mit ausreichenden Verbindungen zu den USA — verpflichtet, Daten herauszugeben, die sich in seinem “Besitz, Gewahrsam oder unter seiner Kontrolle” befinden, ungeachtet des Speicherorts der Daten.

Die entscheidenden Elemente:

  • Extraterritoriale Reichweite: Der physische Standort der Daten ist irrelevant. Ein Server in Amsterdam, ein Rechenzentrum in Paris, eine Backup-Anlage in Dublin — wenn das kontrollierende Unternehmen amerikanisch ist, sind die Daten zugänglich
  • Keine Benachrichtigung ausländischer Regierungen: Die US-Regierung ist nicht verpflichtet, das Land zu informieren, in dem die Daten gespeichert sind, oder den Weg über Rechtshilfeabkommen (MLATs) zu gehen
  • Verschwiegenheitspflichten möglich: Unternehmen kann untersagt werden, ihre Kunden darüber zu informieren, dass ihre Daten angefordert wurden
  • Breiter Anwendungsbereich: Gilt für jede “Draht- oder elektronische Kommunikation” und jede “Aufzeichnung oder sonstige Information”

Der Konflikt mit der DSGVO

Dies erzeugt eine direkte rechtliche Kollision. Die DSGVO verbietet die Übertragung europäischer personenbezogener Daten in Drittstaaten (einschließlich der USA) ohne angemessene Schutzmaßnahmen. Der CLOUD Act verpflichtet US-Unternehmen, Daten auf Verlangen an US-Behörden zu übermitteln. Ein US-Unternehmen mit europäischen Kunden steht vor einer unmöglichen Wahl: die DSGVO oder US-Recht verletzen.

Einige Unternehmen haben versucht, dies durch vertragliche Maßnahmen zu lösen — Standardvertragsklauseln (SCCs), ergänzende technische Maßnahmen oder das 2023 verabschiedete EU-US Data Privacy Framework. Aber Datenschutzaktivisten und Rechtsgelehrte argumentieren, dass kein vertraglicher Mechanismus eine US-Rechtsverpflichtung außer Kraft setzen kann, die mit strafrechtlichen Sanktionen bewehrt ist.

Schrems II: Das Gericht stimmt zu

Der Konflikt des CLOUD Act mit dem europäischen Datenschutz wurde bereits durch das Schrems-II-Urteil vorgezeichnet. Im Juli 2020 erklärte der Gerichtshof der Europäischen Union das EU-US Privacy Shield-Abkommen für ungültig und stellte fest, dass US-Überwachungsgesetze — insbesondere FISA Section 702 und Executive Order 12333 — keinen dem EU-Recht gleichwertigen Schutz bieten.

Die Argumentation des Gerichts gilt gleichermaßen für den CLOUD Act:

  • Keine unabhängige Aufsicht: CLOUD-Act-Beschlüsse werden von US-Gerichten ohne Beteiligung europäischer Justizbehörden erlassen
  • Kein Rechtsschutz für EU-Bürger: Europäer, deren Daten abgerufen werden, haben kein wirksames Rechtsmittel im US-System
  • Kontext der Massenüberwachung: Der CLOUD Act wirkt neben umfassenderen US-Überwachungsbefugnissen, die der EuGH bereits als unvereinbar mit EU-Grundrechten eingestuft hat

Das 2023 verabschiedete EU-US Data Privacy Framework versucht, einige dieser Bedenken auszuräumen, steht aber vor laufenden rechtlichen Anfechtungen, und viele Datenschutzexperten betrachten es als einen weiteren vorübergehenden Fix statt einer strukturellen Lösung. Das grundlegende Problem bleibt: US-Recht gibt der US-Regierung Zugang zu Daten, die nach EU-Recht nicht zugänglich sein sollten.

Warum “EU-Region” bei einem US-Cloud-Anbieter nicht ausreicht

Cloud-Anbieter wie AWS, Microsoft Azure und Google Cloud bieten europäische Rechenzentrumsregionen und machen Zusagen zur Datenresidenz. Diese sind tatsächlich nützlich für Performance und einige Compliance-Anforderungen, lösen aber nicht das CLOUD-Act-Problem.

Der Grund:

  • Rechtliche Kontrolle wiegt schwerer als physischer Standort: Selbst wenn deine Daten nie ein EU-Rechenzentrum verlassen, kann das US-Unternehmen, das es betreibt, gezwungen werden, auf diese Daten zuzugreifen und sie herauszugeben
  • Verschlüsselungsschlüssel unter US-Kontrolle: Wenn der Cloud-Anbieter deine Verschlüsselungsschlüssel verwaltet — was bei den meisten Diensten Standard ist — kann er deine Daten als Reaktion auf einen CLOUD-Act-Beschluss entschlüsseln
  • Metadaten sind Daten: Selbst bei verschlüsselten Daten hat der US-Anbieter Zugriff auf Metadaten — wer was speichert, wann darauf zugegriffen wird, von wo — die unter dem CLOUD Act herausgegeben werden können
  • Tochtergesellschaftsstrukturen helfen nicht: AWS Europe, Microsoft Ireland, Google Netherlands — diese EU-Tochtergesellschaften werden letztlich von US-Muttergesellschaften kontrolliert, die US-Recht unterliegen

Das bedeutet nicht, dass US-Cloud-Anbieter böswillig handeln. Viele wehren sich aktiv gegen zu weit gefasste Regierungsanfragen. Microsoft hat bekanntermaßen einen Durchsuchungsbefehl für in Irland gespeicherte Daten angefochten, in dem Fall, der dem CLOUD Act vorausging (und gewann technisch, bevor der CLOUD Act das Urteil hinfällig machte). Aber der Rechtsrahmen erzwingt Compliance, und Unternehmen, die sich weigern, riskieren Ordnungsverfahren und Sanktionen.

Die europäische Alternative: Echte Datensouveränität

Der einzige Weg, der Reichweite des CLOUD Act vollständig zu entkommen, ist die Speicherung von Daten bei einem Anbieter, der keiner US-Gerichtsbarkeit unterliegt. Das bedeutet ein Unternehmen, das:

  • In der EU oder einem DSGVO-adäquaten Land (wie der Schweiz) seinen Sitz hat
  • Keine Tochtergesellschaft eines US-Unternehmens ist
  • Nicht operativ von US-Infrastruktur abhängig ist in einer Weise, die Gerichtsbarkeit begründet
  • Daten ausschließlich auf EU/EWR-Gebiet verarbeitet und speichert

Hetzner (Deutschland)

Hetzner ist ein privates deutsches Unternehmen, das Rechenzentren in Nürnberg, Falkenstein und Helsinki betreibt. Sie bieten Dedicated Server, Cloud-Hosting und Managed Services zu Preisen, die US-Hyperscaler konsistent unterbieten. Ohne US-Muttergesellschaft, ohne US-Investoren und ohne US-Betrieb steht Hetzner vollständig außerhalb der CLOUD-Act-Gerichtsbarkeit. Ihre Preistransparenz — keine versteckten Egress-Gebühren, keine komplexe Staffelung — hat ihnen eine treue Anhängerschaft unter Entwicklern und KMUs eingebracht.

OVHcloud (Frankreich)

OVHcloud ist Europas größter Cloud-Anbieter mit über 40 Rechenzentren weltweit. Mit Hauptsitz in Roubaix, Frankreich, und an der Pariser Börse notiert, ist OVHcloud in Eigentum und Governance vollständig europäisch. Sie bieten einen kompletten Cloud-Stack — Bare Metal, Public Cloud, Private Cloud und Webhosting — mit starkem Fokus auf Datensouveränität. Ihre “SecNumCloud”-qualifizierten Angebote erfüllen Frankreichs höchsten Sicherheitsstandard für Cloud-Dienste.

Scaleway (Frankreich)

Scaleway, eine Tochtergesellschaft der Iliad-Gruppe, betreibt Rechenzentren in Paris und Amsterdam. Sie haben sich einen Ruf für entwicklerfreundliche Cloud-Dienste mit innovativer Preisgestaltung und starkem Umweltengagement aufgebaut (ihre Rechenzentren nutzen adiabatische Kühlung). Scaleway positioniert sich explizit als souveräne europäische Cloud-Alternative mit sämtlicher Datenverarbeitung innerhalb der EU.

Infomaniak (Schweiz)

Das schweizerische Infomaniak betreibt ausschließlich Rechenzentren in der Schweiz und profitiert von den starken Datenschutzgesetzen des Landes und dem DSGVO-Angemessenheitsbeschluss. Sie bieten Cloud-Hosting, E-Mail, Videokonferenzen und Produktivitätstools — alles aus Schweizer Rechenzentren, die mit erneuerbarer Energie betrieben werden. Der Schweizer Rechtsrahmen bietet eine zusätzliche Schutzebene gegen ausländische Datenzugriffsanfragen.

Upcloud (Finnland)

Der finnische Cloud-Anbieter UpCloud bietet hochperformante Cloud-Server aus Rechenzentren in ganz Europa. Als finnisches Unternehmen operiert es vollständig innerhalb der EU-Gerichtsbarkeit und unterliegt ausschließlich EU- und finnischem Datenschutzrecht.

So prüfst du deinen Cloud-Stack

Der Umzug zu europäischem Cloud-Hosting muss kein Alles-oder-Nichts-Wechsel sein. Beginne mit einem systematischen Audit:

Schritt 1: Datenflüsse kartieren

Dokumentiere jeden Dienst, der deine Daten speichert, verarbeitet oder überträgt. Dazu gehört nicht nur das primäre Hosting, sondern auch:

  • Backup-Dienste: Wohin gehen deine Backups?
  • CDN-Anbieter: Welches Content Delivery Network cached deine Daten?
  • E-Mail und Kommunikation: Wo werden deine E-Mails gespeichert?
  • Analytics: Wohin fließen deine Nutzerdaten?
  • SaaS-Tools: Welche Drittanbieter-Dienste haben Zugriff auf deine Daten?

Schritt 2: US-kontrollierte Dienste identifizieren

Stelle für jeden Dienst fest, ob der Anbieter ein US-Unternehmen oder eine US-kontrollierte Tochtergesellschaft ist. Prüfe das Eigentum der Muttergesellschaft, nicht nur den Firmennamen auf deinem Vertrag.

Schritt 3: Nach Sensitivität klassifizieren

Nicht alle Daten bergen dasselbe Risiko. Priorisiere die Migration nach Datensensitivität:

  • Höchste Priorität: Personenbezogene Daten von EU-Bürgern, Gesundheitsdaten, Finanzdaten, juristische Dokumente
  • Hohe Priorität: Geschäftskritische Daten, Kundenkommunikation, interne Dokumente
  • Mittlere Priorität: Entwicklungsinfrastruktur, interne Tools, nicht-sensible Inhalte
  • Niedrigere Priorität: Statisches Website-Hosting, öffentliche Inhalte, nicht-personenbezogene Daten

Schritt 4: Migration nach Priorität planen

Beginne mit den sensitivsten Daten und arbeite dich nach unten vor. Für jede Migration:

  • Evaluiere mindestens zwei europäische Anbieter
  • Teste Performance und Kompatibilität vor der Festlegung
  • Plane eine Parallelbetriebsphase ein, um Probleme aufzufangen
  • Aktualisiere deine Verarbeitungsverzeichnisse und Datenschutzerklärungen

Schritt 5: Laufende Compliance verifizieren

Souveränität ist keine einmalige Errungenschaft. Überprüfe regelmäßig deinen Stack auf:

  • Neue Dienste, die ohne Souveränitätsprüfung hinzugefügt wurden
  • Änderungen der Eigentümerstruktur von Anbietern (europäische Unternehmen, die von US-Unternehmen übernommen werden)
  • Änderungen rechtlicher Rahmenbedingungen, die die Angemessenheit des Datenschutzes beeinträchtigen könnten

Die Kostenfrage

Ein häufiger Einwand gegen europäisches Cloud-Hosting sind die Kosten. Die Realität ist differenzierter als “US-Clouds sind günstiger”:

  • Hetzner ist häufig preiswerter als vergleichbare AWS- oder Azure-Konfigurationen, besonders bei rechenintensiven Workloads
  • OVHcloud bietet wettbewerbsfähige Preise mit planbarer Abrechnung und ohne Egress-Gebühren
  • Scaleway bietet transparente, entwicklerfreundliche Preise
  • Die scheinbaren Kostenvorteile der US-Hyperscaler hängen oft von komplexen Reserved-Instance-Preisen, Commitment-Rabatten und Free-Tier-Lock-ins ab, die die wahren langfristigen Kosten verschleiern

Wenn du die Kosten für DSGVO-Compliance-Maßnahmen bei US-Cloud-Nutzung einrechnest — Datenschutz-Folgenabschätzungen, ergänzende technische Maßnahmen, rechtliche Prüfung von SCCs, potenzielle Bußgelder — erreicht europäisches Hosting oft Kostenparität oder besser.

Fazit

Der CLOUD Act hat eine rechtliche Realität geschaffen, die kein noch so raffiniertes vertragliches Engineering vollständig adressieren kann. Solange deine Daten von einem US-Unternehmen kontrolliert werden, sind sie für die US-Regierung zugänglich, unabhängig davon, wo sie physisch liegen. Europäische Cloud-Anbieter bieten die einzige strukturelle Lösung: echte Datensouveränität unter europäischem Recht, betrieben von europäischen Unternehmen, gespeichert auf europäischem Boden.

Die Infrastruktur existiert. Die Anbieter sind ausgereift. Die Preise sind wettbewerbsfähig. Die einzige verbleibende Frage ist, ob du bereit bist, den Wechsel zu vollziehen, bevor eine Datenzugriffsanfrage die Entscheidung für dich trifft.

War das hilfreich?

Bleiben Sie Informiert

Erhalten Sie die neuesten Nachrichten über europäische Alternativen und digitale Souveränität.

Wir respektieren Ihre Privatsphäre. Jederzeit abmelden. Kein Tracking, kein Spam.