Ein Beitrag fĂŒr MittelstĂ€ndler mit Verantwortung
Einleitung:
Microsoft, Amazon, Google â ihre Cloud-Angebote wirken wie ein bequemes Rundum-Sorglos-Paket. Doch wer heute seine IT-Struktur in die US-Cloud migriert, geht eine Wette ein: auf ewige Erreichbarkeit, stabile Rechtslage und faire Preisgestaltung.
Dumm nur, wenn sich alle drei als Illusion erweisen.
Aktueller Anlass:
IT-Jurist Anton Carniaux bringt es auf den Punkt: Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern (Golem). Selbst bei Rechenzentren in Europa haben US-Behörden unter bestimmten UmstĂ€nden Zugriff auf geschĂ€ftskritische Daten â auch ohne Wissen des Kunden.
Die drei unbequemen Fragen, die sich jedes KMU stellen muss:
a) Was passiert, wenn Teildienste ausfallen oder gekĂŒndigt werden?
Cloud-Dienste sind kein Besitz, sondern Miete. Du bist Nutzer, nicht EigentĂŒmer. Wenn Microsoft heute beschlieĂt, einen Dienst einzustellen (z.âŻB. Access Web Apps, Azure AD Graph, Power Automate Desktop fĂŒr Privatkunden, Exchange Online POP/IMAP-ZugĂ€nge, etc.), hast Du exakt zwei Optionen:
- Mitziehen und den neuen (oft teureren oder aufwÀndigeren) Dienst nutzen
- Oder sehen, wie Deine Prozesse wegbrechen
Einige Beispiele aus der Praxis:
- Lizenzwechsel: On-Premises-Serverlizenzen wurden in den letzten Jahren immer teurer â mit dem offensichtlichen Ziel, Kunden in die Cloud zu zwingen.
- Zwangs-Abonnements: FrĂŒher kauftest Du einmal Office, heute musst Du es mieten â inklusive Copilot, den Du nicht abwĂ€hlen kannst.
Fazit:
Ohne Exit-Strategie ist Deine IT kein Werkzeug mehr â sondern eine Geisel.
b) Wie teuer wird der RĂŒckweg jedes Jahr?
Migration in die Cloud ist selten ein simpler Umzug â sondern meist ein schleichender Umbau. Dabei entstehen:
- Technische AbhĂ€ngigkeiten (z.âŻB. proprietĂ€re Power Automate Workflows, die lokal nicht laufen)
- Kompetenzverluste im eigenen Haus (wer kann heute noch lokale Netzwerke, SQL Server oder Exchange warten?)
- Lizenzbindungen (z.âŻB. an Microsoft Business Premium, ohne dass Du weiĂt, wie viele Dienste Du eigentlich nutzt)
- Verlernte Datenhoheit â alles liegt verstreut in OneDrive, SharePoint, Teams, Azure, Dataverse, OutlookâŠ
Je lÀnger Du wartest, desto teurer wird:
- Die Schulung eigener Leute auf Alternativen
- Der Aufbau einer neuen On-Prem oder hybriden Lösung
- Der Export und die Neuorganisation der Daten
Fazit:
Die RĂŒckkehr auf eigene Server kostet jedes Jahr mehr â nicht nur Geld, sondern auch Know-how und Nerven.
c) Und was, wenn die USA wirklich kein sicherer Ort mehr sind?
Klingt ĂŒbertrieben? Dann schau in die RealitĂ€t:
- Cloud Act (USA): verpflichtet US-Unternehmen zur Herausgabe von Daten â egal, wo sie gespeichert sind.
- Geopolitische Spannungen: Taiwan-Krise, EU-USA-Streit um Datenschutz â der politische Druck steigt.
- Rechtslage: Schrems I und II haben Safe Harbor und Privacy Shield gekippt. Schrems III ist nur eine Frage der Zeit.
Im Worst Case bist Du dann:
- DatenmĂ€Ăig nackt, weil alles auf Azure liegt
- Technisch ĂŒberfordert, weil keiner mehr weiĂ, wie man eigene Systeme pflegt
- Vertraglich gefesselt, weil Du ohne Microsoft365 keine Prozesse mehr hast
- Rechtlich angreifbar, weil Du keine echten SchutzmaĂnahmen mehr bieten kannst
Fazit:
Wennâs hart auf hart kommt, kann Deine komplette IT unter auslĂ€ndischer Kontrolle stehen â und Du kannst nur zuschauen.
Was tun? 5 konkrete Tipps fĂŒr KMU mit schĂŒtzenswerten Daten:
- Hybride IT fahren: Nutze Cloud und lokale Systeme â und halte beides aktuell.
- Wissen im Haus halten: Lass Deine Admins regelmĂ€Ăig echte Systeme betreuen, nicht nur Office klicken.
- Export-Strategie entwickeln: RegelmĂ€Ăig Daten sichern â strukturiert, nachvollziehbar, lokal.
- Open Source evaluieren: Nextcloud, LibreOffice, Proxmox, Linux Server â mehr Kontrolle, weniger Blackbox.
- Vertraglich absichern: Klare AV-VertrÀge mit Exit-Klauseln, Speicherort-Festlegung, Audit-Möglichkeiten.
Der digitale Lock-in ist bequem â aber gefĂ€hrlich. Gerade fĂŒr MittelstĂ€ndler mit Patenten, BauplĂ€nen, Kundenlisten, Personalakten oder Lieferkettenwissen. Wer sich heute zu sehr auf US-Clouds verlĂ€sst, muss morgen eventuell teuer dafĂŒr zahlen.
Sönke SchÀfer, SeSoft GmbH
Digitalisierung ja â aber mit gesundem Misstrauen und Plan B.
Denn wennâs knallt, hilft keine Hotline in Seattle.
đ DatenschĂ€fer â Analyse, Auswertung und Automatisierung fĂŒr KMU im Norden đ
Fragen zur Exit-Strategie oder lokalen IT? Einfach melden. Ich helfe Dir dabei, souverÀn zu bleiben.
Nein, nicht ohne RisikoabwĂ€gung. FĂŒr personenbezogene Daten greift die DSGVO. FĂŒr GeschĂ€ftsgeheimnisse das GeschGehG. Ohne angemessene SchutzmaĂnahmen (z.âŻB. VerschlĂŒsselung mit eigener SchlĂŒsselhoheit) kann die Auslagerung als Pflichtverletzung gewertet werden.
§âŻ43 GmbHG bzw. §âŻ93 AktG: Die GeschĂ€ftsleitung haftet bei PflichtverstoĂ mit ihrem Privatvermögen. Dazu kommen DSGVO-BuĂgelder und zivilrechtliche Klagen durch Kunden, Partner oder Gesellschafter.
Je nach Datenart:
â DSGVO-Strafen (Art.âŻ83, bis zu 4âŻ% des Umsatzes)
â Klage durch Betroffene (z.âŻB. Kunden, deren Daten abgeflossen sind)
â Regressforderungen durch Gesellschafter (bei wirtschaftlichem Schaden)
â Verlust des Schutzes nach dem GeschĂ€ftsgeheimnisgesetz
Nein. Laut Cloud Act und aktueller Rechtslage kann die US-Regierung auf Daten zugreifen, selbst wenn sie in Europa gespeichert sind. Microsoft selbst bestÀtigt das (siehe Golem-Bericht).
Je lÀnger die Cloud-Nutzung lÀuft, desto teurer wird der Ausstieg:
â AbhĂ€ngigkeit von Diensten, Formaten, APIs
â Know-how-Verlust im eigenen Haus
â Datenmigration kostet Zeit, Geld und Nerven
Wer keinen Notfallplan hat, steht im Ernstfall blank da.
â Cloud-Risiken dokumentieren
â Daten klassifizieren: Was darf nicht in die US-Cloud?
â Technische SchutzmaĂnahmen umsetzen (z.âŻB. VerschlĂŒsselung, eigene SchlĂŒssel, lokale Backups)
â Exit-Strategie definieren â fĂŒr alle kritischen Dienste
â AufklĂ€rung im Team starten: Cloud first heiĂt Verantwortung zuerst
Quellen und Lesetipps:
Wer sich tiefer mit der Problematik beschÀftigen will, findet hier fundierte Informationen:
- Golem.de (Juli 2025): âMicrosoft kann US-Zugriff auf EU-Cloud nicht verhindernâ â IT-Rechtsanwalt Anton Carniaux erklĂ€rt, warum selbst die Microsoft âEU Data Boundaryâ kein echter Schutz ist.
https://www.golem.de/news/anton-carniaux-microsoft-kann-us-zugriff-auf-eu-cloud-nicht-verhindern-2507-198283.html - Golem.de (Mai 2024): âMicrosoft drĂ€ngt Kunden in die Cloud â durch steigende Preise fĂŒr On-Prem-Lizenzenâ â eine Analyse, wie Microsoft ĂŒber Preispolitik gezielt die Abwanderung in die Cloud erzwingt.
https://www.golem.de/news/microsoft-verteuert-on-premise-2405-193710.html - Heise Online (MĂ€rz 2024): âCloud Act bleibt ein Risiko fĂŒr europĂ€ische Unternehmenâ â warum US-Recht europĂ€ische Datenschutzbestimmungen aushebelt, sobald US-Dienste im Spiel sind.
https://www.heise.de/news/Cloud-Act-bleibt-Risiko-fuer-EU-10023017.html - NOYB.eu (Schrems-Initiative): RegelmĂ€Ăig aktuelle BeitrĂ€ge zur rechtlichen Lage von DatenĂŒbertragungen zwischen EU und USA.
https://noyb.eu - Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI): Empfehlungen zur Cloud-Nutzung im Mittelstand und Hinweise zur RisikoabwĂ€gung.
https://www.bsi.bund.de