Warum Du als Unternehmer Deine Abhängigkeit von US-Diensten jetzt prüfen solltest – und wo es Alternativen gibt.
Du nutzt Microsoft 365. Deine Buchhaltung läuft über eine Software mit AWS im Hintergrund. Dein Team chattet auf Teams, speichert auf OneDrive, mailt über Outlook. „Steht doch alles in der EU“, denkst Du. Rechenzentrum Frankfurt. Alles gut.
Nein. Nicht alles gut.
Das Problem heißt nicht Rechenzentrum. Es heißt Rechtsraum.
Wo Deine Daten physisch liegen, ist seit Jahren nicht mehr entscheidend. Entscheidend ist, welchem Recht der Anbieter unterliegt. Und Microsoft, Google, Amazon – das sind US-Unternehmen. Sie unterliegen US-Recht. Auch mit ihren europäischen Töchtern.
Der CLOUD Act von 2018 erlaubt US-Behörden, amerikanische Unternehmen zur Herausgabe von Daten zu verpflichten – egal, auf welchem Kontinent die Server stehen. Das ist kein theoretisches Szenario. Microsoft hat vor Gericht bestätigt, dass das Unternehmen bei formal korrekten Anfragen Daten aus EU-Rechenzentren weitergeben muss. Vor dem französischen Senat hat Microsoft France das ebenfalls eingeräumt.
Und der CLOUD Act ist nur ein Werkzeug von vielen.
Nicht ein Gesetz. Ein ganzes Arsenal.
Die USA haben sich über die Jahrzehnte ein beeindruckendes Instrumentarium aufgebaut, um US-Unternehmen weltweit als verlängerten Arm ihrer Behörden einzusetzen:
CLOUD Act – Datenzugriff auf US-Unternehmen, egal wo die Daten liegen. FISA 702 – Überwachung von Nicht-US-Bürgern über US-Provider. IEEPA/OFAC – Einfrieren von Transaktionen in US-Dollar oder mit sanktionierten Personen. EAR/ITAR – Exportkontrolle für US-Technologie und Verteidigungskomponenten. FCPA – Zugriff bei US-Dollar-Zahlungen oder Daten auf US-Servern. CAATSA – Sanktionen gegen jeden, der mit sanktionierten Unternehmen handelt.
Im Frühjahr 2025 wurde das ganz konkret: Die US-Regierung wies Microsoft an, dem Chefankläger am Internationalen Strafgerichtshof in Den Haag den Zugang zu seinem E-Mail-Konto zu sperren. Ohne Vorwarnung. Per Sanktion. Der Mann musste zu einem Schweizer Anbieter wechseln, um weiterarbeiten zu können.
Das kann Dir als norddeutschem Handwerksbetrieb nicht passieren? Vermutlich nicht. Aber es zeigt, wie weitreichend die Kontrolle reicht – und wie wenig Microsoft dagegen tun kann oder will.
Das EU-US Data Privacy Framework: Schutz oder Beruhigungspille?
Seit Juli 2023 gibt es das EU-US Data Privacy Framework (DPF). Es soll den Datentransfer in die USA auf eine solide rechtliche Basis stellen. Im September 2025 hat das EU-Gericht eine erste Klage dagegen abgewiesen und das Framework bestätigt.
Klingt stabil. Ist es aber nicht.
Das DPF basiert wesentlich auf einer Executive Order von Präsident Biden und auf der Aufsicht durch das Privacy and Civil Liberties Oversight Board (PCLOB). Beide Säulen wackeln:
Im Januar 2025 hat die Trump-Administration drei der fünf PCLOB-Mitglieder entlassen. Das Board ist seither nicht mehr beschlussfähig. Die EU-Kommission hatte das PCLOB in ihrem Angemessenheitsbeschluss 31 Mal als zentrale Schutzmaßnahme benannt. EU-Datenschutzbehörden und das Europäische Parlament haben bereits Bedenken geäußert.
Zur Erinnerung: Das DPF ist der dritte Versuch eines transatlantischen Datenschutzabkommens. Die Vorgänger – Safe Harbor und Privacy Shield – wurden beide vom Europäischen Gerichtshof für ungültig erklärt. Max Schrems und seine Organisation noyb haben bereits angekündigt, eine weitere Klage vorzubereiten.
Ein Gutachten der Universität Köln, erstellt im Auftrag des Bundesinnenministeriums, bestätigt das Kernproblem: Nicht der Speicherort entscheidet über eine Herausgabepflicht, sondern die tatsächliche Kontrolle durch die US-Muttergesellschaft. Das Gutachten stellt klar: Selbst Verschlüsselung beseitigt die Herausgabepflicht nicht zwingend.
„Sovereign Cloud“ – das neue Marketing-Wort
Microsoft, AWS und Google bieten inzwischen „Sovereign Cloud“-Produkte an. Klingt gut. Bedeutet: EU-Rechenzentren, EU-Personal, separate Schlüsselverwaltung.
Aber: Die Muttergesellschaft ist und bleibt ein US-Unternehmen. Und solange das so ist, greift US-Recht. Das sogenannte Kölner Gutachten widerlegt ausdrücklich die Annahme, dass Sovereign-Cloud-Labels oder EU-Standardvertragsklauseln ausreichenden Schutz bieten.
Es ist ein bisschen so, als würdest Du Deinen Tresor bei jemandem unterstellen, der den Schlüssel freiwillig abgibt, sobald sein Chef anruft. Der Tresor steht in Deutschland. Der Chef sitzt in Washington.
Was bedeutet das konkret für Dein Unternehmen?
Wenn Du ein normales KMU in Norddeutschland bist – Handwerker, Steuerberater, Ferienhausvermieter, Maschinenbauer – dann ist die Wahrscheinlichkeit, dass US-Geheimdienste morgen früh Deine Kundendaten lesen wollen, verschwindend gering.
Aber darum geht es nicht allein. Es geht um:
DSGVO-Compliance. Wenn das Data Privacy Framework kippt – und die Wahrscheinlichkeit ist nicht gering – dann nutzt Du plötzlich Dienste ohne gültige Rechtsgrundlage für den Datentransfer. Das kann Bußgelder nach sich ziehen.
Verfügbarkeit. Wenn die US-Regierung Sanktionen verhängt oder Dienste einschränkt, hast Du keinen Einfluss. Du bist Passagier, nicht Pilot.
Vertrauen. Deine Kunden vertrauen Dir ihre Daten an. Du bist verantwortlich dafür, wo diese Daten landen – und wer darauf zugreifen kann.
Planungssicherheit. Zweimal hat der EuGH bereits transatlantische Datenabkommen gekippt. Die Rechtsgrundlage kann sich über Nacht ändern.
Was solltest Du jetzt tun?
Keine Panik. Kein hektischer Umstieg. Aber eine ehrliche Bestandsaufnahme.
1. Wissen, was Du nutzt. Mach eine Liste: Welche Dienste nutzt Du? Wer ist der Anbieter? Wo ist dessen Muttergesellschaft? Microsoft 365, Google Workspace, Dropbox, Zoom, Slack, AWS – alles US-Recht.
2. Kritische Daten identifizieren. Nicht alles ist gleich sensibel. Personenbezogene Kundendaten, Gesundheitsdaten, Finanzdaten, Geschäftsgeheimnisse – das sind die Bereiche, wo Du genauer hinschauen solltest.
3. Europäische Alternativen kennen. Es gibt sie. Sie sind nicht immer so poliert wie die US-Originale, aber sie funktionieren:
- E-Mail: Tutanota (Deutschland), Proton Mail (Schweiz), Posteo (Deutschland), Mailbox.org (Deutschland)
- Cloud-Speicher: Nextcloud (Deutschland, Self-Hosting), Tresorit (Schweiz/Ungarn), IONOS HiDrive
- Office: LibreOffice, ONLYOFFICE (Lettland), Collabora Online
- Videokonferenzen: Jitsi (Open Source), BigBlueButton, OpenTalk
- Collaboration: Nextcloud Groupware, Open-Xchange
- Cloud-Infrastruktur: Hetzner (Deutschland), IONOS, Open Telekom Cloud, OVHcloud (Frankreich)
4. Schrittweise umstellen. Fang dort an, wo es am meisten bringt und am wenigsten wehtut. E-Mail und Cloud-Speicher sind oft der einfachste Einstieg. ERP-Systeme und Branchensoftware sind komplexer – hier lohnt sich professionelle Begleitung.
5. Verschlüsselung einsetzen. Wenn ein sofortiger Wechsel nicht möglich ist: Ende-zu-Ende-Verschlüsselung mit eigener Schlüsselverwaltung reduziert das Risiko erheblich. Wenn der Anbieter Deine Daten nicht im Klartext hat, kann er auch nichts Lesbares herausgeben.
Mein Fazit: Struktur vor Panik
Ich sage Dir nicht, dass Du morgen alles auf Nextcloud umstellen musst. Ich sage Dir: Du solltest wissen, wo Du stehst. Und Du solltest einen Plan haben für den Fall, dass sich die Rechtsgrundlage ändert – was wahrscheinlicher ist, als die meisten denken.
Denn die Frage ist nicht, ob sich die transatlantische Datenlage weiter verschiebt. Die Frage ist nur, wann.
Die USA bewegen sich erkennbar weg von internationalen Abkommen und regelbasierter Zusammenarbeit. Das betrifft Handel, Klima, Sicherheit – und eben auch den Umgang mit Daten. Wer das ignoriert, plant auf Sand.
Wer jetzt eine Bestandsaufnahme macht, kritische Daten identifiziert und sich Alternativen anschaut, der kann gelassen reagieren, wenn sich das nächste Abkommen in Luft auflöst. Alle anderen stehen dann unter Zeitdruck.
Struktur vor Panik. Ordnung vor Aktionismus. Wirtschaftlichkeit vor Ideologie.
Du willst wissen, wo Dein Unternehmen steht? Ich helfe Dir bei der Bestandsaufnahme Deiner IT-Abhängigkeiten und zeige Dir pragmatische Wege zu mehr digitaler Souveränität – ohne Dein Tagesgeschäft zu gefährden.
Kostenloses Erstgespräch vereinbaren →
Sönke Schäfer ist IT-Berater und Datenbankarchitekt in Ostholstein. Er unterstützt kleine und mittlere Unternehmen dabei, ihre digitalen Prozesse sicher, wirtschaftlich und unabhängig aufzustellen. Mehr unter sesoft.de.
