Autor: Marcel Peter

  • CLOUD Act, DSGVO und die Sicherheitslücke: Was Bundestag und Bundeskartellamt wirklich sagen

    CLOUD Act, DSGVO und die Sicherheitslücke: Was Bundestag und Bundeskartellamt wirklich sagen

    Editorial Studio  /  Montabaur

    Webseiten, die Vertrauen erzeugen. Audit, Redesign, Akquise — aus einer Hand.

    Zwei staatliche Dokumente, ein Bundestag-Gutachten und ein Beschluss der Vergabekammer, liefern das bislang präziseste juristische Bild der Lage. Das Ergebnis: Wer Microsoft 365 über eine EU-Tochter betreibt, ist vor der Aufsichtsbehörde auf der sicheren Seite. Vor der NSA nicht. Das ist kein Widerspruch, sondern eine Unterscheidung, die die meisten IT-Berater nicht treffen.

    Die Quellen: Bundestag und Bundeskartellamt sprechen Klartext

    Im Januar 2024 veröffentlichten die Wissenschaftlichen Dienste des Deutschen Bundestags den Sachstand WD 3-3000-105/23 zur Frage, was US-Behörden von deutschen Cloud-Diensten verlangen können. Knapp ein Jahr zuvor hatte die 2. Vergabekammer des Bundes in ihrem Beschluss VK 2-114/22 eine wegweisende vergaberechtliche Entscheidung getroffen. Beide Dokumente stammen von staatlichen Institutionen mit hoher rechtlicher Autorität. Gemeinsam liefern sie das präziseste juristische Bild der Situation.

    Der CLOUD-Act-Kontrolltest: Nicht der Serverstandort entscheidet

    Der US-amerikanische CLOUD Act verpflichtet US-Unternehmen zur Herausgabe von Daten, wenn sie auf diese Daten rechtlich und tatsächlich zugreifen können, unabhängig davon, wo auf der Welt die Daten physisch liegen. Ein Rechenzentrum in Frankfurt schützt also nicht, solange die Muttergesellschaft dem US-Recht unterliegt.

    Ob dieser Kontrolltest auch auf Nicht-US-Unternehmen ausgedehnt werden kann, lässt der Bundestag-Sachstand bewusst offen. Es sei, so die Wissenschaftlichen Dienste, völkerrechtlich nicht abschließend geklärt.

    Das Drei-Stufen-Modell: Grün, Gelb, Rot

    Grün: EU-Anbieter, EU-Server, kein US-Konzern in der Kette. Herausgabepflicht laut Bundestag-Gutachten mangels Bezugs zur US-Gerichtsbarkeit ausgeschlossen.

    Gelb: EU-Tochtergesellschaft eines US-Konzerns (z.B. Microsoft Deutschland GmbH). Das latente Risiko begründet nach VK 2-114/22 keine Übermittlung im Sinne von Art. 44 DSGVO, solange die Daten tatsächlich in der EU bleiben und Vertragswerke vorliegen.

    Rot: US-Anbieter, Daten direkt beim US-Unternehmen. Art. 44 DSGVO vollständig anwendbar. Der EU-US Data Privacy Framework liefert die Compliance-Grundlage, ist aber politisch fragil.

    Die VK Bund 2023: Latentes Risiko ist keine Übermittlung

    Die Vergabekammer wies den Nachprüfungsantrag zurück. Die tragende Begründung:

    Art. 44 DSGVO spricht von Übermittlung oder Verarbeitung und verlangt ein aktives Zutun des Verantwortlichen. Das bloße passive Ausgesetztsein gegenüber einem hypothetischen staatlichen Zugriff genügt nicht. Die Vergabekammer formuliert es direkt: Das latente Risiko eines möglichen Behördenzugriffs stellt keine Übermittlung im Sinne von Art. 44 DSGVO dar.

    Außerdem: Eine faktische Beschlagnahme deutscher Server durch US-Behörden scheitert am völkerrechtlichen Territorialprinzip. Und eine Weisung der US-Konzernmutter an die deutsche GmbH, Daten ohne deutsches Gerichtsverfahren herauszugeben, wäre nach § 43 GmbHG rechtswidrig.

    Die unbequeme Wahrheit: Compliance ist nicht Sicherheit

    Die deutsche Rechtsprechung hat eine klare Frage beantwortet: Ist die Nutzung von Microsoft 365 über eine EU-Tochtergesellschaft eine unzulässige Drittlandübermittlung? Antwort: Nein, bei korrekter vertraglicher Einbindung kein Bußgeldrisiko.

    Sie hat eine andere Frage nicht beantwortet: Kommt ein US-Geheimdienst faktisch an die Daten, wenn er es wirklich will?

    FISA Section 702 ermächtigt US-Geheimdienste zur Überwachung ohne Gerichtsverfahren, nicht gegen die deutsche GmbH, sondern gegen die US-amerikanische Muttergesellschaft weltweit. Die Vergabekammer hat diesen Einwand formal beiseitegeschoben. Die Realität technischer Geheimdienstarbeit respektiert den § 43 GmbHG nicht.

    Die deutsche Rechtsprechung schützt vor der Aufsichtsbehörde, nicht vor der NSA.

    Drei Entscheidungsebenen für die Praxis

    Ebene 1, DSGVO-Compliance: Wer Microsoft 365 oder Google Workspace über eine EU-Tochtergesellschaft mit korrekter Auftragsverarbeitungsvereinbarung nutzt, ist nach VK 2-114/22 auf der sicheren Seite gegenüber der Aufsichtsbehörde.

    Ebene 2, vertragliche Absicherung: Wer in der Gelb-Zone operiert, sollte auf vertragliche Weigerungs-Zusagen des EU-Tochter-Anbieters bestehen.

    Ebene 3, echte Datensouveränität: Wer tatsächlich sicherstellen will, dass US-Geheimdienste nicht an die Daten kommen — nicht nur formal-rechtlich, sondern faktisch — braucht entweder Double Key Encryption mit eigenen Schlüsseln oder einen echten EU-Anbieter ohne US-Konzern in der gesamten Kette.

    Was das für Ihre Web-Infrastruktur konkret heißt

    Dieselben Fragen gelten für die gesamte digitale Infrastruktur: Website-Hosting, E-Mail, DNS, CDN, Analytics. Wer seine Website auf AWS, Azure oder Google Cloud betreibt, wer Cloudflare als CDN nutzt, wer Google Analytics einsetzt, befindet sich in der Gelb- oder Rot-Zone.

    Experto Mundi analysiert die Hosting- und Infrastrukturstruktur Ihrer Website in einem strukturierten Web-Audit und gibt Ihnen eine klare Einordnung: wo Sie stehen, was das bedeutet und welche konkreten Optionen Sie haben.

    Web-Audit anfragen

    Quellen

    Wissenschaftliche Dienste des Deutschen Bundestags, Sachstand WD 3-3000-105/23, Abschluss 19. Januar 2024. 2. Vergabekammer des Bundes, Beschluss VK 2-114/22, 13. Februar 2023. Datenschutzkonferenz, Beschluss vom 31. Januar 2023. EU-Kommission, Angemessenheitsbeschluss EU-US Data Privacy Framework, 10. Juli 2023.

    Rechtlicher Hinweis: Dieser Beitrag gibt einen informativen Überblick über öffentlich verfügbare Behördendokumente und deren rechtliche Einordnung. Er stellt keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes dar und ersetzt keine anwaltliche Beratung im Einzelfall.

  • Compliance ist nicht Sicherheit: Was US-Cloud wirklich bedeutet – und was nicht

    Compliance ist nicht Sicherheit: Was US-Cloud wirklich bedeutet – und was nicht

    Editorial Studio  /  Montabaur

    Webseiten, die Vertrauen erzeugen. Audit, Redesign, Akquise — aus einer Hand.

    Wir nutzen Microsoft 365 mit deutschen Rechenzentren, das ist DSGVO-konform. Stimmt. Aber dieser Satz beantwortet die falsche Frage. Es gibt zwei grundverschiedene Fragen, die im Alltag ständig verwechselt werden: Droht mir eine Geldstrafe durch die Aufsichtsbehörde? Und: Kann ein US-Geheimdienst auf meine Daten zugreifen? Die Antworten sind verschieden. Wer nur die erste stellt, hat die wichtigere nie gestellt.

    Aktuelle Lage, Juni 2026: FISA 702 ist am 12. Juni 2026 erstmals seit seiner Verabschiedung 2008 ausgelaufen. Der US-Kongress hat sich nicht auf eine Verlängerung einigen können. Die Überwachungszertifizierungen des FISC laufen trotzdem bis März 2027 weiter. Der Rechtsrahmen für US-Zugriff auf EU-Daten ist damit unsicherer denn je.

    Die eine Frage, die Ihr IT-Dienstleister nie stellt

    Es gibt zwei grundverschiedene Fragen, die im Alltag ständig verwechselt werden.

    Die Compliance-Frage: Droht mir eine DSGVO-Geldstrafe durch die Aufsichtsbehörde?

    Die Sicherheitsfrage: Kann ein US-Geheimdienst auf meine Daten zugreifen?

    Die Antworten sind verschieden. Wer nur die erste beantwortet, hat die wichtigere nie gestellt.

    Was die deutsche Rechtsprechung tatsächlich sagt

    Zwei Entscheidungen bilden das Fundament der deutschen Praxis.

    Vergabekammer Bund, 13. Februar 2023: Ein latentes Zugriffsrisiko durch den CLOUD Act begründet für sich allein noch keine unzulässige Drittlandübermittlung im Sinne von Art. 44 DSGVO. Solange der Anbieter die Daten tatsächlich in der EU verarbeitet und vertraglich zusichert, keine Herausgabe ohne gerichtliche Prüfung vorzunehmen, ist das Bußgeldrisiko gering.

    Bundestag-Wissenschaftlicher Dienst, Januar 2024: Der CLOUD Act verpflichtet US-Unternehmen zur Herausgabe von Daten, wenn diese Unternehmen die Daten kontrollieren, unabhängig davon, wo der Server steht. Ein echter EU-Anbieter ohne US-Mutterkonzern ist dem CLOUD Act nicht unterworfen. Die Herausgabepflicht hängt an der Unternehmenskontrolle, nicht am Serverstandort.

    Klartext: Die Aufsichtsbehörde kommt möglicherweise nicht. Die NSA kommt vielleicht trotzdem.

    Drei Anbieter-Typen, drei Risikoprofile

    Echter EU-Anbieter (Hetzner, mailbox.org, IONOS): Kein US-Mutterkonzern, kein CLOUD-Act-Zugriff. Weder Compliance-Risiko noch verdecktes Zugriffsrisiko. Das ist die saubere Lösung, für viele Unternehmen alltagstauglich und oft günstiger als gedacht.

    EU-Tochter eines US-Konzerns (Microsoft 365 über deutsche Rechenzentren): Das Compliance-Risiko gegenüber der Aufsichtsbehörde ist begrenzt, wenn die Daten tatsächlich in der EU bleiben und entsprechende Vertragswerke vorliegen. Das Zugriffsrisiko durch US-Behörden via FISA 702 oder CLOUD Act bleibt jedoch abstrakt bestehen. Microsoft ist ein US-Unternehmen und bleibt US-Recht unterworfen.

    Direkter US-Anbieter (Google Workspace, Salesforce, AWS): Höchstes Risiko auf beiden Ebenen. Der EU-US Data Privacy Framework schafft eine Compliance-Grundlage, ist aber politisch fragil.

    Der gangbare Weg: Verschlüsselung mit eigenen Schlüsseln

    Wer Microsoft 365 nicht ersetzen kann oder will, hat eine technische Lösung: Double Key Encryption. Die Verschlüsselungsschlüssel liegen ausschließlich beim Kunden, Microsoft selbst hat keinen Zugriff. Selbst bei einer CLOUD-Act-Anfrage könnte Microsoft nur verschlüsselte, nutzlose Datenpakete herausgeben.

    Das ist kein Selbstläufer: Es erfordert Konfigurationsaufwand, schränkt einige Collaboration-Features ein und eignet sich primär für besonders sensible Datenklassen wie Mandatsgeheimnisse in Kanzleien, Patientendaten in Praxen oder M&A-Unterlagen.

    Der saubere Weg: Echte digitale Souveränität

    Für Unternehmen, die keinen Restrisiko-Kompromiss eingehen wollen, gibt es inzwischen praxistaugliche EU-Alternativen.

    E-Mail und Kalender: mailbox.org aus Berlin oder Proton Mail aus der Schweiz. Office-Suite: openDesk vom ZenDiS, seit Oktober 2024 produktiv beim Bund, außerdem ONLYOFFICE und Collabora Office. Cloud-Storage: Nextcloud auf Hetzner oder IONOS mit voller Datenkontrolle.

    Die drei Fragen für Ihr nächstes IT-Gespräch

    Ist unser Cloud-Anbieter ein echtes EU-Unternehmen ohne US-Mutterkonzern, oder nur eine EU-Tochter? Falls US-Konzern: Sind Double Key Encryption oder äquivalente Schlüsselhoheit implementiert? Sind unsere sensiblen Daten klar von Alltagsdaten getrennt und mit dem höchsten Schutz versehen?

    Experto Mundi: Der Web-Audit zeigt den blinden Fleck

    In unserem kostenlosen Web-Audit für KMU, Kanzleien und Praxen prüfen wir auch die Hosting- und E-Mail-Souveränität: Welche Anbieter sind im Einsatz, welche US-Dienste werden über Ihre Website geladen, und welche davon würden bei einem Schrems III über Nacht zum Problem?

    Das ist keine Panikmache. Es ist Klartext für eine informierte Entscheidung.

    Jetzt kostenlosen Web-Audit anfordern

    Hinweis gemäß Rechtsdienstleistungsgesetz: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die dargestellten Risikobewertungen beruhen auf öffentlich zugänglicher Rechtsprechung und Fachliteratur, Stand Juni 2026. Für eine auf Ihre konkrete Situation bezogene rechtliche Bewertung wenden Sie sich bitte an einen zugelassenen Rechtsanwalt oder Datenschutzbeauftragten.