Editorial Studio / Montabaur
Wir nutzen Microsoft 365 mit deutschen Rechenzentren, das ist DSGVO-konform. Stimmt. Aber dieser Satz beantwortet die falsche Frage. Es gibt zwei grundverschiedene Fragen, die im Alltag ständig verwechselt werden: Droht mir eine Geldstrafe durch die Aufsichtsbehörde? Und: Kann ein US-Geheimdienst auf meine Daten zugreifen? Die Antworten sind verschieden. Wer nur die erste stellt, hat die wichtigere nie gestellt.
Aktuelle Lage, Juni 2026: FISA 702 ist am 12. Juni 2026 erstmals seit seiner Verabschiedung 2008 ausgelaufen. Der US-Kongress hat sich nicht auf eine Verlängerung einigen können. Die Überwachungszertifizierungen des FISC laufen trotzdem bis März 2027 weiter. Der Rechtsrahmen für US-Zugriff auf EU-Daten ist damit unsicherer denn je.
Die eine Frage, die Ihr IT-Dienstleister nie stellt
Es gibt zwei grundverschiedene Fragen, die im Alltag ständig verwechselt werden.
Die Compliance-Frage: Droht mir eine DSGVO-Geldstrafe durch die Aufsichtsbehörde?
Die Sicherheitsfrage: Kann ein US-Geheimdienst auf meine Daten zugreifen?
Die Antworten sind verschieden. Wer nur die erste beantwortet, hat die wichtigere nie gestellt.
Was die deutsche Rechtsprechung tatsächlich sagt
Zwei Entscheidungen bilden das Fundament der deutschen Praxis.
Vergabekammer Bund, 13. Februar 2023: Ein latentes Zugriffsrisiko durch den CLOUD Act begründet für sich allein noch keine unzulässige Drittlandübermittlung im Sinne von Art. 44 DSGVO. Solange der Anbieter die Daten tatsächlich in der EU verarbeitet und vertraglich zusichert, keine Herausgabe ohne gerichtliche Prüfung vorzunehmen, ist das Bußgeldrisiko gering.
Bundestag-Wissenschaftlicher Dienst, Januar 2024: Der CLOUD Act verpflichtet US-Unternehmen zur Herausgabe von Daten, wenn diese Unternehmen die Daten kontrollieren, unabhängig davon, wo der Server steht. Ein echter EU-Anbieter ohne US-Mutterkonzern ist dem CLOUD Act nicht unterworfen. Die Herausgabepflicht hängt an der Unternehmenskontrolle, nicht am Serverstandort.
Klartext: Die Aufsichtsbehörde kommt möglicherweise nicht. Die NSA kommt vielleicht trotzdem.
Drei Anbieter-Typen, drei Risikoprofile
Echter EU-Anbieter (Hetzner, mailbox.org, IONOS): Kein US-Mutterkonzern, kein CLOUD-Act-Zugriff. Weder Compliance-Risiko noch verdecktes Zugriffsrisiko. Das ist die saubere Lösung, für viele Unternehmen alltagstauglich und oft günstiger als gedacht.
EU-Tochter eines US-Konzerns (Microsoft 365 über deutsche Rechenzentren): Das Compliance-Risiko gegenüber der Aufsichtsbehörde ist begrenzt, wenn die Daten tatsächlich in der EU bleiben und entsprechende Vertragswerke vorliegen. Das Zugriffsrisiko durch US-Behörden via FISA 702 oder CLOUD Act bleibt jedoch abstrakt bestehen. Microsoft ist ein US-Unternehmen und bleibt US-Recht unterworfen.
Direkter US-Anbieter (Google Workspace, Salesforce, AWS): Höchstes Risiko auf beiden Ebenen. Der EU-US Data Privacy Framework schafft eine Compliance-Grundlage, ist aber politisch fragil.
Der gangbare Weg: Verschlüsselung mit eigenen Schlüsseln
Wer Microsoft 365 nicht ersetzen kann oder will, hat eine technische Lösung: Double Key Encryption. Die Verschlüsselungsschlüssel liegen ausschließlich beim Kunden, Microsoft selbst hat keinen Zugriff. Selbst bei einer CLOUD-Act-Anfrage könnte Microsoft nur verschlüsselte, nutzlose Datenpakete herausgeben.
Das ist kein Selbstläufer: Es erfordert Konfigurationsaufwand, schränkt einige Collaboration-Features ein und eignet sich primär für besonders sensible Datenklassen wie Mandatsgeheimnisse in Kanzleien, Patientendaten in Praxen oder M&A-Unterlagen.
Der saubere Weg: Echte digitale Souveränität
Für Unternehmen, die keinen Restrisiko-Kompromiss eingehen wollen, gibt es inzwischen praxistaugliche EU-Alternativen.
E-Mail und Kalender: mailbox.org aus Berlin oder Proton Mail aus der Schweiz. Office-Suite: openDesk vom ZenDiS, seit Oktober 2024 produktiv beim Bund, außerdem ONLYOFFICE und Collabora Office. Cloud-Storage: Nextcloud auf Hetzner oder IONOS mit voller Datenkontrolle.
Die drei Fragen für Ihr nächstes IT-Gespräch
Ist unser Cloud-Anbieter ein echtes EU-Unternehmen ohne US-Mutterkonzern, oder nur eine EU-Tochter? Falls US-Konzern: Sind Double Key Encryption oder äquivalente Schlüsselhoheit implementiert? Sind unsere sensiblen Daten klar von Alltagsdaten getrennt und mit dem höchsten Schutz versehen?
Experto Mundi: Der Web-Audit zeigt den blinden Fleck
In unserem kostenlosen Web-Audit für KMU, Kanzleien und Praxen prüfen wir auch die Hosting- und E-Mail-Souveränität: Welche Anbieter sind im Einsatz, welche US-Dienste werden über Ihre Website geladen, und welche davon würden bei einem Schrems III über Nacht zum Problem?
Das ist keine Panikmache. Es ist Klartext für eine informierte Entscheidung.
Jetzt kostenlosen Web-Audit anfordern
Hinweis gemäß Rechtsdienstleistungsgesetz: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die dargestellten Risikobewertungen beruhen auf öffentlich zugänglicher Rechtsprechung und Fachliteratur, Stand Juni 2026. Für eine auf Ihre konkrete Situation bezogene rechtliche Bewertung wenden Sie sich bitte an einen zugelassenen Rechtsanwalt oder Datenschutzbeauftragten.
Schreibe einen Kommentar