Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018 verpflichtet US-amerikanische Cloud-Anbieter, Daten auf Anfrage von US-Behörden herauszugeben — unabhängig davon, wo die Server physisch stehen. Ein Rechenzentrum in Frankfurt, München oder Dublin schützt Ihre Daten nicht vor US-Zugriff, solange der Betreiber ein US-Unternehmen ist. Für europäische Unternehmen entsteht ein unauflösbarer Rechtskonflikt zwischen DSGVO und US-Recht.
Das Kernproblem: Rechtshoheit folgt dem Unternehmen, nicht dem Server
Der CLOUD Act ermächtigt US-Behörden, von jedem Unternehmen unter US-Jurisdiktion die Herausgabe von Daten zu verlangen — unabhängig vom Speicherort. Das bedeutet konkret: Wire: CLOUD Act & EU Data Sovereignty
- AWS Frankfurt: Amazon ist ein US-Unternehmen → CLOUD Act gilt
- Azure Deutschland: Microsoft ist ein US-Unternehmen → CLOUD Act gilt
- Google Cloud Europe: Google ist ein US-Unternehmen → CLOUD Act gilt
Die physische Lage der Daten ist irrelevant. Entscheidend ist, ob der Cloud-Anbieter oder seine Muttergesellschaft der US-Jurisdiktion unterliegt. Einen detaillierten Kosten- und Compliance-Vergleich zwischen EU- und US-Cloud-Anbietern finden Sie in unserem Hetzner vs. AWS-Vergleich. Akave: Europe's Cloud Sovereignty Crisis (2026)
Datenresidenz vs. Datensouveränität: Der entscheidende Unterschied
Viele deutsche Unternehmen wiegen sich in falscher Sicherheit: Solange der Server in Deutschland steht, seien die Daten geschützt. Das ist ein Irrtum. Xpert.digital: US-Behörden lesen mit
| Kriterium | Datenresidenz | Datensouveränität |
|---|---|---|
| Definition | Daten werden physisch in einem bestimmten Land gespeichert | Daten unterliegen ausschließlich der Rechtsordnung des Speicherlandes |
| Schutz vor US-Zugriff | Nein — CLOUD Act umgeht den Speicherort | Ja — aber nur bei EU-eigenen Anbietern |
| AWS Frankfurt | ✓ Daten liegen in DE | ✗ US-Unternehmen → CLOUD Act gilt |
| Hetzner DE | ✓ Daten liegen in DE | ✓ EU-Unternehmen → kein CLOUD Act |
Ein Rechtsgutachten der Universität Köln, das im Auftrag des Bundesministeriums des Innern erstellt und im Dezember 2025 über eine Informationsfreiheitsanfrage veröffentlicht wurde, bestätigt: Die Möglichkeit eines US-Behördenzugriffs auf Daten bei US-Cloud-Anbietern „kann nicht zuverlässig ausgeschlossen werden" — auch nicht durch technische oder organisatorische Schutzmaßnahmen. Igor's Lab: BMI-Gutachten bestätigt Risiken
Selbst Verschlüsselung reicht nicht: Obwohl Anbieter den eigenen Zugriff technisch einschränken können, entbindet dies laut dem Gutachten nicht von den rechtlichen Herausgabepflichten nach US-Prozessrecht. TWINSOFT: EU-Daten in Gefahr
Microsoft unter Eid: „Nein, das kann ich nicht garantieren"
Am 10. Juni 2025 wurde Anton Carniaux, Rechtsberater bei Microsoft France, vor dem französischen Senat direkt gefragt, ob er garantieren könne, dass Daten französischer Bürger in der Microsoft-Cloud niemals an US-Behörden weitergegeben würden.
Seine Antwort: „Non, je ne peux pas le garantir" — „Nein, das kann ich nicht garantieren." The Register: Microsoft exec admits cannot guarantee sovereignty
Microsoft erklärte, man würde solche Anfragen juristisch anfechten und auf das Nötigste beschränken. Aber die rechtliche Realität bleibt: Es gibt kein Gesetz, das die extraterritoriale Wirkung des CLOUD Act aufhebt. DataBalance: Microsoft Cloud Sovereignty 2026
FISA 702: Massenüberwachung ohne Richtervorbehalt
Neben dem CLOUD Act ermöglicht FISA Section 702 US-Geheimdiensten die Überwachung elektronischer Kommunikation von Nicht-US-Personen — ohne richterliche Einzelgenehmigung. SoftwareSeni: CLOUD Act & FISA 702 Legal Exposure
Die 2024 verabschiedete Verlängerung (RISAA) hat den Anwendungsbereich sogar erweitert: Jedes Unternehmen unter US-Jurisdiktion, das einen Dienst beliebiger Art anbietet und Zugang zu Kommunikationsinfrastruktur hat, kann zur Kooperation verpflichtet werden. CDT: FISA 702 Expansion Impact on DPF
FISA 702 läuft am 20. April 2026 aus. Eine erneute Verlängerung durch den Kongress steht bevor — und wird die Grundlage für eine mögliche „Schrems III"-Entscheidung des EuGH bilden. Congressional Research Service: FISA Section 702
Schrems III: Die nächste juristische Erschütterung?
Das EU-US Data Privacy Framework (DPF), der Nachfolger des 2020 gekippten Privacy Shield, steht bereits unter juristischem Beschuss:
Latombe-Fall:
- September 2025: Das EU-Gericht wies die Klage des französischen Abgeordneten Philippe Latombe gegen das DPF ab
- 31. Oktober 2025: Latombe legte Berufung beim EuGH ein
- Die Kernfrage: Ist der US Data Protection Review Court (DPRC) wirklich unabhängig und unparteiisch?
NOYB-Offensive: NOYB, die von Max Schrems gegründete Datenschutzorganisation, die bereits zwei Vorgänger-Abkommen (Safe Harbor und Privacy Shield) zu Fall gebracht hat, erwägt eine eigenständige, umfassendere Klage vor dem EuGH. NOYB: Erste Reaktion auf Latombe-Urteil
Der regulatorische Druck steigt: EU Data Act und NIS2
EU Data Act (seit September 2025 anwendbar)
Artikel 32 des EU Data Act verpflichtet Cloud-Anbieter, „alle angemessenen technischen, organisatorischen und rechtlichen Maßnahmen" zu ergreifen, um den unrechtmäßigen internationalen Zugriff auf nicht-personenbezogene Daten in der EU zu verhindern. EU Data Act: Artikel 32
Wenn ein US-Anbieter einer CLOUD-Act-Anfrage nachkommt, verstößt er potenziell gegen Artikel 32 — ein weiterer Rechtskonflikt ohne Lösung.
NIS2 (seit Dezember 2025 in Kraft)
Die NIS2-Richtlinie verlangt von 29.500 deutschen Unternehmen eine Bewertung der Cybersicherheit in der Lieferkette. Dazu gehört auch die Prüfung, ob Cloud-Anbieter dem Zugriff durch Drittstaaten-Behörden ausgesetzt sind. Die Jurisdiktion Ihres Cloud-Anbieters wird damit zum Compliance-Problem.
EU e-Evidence-Verordnung (ab August 2026)
Ab dem 17. August 2026 gilt die neue EU e-Evidence-Verordnung, die den grenzüberschreitenden Zugriff auf elektronische Beweismittel innerhalb der EU regelt — ein europäischer Gegenentwurf zum CLOUD Act. CMS: White Paper CLOUD Act vs EU Sovereignty
Die Alternative: EU-eigene Infrastruktur
Echte Datensouveränität erfordert einen Cloud-Anbieter, der:
- Zu 100% in EU-Eigentum ist (keine US-Muttergesellschaft)
- Ausschließlich EU-Recht unterliegt
- Keine Entität hat, die einen CLOUD-Act-Beschluss empfangen kann
| Kriterium | Hetzner (DE) | AWS Frankfurt |
|---|---|---|
| Eigentümer | Hetzner GmbH, Gunzenhausen (DE) | Amazon.com Inc., Seattle (US) |
| CLOUD Act Exposition | Keine — nicht US-jurisdiziert | Voll — US-Muttergesellschaft |
| FISA 702 Risiko | Keines | Ja — als US-Unternehmen |
| DSGVO-Konformität | Nativ — nur EU-Recht | Rechtskonflikte mit US-Recht |
| EU Data Act Art. 32 | Kein Drittstaaten-Zugriff möglich | US-Zugriff nicht ausschließbar |
| Rechenzentren | Nürnberg, Falkenstein, Helsinki | Frankfurt (US-Betreiber) |
| Kosten (4vCPU/16GB) | ~€24/Monat | ~€130/Monat |
Die Zeitbombe tickt: Warum jetzt handeln?
Die regulatorische Landschaft verschärft sich in eine einzige Richtung: Weg von US-Abhängigkeiten, hin zu europäischer Souveränität.
- FISA 702 Sunset: April 2026 — Verlängerung könnte Schrems III auslösen
- EU e-Evidence: August 2026 — europäischer Gegenentwurf zum CLOUD Act
- NIS2 Registrierung: bereits fällig — verlangt Lieferketten-Risikobewertung
- EU Data Act: seit September 2025 anwendbar — Compliance-Pflicht für Cloud-Anbieter
- Forrester-Warnung: „Wer nicht bis 2026 mit der Planung beginnt, handelt 2028 unter regulatorischem und politischem Druck." MyBusinessFuture: Exit US Cloud
Eine Cloud-Migration dauert 6 bis 18 Monate. Wer jetzt nicht anfängt, wird unter Zeitdruck und höheren Kosten migrieren müssen. Unser Sovereign-Hosting-Guide zeigt die konkreten Schritte für DACH-KMU.
Wie AnvilStack hilft
Wir nutzen KI-Tools für schnelle Entwicklung — aber jede Zeile Code wird von Senior Engineers geprüft und auf EU-souveräner Infrastruktur deployed:
- CLOUD-Act-frei: Wir deployen ausschließlich auf Hetzner (Deutschland) — 100% EU-Eigentum, keine US-Jurisdiktion
- Architektur-Level Souveränität: Kein Drittstaaten-Zugriff möglich, nicht durch technische Workarounds, sondern durch die Rechtsstruktur des Anbieters
- NIS2-konforme Lieferkette: Unsere Infrastruktur besteht jede Lieferketten-Risikobewertung
- EU Data Act Art. 32 ready: Alle Maßnahmen gegen unrechtmäßigen internationalen Zugriff dokumentiert
- Migration von US-Cloud: Wir migrieren bestehende Plattformen von AWS/Azure/GCP zu souveräner EU-Infrastruktur — typisch in 3–6 Monaten
In einem kostenlosen Erstgespräch prüfen wir Ihre Cloud-Infrastruktur auf CLOUD-Act-Exposition. Ab €5.000+ migrieren und härten wir Ihre Plattform auf EU-souveräner Infrastruktur — mit einer funktionierenden App auf Hetzner als Ergebnis, nicht nur einem Migrationsplan.
Quellen
- Wire: What the CLOUD Act Really Means for EU Data Sovereignty
- Akave: Europe's Cloud Sovereignty Crisis (2026)
- Igor's Lab: BMI-Gutachten zu US-Datenzugriff (2025)
- TWINSOFT: Was das Rechtsgutachten über US-Behördenzugriffe verrät
- The Register: Microsoft exec admits cannot guarantee data sovereignty (2025)
- DataBalance: Microsoft Cloud Sovereignty in 2026
- SoftwareSeni: CLOUD Act & FISA 702 Legal Exposure for EU Cloud Data
- CDT: FISA 702 Expansion Impact on EU-US Data Privacy Framework
- Freshfields: EU-US DPF Survives First Challenge (2025)
- WilmerHale: CJEU to Review DPF Challenge
- NOYB: Erste Reaktion auf Latombe-Urteil
- EU Data Act: Artikel 32 — International Governmental Access
- CMS: White Paper — CLOUD Act vs EU/UK Data Sovereignty (2026)
- Gart Solutions: Digital Sovereignty — EU Cloud Provider Guide (2026)
- Xpert.digital: US-Behörden lesen mit — Server in Frankfurt schützen nicht
- MyBusinessFuture: Exit US Cloud — What SMEs Must Check
- Congressional Research Service: FISA Section 702 (R48592)