US-Zugriffe auf EU Cloud-Daten: Zeitenwende für den Datenschutz

von Anne Wolak
in Aus der Praxis, Neuigkeiten und Nachrichten
24. Juli 2025
4 min Lesezeit

Eine Aussage aus einer im Juni 2025 stattgefundenen Anhörung im französischen Senat hat jüngst hohe Wellen geschlagen: Der ranghohe Microsoft France Manager Anton Carniaux sagte unter Eid, dass der Konzern nicht garantieren könne, EU-Kundendaten vor dem Zugriff US-amerikanischer Behörden zu schützen.1,3 Für viele in Politik, Verwaltung und Wirtschaft stellt dies eine Zäsur dar, denn damit wird deutlich, dass selbst Daten, die physisch in der EU gespeichert sind, sich nicht automatisch amerikanischer Gesetze wie dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) oder FISA (Foreign Intelligence Surveillance Act) entziehen.2
Auch für uns bei Stadt.Land.Netz ist das Thema Datenschutz von zentraler Bedeutung. Unsere Lösungen unterstützen Kommunen und öffentliche Einrichtungen beim Umgang mit besonders sensiblen, personenbezogenen Daten. Der Schutz dieser Daten vor unbefugtem Zugriff ist für uns nicht nur rechtlich verpflichtend, sondern Teil unseres Selbstverständnisses als Anbieter sicherer und zuverlässiger Verwaltungssoftware.

Datenschutz in der EU und in Deutschland

Die europäischen Mitgliedsstaaten haben mit der Datenschutz-Grundverordnung (DSGVO) einen der weltweit strengsten Datenschutzrahmen etabliert. Unternehmen und Behörden sind verpflichtet, personenbezogene Daten rechtskonform zu verarbeiten und vor unbefugtem Zugriff zu schützen. Die Gewissheit darüber, dass US-Behörden auch auf europäisch gespeicherte Daten zugreifen können, wirft daher gleich mehrere datenschutzrechtlich brisante Fragen auf.

Welche Fragen Unternehmen sich jetzt stellen sollten

  1.  Ist der Einsatz von US-Cloud-Anbietern noch mit der DSGVO vereinbar? Ein Kerngedanke der DSGVO ist die Datenhoheit: Unternehmen müssen jederzeit wissen, wo und unter welchen Bedingungen Daten verarbeitet werden. Wenn ausländische Behörden auf gespeicherte Daten zugreifen können, ohne dass die Betroffenen informiert werden, wird die Transparenzpflicht verletzt. Unternehmen stehen damit unter Zugzwang, die Rechtskonformität ihrer Datenverarbeitung kritisch zu hinterfragen.
  2. Reicht ein Serverstandort in der EU aus? Lange galt die Vorstellung, dass ein Rechenzentrum in Deutschland oder innerhalb der EU automatisch einen hohen Datenschutz bietet. Diese Annahme ist nun nicht mehr haltbar, wenn die Betreiber dem Rechtssystem eines Drittstaates (in diesem Fall die USA) unterliegen, der Zugriffsmöglichkeiten im Ausland vorsieht. Die bloße physische Speicherung in Europa reicht also nicht aus, um sich rechtlich auf der sicheren Seite zu bewegen.
  3. Welche Alternativen gibt es zu US-Diensten? Unternehmen sollten nun zunächst prüfen, ob es Alternativen zu den großen US-amerikanischen Cloud-Anbietern gibt. Europäische Anbieter, die nicht dem US-Recht unterliegen, könnten datenschutzrechtlich eine bessere Wahl sein, auch wenn diese oft weniger skalierbar oder teurer sind. Insbesondere kritische Infrastrukturen, Kommunen und der Gesundheitssektor könnten gezwungen sein, ihre IT-Strategie grundlegend umzudenken.
  4. Wie lassen sich Betroffene und Behörden informieren? Der Zugriff durch US-Behörden kann unter Geheimhaltungspflichten erfolgen. Das bedeutet, dass Unternehmen im Zweifel gar nicht wissen, ob ihre Daten abgefragt wurden. Eine Offenlegung dieser Auskunftsersuche durch die USA an europäische Kunden kann laut Carniaux nicht garantiert werden. Das widerspricht zentralen DSGVO-Prinzipien wie der Rechenschaftspflicht und der Informationspflicht gegenüber Betroffenen. Es braucht daher klare Prozesse, um im Fall der Fälle schnell und rechtskonform reagieren zu können – auch wenn dies oft nur eingeschränkt möglich ist.

Dringender Handlungsbedarf für Datenschutzbeauftragte

Deutsche Unternehmen, sollten spätestens jetzt eine umfassende Risikoabwägung vornehmen:

  • Cloud-Daten: Wo liegen welche Daten? Wer hat rechtlich und technisch Zugriff?
  • Vertragsmanagement: Sind die Auftragsverarbeitungsverträge (AVV) wasserdicht und korrekt aufgesetzt? Sind Standardvertragsklauseln (SCCs) aktuell?
  • Verschlüsselung: Wer hat Zugriff und kontrolliert die Schlüssel?
  • Risikobewertung: Unter welchen Umständen können weiter US-Dienste verwendet werden? Sollten für besonders sensible Daten EU-Anbieter herangezogen werden?
  • Unternehmensinterne Prozesse: Welche Prozesskette gibt es, wenn behördliche Anfragen und Datenzugriff bekannt werden?

Diese Fragen betreffen nicht nur große Konzerne. Auch kleine und mittlere Unternehmen, die US-Cloud-Dienste für z.B. E-Mail, CRM oder Projektmanagement nutzen, laufen Gefahr, unbeabsichtigt gegen Datenschutzvorgaben zu verstoßen.

Wie gehen wir bei Stadt.Land.Netz mit dem Thema Datenschutz um?

Für öffentliche Auftraggeber, die besonders hohe Anforderungen an Datenschutz und digitale Souveränität stellen, bietet Stadt.Land.Netz einen klaren Vorteil: Die Hosting-Infrastruktur basiert vollständig auf Rechenzentren der Deutschen Telekom in Deutschland und unterliegt ausschließlich europäischem Datenschutzrecht. Darüber hinaus besteht die Möglichkeit, die Software im Eigenbetrieb auf kommunaler IT-Infrastruktur zu hosten. Damit ist sichergestellt, dass sensible Daten, wie personenbezogene Daten von Kindern und Eltern oder Tourenplanungen, nicht dem Zugriff durch Dritte unterliegen und unabhängig von US-Gesetzen wie dem CLOUD Act verarbeitet werden können.

Fazit: Ein Wendepunkt in Sachen digitaler Souveränität für die EU

Die Erkenntnis, dass europäische Daten in der Cloud nicht automatisch vor dem Zugriff fremder Staaten geschützt sind, bringt Unternehmen in eine rechtlich und ethisch schwierige Lage. Die Vorgaben der DSGVO sind nicht verhandelbar – und wer sich auf Cloud-Lösungen verlässt, muss deren rechtliche Rahmenbedingungen mitdenken. Es geht nicht mehr allein um technische Infrastruktur, sondern um digitale Souveränität.

Wer heute US-Clouds nutzt, muss sich bewusst sein: Datenschutz ist dort keine Garantie, selbst wenn die Daten in der EU gehostet werden.

Quellen:

1) Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern [20.07.2025]

2) FISA 702, CLOUD Act & Co.: US‑Überwachung killt jeden europäischen Datenschutz – was tun? [08.07.2025]

3) Unter Eid: Microsoft kann Schutz vor Cloud Act nicht garantieren [17.07.2025]

Bild des Artikels von Adrien auf Unsplash

Unsere Anwendung VIA hilft Ihnen bei allen Aufgaben der kommunalen Schülerbeförderung
freigestellter Schülerverkehr
ÖPNV
Kostenerstatter

Über den Autor

Anne Wolak

Anne ist die Marketing Managerin von Stadt.Land.Netz. Ihr Herz schlägt für authentische Geschichten und kreative Ideen, die komplexe Inhalte lebendig machen.

Alle Beiträge anzeigen

Mehr lesen

Neueste Beiträge

Kategorien