Der US CLOUD Act von 2018 ist nicht im luftleeren Raum entstanden. Er war die direkte Antwort auf den Microsoft-Ireland-Fall (2013–2018), in dem Microsoft die Herausgabe von in Irland gespeicherten E-Mail-Daten erfolgreich verweigerte — und das US-Gericht stimmte zu. Der Kongress hat diese Lücke per Gesetz geschlossen. Seit 2018 können US-Behörden Daten weltweit anfordern, unabhängig vom Speicherort.
Für jedes Unternehmen, das Microsoft 365, Google Workspace oder AWS nutzt, ist das keine juristische Debatte. Es geht um Ihre Daten. Jetzt.
Was Datensouveränität tatsächlich bedeutet
Datensouveränität ist die Fähigkeit eines Unternehmens (oder eines Staates), die eigenen Daten vollständig zu kontrollieren: Wo sie liegen, wer darauf zugreift, wie sie verarbeitet werden — und welches Recht für all das gilt.
Klingt selbstverständlich. Ist es nicht. Sobald Daten in der Cloud eines US-Anbieters liegen, unterliegen sie potenziell US-Recht — unabhängig vom physischen Standort des Servers. Frankfurt, Dublin, Singapur: Der CLOUD Act macht keinen Unterschied.
Drei Dimensionen:
Rechtliche Souveränität. Welches Recht greift? DSGVO? US CLOUD Act? Beides gleichzeitig?
Technische Souveränität. Haben Sie tatsächlich Kontrolle über Speicherung, Verschlüsselung und Zugriff? Oder hält der Anbieter die Schlüssel?
Operative Souveränität. Können Sie den Anbieter wechseln, ohne Daten zu verlieren? Oder sind Sie in einem Ökosystem eingesperrt, das Sie nicht verlassen können?
Warum das 2026 akut ist
Der US CLOUD Act
Der Clarifying Lawful Overseas Use of Data Act von 2018 verpflichtet US-Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben — auch wenn die Daten in der EU liegen. Im Anwendungsbereich: Microsoft, Google, Amazon (AWS), Apple, Meta, Oracle, Salesforce — und jeder andere US-Konzern.
Übersetzt: Ihre Verträge, Kundendaten, Personalakten und Strategiepapiere in M365 oder Workspace sind potenziell für US-Behörden erreichbar. Ohne dass Sie informiert werden müssen.
Das wackelige Data Privacy Framework
Das EU-US Data Privacy Framework, 2023 verabschiedet, soll genau das beheben. Realitätscheck: noyb (Max Schrems) klagt vor dem EuGH — dasselbe Drehbuch, das Safe Harbor 2015 und Privacy Shield 2020 gekippt hat. Zwei Vorgänger, zwei Niederlagen. Im September 2025 überstand das DPF zwar seine erste Anfechtung (Latombe-Fall vor dem EuG). Die breitere noyb-Klage vor dem EuGH ist noch offen.
Politische Instabilität und das Executive-Order-Problem
Executive Order 14086, die das DPF stützt, kann per Präsidentendekret aufgehoben werden. Eine Souveränität, die von einer einzelnen Executive Order abhängt, ist keine dauerhafte Souveränität.
Die EU baut regulatorisches Gegengewicht
- DSGVO: Strenge Regeln für Drittlandtransfers
- EU AI Act: Dokumentations- und Kontrollpflichten für KI-Systeme
- Data Act (in Kraft seit September 2025): Regeln für Datenzugang, Portabilität und Cloud-Wechsel
- Digital Operational Resilience Act (DORA): Für Finanzdienstleister — Pflicht zur Kontrolle über Cloud-Auslagerungen
Die vier Stufen der Datensouveränität
| Stufe | Beschreibung | Beispiel | Souveränitätsgrad |
|---|---|---|---|
| 1. US-Cloud | Daten bei US-Anbieter, US-Recht gilt | M365, Workspace | Niedrig |
| 2. EU-Cloud | EU-Anbieter oder US-Anbieter mit EU-Region | EU-gehostete SaaS, Azure EU-Region | Mittel |
| 3. Sovereign Cloud | Zertifizierte souveräne Cloud, lokal betrieben | EU-betriebene Joint Ventures (z.B. Delos Cloud), zertifizierte Anbieter | Hoch |
| 4. On-Premise | Eigene Infrastruktur, kein externer Zugriff | On-Premise-KI, eigene Server | Vollständig |
Die meisten Mittelständler sitzen auf Stufe 1 oder 2. Für sensible Daten ist Stufe 3 das Minimum; Stufe 4 das Maximum.
Branchenspezifische Risiken
Nicht jede Branche ist gleich exponiert, aber jede hat ihre eigene Druckstelle:
Finanzdienstleister: DORA verlangt ab 2025 Kontrolle über Cloud-Auslagerungen und dokumentierte Exit-Strategien. Datensouveränität ist hier regulatorische Pflicht, nicht Kür.
Gesundheitswesen: Patientendaten haben den strengsten Schutz. Ein Transfer an US-Cloud-Anbieter ist datenschutzrechtlich hoch riskant. Krankenhäuser und Praxen, die KI für Dokumentation nutzen, brauchen On-Premise-Lösungen.
Öffentliche Verwaltung: Der IT-Planungsrat hat die „Deutsche Verwaltungscloud-Strategie” verabschiedet — Ziel: souveräne Cloud-Infrastruktur für Bund, Länder, Kommunen. Auftragnehmer der öffentlichen Hand werden Datensouveränität zunehmend nachweisen müssen, nicht nur behaupten.
Industrie / Maschinenbau: Konstruktionsdaten, Patente, Fertigungsgeheimnisse. Unkontrollierter Datenabfluss an US-Clouds ist ein Wettbewerbsrisiko, kein reines Compliance-Thema.
Was jetzt zu tun ist
1. Daten-Audit durchführen
Wo liegen Ihre Daten? Welche Anbieter verarbeiten sie? Welcher Jurisdiktion unterliegen diese? Ein Spreadsheet mit drei Spalten — System, Anbieter, Jurisdiktion — reicht für den Anfang. Sinn der Übung: aufhören zu raten.
2. Den kritischen Teil identifizieren
Nicht alle Daten sind gleich sensibel. Priorisieren: Verträge, Personaldaten, Kundenkommunikation, Finanzberichte, IP, Quellcode. Nichts davon gehört ohne explizite Souveränitätsgarantien in eine Drittanbieter-Cloud. Marketing-Material ist weniger heikel.
3. Migrationspfad planen
Für kritische Daten: EU-Cloud-Anbieter evaluieren oder zu On-Premise wechseln. Für KI-Workloads, die Unternehmenswissen verarbeiten: On-Premise-KI-Plattformen entfernen das Drittlandtransfer-Problem, statt es zu umarbeiten.
4. Verträge prüfen
Bestehende Cloud-Verträge: CLOUD-Act-Klauseln scannen. AVVs: Drittlandtransfer-Regelungen prüfen. Kündigungsfristen und tatsächliche Portabilitätsoptionen dokumentieren — die meisten sind schlechter, als sie auf dem Papier aussehen.
Datensouveränität beginnt bei der Infrastruktur-Entscheidung contboxx Vault ist On-Premise-KI. Kein Byte verlässt das Netzwerk. Kein US-Anbieter, kein Drittlandtransfer, keine CLOUD-Act-Exposition.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Datensouveränität und Datenschutz?
Datenschutz (DSGVO) regelt den Umgang mit personenbezogenen Daten. Datensouveränität ist breiter — sie umfasst die Kontrolle über alle Unternehmensdaten, auch nicht-personenbezogene wie Verträge, IP und Finanzdaten. Datenschutz ist eine Teilmenge der Datensouveränität, nicht das Ganze.
Sind meine Daten in einem lokalen Rechenzentrum automatisch souverän?
Nein. Wenn der Anbieter ein US-Unternehmen ist (Microsoft, Google, AWS), greift der CLOUD Act auch bei EU-Region. Tatsächliche Souveränität braucht einen Nicht-US-Anbieter oder On-Premise-Infrastruktur. Der Serverstandort ist notwendig, aber nicht hinreichend.
Betrifft der CLOUD Act auch deutsche Unternehmen?
Indirekt ja. Der Act zielt direkt auf US-Unternehmen — aber wenn Ihre Daten bei Microsoft, Google oder AWS liegen, können US-Behörden Zugriff verlangen. Das deutsche Unternehmen erfährt davon möglicherweise nie. Die Exposition reist mit dem Anbieter mit.
Fazit
Datensouveränität ist kein Nice-to-have. Sie ist das Fundament, auf dem jede ernsthafte Compliance-Strategie steht. Wer Daten bei US-Cloud-Anbietern speichert, akzeptiert implizit, dass US-Behörden Zugriff bekommen können. Wer das nicht will, muss die Infrastruktur wechseln — nicht irgendwann, sondern bevor das nächste Framework-Abkommen kippt.
Die gute Nachricht: Souveräne Alternativen sind reifer als noch vor zwei Jahren. Auf jeder Stufe — von EU-Cloud bis On-Premise — gibt es inzwischen eine praktikable Antwort.