US CLOUD Act und europäische Datensouveränität: Warum DSGVO-konforme Rechenzentren nicht genügen
Der US CLOUD Act verpflichtet amerikanische Cloud-Anbieter, auf Anforderung US-Behörden Zugang zu Daten zu gewähren, auch wenn diese auf europäischen Servern liegen. Europäische Datensouveränität ist deshalb nicht durch Frankfurter Rechenzentren hergestellt, sondern nur durch Kontrolle über Anbieter, Recht und Infrastruktur. Dr. Raphael Nagel (LL.M.) ordnet die Konsequenzen für regulierte Branchen ein.
US CLOUD Act und europäische Datensouveränität is die juristische Kollisionszone zwischen dem amerikanischen Clarifying Lawful Overseas Use of Data Act von 2018 und der Datenschutz-Grundverordnung der Europäischen Union. Der CLOUD Act erlaubt US-Strafverfolgungsbehörden unter definierten Voraussetzungen Zugriff auf Daten, die amerikanische Unternehmen wie Microsoft, Amazon Web Services oder Google Cloud auf Servern außerhalb der USA speichern, einschließlich Rechenzentren in Frankfurt, Dublin oder Paris. Europäische Datensouveränität bedeutet im Gegensatz dazu die Fähigkeit, Datenverarbeitung rechtlich, technisch und betrieblich im eigenen Jurisdiktionsraum zu kontrollieren. Beide Rechtsordnungen stehen in einer strukturellen Spannung, die bisher nicht abschließend gerichtlich geklärt ist.
Was regelt der US CLOUD Act und warum kollidiert er mit der DSGVO?
Der Clarifying Lawful Overseas Use of Data Act, 2018 vom US-Kongress verabschiedet, verpflichtet amerikanische Technologieunternehmen, auf rechtmäßige Anforderung von US-Behörden Daten auch dann herauszugeben, wenn diese auf Servern außerhalb der Vereinigten Staaten gespeichert sind. Die DSGVO verbietet solche Übermittlungen an Drittstaaten ohne ausreichende Schutzgarantien.
Die Kollision ist strukturell: Microsoft, Amazon und Google sind amerikanische Muttergesellschaften und unterliegen dem CLOUD Act unabhängig davon, wo ihre Tochtergesellschaften operieren. Ein Rechenzentrum in Frankfurt, das DSGVO-konforme Verarbeitung verspricht, wird damit zum rechtlichen Hybrid: technisch europäisch, juristisch amerikanisch. Das Buch ALGORITHMUS formuliert diesen Widerspruch als eine der schwerwiegendsten Souveränitätsfragen der europäischen Digitalpolitik.
Die praktische Häufigkeit amerikanischer Zugriffsanfragen ist unklar, die strukturelle rechtliche Möglichkeit ist real. Für Unternehmen in regulierten Branchen, insbesondere Banken unter MiFID II, Gesundheitseinrichtungen unter nationalen Gesundheitsdatenschutzgesetzen und Verteidigungslieferanten, reicht strukturelle Unsicherheit aus, um die Compliance-Position zu destabilisieren. Ein höchstrichterliches Urteil, das den Konflikt abschließend klärt, liegt weder vom Europäischen Gerichtshof noch vom Supreme Court vor.
Warum schützen DSGVO-konforme Rechenzentren europäische Unternehmen nicht vollständig?
DSGVO-konforme Rechenzentren regeln technische Speicherorte, nicht die juristische Verfügungsgewalt über die gespeicherten Daten. Wenn der Betreiber ein amerikanisches Unternehmen ist, bleibt er US-Gerichtsbarkeit unterworfen. Der Frankfurter Serverstandort ist eine Compliance-Fiktion, solange der Konzernhauptsitz in Seattle oder Redmond liegt und der CLOUD Act extraterritoriale Wirkung entfaltet.
Der Marktdruck in diese Richtung ist erheblich. AWS hielt 2023 laut ALGORITHMUS rund 31 Prozent des globalen Cloud-Markts, Microsoft Azure 25 Prozent, Google Cloud 11 Prozent. Zusammen kontrollieren drei amerikanische Anbieter zwei Drittel einer Infrastruktur, deren Gesamtvolumen bei etwa 680 Milliarden Dollar lag. Europäische Unternehmen sind Kunden dieser Struktur, nicht Eigentümer.
Der Datenabfluss ist quantifizierbar. ALGORITHMUS dokumentiert, dass bereits heute 20 bis 30 Milliarden Euro jährlich aus Europa in amerikanische Cloud- und KI-Budgets fließen. Diese Zahlung finanziert zugleich die Infrastruktur, über die amerikanisches Recht europäische Unternehmensdaten erreicht. Die Asymmetrie, die daraus entsteht, ist nicht zyklisch, sondern strukturell. Amazon kündigte 2024 allein 7,8 Milliarden Euro neue Rechenzentrumsinvestitionen in Deutschland an, Microsoft 3,2 Milliarden Euro in Frankreich. Jede dieser Investitionen vertieft Abhängigkeit unter anderem Vorzeichen.
Welche Branchen tragen das höchste CLOUD-Act-Risiko?
Das höchste Risiko tragen Branchen mit regulatorischer Geheimhaltungspflicht und strafbewehrter Verantwortungslage: Banken und Versicherungen unter BaFin-Aufsicht, Gesundheitseinrichtungen mit Patientendaten, Rechtsanwaltskanzleien mit Mandatsgeheimnis, Verteidigungsindustrie mit Exportkontrollrecht, und KRITIS-Betreiber unter NIS2 ab Oktober 2024.
In der Anwaltschaft ist die Spannung besonders scharf. § 203 StGB stellt die Verletzung von Privatgeheimnissen durch Berufsträger unter Strafe. Ein Anwalt, dessen Mandantendaten über einen amerikanischen Cloud-Dienst einer US-Behördenanfrage zugänglich werden, ist nicht durch DSGVO-Konformität seines Anbieters geschützt. ALGORITHMUS beschreibt diesen Typus Fall als typisches Einsatzfeld für Open-Source-Modelle auf eigener Hardware, weil dort keine Datenweitergabe an Dritte erfolgt.
Die NIS2-Richtlinie, seit Oktober 2024 in nationales Recht umzusetzen, verschärft die persönliche Vorstandshaftung: Sanktionen bei Nichteinhaltung betragen bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes, und Vorstände haften persönlich für die Umsetzung. Ein Aufsichtsrat, der CLOUD-Act-Exposition bei kritischen Systemen nicht adressiert, setzt sich einem dokumentierbaren Sorgfaltspflichtvorwurf aus. Die DORA-Verordnung für den Finanzsektor ergänzt diese Anforderung um spezifische Third-Party-Risk-Management-Pflichten.
Welche Alternativen existieren für regulierte Branchen?
Drei Architekturen haben sich als praktikabel erwiesen: europäische Sovereign-Cloud-Lösungen mit rechtlicher Kontrolle durch EU-Gesellschaften, On-Premise-Betrieb mit Open-Source-Foundation-Models für sensitive Workloads, und Multi-Cloud-Architekturen mit Abstraktionsschichten, die den Anbieterwechsel technisch ermöglichen. Jede Architektur trägt spezifische Kosten, die als Versicherungsprämie gegen Zugriffsrisiken zu verstehen sind.
Aleph Alpha in Heidelberg positioniert sich in ALGORITHMUS als europäische Antwort auf Datensouveränität und Erklärbarkeit für Bundesbehörden, Landesregierungen, Bundeswehr und regulierte Unternehmen. Mistral AI in Paris demonstriert, dass kompakte europäische Teams wettbewerbsfähige Foundation Models bauen. Das EuroHPC-Programm stellt Hochleistungsrechenkapazität auf EU-Boden zur Verfügung. Diese Bausteine sind vorhanden, aber in ihrer Kapitalausstattung marginal gegenüber amerikanischen Konkurrenten.
Für Unternehmen bedeutet das eine konkrete Architekturentscheidung auf Vorstandsebene. Daten, deren Zugriff durch ausländische Behörden existentielle Schäden verursachen würde, gehören nicht auf amerikanische Hyperscaler, unabhängig vom Serverstandort. Systeme in offenen Standards halten, Daten in nichtproprietären Formaten speichern, und kritische Workloads auf Infrastruktur unter europäischer Kontrolle betreiben: Das ist die Portabilitätsstrategie, die ALGORITHMUS als strategische Resilienz beschreibt. Die Mehrkosten gegenüber Hyperscaler-Tarifen sind real, liegen typischerweise bei 15 bis 40 Prozent, und kleiner als der erwartete Schaden im Zugriffsfall.
Dr. Raphael Nagel (LL.M.) und das Team von Tactical Management beobachten in Private-Equity-Transaktionen, dass CLOUD-Act-Exposition bei Targets in regulierten Branchen zu Bewertungsabschlägen und zu verbindlichen Post-Closing-Migrationszusagen führt. Das ist kein theoretischer Diskurs, sondern operative Due-Diligence-Realität.
Wie gestalten Vorstände die Governance für Datensouveränität?
Vorstände müssen Datensouveränität als strategisches Risiko behandeln, nicht als IT-Detailfrage. Das erfordert eine Inventarisierung aller Systeme nach Datensensitivität, eine rechtliche Bewertung der jeweiligen Anbieterjurisdiktion, und dokumentierte Eskalationspfade für den Fall einer Behördenanfrage an den Cloud-Anbieter.
Die kritischen Fragen, die regelmäßig im Aufsichtsrat gestellt werden müssen, lauten konkret: Welche personenbezogenen und geschäftskritischen Daten liegen bei Anbietern, die US-Gerichtsbarkeit unterstehen? Welche Verträge enthalten explizite Klauseln zur Benachrichtigung bei Behördenanfragen? Welche Exit-Strategien existieren, und wie lange dauert eine Migration? Gartner schätzt Migrationen bei vollständiger Cloud-Integration auf zwölf bis achtzehn Monate Projektaufwand, eine Zahl, die Investitionsentscheidungen heute bestimmen sollte.
Dr. Raphael Nagel (LL.M.) argumentiert in ALGORITHMUS, dass die Versicherungsprämie der Souveränität erst im Krisenfall sichtbar wird, wenn die Abhängigkeit als Schwäche enthüllt wird. Die europäische Antwort auf den CLOUD Act ist deshalb keine einzelne Regulierung, sondern eine koordinierte Strategie aus Regulierung, Kapitalbereitstellung, öffentlicher Beschaffungspolitik und unternehmerischer Architekturentscheidung. Die Verantwortung liegt nicht bei Brüssel allein, sondern bei jedem Vorstand, der heute über Systemarchitektur entscheidet.
Der US CLOUD Act ist kein juristisches Detail für IT-Abteilungen. Er ist eine Strukturbedingung des europäischen Wirtschaftsraums, die die Grenze zwischen regulatorischer Souveränität und technologischer Abhängigkeit sichtbar macht. Unternehmen, die diese Grenze nicht aktiv gestalten, lassen sie durch amerikanische Gesetzgebung und durch die Vertragsgestaltung von drei Hyperscalern definieren. Dr. Raphael Nagel (LL.M.), Founding Partner von Tactical Management und Autor von ALGORITHMUS, analysiert diese Konstellation als eine der folgenschwersten strategischen Weichenstellungen der nächsten Dekade für den europäischen Mittelstand, für regulierte Branchen und für jede Organisation, deren Wertschöpfung auf vertraulichen Daten beruht. Die Antwort liegt nicht in lauter Regulierungsrhetorik, sondern in konkreten Architekturentscheidungen: in der Wahl der Anbieter, in der Vertragsgestaltung, in der Portabilität der Systeme und in der persönlichen Verantwortungsübernahme durch Vorstände und Aufsichtsräte. Wer heute in Systemen baut, die morgen migrierbar bleiben, wer Open-Source-Alternativen ernsthaft evaluiert und wer proprietäre Domänendaten auf souveräner Infrastruktur verarbeitet, positioniert sein Unternehmen in einer Machtstruktur, die sich gerade konsolidiert. Die Zukunft europäischer Datensouveränität wird nicht in Brüssel entschieden, sondern in den Boardrooms, die jetzt entscheiden, wem sie ihre kritischsten Daten anvertrauen.
Häufige Fragen
Schützt ein Rechenzentrum in Frankfurt europäische Daten vor dem US CLOUD Act?
Nein, nicht vollständig. Der geografische Serverstandort bestimmt nicht die Gerichtsbarkeit des Betreibers. Wenn der Cloud-Anbieter eine amerikanische Muttergesellschaft hat, unterliegt er dem CLOUD Act unabhängig davon, wo die Daten physisch gespeichert werden. DSGVO-Konformität der Verarbeitung und CLOUD-Act-Exposition des Anbieters sind zwei getrennte rechtliche Fragen, die regulierte Branchen separat bewerten müssen.
Welche Sektoren müssen CLOUD-Act-Risiken zwingend in der Compliance adressieren?
Banken und Versicherungen unter BaFin- und EBA-Aufsicht, Gesundheitseinrichtungen mit Patientendaten, Rechtsanwaltskanzleien mit Mandatsgeheimnis nach § 203 StGB, Verteidigungsindustrie mit Exportkontrollanforderungen und KRITIS-Betreiber unter NIS2. Für diese Sektoren ist CLOUD-Act-Exposition ein primäres Compliance-Risiko mit persönlicher Vorstandshaftung. DORA verschärft die Anforderungen im Finanzsektor zusätzlich durch spezifische Third-Party-Risk-Management-Pflichten.
Gibt es rechtsverbindliche europäische Alternativen zu amerikanischen Hyperscalern?
Ja. Sovereign-Cloud-Lösungen europäischer Anbieter, On-Premise-Betrieb mit Open-Source-Foundation-Models wie Mistral oder LLaMA, und hybride Multi-Cloud-Architekturen bieten strukturell unterschiedliche Souveränitätsprofile. Aleph Alpha, OVHcloud, T-Systems und EuroHPC-Kapazitäten sind konkrete Bausteine. Die Mehrkosten liegen typischerweise bei 15 bis 40 Prozent gegenüber Hyperscaler-Tarifen, die als Versicherungsprämie gegen Zugriffsrisiken zu bewerten sind.
Wie bewerten Private-Equity-Investoren CLOUD-Act-Exposition im Due-Diligence-Prozess?
Tactical Management und andere auf regulierte Branchen spezialisierte Investoren behandeln CLOUD-Act-Exposition als eigenständigen Risikofaktor in der Due Diligence. In der Praxis führt sie bei Targets in Gesundheitswesen, Finanzdienstleistung und Verteidigung zu Bewertungsabschlägen, zu verbindlichen Post-Closing-Migrationszusagen und gelegentlich zu Ausschlusskriterien bei strategisch sensitiven Daten. Der Governance-Befund ist Teil der regulatorischen Gap-Analyse.
Welche Rolle spielt die NIS2-Richtlinie für die CLOUD-Act-Debatte?
NIS2 etabliert persönliche Vorstandshaftung für die Umsetzung von Cybersicherheits- und Risikomanagementpflichten bei wesentlichen und wichtigen Einrichtungen. Unzureichendes Management von Abhängigkeiten zu US-Hyperscalern kann als Sorgfaltspflichtverletzung ausgelegt werden, wenn dadurch Vertraulichkeit oder Verfügbarkeit kritischer Dienste gefährdet wird. Sanktionen reichen bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes und berühren damit die strategische Agenda der Geschäftsleitung.
Claritáte in iudicio · Firmitáte in executione
Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →
Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →