Datenschutz-Realität: Was US-Cloud-Anbieter Ihnen nicht sagen
Viele Unternehmen glauben, ihre Daten seien sicher – weil sie bei Microsoft, Google oder AWS in einem deutschen Rechenzentrum liegen. Das ist eine teure Illusion.
„DSGVO-konform“ ist kein Schutz – sondern Marketing
Ein Rechtsgutachten der Universität zu Köln, erstellt im Auftrag des Bundesinnenministeriums (März 2025) und durch eine IFG-Anfrage veröffentlicht, stellt es unmissverständlich klar:
Der physische Standort der Daten ist rechtlich irrelevant.
Entscheidend ist, wer die Kontrolle über die Daten hat.
Solange ein US-Mutterkonzern die Kontrolle ausübt – egal ob der Server in Frankfurt, Amsterdam oder Dublin steht – gilt US-Recht. Punkt.
Die drei US-Gesetze, die Ihre DSGVO aushebeln
CLOUD Act
Verpflichtet US-Unternehmen weltweit zur Herausgabe von Daten an US-Behörden – auch wenn diese Daten in Deutschland gespeichert sind. Tochtergesellschaften in Deutschland sind ausdrücklich eingeschlossen.
Section 702 FISA
Erlaubt US-Geheimdiensten die Überwachung von Nicht-US-Personen außerhalb der USA – ohne richterlichen Durchsuchungsbeschluss. Es genügt eine jährliche Zertifizierung durch ein geheimes US-Gericht.
Executive Order 12.333
Ermöglicht Geheimdiensten den Datenzugriff im Ausland ohne Mitwirkung der Cloud-Anbieter – durch Ausnutzen technischer Schwachstellen. Kein Widerspruchsrecht, keine Benachrichtigung.
Was Microsoft selbst unter Eid bestätigt hat
Am 10. Juni 2025 sagte Anton Carniaux, Chefjustiziar von Microsoft Frankreich, vor dem französischen Senat:
„Non, je ne peux pas le garantir.“
– Anton Carniaux, Chefjustiziar Microsoft Frankreich, vor dem französischen Senat, 10. Juni 2025Er konnte nicht garantieren, dass Daten europäischer Nutzer nicht an US-Behörden weitergegeben werden – selbst bei ausschließlicher Speicherung in EU-Rechenzentren. Das gilt strukturell für alle US-Cloud-Anbieter: Microsoft Azure, Google Cloud, Amazon AWS.
Was wirklich schützt – und was nicht
| Maßnahme | Schutzwirkung |
|---|---|
| „Rechenzentrum in Deutschland“ | ❌ Kein Schutz – CLOUD Act greift trotzdem |
| Standardvertragsklauseln (SCCs) | ❌ Unzureichend – juristisch umstritten |
| „Sovereign Cloud“ von Microsoft/Google | ❌ Immer noch US-Mutterkonzern |
| Verschlüsselung beim Anbieter | ⚠️ Teilschutz – Anbieter hat meist den Schlüssel |
| BYOK (Schlüssel selbst verwalten, in EU) | ✅ Deutlich besser – aber komplex |
| EU-Anbieter ohne US-Verbindung | ✅ Vollständiger Schutz vor CLOUD Act |
Was das für Ihr Unternehmen bedeutet
Wenn Sie personenbezogene Daten Ihrer Kunden über US-Cloud-Dienste verarbeiten:
- Besteht im Ernstfall kein wirksamer DSGVO-Schutz – unabhängig von Ihrer Vertragsgestaltung
- Ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO Pflicht – nicht optional
- Können Aufsichtsbehörden Bußgelder verhängen – auch wenn Sie „guten Glaubens“ gehandelt haben
- Ist Ihr Haftungsrisiko real – insbesondere wenn Sprachdaten oder Gesundheitsdaten betroffen sind
Sprachdaten: Die unterschätzte Risikokategorie
Wer KI-gestützte Sprachsysteme einsetzt – für Kundenservice, Telefonassistenz oder interne Kommunikation – übermittelt bei US-Anbietern (OpenAI, Google, Microsoft) Gesprächsinhalte in Echtzeit auf US-kontrollierte Server.
Stimme ist eine biometrische Kategorie nach Art. 9 DSGVO. Das erhöht das Haftungsrisiko erheblich.
Die Lösung: Europäische Infrastruktur – von Anfang an
Bei gofonia.de setzen wir konsequent auf eine Infrastruktur ohne US-Abhängigkeit:
- Sprachverarbeitung auf EU-Servern ohne US-Mutterkonzern
- Keine Datenweitergabe an US-Anbieter im laufenden Betrieb
- Transparente Architektur – Sie wissen jederzeit, wo Ihre Daten liegen und wer Zugriff hat
- DSGVO-konform nicht als Marketingversprechen, sondern als technische Tatsache
Quellen & weiterführende Informationen
- Rechtsgutachten der Universität zu Köln (März 2025), veröffentlicht via FragDenStaat
- Anhörung Microsoft-Chefjustiziar vor dem französischen Senat, Juni 2025
- EuGH-Urteile zu Safe Harbor (2015) und Privacy Shield (2020)
Haben Sie Fragen zu Ihrer aktuellen Cloud-Strategie und den Risiken für Ihr Unternehmen?
Sprechen Sie uns an – wir analysieren Ihre Situation und zeigen Ihnen konkrete Alternativen.
Kontakt aufnehmen →