Rechtsgutachten · CLOUD Act · DSGVO

Datenschutz-Realität: Was US-Cloud-Anbieter Ihnen nicht sagen

Viele Unternehmen glauben, ihre Daten seien sicher – weil sie bei Microsoft, Google oder AWS in einem deutschen Rechenzentrum liegen. Das ist eine teure Illusion.

„DSGVO-konform“ ist kein Schutz – sondern Marketing

Ein Rechtsgutachten der Universität zu Köln, erstellt im Auftrag des Bundesinnenministeriums (März 2025) und durch eine IFG-Anfrage veröffentlicht, stellt es unmissverständlich klar:

Der physische Standort der Daten ist rechtlich irrelevant.

Entscheidend ist, wer die Kontrolle über die Daten hat.

Solange ein US-Mutterkonzern die Kontrolle ausübt – egal ob der Server in Frankfurt, Amsterdam oder Dublin steht – gilt US-Recht. Punkt.

Die drei US-Gesetze, die Ihre DSGVO aushebeln

CLOUD Act

Verpflichtet US-Unternehmen weltweit zur Herausgabe von Daten an US-Behörden – auch wenn diese Daten in Deutschland gespeichert sind. Tochtergesellschaften in Deutschland sind ausdrücklich eingeschlossen.

Section 702 FISA

Erlaubt US-Geheimdiensten die Überwachung von Nicht-US-Personen außerhalb der USA – ohne richterlichen Durchsuchungsbeschluss. Es genügt eine jährliche Zertifizierung durch ein geheimes US-Gericht.

Executive Order 12.333

Ermöglicht Geheimdiensten den Datenzugriff im Ausland ohne Mitwirkung der Cloud-Anbieter – durch Ausnutzen technischer Schwachstellen. Kein Widerspruchsrecht, keine Benachrichtigung.

Was Microsoft selbst unter Eid bestätigt hat

Am 10. Juni 2025 sagte Anton Carniaux, Chefjustiziar von Microsoft Frankreich, vor dem französischen Senat:

„Non, je ne peux pas le garantir.“

– Anton Carniaux, Chefjustiziar Microsoft Frankreich, vor dem französischen Senat, 10. Juni 2025

Er konnte nicht garantieren, dass Daten europäischer Nutzer nicht an US-Behörden weitergegeben werden – selbst bei ausschließlicher Speicherung in EU-Rechenzentren. Das gilt strukturell für alle US-Cloud-Anbieter: Microsoft Azure, Google Cloud, Amazon AWS.

Was wirklich schützt – und was nicht

Maßnahme Schutzwirkung
„Rechenzentrum in Deutschland“❌ Kein Schutz – CLOUD Act greift trotzdem
Standardvertragsklauseln (SCCs)❌ Unzureichend – juristisch umstritten
„Sovereign Cloud“ von Microsoft/Google❌ Immer noch US-Mutterkonzern
Verschlüsselung beim Anbieter⚠️ Teilschutz – Anbieter hat meist den Schlüssel
BYOK (Schlüssel selbst verwalten, in EU)✅ Deutlich besser – aber komplex
EU-Anbieter ohne US-Verbindung✅ Vollständiger Schutz vor CLOUD Act

Was das für Ihr Unternehmen bedeutet

Wenn Sie personenbezogene Daten Ihrer Kunden über US-Cloud-Dienste verarbeiten:

  • Besteht im Ernstfall kein wirksamer DSGVO-Schutz – unabhängig von Ihrer Vertragsgestaltung
  • Ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO Pflicht – nicht optional
  • Können Aufsichtsbehörden Bußgelder verhängen – auch wenn Sie „guten Glaubens“ gehandelt haben
  • Ist Ihr Haftungsrisiko real – insbesondere wenn Sprachdaten oder Gesundheitsdaten betroffen sind

Sprachdaten: Die unterschätzte Risikokategorie

Wer KI-gestützte Sprachsysteme einsetzt – für Kundenservice, Telefonassistenz oder interne Kommunikation – übermittelt bei US-Anbietern (OpenAI, Google, Microsoft) Gesprächsinhalte in Echtzeit auf US-kontrollierte Server.

Stimme ist eine biometrische Kategorie nach Art. 9 DSGVO. Das erhöht das Haftungsrisiko erheblich.

Die Lösung: Europäische Infrastruktur – von Anfang an

Bei gofonia.de setzen wir konsequent auf eine Infrastruktur ohne US-Abhängigkeit:

  • Sprachverarbeitung auf EU-Servern ohne US-Mutterkonzern
  • Keine Datenweitergabe an US-Anbieter im laufenden Betrieb
  • Transparente Architektur – Sie wissen jederzeit, wo Ihre Daten liegen und wer Zugriff hat
  • DSGVO-konform nicht als Marketingversprechen, sondern als technische Tatsache

Quellen & weiterführende Informationen

  • Rechtsgutachten der Universität zu Köln (März 2025), veröffentlicht via FragDenStaat
  • Anhörung Microsoft-Chefjustiziar vor dem französischen Senat, Juni 2025
  • EuGH-Urteile zu Safe Harbor (2015) und Privacy Shield (2020)

Haben Sie Fragen zu Ihrer aktuellen Cloud-Strategie und den Risiken für Ihr Unternehmen?

Sprechen Sie uns an – wir analysieren Ihre Situation und zeigen Ihnen konkrete Alternativen.

Kontakt aufnehmen →