Cloud-Act — extraterritoriale US-Zugriffe auf europäische Daten
US-Cloud-Anbieter sind seit 2018 gesetzlich verpflichtet, auf Anfrage US-amerikanischer Behörden Daten herauszugeben — egal, wo auf der Welt die Server stehen. „Daten in einem EU-Rechenzentrum" hilft nicht, wenn der Betreiber in den USA sitzt.
Wie sich das zeigt
- Microsoft France — Anhörung im französischen Senat, Juni 2025: Anthony Cirot bestätigte, Microsoft könne nicht garantieren, dass französische Cloud-Daten dem Cloud-Act entzogen wären.
- Schrems II (CJEU 2020): EuGH erklärte das EU-US Privacy Shield für ungültig, weil US-Überwachungsgesetze keinen angemessenen Datenschutz für EU-Bürger:innen sicherstellen.
- EDPB-Bindender-Beschluss gegen Meta IE: €1,2 Mrd. Strafe 2023 wegen unzulässiger Datenübertragung in die USA trotz Standardvertragsklauseln.
- Niederländische Anti-US-Cloud-Anträge im Parlament, März 2025: die Tweede Kamer verlangte einen Ausstieg aus US-Cloud bei Verwaltung und kritischer Infrastruktur.
- Dänisches Digitalministerium kündigte Juni 2025 den M365-Ausstieg für Behörden an — mit Verweis auf Souveränitäts- Bedenken nach Cloud-Act.
Der CLOUD Act von 2018 verpflichtet US-amerikanische Cloud- Anbieter, Daten auf Anfrage US-amerikanischer Strafverfolgungs- und Geheimdienst-Behörden herauszugeben — unabhängig davon, in welchem Land die physischen Server stehen. Die Konstruktion „unsere Daten liegen in einem EU-Rechenzentrum” hilft dabei nicht; es zählt, wer den Konzern kontrolliert.
Das ist nicht Verschwörungs-Theorie. Es ist juristische Realität, die unter Eid bestätigt wurde — zuletzt bei der Anhörung Anthony Cirots vor dem französischen Senat im Juni 2025. Der Microsoft-France-Chef bestätigte, dass auch französische Daten auf französischen Microsoft-Servern dem Cloud-Act unterliegen könnten.
Für die EU sind die Konsequenzen mehrschichtig. Auf der politisch- juristischen Ebene hat das EuGH-Urteil Schrems II 2020 das EU-US-Privacy-Shield gekippt; die Nachfolge-Vereinbarung steht unter ähnlicher rechtlicher Beobachtung. Auf der praktischen Ebene ziehen Verwaltungen Konsequenzen: Schleswig-Holstein, Berlin, Bundeswehr, niederländische Behörden, dänisches Digitalministerium — alle sind 2024–2026 dabei, Microsoft 365 zu verlassen oder Ausstiegspfade zu definieren.
Für uns ist die Konsequenz einfach. Eine Vereins-Infrastruktur, die auf US-Cloud läuft, ist keine wirklich souveräne Infrastruktur, egal welche Vertragsklauseln dranstehen. Die einzige strukturelle Antwort ist Eigenbetrieb — Hardware, die wir besitzen, betreiben und kontrollieren, ergänzt um Verschlüsselung, die uns selbst (und damit auch jeden behördlichen Zugriff auf uns) ausschließt. Das ist mühsam und langsam. Es ist auch das einzige, das im juristischen Krisenfall hält.
Quellen Dritter
Was wir hier behaupten, behaupten andere zuerst und mit eigenem Namen daneben. Datum dort, wo es belegbar ist.
Wie wir strukturell antworten
Lösungen, die diesen Problem adressieren. Keine Marketing-Versprechen, sondern Architektur-Entscheidungen mit Belegen im Code.
- Eigenbetrieb auf einem Mac MiniSouveränität fängt damit an, dass jemand im Verein die Stromrechnung der Hardware kennt, auf der die Daten liegen.
- Föderation statt Lock-InWenn der Daten-Austausch über veröffentlichte Protokolle läuft, ist Verlassen nicht teurer als Bleiben — das nimmt dem Enshittification-Mechanismus seinen Hebel.
- BYOK-Vault — der Verein sieht den Klartext nichtDer einzige Anbieter, dem man Daten ohne Vertrauen anvertrauen kann, ist der, der sie technisch nicht sehen kann — auch wenn er wollte.
Welche Grundsätze hier verletzt werden
Weitere Probleme dieser Kategorie
Wer kontrolliert die Infrastruktur, kontrolliert.
Diagnose ohne Antwort ist Lamentation. Was wir baulich tun, steht im Lösungs-Hub.