Geben Hyperscaler Kundendaten an US-amerikanische Behörden, wenn ein entsprechender Gesetzesentwurf oder eine „Executive Order“ dies verlangt? Wir haben uns u.a. bei AWS und Microsoft umgehört. Das Ergebnis ist eindeutig.
Zwei Welten in der Cloud: US-Gesetze wie der CLOUD Act setzen der vermeintlichen Datensouveränität in der europäischen Cloud der Hyperscaler enge Grenzen.
Souveräne Räume ermöglichen neue, datengetriebene Geschäftsmodelle, weil darin Partner ihre Daten austauschen können, ohne dass diese manipuliert oder entwendet werden können. Dieses Versprechen hat zu einem immensen Boom in diesem Bereich geführt, der Offerten sind viele.
Sie werden so stark nachgefragt, dass nicht nur in der EU, sondern auch in den USA darauf reagiert wird. Der Storage-Spezialist Cloudian beispielsweise plant eine Konzentration seines Geschäfts auf das Business mit lokalen Managed Service Providern (MSP), darunter auch die von ihm so genannten „Neo-Clouds“, die sich auf hochperformanten Speicher für GPUs spezialisiert haben. Peter Sjoberg, VP WW Solution Architects, begründete den Schritt gegenüber CloudComputing-Insider damit, dass die US-Hyperscaler „Bedenken in Bezug auf die Kontrolle über Anwenderdaten“ erzeugten – und deswegen weniger stark nachgefragt würden. Er muss es wissen, war er doch früher lange Jahre bei AWS mitverantwortlich für den Geschäftsausbau rund um S3.
Sind die Bedenken in Bezug auf die Kontrolle über Anwenderdaten bei den amerikanischen Hyperscalern berechtigt? Sind deren Clouds nicht wirklich „souverän“? Nun, als wir Amazon Web Services (AWS) kürzlich fragten, ob es Daten von Kunden an US-Behörden übergeben würde, wenn ein Gerichtsbeschluss oder eine „Executive Order“ dies von Ihnen verlangt, bejahte dies Kevin Miller, Vice President - Global Data Centres bei AWS. Er hatte gerade in Hamburg die „AWS European Sovereign Cloud“ vorgestellt, mit einer Muttergesellschaft und drei Tochtergesellschaften, die in Deutschland eingetragen sind. Entsprechend unterlägen die darin gehosteten Daten deutschem bzw. europäischem Recht. Aber in Clouds mit amerikanischen Wurzeln gelte eben amerikanisches Recht – und das befolge man uneingeschränkt.
Auch Microsoft lässt keinen Zweifel dran, dass der hauseigene Hyperscaler Azure sich nationalem Recht beugen werde, allerdings nicht nur in den USA, sondern auch in der EU: „Wir unterliegen den örtlichen Gesetzen, Vorschriften und Regierungen“, so Microsoft-Präsident Brad Smith in einem Blogeintrag. „Wie jeder Bürger und jedes Unternehmen sind auch wir nicht immer mit jeder Politik jeder Regierung einverstanden. Aber selbst, wenn wir Fälle vor europäischen Gerichten verloren haben, hat Microsoft seit langem die europäischen Gesetze respektiert und eingehalten.“
Salesforce ist allen voran ein Experte für das Customer Relationship Management (CRM), muss dafür aber ebenfalls in großem Umfang Kundendaten verwalten. Wie geht der Anbieter damit in Bezug auf den Datenschutz um? Würde er sie an US-Behörden weitergeben, wenn diese eine berechtigte Forderung hätten?
Gegenüber CloudComputing-Insider ließ das Unternehmen verlauten, dass zwar nichts wichtiger sei als der Schutz und die Privatsphäre der Daten von Kunden, man sich aber immer dem geltenden Recht beugen werde. Auch und gerade in den USA. Damit ist man mit AWS und Microsoft auf einer Linie und veröffentlicht zusätzlich einen jährlichen Transparenzbericht, in dem Grundsätze und Statistiken zu Datenanfragen von Behörden und Dritten dargelegt werden.
Im Annual Transparency Report heißt es u.a.: „Jede Anfrage nach vertraulichen Kundeninformationen, die Salesforce erhält, wird in Übereinstimmung mit den Gesetzen der jeweiligen Rechtsordnung(en) sorgfältig geprüft, um sicherzustellen, dass die anfragende öffentliche Behörde das Recht hat, die gewünschten Daten mit der Art des Prozesses berechtigt ist. Wenn wir glauben, dass eine Anfrage nach vertraulichen Kundeninformationen ungültig oder ungesetzlich ist, werden wir sie anfechten. Wir sind bestrebt, unsere rechtlichen Verpflichtungen vollständig zu erfüllen, während das Vertrauen, das unsere Kunden in uns setzen, zu honorieren.“
Google Cloud will einerseits die EU-Datenschutz-Grundverordnung (DSGVO) einhalten, erklärt aber auch ganz offen, dass US-Behörden unter bestimmten Umständen auf Kundendaten zugreifen können. Und zwar auch dann, wenn diese in europäischen Rechenzentren liegen. Das ist eine unumstößliche Folge des Cloud Acts, den wir gleich erläutern werden.
Zunächst macht diese kleine Auflistung klar, dass sich Provider, die wenigstens mit einem Bein in den USA beheimatet sind, einer berechtigten Aufforderung eines US-Gerichts zur Herausgabe von Kundendaten nicht verweigern können. Grund dafür ist neben dem „Überwachungsgesetz“ Foreign Intelligence Surveillance Act (FISA) und dem Patriot Act der sogenannte CLOUD Act, mit dem US-Behörden auf Daten zuzugreifen dürfen, die von US-Unternehmen verarbeitet werden, und zwar unabhängig vom Speicherort der Daten!
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) erlaubt es den US-Behörden sogar, Daten von US-Unternehmen anzufordern, auch wenn diese Daten, wie gesagt, in Rechenzentren außerhalb der USA gespeichert sind. Dieses Gesetz hat in der Folge massive Auswirkungen auf europäische Unternehmen, die Google Cloud oder andere US-Anbieter nutzen. Inwieweit damit europäische, souveräne Datenräume der Hyperscaler als sicher vor US-Behörden-Zugriffen bezeichnet werden können, darf nun jeder Anwender für sich selbst aufschlüsseln.
Europäische Unternehmen, die US-Hyperscaler nutzen, müssen sich dessen bewusst sein und entsprechende Maßnahmen ergreifen, um ihre Daten zu schützen. Im dritten Teil werden wir die Wichtigsten davon nennen.
Wie aber sieht es in Deutschland und der EU aus? Sind die Kundendaten wenigstens in den hier beheimateten Clouds vor Behördenzugriffen sicher? Dieser Frage gehen wir im zweiten Teil dieser kleinen Artikelreihe nach, in dem wir die Statements von diversen hiesigen Providern gesammelt haben.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/24/c2/24c2d63f202bceda7dad3fc6a67130da/0125790148v2.jpeg "US-Cloud-Dienste unterliegen dem amerikanischen Recht – selbst wenn sie Daten ausschließlich in Europa speichern. Dies zog nun eine Untersuchung durch den französischen Senat nach sich. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/c2/dd/c2dddfc53fdf3116fe2d19264e7ab354/0125521381v2.jpeg "70 Prozent der Tech-Startups sehen in der Trump-Regierung eine Gefahr für die deutsche Wirtschaft. (Bild: Flickr: Gage Skidmore)")
:quality(80)/p7i.vogel.de/wcms/85/bf/85bf609e1ee36c8ed9339b6880b8556b/0126462121v2.jpeg "Wero und Le Chat sind europäische Alternativen zu PayPal und ChatGPT. Immer mehr Verbraucher tendieren zu einem Wechsel. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/10/93/1093f6883688603e19d58debb07b75c5/0124816305v1.jpeg "US-Sanktionen gegen den Internationalen Strafgerichtshof und einen Chefankläger alarmieren Europa. (Bild: © Vergiliy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/17/65179fd21aa8b1fa339f629a09bb24f3/0125569423v1.jpeg "Wenn aus der Cloud die Daten regnen: Der Mythos der absoluten Datensouveränität europäischer Clouds löst sich bei genauerem Hinsehen auf. Auch europäische Cloud-Anbieter geben Daten heraus, wenn das Gesetz es verlangt. (Bild: Zhongyuan Chen - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/09/260992868c18a86baaa9f9c4daf8b5c3/0125574049v1.jpeg "Souveränität mit Vorbehalt: Auch europäische Datenräume wie Gaia-X sind an EU-Recht gebunden – und damit nicht völlig frei von behördlichen Zugriffsmöglichkeiten. (Bild: sam richter - stock.adobe.com / KI-generiert)")