US-Clouds im Kreuzfeuer: Warum europäische Unternehmen umdenken müssen

In einer Welt, in der Daten zunehmend als das „neue Öl“ gelten, rücken Fragen der digitalen Souveränität und des Datenschutzes stärker denn je in den Fokus. Besonders kritisch wird es, wenn Daten grenzüberschreitend verarbeitet werden, etwa bei der Nutzung von US-Cloud-Diensten wie Amazon Web Services, Microsoft Azure oder Google Cloud. Trotz Serverstandorten in Europa bleibt ein Risiko bestehen: Der Zugriff durch US-Behörden im Rahmen des CLOUD Act, oft ohne Wissen der Betroffenen. Während europäische Datenschutzgesetze wie die DSGVO hohe Schutzstandards verlangen, stehen diese Vorgaben im Konflikt zu US-amerikanischen Rechtsansprüchen auf Dateneinsicht.

Datenschutzrisiken bei US-Cloud-Anbietern

Ein zentrales Risiko bei der Nutzung von US-Cloud-Anbietern liegt im Spannungsfeld zwischen europäischem Datenschutzrecht und US-amerikanischen Zugriffsrechten. Während die Datenschutz-Grundverordnung (DSGVO) der EU strenge Anforderungen an den Schutz personenbezogener Daten stellt, insbesondere bei deren Übertragung in Drittländer, erlaubt der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act) US-Behörden den Zugriff auf Daten, die von US-Unternehmen verarbeitet oder gespeichert werden, auch wenn sich diese Daten physisch auf Servern innerhalb der EU befinden. Das bedeutet: Unternehmen, die etwa einen EU-Standort von Google Cloud oder Microsoft Azure nutzen, unterliegen dennoch einem möglichen Datenzugriff durch US-Ermittlungsbehörden und das ohne Benachrichtigung der betroffenen Nutzer.

Dieser Zugriffskonflikt steht im direkten Widerspruch zur DSGVO, die nicht nur ein angemessenes Datenschutzniveau im Drittland fordert, sondern auch effektive Rechtsschutzmöglichkeiten für EU-Bürger. Diese sind jedoch in den USA nicht gegeben. Der CLOUD Act sieht keine Rechtsmittel für betroffene europäische Nutzer vor, auch Informationspflichten bestehen nicht. Damit können US-Behörden auf EU-Daten zugreifen, ohne dass die betroffenen Unternehmen oder Personen dies überhaupt erfahren.

Der Europäische Gerichtshof (EuGH) hat in der Vergangenheit Datentransferabkommen wie „Safe Harbor“ (2015) und das „Privacy Shield“ (2020) für ungültig erklärt, da sie den Datenschutzanforderungen der EU nicht gerecht wurden. Als Reaktion darauf wurde darauf am 10. Juli 2023 das   „EU-US Data Privacy Framework“ (DPF) als Angemessenheitsbeschluss (Art. 45 DS-GVO) eingeführt, ein neues Abkommen, das transatlantische Datentransfers ermöglichen soll. Doch auch dieses Abkommen steht im Jahr 2025 erneut auf dem Prüfstand: In einem laufenden Verfahren (dem sogenannten „Latombe-Fall“) wird die Vereinbarkeit des DPF mit der DSGVO und den Vorgaben des EuGH in Frage gestellt. Kritiker bemängeln, dass US-Geheimdiensten weiterhin zu weitreichende Zugriffsbefugnisse eingeräumt werden ein Kernproblem, das bereits zur Aufhebung der Vorgängerabkommen geführt hatte. Die erste Anhörung vor dem EuGH fand im April 2025 statt, eine Entscheidung wird im Laufe des Jahres erwartet. Viele Unternehmen und Datenschutzexperten befürchten daher, dass auch das aktuelle DPF keine langfristige Lösung darstellt.
Datenschutzbehörden in Europa warnen daher ausdrücklich vor der Nutzung von US-Cloud-Diensten, insbesondere dann, wenn es um sensible oder personenbezogene Daten geht. In Branchen wie dem Gesundheitswesen, Finanzsektor oder bei öffentlichen Auftraggebern ist der Einsatz solcher Dienste ohne zusätzliche Schutzmaßnahmen heute kaum noch mit der DSGVO vereinbar.

Unternehmen, die weiterhin auf US-Cloudanbieter setzen, müssen auf technische Gegenmaßnahmen zurückgreifen, beispielsweise Ende-zu-Ende-Verschlüsselung, verschlüsselte Container oder hybride Cloudlösungen mit vorgeschalteten EU-Diensten. Diese Maßnahmen können die Risiken abfedern, ersetzen aber kein klares rechtliches Fundament.

Empfehlungen für datenschutzkonforme Cloud-Nutzung

Angesichts der rechtlichen Unsicherheiten rund um US-Cloud-Anbieter und dem weiterhin umstrittenen EU-US Data Privacy Framework (DPF) gewinnt die Frage, wie Unternehmen ihre Cloud-Strategie datenschutzkonform ausrichten können, an Bedeutung. Die folgenden drei Maßnahmen gelten 2025 als zentrale Stellschrauben für eine rechtssichere Cloud-Nutzung im Rahmen der DSGVO.

Die zuverlässigste Grundlage für datenschutzkonforme Cloud-Nutzung ist die bewusste Entscheidung für einen Cloud-Anbieter mit Sitz und Infrastruktur ausschließlich innerhalb der EU. Nur Anbieter, die weder rechtlich noch technisch US-amerikanischer Kontrolle unterliegen, sind in der Lage, ein hohes Maß an DSGVO-Konformität zu gewährleisten. Wichtig ist dabei nicht nur der physische Standort der Server, sondern auch die rechtliche Unabhängigkeit vom US-Recht. Denn selbst ein Rechenzentrum in Deutschland nützt wenig, wenn das betreibende Unternehmen dem CLOUD Act unterliegt. Anbieter mit europäischer Rechtsform und ausschließlich europäischer Eigentümerschaft bieten hier die größte Rechtssicherheit. Diese Entscheidung schafft nicht nur Vertrauen bei Kunden und Partnern, sondern reduziert auch Compliance-Risiken im täglichen Betrieb.

Unabhängig vom Anbieter sollte jedes Unternehmen die Daten vor dem Upload verschlüsseln. Dabei gilt: Die Verschlüsselung muss clientseitig erfolgen, das heißt vor der Übertragung in die Cloud – und die Schlüsselverwaltung darf nicht beim Cloudanbieter liegen. Moderne Lösungen wie Zero-Knowledge-Verschlüsselung oder Ende-zu-Ende-Verschlüsselung stellen sicher, dass selbst bei einem physischen Zugriff auf die Server niemand die Inhalte lesen kann, weder Administratoren noch Behörden. Auch in Kombination mit US-Anbietern ist diese Maßnahme essenziell, um eine Pseudonymisierung oder faktische Unzugänglichkeit zu gewährleisten.
Neben der technischen Absicherung müssen auch die rechtlichen Rahmenbedingungen wasserdicht sein. Unternehmen sollten sicherstellen, dass der Cloudanbieter einen aktuellen Auftragsverarbeitungsvertrag (AVV) anbietet, der den Anforderungen des Art. 28 DSGVO entspricht.

Darüber hinaus sollten bei internationalen Anbietern zusätzlich die Verwendung von Standardvertragsklauseln (SCCs) geprüft und dokumentiert werden. Wichtig: Diese allein reichen nicht aus, wenn kein angemessenes Datenschutzniveau vorliegt, ergänzende technische und organisatorische Maßnahmen sind zwingend notwendig.

Wie gehen wir bei eyebase mit dem Thema um?

Bei eyebase steht der Schutz sensibler Daten und die Einhaltung der DSGVO seit jeher im Mittelpunkt unserer Entwicklung und Infrastrukturstrategie. Unser Digital Asset Management System wurde gezielt so konzipiert, dass es den höchsten Anforderungen an Datenschutz und Datensouveränität gerecht wird, sowohl technisch als auch organisatorisch.

1. Hosting innerhalb der EU:
Unsere Kunden haben die volle Kontrolle darüber, wo ihre Daten gespeichert werden. Wir setzen ausschließlich auf Rechenzentren innerhalb der Europäischen Union und arbeiten mit Hostingpartnern zusammen, die weder dem US-Recht noch dem CLOUD Act unterliegen. Damit stellen wir sicher, dass keine ungewollten Zugriffe durch Dritte erfolgen können, unabhängig vom Standort des Kunden.

2. Flexible Betriebsmodelle:
eyebase lässt sich sowohl als Cloud-Variante (in zertifizierten EU-Rechenzentren) als auch als On-Premise-Lösung direkt auf den eigenen Servern betreiben. Unternehmen mit besonders hohen Sicherheitsanforderungen, wie öffentliche Institutionen oder Medienhäuser, können so maximale Kontrolle behalten.

3. Technische Absicherung:
Alle Datenübertragungen erfolgen verschlüsselt (TLS/SSL), auf Wunsch auch mit zusätzlicher clientseitiger Verschlüsselung. Darüber hinaus ermöglichen rollenbasierte Zugriffskontrollen und granulare Berechtigungskonzepte eine fein abgestimmte Datenverwaltung.

4. Rechtliche Transparenz:
Wir schließen mit jedem Kunden individuelle Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO ab. Unsere Prozesse und Partner sind sorgfältig dokumentiert und auditierbar. Auf Wunsch unterstützen wir Unternehmen auch bei Datenschutz-Folgeabschätzungen. 

Fazit: Wer langfristig auf eine datenschutzkonforme Cloud-Strategie setzen möchte, sollte europäische Anbieter bevorzugen und bei der Auswahl auf Transparenz, rechtliche Absicherung und technische Sicherheitsstandards achten. Nur so lassen sich Vertrauen, Compliance und digitale Wettbewerbsfähigkeit dauerhaft gewährleisten. Bei eyebase setzen wir genau hier an: mit einem klaren Fokus auf Datenschutz, Sicherheit und Transparenz für ein Digital Asset Management, das nicht nur leistungsstark, sondern auch rechtlich zukunftssicher ist.