Recht & Regulierung 1. Juni 2026

Cloud Act vs. DSGVO: Warum „EU-Server” nicht automatisch sicher ist

Ein US-Anbieter mit Rechenzentrum in Frankfurt klingt sicher. Der US Cloud Act erzählt eine andere Geschichte. Der rechtliche Grundkonflikt, ruhig erklärt.

Der Sachverhalt

Viele Anbieter werben mit „EU-Region“ oder „Server in Frankfurt“. Der Gedanke dahinter ist verständlich: Liegen die Daten physisch in Europa, scheinen sie europäischem Recht zu unterliegen. Der entscheidende Punkt ist aber nicht, wo die Daten liegen, sondern wer über sie verfügt – und welchem Recht dieses Unternehmen unterliegt.

Hier setzt der US CLOUD Act von 2018 an. Das Gesetz verpflichtet US-Unternehmen dazu, auf rechtmäßige Anordnung Daten herauszugeben, die sich in ihrem Besitz oder unter ihrer Kontrolle befinden – ausdrücklich unabhängig vom Speicherort. Ob die Daten in den USA, in Frankfurt oder in Dublin liegen, spielt für diese Pflicht keine Rolle.

Warum der Speicherort allein nichts löst

Betroffen sind nicht Randanbieter, sondern die großen Plattformen, mit denen viele Unternehmen täglich arbeiten – darunter Microsoft, Google, Amazon Web Services und OpenAI. Solange das Mutterunternehmen US-Recht unterliegt, kann eine US-Behörde Zugriff auf Daten verlangen, auch wenn das Rechenzentrum in der EU steht.

Genau hier entsteht ein Jurisdiktionskonflikt: Die DSGVO erlaubt die Herausgabe personenbezogener Daten an Behörden eines Drittlands nur unter engen Voraussetzungen. Eine US-Anordnung nach dem CLOUD Act und die Vorgaben der Art. 44 ff. DSGVO können einander widersprechen. Eine europäische Server-Region verschiebt diesen Konflikt, sie löst ihn nicht.

Der instabile Rahmen für Datentransfers

Der rechtliche Unterbau für Transfers in die USA ist seit Jahren in Bewegung. 2020 erklärte der Europäische Gerichtshof im Urteil „Schrems II“ (Rechtssache C-311/18) das EU-US-Privacy-Shield für ungültig – unter anderem mit Verweis auf die weitreichenden Zugriffsmöglichkeiten US-amerikanischer Behörden.

2023 folgte das EU-US Data Privacy Framework als Nachfolgeregelung, auf deren Grundlage die Europäische Kommission den USA erneut ein angemessenes Datenschutzniveau bescheinigte. Der Mechanismus ist jedoch rechtlich umstritten und Gegenstand laufender Verfahren. Wer seine Datenflüsse allein darauf stützt, baut auf einem Fundament, das sich – wie schon zweimal zuvor – ändern kann.

ZAjONiC-Einschätzung

Der sicherste Transfer ist der, der nicht stattfindet.

Jede Diskussion über Angemessenheitsbeschlüsse, Standardvertragsklauseln und Zugriffsrechte setzt voraus, dass Daten überhaupt das Haus verlassen. Wer schützenswerte Informationen lokal verarbeitet, umgeht den Konflikt an der Wurzel: kein Drittlandtransfer, also kein Zugriffskonflikt, der erst sauber begründet werden müsste.

ZAjONiC ist genau darauf ausgelegt: lokale Datenhaltung und eine doppelte Datensicherheit, die schützenswerte Angaben gar nicht erst an externe Modelle weitergibt. Das macht die Rechtslage nicht überflüssig – aber es nimmt ihr den Schrecken. Die ausführliche Einordnung lesen Sie auf der Seite EU AI Act.

Quellen

CLOUD Act, H.R. 4943 – 115th Congress (2017–2018), congress.gov – congress.gov
EuGH, Urteil vom 16.07.2020, Rechtssache C-311/18 („Schrems II“), curia.europa.eu – curia.europa.eu
Verordnung (EU) 2016/679 (DSGVO), Kapitel V, Art. 44 ff. – Übermittlungen an Drittländer, EUR-Lex – eur-lex.europa.eu
Europäische Kommission, Adequacy decision for the EU-US Data Privacy Framework (10.07.2023), ec.europa.eu – ec.europa.eu

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Beurteilung Ihres konkreten Einzelfalls ziehen Sie bitte fachkundigen Rat hinzu. Stand: 1. Juni 2026.

Sie wollen wissen, wo Sie stehen?

Wir zeigen Ihnen, wie sich KI in Ihrem Haus DSGVO-konform und nachvollziehbar einsetzen lässt – lokal und ohne Datenabfluss.

Kontakt aufnehmen →