Datenschutz in der Cloud: das US-Anbieter-Problem – und die Alternative

Die meiste Unternehmenssoftware läuft heute in der Cloud – oft, ohne dass jemand darüber nachdenkt, wo die Daten eigentlich physisch liegen und wer darauf zugreifen kann. Für viele Daten ist das auch völlig in Ordnung. Für sensible Daten – Patientendaten, Personaldaten, Finanzen, vertrauliche Kundeninformationen – lohnt sich die Frage „Wo liegen unsere Daten?" allerdings. Und die Antwort ist häufig unbequemer als gedacht.

Das Problem: US-Anbieter und der CLOUD Act

Ein großer Teil der populären Cloud- und SaaS-Tools wird von US-Unternehmen betrieben – oder von Firmen mit US-Mutterkonzern. Der US CLOUD Act verpflichtet US-Unternehmen, US-Behörden auf Verlangen Zugriff auf Daten zu gewähren – auch dann, wenn die Server in der EU stehen.

Das heißt: „Serverstandort Frankfurt" allein löst das Problem nicht. Ist der Anbieter ein US-Unternehmen, reicht US-Recht potenziell bis an die Daten heran – unabhängig vom Rechenzentrum.

Schrems II: warum „EU-Server" nicht automatisch reicht

Mit dem Schrems-II-Urteil (2020) hat der Europäische Gerichtshof das damalige EU-US-Datenschutzabkommen gekippt. Übermittlungen personenbezogener Daten in die USA sind seitdem nur unter strengen Zusatzbedingungen möglich. Das aktuelle EU-US Data Privacy Framework bietet zwar wieder eine Rechtsgrundlage – es ist aber selbst juristisch umstritten und könnte erneut fallen.

Unterm Strich: Der Einsatz von US-Cloud-Anbietern für personenbezogene Daten ist kein klarer, risikofreier Zustand, sondern eine dauerhafte rechtliche Grauzone, die sorgfältig dokumentiert und beobachtet werden muss.

Was heißt das praktisch?

Für viele alltägliche Geschäftsdaten ist die pragmatische Antwort: unter dem aktuellen Rahmen nutzen, sauber dokumentieren, weitermachen. Es ergibt keinen Sinn, aus Prinzip jede Cloud zu meiden.

Bei wirklich sensiblen Daten verschiebt sich die Rechnung aber: Gesundheits-, Personal- und Finanzdaten oder vertrauliche Projektunterlagen wiegen schwerer. Hier steigen sowohl das Risiko als auch der Dokumentationsaufwand – und ein Datenabfluss oder eine Änderung der Rechtslage trifft das Unternehmen härter.

Die Alternativen

Es gibt drei realistische Wege, sensible Daten aus der US-Cloud herauszuhalten:

1. Echte EU-Anbieter – Cloud-Dienste, die tatsächlich in EU-Eigentum und unter EU-Recht betrieben werden. Damit entfällt die CLOUD-Act-Problematik.
2. On-Premise bzw. eigene Infrastruktur – die Daten liegen physisch im eigenen Haus oder bei einem kontrollierten deutschen Hoster. Maximale Kontrolle, gar keine Drittland-Übermittlung. Genau dafür betreibe ich ein eigenes On-Premise-Rechenzentrum.
3. Lokale KI – der Punkt, den die meisten übersehen. Wer Dokumente oder Prompts an ChatGPT & Co. schickt, übermittelt (womöglich sensible) Daten an einen US-KI-Anbieter. Lokal betriebene Sprachmodelle laufen auf eigener Hardware – die Daten verlassen das Haus nicht. Mehr dazu unter KI-Integration.

Ein Beispiel aus der Praxis

Eine Zahnarztpraxis verarbeitet hochsensible Patienten- und Geschäftsdaten. Genau deshalb läuft die KI-gestützte Dokumentenverwaltung der Praxis Edel & Weiß on-premise, mit lokaler KI – die Dokumente und ihre Analyse verlassen das Haus nicht. Wie das konkret aussieht, steht in der Case Study.

Wie Du das für Dein Unternehmen bewertest

Drei Fragen genügen für eine erste Einschätzung:

1. Welche Daten verarbeitet die Software – personenbezogen, womöglich besonders sensibel?
2. Wer betreibt sie – ein US-Unternehmen oder eine Tochter eines US-Konzerns?
3. Bei sensiblen Daten: Lohnt sich der Wechsel auf einen EU-Anbieter, eine On-Premise-Lösung oder lokale KI?

Fazit

Datenschutz ist keine Frage von „Cloud – ja oder nein". Es ist die Frage, welche Daten wo liegen. Für unkritische Daten ist die Cloud völlig in Ordnung. Für sensible Daten ist die ehrliche Antwort oft: nicht in der US-Cloud. On-Premise und lokale KI sind die technisch saubere Alternative – und mit moderner Hardware praktikabler, als viele denken.

Du bist Dir unsicher, wo Eure Daten liegen und ob das passt? In einem unverbindlichen Erstgespräch schauen wir gemeinsam drauf.