Während US-Technologiegiganten den europäischen Markt dominieren, wachsen die Risiken für sensible Unternehmensdaten und die rechtlichen Konsequenzen werden immer gravierender.
Es war ein bemerkenswerter Moment im französischen Senat im Juni 2025: Ein Vertreter von Microsoft, Anton Carniaux, musste unter Eid zugeben, dass das Unternehmen nicht garantieren kann, dass europäische Kundendaten vor dem Zugriff durch US-Behörden geschützt sind. Diese Aussage bestätigte, wovor Sicherheitsexperten seit Jahren warnen: Die Nutzung von US-Software (ob cloud-basiert oder nicht) birgt ein fundamentales Risiko für europäische Unternehmen.
Die Zahlen sprechen eine deutliche Sprache: Die Anfragen an Meta im Rahmen des Foreign Intelligence Surveillance Act (FISA) sind von rund 11.000 im Jahr 2014 auf 81.884 allein in der ersten Hälfte des Jahres 2024 gestiegen – eine Entwicklung, die das wahre Ausmaß der staatlichen Überwachung offenbart.
Für deutsche Unternehmen, die US-Software für kritische Sicherheitsfunktionen wie Passwortverwaltung, Verschlüsselung oder Zugriffskontrollen einsetzen, bedeutet dies: Ihre sensiblen Daten können jederzeit ins Visier amerikanischer Geheimdienste geraten.
➤ Passwork für Unternehmen*
Passwortmanager aus der EU – jetzt informieren!
Warum US-Software und die DSGVO unvereinbar sind
Das Verhältnis zwischen den US-Überwachungsgesetzen und dem europäischen Datenschutz schafft eine komplexe Rechtslandschaft, in der sich Unternehmen täglich bewegen. Im Zentrum dieser Komplexität steht ein Geflecht aus US-Gesetzen, die den amerikanischen Behörden weitreichenden Zugriff auf Daten gewähren, unabhängig davon, wo sie gespeichert sind oder wem sie gehören.
Schritt 1: Den CLOUD Act verstehen
Der Clarifying Lawful Overseas Use of Data Act (in Kraft getreten am 23. März 2018), kurz CLOUD Act, verpflichtet US-Unternehmen, Daten auf Anfrage an amerikanische Behörden herauszugeben – selbst wenn diese auf Servern außerhalb der USA gespeichert sind. 18 U.S.C. § 2713 besagt, dass US-Anbieter Daten offenlegen müssen, „unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder andere Information innerhalb oder außerhalb der Vereinigten Staaten befindet.“
Für deutsche Unternehmen bedeutet das: Selbst wenn Ihre Software Daten in einem Frankfurter Rechenzentrum speichert, gilt das US-Gesetz, wenn der Anbieter amerikanisch ist.
Der CLOUD Act arbeitet mit anderen Überwachungsinstrumenten zusammen:
- FISA Section 702 erlaubt die anlasslose Überwachung von Nicht-US-Bürgern
- Executive Order 12333 gestattet die Sammlung von Informationen durch Geheimdienste ohne richterliche Aufsicht
- Der USA FREEDOM Act erlaubt die gezielte Datenerfassung
Schritt 2: Die Schrems-II-Entscheidung – Europas Antwort
Am 16. Juli 2020 fällte der Europäische Gerichtshof (EuGH) im Fall Schrems II (Rechtssache C-311/18) ein wegweisendes Urteil und erklärte das Privacy-Shield-Abkommen für ungültig, das den Datentransfer zwischen der EU und den USA geregelt hatte.
Die Begründung des Gerichts war eindeutig: Die US-Überwachungsgesetze sind mit den europäischen Grundrechten unvereinbar. Es wurde festgestellt, dass die Überwachungsprogramme „nicht in einer Weise eingegrenzt sind, die den im Wesentlichen gleichwertigen Anforderungen des EU-Rechts genügt“ und „nicht auf das zwingend Notwendige beschränkt sind.“
Über 5.300 Unternehmen, die sich für den Datentransfer zwischen der EU und den USA auf das Privacy Shield verließen, standen plötzlich ohne gültige Rechtsgrundlage da. Obwohl das Gericht die Standardvertragsklauseln (Standard Contractual Clauses – SCCs) aufrechterhielt, machte es deutlich, dass SCCs allein nicht ausreichen, wenn die Gesetze des Empfängerlandes einen Regierungszugriff erlauben, der den Prinzipien der DSGVO widerspricht.
Schritt 3: Die Konsequenzen der DSGVO-Durchsetzung
Seit dem Inkrafttreten der DSGVO haben die Aufsichtsbehörden Bußgelder in Höhe von 5,88 Milliarden Euro verhängt. Die höchsten Strafen zielten auf Verstöße gegen die Datenübermittlungsvorschriften ab:
- 1,2 Milliarden Euro gegen Meta wegen illegaler EU-US-Datentransfers (Mai 2023)
- 746 Millionen Euro gegen Amazon wegen Verstößen bei der Datenverarbeitung (Juli 2021)
- 405 Millionen Euro gegen Instagram wegen Mängeln beim Schutz von Kinderdaten (September 2022)
Laut einer Studie von A1 Digital aus dem Jahr 2024 nutzen 84 % der deutschen Unternehmen Cloud-Dienste, aber nur 26 % setzen auf souveräne Cloud-Lösungen. Diese Lücke stellt ein enormes rechtliches Risiko dar.
Gemäß Artikel 28 der DSGVO bleiben Unternehmen als Datenverantwortliche (Data Controllers) auch bei der Nutzung von Drittanbietern (Auftragsverarbeitern, Data Processors) voll haftbar – sie können ihre Compliance-Verantwortung nicht an US-Anbieter auslagern.
➤ Passwork für Unternehmen*
Passwortmanager aus der EU – jetzt kostenlos testen!
Warum EU-Rechenzentren das Problem nicht lösen
Angesichts dieser rechtlichen Herausforderungen haben viele US-Softwareanbieter eine scheinbar beruhigende Erzählung übernommen: „Wir speichern alles in EU-Rechenzentren.“ Für Unternehmen, die auf Compliance bedacht sind, klingen diese Zusicherungen vielversprechend. Die Realität ist jedoch komplexer.
Der Standort der Server ist ebenso irreführend. US-Unternehmen bewerben „EU-Rechenzentren“ häufig als Lösung für Souveränitätsbedenken. Aber der physische Standort ändert nichts an der rechtlichen Zuständigkeit. Wenn ein Unternehmen in den Vereinigten Staaten eingetragen ist, unterliegt es dem US-Recht – unabhängig davon, wo sich seine Server befinden.
Der CLOUD Act macht dies unmissverständlich klar. Wenn US-Behörden einen Durchsuchungsbefehl (warrant) erlassen, muss das Unternehmen Folge leisten, selbst wenn dies den Zugriff auf Daten bedeutet, die in Deutschland, Frankreich oder anderswo gespeichert sind. Wie das Future of Privacy Forum in seiner rechtlichen Analyse bestätigt: „Der CLOUD Act ermächtigt zur extraterritorialen Reichweite von Gerichtsverfahren, die unter bestimmten US-Rechtsgrundlagen erlassen werden“ – was bedeutet, dass die alleinige Datenlokalisierung nicht vor dem Zugriff durch die US-Regierung schützen kann, wenn der Anbieter der US-Gerichtsbarkeit unterliegt.
Geschäftsrisiken jenseits rechtlicher Strafen
Die Gefahren von US-Cybersicherheitssoftware gehen über DSGVO-Bußgelder hinaus. Unternehmen sehen sich einer Kaskade von Geschäftsrisiken gegenüber, die ihren Betrieb und ihren Ruf grundlegend schädigen können.
Verlust des Kundenvertrauens
Umfragen zeigen durchweg, dass die meisten deutschen Verbraucher dem Umgang von Unternehmen mit ihren Daten misstrauen und viele traditionelle Offline-Dienste bevorzugen, die sie als sicherer empfinden. Wenn Kunden erfahren, dass ihre Informationen für ausländische Geheimdienste zugänglich sein könnten, schwindet dieses Vertrauen.
Der europäische Cloudmarkt wird dominiert von US-Anbietern.
(Bild: Passwork)
B2B-Beziehungen sind besonders anfällig. Unternehmen, die sensible Kundendaten verarbeiten – Anwaltskanzleien, Gesundheitsdienstleister, Finanzdienstleister – sehen sich direkten vertraglichen Risiken gegenüber. Kunden fordern zunehmend Garantien zur Datensouveränität, und US-Software macht es unmöglich, diese Garantien zu geben. Aktuelle Umfragen zeigen, dass 78 % der deutschen Unternehmen das Land für zu abhängig von US-Cloud-Anbietern halten, während 82 % möchten, dass große Cloud-Anbieter dem europäischen Recht unterliegen.
Wettbewerbsnachteil
Die Enthüllungen von Edward Snowden im Jahr 2014 zeigten, dass die NSA ihre geheimdienstlichen Fähigkeiten für wirtschaftliche Zwecke einsetzt. Über Siemens sagte Snowden: „Wenn es bei Siemens Informationen gibt, von denen sie [die NSA] glauben, dass sie für die nationalen Interessen, nicht die nationale Sicherheit, der Vereinigten Staaten von Vorteil wären, werden sie diese Informationen verfolgen und sie sich nehmen.“
Der Spiegel berichtete (Juni 2013), dass die NSA die Büros der EU-Handelsdelegation in Washington und Brüssel verwanzt hatte und so Zugang zu internen Dokumenten und Verhandlungspositionen erhielt. Deutschland war das am stärksten überwachte EU-Land mit 500 Millionen überwachten Kommunikationen pro Monat.
Schwachstellen in der Lieferkette
Moderne Cyberangriffe zielen zunehmend auf Lieferketten ab. Wenn die Cybersicherheit Infrastruktur eines Unternehmens auf US-Software basiert, erbt jeder Anbieter, Partner und jede Tochtergesellschaft im Netzwerk diese Schwachstelle. Der SolarWinds-Angriff im Jahr 2020 hat gezeigt, wie kompromittierte Sicherheitssoftware sich auf Tausende von Organisationen auswirken kann.
Selbst-gehostete Lösungen und digitale Souveränität
Die Risiken sind klar, aber die Lösung ist es auch. Deutsche Unternehmen müssen diese Schwachstelle nicht akzeptieren, insbesondere wenn es um Cybersicherheitslösungen geht. Selbst-gehostete, europäische Software bietet einen Ausweg aus der rechtlichen und sicherheitstechnischen Falle, die von US-Anbietern geschaffen wurde.
Was Selbst-gehostet wirklich bedeutet
Selbst-gehostete Software (On-Premise) läuft auf einer Infrastruktur, die Sie kontrollieren – Ihre eigenen Server, Ihre eigenen Rechenzentren, unter Ihrer eigenen Gerichtsbarkeit. Hier geht es um rechtliche Kontrolle. Wenn Software in Deutschland selbst gehostet wird, gilt ausschließlich deutsches Recht.
Die europäischen Cybersicherheitsinvestitionen haben sich seit 2022 mehr als halbiert.
(Bild: Passwork)
Praktische Umsetzung: Passwortverwaltung
Stellen Sie sich ein deutsches Fertigungsunternehmen vor, das einen US-amerikanischen, cloud-basierten Passwort-Manager verwendet. Trotz EU-Rechenzentren ist das Unternehmen kritischen Risiken ausgesetzt:
- Gemäß dem CLOUD Act können US-Behörden das US-Unternehmen zwingen, Zugriff auf weltweit gespeicherte Daten zu gewähren, selbst wenn dies gegen Artikel 48 der DSGVO verstößt.
- Wenn US-Behörden einen National Security Letter ausstellen, wäre es dem US-Unternehmen untersagt, das deutsche Unternehmen darüber zu informieren, dass auf seine Daten zugegriffen wurde.
Dasselbe Unternehmen könnte Passwork einsetzen, eine europäische Passwort-Management-Lösung, die Heise getestet hat und als möglichen Passwort-Manager für Unternehmen empfiehlt. Mit der On-Premise-Version von Passwork verbleiben alle Passwortdaten auf den eigenen Servern des Unternehmens in Deutschland, wodurch die US-Gerichtsbarkeit vollständig entfällt. Selbst die Cloud-Option von Passwork speichert Daten auf europäischen Servern (in Spanien) unter europäischer Gerichtsbarkeit und bietet so einen Mittelweg bei gleichzeitiger Wahrung der Souveränität.
➤ Passwork für Unternehmen*
Passwortmanager aus der EU – jetzt kostenlos testen!
Europäisches Self-Hosted-Szenario:
- Daten verbleiben auf den Firmenservern in Deutschland
- Es gilt ausschließlich deutsches Recht (StPO, BDSG, DSGVO)
- Das Unternehmen agiert sowohl als Verantwortlicher als auch als Auftragsverarbeiter
- Kein Drittanbieter, der von ausländischen Regierungen gezwungen werden kann
- Klare DSGVO-Konformität ohne Probleme bei der internationalen Datenübermittlung
Europäischer Cloud-Mittelweg:
- Daten werden auf europäischen Servern unter europäischer Gerichtsbarkeit gespeichert
- Die EU-DSGVO gilt einheitlich (kein Drittlandtransfer)
- Der Anbieter unterliegt ausschließlich spanischem und EU-Recht
- Einfachere Bereitstellung als On-Premise bei gleichzeitiger Wahrung der Souveränität
Der Business Case für Souveränität
Über die Compliance hinaus bieten selbst-gehostete Lösungen handfeste Geschäftsvorteile:
- Volle Kontrolle: Unternehmen behalten die vollständige Aufsicht über ihre Sicherheitsinfrastruktur, einschließlich wer Zugriff hat, wie Daten verschlüsselt werden und wo sie gespeichert sind.
- Audit-Transparenz: Wenn Aufsichtsbehörden oder Kunden Nachweise über Datenschutzmaßnahmen verlangen, liefern selbst-gehostete Systeme klare, überprüfbare Antworten.
- Kostenvorhersehbarkeit: Cloud-basierte US-Dienste sind oft mit unvorhersehbaren Kosten verbunden, wenn das Datenvolumen wächst. Selbst-gehostete Lösungen bieten feste, kontrollierbare Ausgaben.
- Leistung: Lokales Hosting eliminiert Latenzprobleme und gewährleistet einen konsistenten Zugriff, selbst wenn internationale Verbindungen unterbrochen sind.
Die Cybersicherheitsinvestitionen der USA machen 83% der globalen Cybersicherheitsinvetitionen aus.
(Bild: Passwork)
Den Übergang gestalten
Der Umstieg auf eine selbst-gehostete Infrastruktur erfordert Planung, wird aber immer einfacher:
- Aktuelle Abhängigkeiten inventarisieren: Listen Sie alle für Sicherheitsfunktionen genutzte US-Software auf und dokumentieren Sie aktuelle SCCs und Transfer-Folgenabschätzungen (Transfer Impact Assessments).
- Europäische Alternativen bewerten: Recherchieren Sie selbst-gehostete Optionen, die die Funktionalität erfüllen, und überprüfen Sie die Gerichtsbarkeit.
- Migration planen: Moderne selbst-gehostete Lösungen bieten Migrationstools und Active-Directory-Integration.
- Bereitstellen und überprüfen: Installieren Sie die Lösung auf der vorhandenen Infrastruktur und aktualisieren Sie die Verzeichnisse von Verarbeitungstätigkeiten (Artikel 30 DSGVO).
- Compliance dokumentieren: Aktualisieren Sie die Datenschutzrichtlinien und bereiten Sie die Dokumentation für DSGVO-Audits vor.
Der Übergang erfordert keine Funktionseinbußen. Heutige selbst-gehostete Cybersicherheits-Tools entsprechen oder übertreffen die Funktionen von Cloud-Alternativen und bieten gleichzeitig die Souveränität und Rechtssicherheit, die US-Anbieter nicht bieten können.
➤ Passwork für Unternehmen*
Passwortmanager aus der EU – jetzt kostenlos testen!
Fazit: Die Wahl ist klar
Deutsche Unternehmen stehen vor einer klaren Wahl: Weiterhin auf US-Software zu vertrauen und die rechtlichen Risiken, Sicherheitslücken und den Verlust der Souveränität zu akzeptieren – oder die Kontrolle über ihre digitale Infrastruktur durch selbst-gehostete europäische Lösungen zu übernehmen.
Die Beweise sind überwältigend. Die US-Überwachungsgesetze sind mit der DSGVO unvereinbar. EU-Rechenzentren lösen das Problem nicht. Die DSGVO-Bußgelder sind real und steigen. Das Kundenvertrauen erodiert. Wettbewerbsrelevante Informationen sind in Gefahr.
Digitale Souveränität ist eine geschäftliche Notwendigkeit. Für Unternehmen, die Datenschutz, Compliance und langfristige Sicherheit ernst nehmen, ist der Weg nach vorn klar: Holen Sie Ihre Cybersicherheitsinfrastruktur nach Hause. Die Technologie existiert. Der rechtliche Rahmen unterstützt sie. Die einzige Frage ist: Wie lange wird Ihr Unternehmen noch warten, bevor es den Schritt wagt?
Suchen Sie nach Alternativen? Entdecken Sie umfassende Cybersicherheitslösungen, die für europäische Unternehmen entwickelt wurden:
➤ Europäische Alternativen: Google, Microsoft & Co. ersetzen
Dieser Beitrag ist eine Werbeanzeige und stammt von einem Content-Partner. Die Anzeige wurde nicht vom heise Software-Team oder einer anderen heise-Redaktion verfasst oder nachbearbeitet und spiegelt möglicherweise nicht deren Meinung wider.
