{"id":319203,"date":"2025-12-11T08:45:47","date_gmt":"2025-12-11T07:45:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=319203"},"modified":"2025-12-11T08:45:47","modified_gmt":"2025-12-11T07:45:47","slug":"gutachten-belegt-europaeische-cloud-inhalte-sind-vor-us-zugriff-ungeschuetzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/12\/11\/gutachten-belegt-europaeische-cloud-inhalte-sind-vor-us-zugriff-ungeschuetzt\/","title":{"rendered":"Gutachten belegt: Europ\u00e4ische Cloud-Inhalte sind vor US-Zugriff ungesch\u00fctzt"},"content":{"rendered":"

\"StopInhalte, die auf Cloud-Inhalten von US-Firmen liegen, sind vor dem Zugriff durch US-Beh\u00f6rden nicht gesch\u00fctzt. Das ist allen, die es wissen wollen, bekannt. Aber auch Cloud-Instanzen, die von rein europ\u00e4ischen Anbietern gehostet werden, sind vor dem Zugriff durch US-Beh\u00f6rden nicht gesch\u00fctzt – jedenfalls dann nicht, wenn der europ\u00e4ische Anbieter signifikante Gesch\u00e4ftsaktivit\u00e4ten in den USA unterh\u00e4lt. Das wurde jetzt mit einem Rechtsgutachten nochmals belegt.<\/p>\n

<\/p>\n

\"\"Microsoft & Co. werden nicht m\u00fcde, f\u00fcr ihre Cloud-Angebote zu werben. Diese werden auf europ\u00e4ischen Servern gehostet und verlassen die EU nicht, hei\u00dft es. Zudem gibt es den Angemessenheitsbeschluss der EU hinsichtlich das EU-US Transatlantic Data Transfer Abkommens, dass den Datenflug pers\u00f6nlicher Daten von EU-B\u00fcrgern rechtlich absichern soll (siehe EU-Kommission f\u00e4llt Angemessenheitsbeschluss f\u00fcr EU-U.S. Data Privacy Framework<\/a>). Der Angemessenheitsbeschluss besagt, dass EU-B\u00fcrger in den USA das gleiche Datenschutzniveau wie in Europa \"genie\u00dfen\". Im September 2025 wurde eine Klage eines franz\u00f6sischen Abgeordneten vom europ\u00e4ischen Gericht abgewiesen (siehe EuG weist Nichtigkeitsklage gegen EU-US-Datentransferabkommen (TADPF) ab<\/a>). Aber das Verfahren geht nun vor den Europ\u00e4ischen Gerichtshof (EuGH), der bereits die beiden vorherigen Abkommen gekippt hat.<\/p>\n

Blog-Leser kennen das M\u00e4rchen der souver\u00e4nen Cloud<\/h2>\n

Blog-Leser wissen, dass das Versprechen, dass \"Daten in der Cloud, die auf europ\u00e4ischen Rechnern liegen\" nicht vor Zugriffen durch US-Beh\u00f6rden gesch\u00fctzt werden k\u00f6nnen. Der US Cloud Act verpflichtet US-Firmen den US-Beh\u00f6rden die Daten stillschweigend herauszugeben und die Besitzer der Daten nicht zu informieren. Microsoft musste dies bei einer offiziellen Anh\u00f6rung in Frankreich best\u00e4tigen (siehe meinen Blog-Beitrag Souver\u00e4ne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern<\/a>).<\/p>\n

Aber es geht noch weiter. In Kanada hat ein Gericht den franz\u00f6sischen Cloud-Anbieter OVH verpflichtet, Daten eines Kunden, die auf europ\u00e4ischen Cloud-Rechnern liegen, an die kanadische Justiz bzw. Polizei zu \u00fcbergeben. Aber das franz\u00f6sische Recht verbietet diese Herausgabe. Der offizielle Weg w\u00e4re, dass Kanada die Datenherausgabe \u00fcber einen diplomatisch\/juristischen Kanal beantragt und ein europ\u00e4ischer Richter \u00fcber die Herausgabe entscheidet. Ich hatte diesen Sachverhalt im Blog-Beitrag Keine digitale Souver\u00e4nit\u00e4t: Franz\u00f6sischer Richter Nicolas Guillou ger\u00e4t nach US-Sanktionen in Digitaler Steinzeit; OVH soll Daten eines Kunden an Kanada liefern<\/a> angesprochen.<\/p>\n

Neues Gutachten best\u00e4tigt fehlenden Schutz der Cloud-Daten<\/h2>\n

Es gibt eine Analyse bzw. ein Gutachten, angefertigt f\u00fcr das deutsche Innenministerium, welches sich mit der Frage befasst, wie US-Gesetze sich auf Cloud-Inhalte auswirken, die auf europ\u00e4ischen Servern liegen. Frag den Staat hat das Rechtsgutachten zur US-Rechtslage zum weltweiten Datenzugriff durch US-Beh\u00f6rden bei der Nutzung von Cloud-Diensten<\/a> der Rechtswissenschaftlichen Fakult\u00e4t der Universit\u00e4t zu K\u00f6ln in geschw\u00e4rzter Form erhalten und ver\u00f6ffentlicht.<\/p>\n

heise hat das Thema zum 10. Dezember 2025 in diesem Artikel<\/a> aufgegriffen und die Quintessenz herausgezogen. Diese best\u00e4tigt meine oben skizzierten Aussagen: Das Gutachten zieht den Schluss, dass US-Beh\u00f6rden weitreichenden Zugriff auch auf Daten haben, die in europ\u00e4ischen Rechenzentren gespeichert sind.<\/p>\n

Der US Stored Communications Act (SCA), sp\u00e4ter durch den US Cloud Act erweitert, sowie Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) verpflichtet Cloud-Anbieter zur Herausgabe von Daten an US-Beh\u00f6rden. Diese US-Rechtsvorschriften adressieren die Firmen und machen keine Unterscheidung, wo die Daten liegen. Sprich: Auch Daten auf Cloud-Instanzen, die in Europa gespeichert sind, m\u00fcssen herausgegeben werden, wenn die US-Firma die Kontrolle besitzt.<\/p>\n