Europäische Datensouveränität vor Gericht

Kanadas OVHcloud-Urteil bedroht die Sicherheit europäischer Cloud-Strategien. Die Folgen für Unternehmen, Datenschutz und die europäische digitale Souveränität sind weitreichend.

Am 25. September 2024 hat das Ontario Court of Justice den französischen Cloud-Anbieter OVHcloud verpflichtet, Nutzerdaten an die kanadische Polizei herauszugeben – obwohl die angefragten Daten auf Servern in Frankreich, Großbritannien und Australien liegen. Grundlage ist eine „Production Order“ vom 19. April 2024.

Die Begründung der Richterin: Die „virtuelle Präsenz“ von OVH in Kanada reiche aus, um kanadische Gerichtsbarkeit zu begründen – unabhängig vom physischen Speicherort der Daten. Was nach juristischer Haarspalterei klingt, bedeutet in der Praxis: Plötzlich entscheidet ein kanadisches Gericht faktisch mit über die europäische Datensouveränität.

Die juristische Zwickmühle: Strafbar in Frankreich oder in Kanada

Für OVHcloud ist das Urteil eine echte Falle:

• In Kanada drohen Sanktionen, wenn die Daten nicht geliefert werden.
• In Frankreich drohen Strafen, wenn sie geliefert werden.

Grund ist das französische Blockadegesetz (Loi n° 68-678 von 1968), das 2022 konkretisiert wurde. Es verbietet französischen Unternehmen, wirtschaftlich sensible Informationen direkt an ausländische Behörden weiterzugeben, sofern nicht der Weg über internationale Rechtshilfeabkommen gewählt wird. Verstöße sind mit bis zu sechs Monaten Haft und Geldstrafen belegt.

Der französische Wirtschaftsdienst SISSE und das Justizministerium haben Kanada schriftlich aufgefordert, den offiziellen Rechtshilfeweg zu nutzen – und gleichzeitg klar gemacht: Eine direkte Datenherausgabe wäre nach französischem Recht illegal.

OVHcloud hat deshalb Berufung beim Ontario Superior Court eingelegt und zugleich beantragt, die Vollstreckung auszusetzen – denn die Frist zur Datenherausgabe war auf den 27. Oktober gesetzt.

Warum dieser Fall die europäische Datensouveränität in Frage stellt

Der Konflikt ist kein exotischer Spezialfall, sondern ein Präzedenzfall:

Wenn das Prinzip der „virtuellen Präsenz“ Bestand hat, könnte künftig jedes Unternehmen mit digitalem Footprint in einem Drittstaat direkt in fremde Ermittlungen hineingezogen werden – inklusive der dort gespeicherten Daten.

Das stellt das Geschäftsmodell internationaler Cloud-Anbieter infrage, die mit „Datenstandort Europa“ und „Schutz vor ausländischen Behörden“ werben.

Parallelen zum USCLOUDAct drängen sich auf: Der CLOUD Act erlaubt US-Behörden seit 2018, Daten von US-CloudProvidern wie Microsoft, Google oder Amazon zuv erlangen – egal, ob die Daten in Frankfurt, Dublin oder Paris liegen. Zuwiderhandlung ist strafbar.

Besonders brisant: In einer öffentlichen Anhörung vor dem französischen Senat hat der Chefjurist von Microsoft Frankreich im Juni 2025 unter Eid erklärt, dass Microsoft nicht garantieren kann, dass Daten europäischer Nutzer in EU-Rechenzentren vor dem Zugriff US-amerikanischer Behörden geschützt sind – selbst bei Projekten wie der „EU Data Boundary“.

Die Botschaft für Compliance- und IT-Verantwortliche in Europa ist unbequem

„Daten-Residenz in der EU“ schützt nicht automatisch vor Drittstaatenzugriff – solange der Anbieter selbst dem Recht eines Drittstaats unterliegt.

Der Fall OVHcloud zeigt: Es sind nicht nur die US-Hyperscaler, die im Fokus stehen. Auch europäische Anbieter mit globalem Geschäft können zwischen nationalem Recht und ausländischen Gerichten zerrieben werden.

Am Ende wird nur die internationale Politik das Grundproblem lösen können.

Frankreich signalisiert in dem Verfahren:

Die Daten sind gesichert

Sie können und sollen über offizielle Rechtshilfewege auch geliefert werden, um Straftaten aufzuklären.

Aber: Es wäe nach französischem Recht strafbar für den Cloud-Anbieter, sie einfach per direkter Anordnung eines ausländischen Gerichts herauszugeben.

Kanada hingegen setzt auf Effizienz: schnelle Daten, direkter Zugriff, ohne langwierige diplomatische Schleifen. Der Ontario Superior Court muss nun abwägen, was schwerer wiegt:

- Die Effizienz polizeilicher Ermittlungen, oder:

- die Achtung der Souveränität eines Partnerstaats und der etablierten völkerrechtlichen Verfahren.

Klar ist: Technische Maßnahmen, EU-Datenräume oder Vertragsklauseln können die Kollision nationaler Gesetze nicht verhindern. Ohne klare politische Leitplanken bleibt die europäische Datensouveränität angreifbar.

Checkliste: Worauf Unternehmen ihre Cloud-Strategie jetzt überprüfen müssen

Wer heute eine Cloud-Strategie für kritische Daten verantwortet, muss schnellstmöglich die folgenden Fragen klären:

• Welchem Recht unterliegt mein Anbieter?
• Wo ist der Sitz der Muttergesellschaft
• Wo sind die Sitze aller Tochtergesellschaften
• Wie sieht die Konzernstruktur aus (US-Recht? UK? Kanada?)
• Wo stehen Rechenzentren & Backups wirklich?
• Verspricht das Marketing Hosting „in der EU“ oder ganz konkret und unmissverständlich „Hosting ausschließlich in Deutschland“?
• Wer hält die Schlüssel? Kann der Provider technisch überhaupt auf produktive Daten zugreifen, oder liegt der Schlüssel ausschließlich beim Kunden?

Für viele Unternehmen – gerade in regulierten Branchen, im öffentlichen Sektor, der Gesundheits- oder Rechtsbranche, oder bei besonders sensiblen Daten wie gewerblichen Schutzrechten – führt an einer souveränen Cloud aus Deutschland kaum ein Weg vorbei. Nicht aus Nationalismus - sondern weil es aktuell keine größeres Maß an Sicherheit gibt.

SecureCloud: Souveräne deutsche Cloud ohne juristische Hintertüren

Der OVH-Fall bestätigt unseren Ansatz:

• Rechenzentren und Unternehmenssitz ausschließlich in Deutschland – betrieben in hochsicheren, bankentauglichen Rechenzentren der NorisNetworkAG.
  
  
• "Data based in Germany" - das ist keine Marketing-Worthülse, sondern die Garantie für eine wirklich autonome IT-Infrastruktur ohne jegliche technische oder juristische Hintertüren für Drittstaaten.
  
  
• Zertifizierungen wie ISO 27001 und ein BSI C5-Testat belegen ein Sicherheitsniveau, das gerade auch für KRITIS-nahe Anwendungen relevant ist.
  
  
• Ende-zu-Ende-verschlüsselter Cloud-Speicher und integrierte eSign-Lösungen (SecureSign), bei denen Daten und Schlüssel unter Kontrolle der Kund:innen bleiben.
  
  
• SecureCloud ist die wirklich souveräne Content-Cloud aus Deutschland. Konkret: keine US-Mutter, keine ausländische Tochtergesellschaften, also keine Angriffsfläche für den US CLOUD-Act.

Der Fall OVHcloud zeigt, wohin die Reise geht: Je komplexer die geopolitische Lage und je aggressiver extraterritoriale Gesetze werden, desto wertvoller wird ein klarer, nationaler Rechtsrahmen für geschäftskritische Daten.

Wenn Sie prüfen wollen, wie souverän Ihre aktuelle Cloud-Landschaft wirklich ist – und welche Workloads besser in einer deutschen, juristisch unabhängigen Cloud aufgehoben wären – sprechen Sie uns an.