BMI-Gutachten: Der letzte Weckruf für europäische Unternehmen

Ein Gutachten für das Bundesinnenministerium (BMI) stellt fest: US-Behörden haben rechtliche Instrumente, um auch auf Cloud-Daten zuzugreifen, die in europäischen Rechenzentren liegen. Die Folgen sind weitreichend.

Ein bislang unveröffentlichtes Gutachten für das Bundesinnenministerium (BMI), erstellt von Rechtswissenschaftlern der Uni Köln und erst durch eine IFG-Anfrage öffentlich geworden, bringt es auf den Punkt – und der sollte alle europäischen Unternehmen spätestens jetzt zum Nachdenken bringen. Das Thema betrifft tatsächlich jedes Unternehmen, das in irgendeiner Form geschäftlich oder rechtlich mit den USA verflochten ist – als Muttergesellschaft, Tochtergesellschaft oder über relevante geschäftliche Beziehungen. Genau diese „Verbindungen“ können laut Gutachten dazu führen, dass US-Jurisdiktion in die Kette hineinwirkt.

Klartext in Schwarz auf Weiß - Was das Gutachten tatsächlich bedeutet

Das Gutachten nennt vor allem zwei Rechtsgrundlagen als Treiber:

• Stored Communications Act (SCA), erweitert durch den CLOUD Act

• FISA Section 702 (Zugriffsmöglichkeiten im Kontext nationaler Sicherheit)

Der zentrale Knackpunkt dabei: Entscheidend ist demnach nicht, wo die Daten liegen – sondern wer sie kontrolliert. Wenn eine US-Mutter „die letztliche Kontrolle“ ausübt, kann das ausreichend sein – selbst dann, wenn Betrieb und Datenhaltung über europäische Gesellschaften oder Rechenzentren laufen.

Und: Die Reichweite endet laut Gutachten nicht bei US-Konzernen. Sie kann auch rein europäische Unternehmen erfassen, sobald geschäftlich „relevante Verbindungen“ in die USA bestehen.

„Theoretisches Gedankenspiel“? Leider nicht!

Wer wissen will, wie solche Debatten in der Realität aussehen, muss nicht spekulieren:

• Microsoft-Irland-Fall: In United States v. Microsoft Corp. ging es um die Herausgabe von E-Mails, die auf einem Server in Irland gespeichert waren. Der Streit wurde am Ende politisch „gelöst“, weil der CLOUD Act genau diese Zugriffsmöglichkeiten gesetzlich klarziehen sollte (Supreme Court, Urteil/Order vom 17.04.2018).

• Transparenzbericht als Indikator: Microsoft selbst weist in seinem „Government Requests for Customer Data Report“ aus, dass US-Behörden auch Inhalte anfordern können, die außerhalb der USA gespeichert sind (u. a. „warrants seeking content stored outside the United States“ im ersten Halbjahr 2024, siehe Microsoft Corporate Responsibility, Bericht H1/2024).

• Öffentliche Anhörung in Frankreich: Der General Counsel von Microsoft Frankreich sagte in einer Senatsanhörung laut heise online vom 21.07.2025, er könne nicht unter Eid garantieren, dass EU-Daten niemals ohne Zustimmung an die US-Regierung übermittelt würden – bei formal korrekten Anfragen müsse Microsoft grundsätzlich liefern.

Das ist der Punkt, den viele Entscheider unterschätzen: Selbst wenn am Ende selten etwas passiert – die Möglichkeit ist real, und sie kann im Ernstfall mit Schweigepflichten verbunden sein.

Dürfen deutsche Behörden sich diesem Risiko überhaupt aussetzen?

Rein rechtlich gibt es in Europa eine klare Leitplanke: Art. 48 DSGVO stellt Drittstaaten-Anordnungen (Gerichte/Behörden) unter einen engen Vorbehalt – sie sind grundsätzlich nur dann eine Basis für Datenoffenlegungen, wenn sie auf einem internationalen Abkommen (z. B. Rechtshilfe) beruhen. (DSGVO, Amtsblatt der EU).

Gleichzeitig ist die Praxis komplizierter, sobald ein Anbieter oder eine Konzernmutter tatsächlich US-Recht unterliegt. Dann entsteht ein Zugriffskonflikt, den eine Behörde am Ende nicht wegdiskutieren kann, sondern den sie organisatorisch und vertraglich beherrschen muss.

Wichtig für die Einordnung: Die deutsche Datenschutzkonferenz (DSK) hat 2023 festgehalten, dass die bloße Gefahr eines Drittstaatenzugriffs (z. B. über gesellschaftsrechtliche Weisungsrechte) für sich genommen noch keine automatische „Drittlandübermittlung“ nach Art. 44 ff. DSGVO ist – sie bleibt aber ein Faktor bei der Bewertung des Dienstleisters und der Schutzmaßnahmen. (DSK-Beschluss vom 31.01.2023).

Und genau hier wird es für die öffentliche Hand kritsich: Wo die Risiken hoch sind, braucht es nachweisbare Maßnahmen für technische und rechtliche Datenhoheit – nicht nur Papier.

Was heißt das für Unternehmen? Ein Schnell-Check in 60 Sekunden

Wenn Sie beim Beantworten der folgenden Fragen mindestens einmal „Ja“ sagen, sollten Sie das Thema 2026 ganz oben auf Ihre Agenda setzen:

1. Gibt es eine US-Mutter/US-Tochter oder US-Kontrollrechte in der Gruppe?
2. Nutzen Sie Cloud-/IT-Dienstleister, die US-Recht unterliegen oder zentral aus den USA gesteuert werden?
3. Liegen bei Ihnen Daten mit IP-, Export-, Behörden- oder KRITIS-Relevanz in der Cloud?
4. Wäre ein Zugriff schon deshalb kritisch, weil Sie ihn eventuell noch nicht einmal erfahren würden (NDA/Gag Orders, siehe Microsoft Government Requests Report)?
5. Haben Sie eine Exit-Strategie, falls sich Rechtslage oder Risikobewertung kippt?

Falls Sie alle diese Fragen spontan und voller Überzeugung mit “Nein” beantworten können, nehmen Sie bitte keinen Kontakt mit uns auf.

Kurzer Reality-Check zu „US-Cloud, aber EU-Datenboundary“

Ja: Es gibt Juristen, die argumentieren, dass bestimmte Cloud-Setups „grundsätzlich“ DSGVO-konform möglich bleiben – und dass man sauber zwischen Drittlandtransfer und der Frage der Dienstleister-Zuverlässigkeit trennen müsse.

Aber: Das reduziert das Risiko nicht. Es verschiebt es lediglich in die Praxis der Kontrollen, Folgenabschätzungen, Zusatzmaßnahmen – und in die Frage, wie belastbar „Souveränitätsversprechen“ im Ernstfall wirklich sind.

Fragen Sie nicht, was Sie für SecureCloud tun können...

Wenn Sie dieses Risiko strukturell vermeiden wollen, führt an einem Kriterium kaum ein Weg vorbei: keine Konzern- oder Kontrollkette, über die Drittstaaten-Recht „durchgreifen“ kann – plus eine technische Architektur, die jeglichen Zugriff technisch unmöglich macht.

SecureCloud ist eine deutsche GmbH mit Sitz in Deutschland und positioniert sich als Anbieter mit Infrastruktur und Datenhaltung ausschließlich in Deutschland. Wie viele Ihrer aktuellen Cloud-Anbieter können das von sich sagen? Und wie viele können es belegen? Wir tun das mit dokumentierten Sicherheitsnachweisen wie unserem BSI C5-Testat.

Für Organisationen, die keine Zeit für juristische Graubereiche haben, ist das am Ende der entscheidende Unterschied: Nicht „wir speichern in der EU“, sondern „wir sind auch rechtlich in Deutschland verankert – ohne Hebel von außen“.

Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar, sondern ordnet Inhalte ein, die in der Fachpresse oder auf den Websites der genannten Unternehmen veröffentlicht wurden. Ähnlichkeiten mit realen Ländern oder Hyper-Scalern sind rein zufällig - und können keinesfalls gewollt sein.