24. März 2026 · 10 Min. Lesezeit

Was passiert mit euren Daten, wenn Trump den Stecker zieht?

CLOUD Act, DSGVO, politische Abhängigkeit: Warum eure Firmendaten in US-Clouds ein rechtliches und wirtschaftliches Risiko sind – und was Datensouveränität konkret bedeutet.

Stecker wird aus US-Steckdose gezogen – Datenströme entweichen als Symbol für Datensouveränität und CLOUD Act Risiken — Was passiert mit euren Daten, wenn US-Anbieter den Zugang sperren?

TL;DR

US-Cloud-Dienste wie Google Workspace oder AWS sind für deutsche Unternehmen ein rechtliches und wirtschaftliches Risiko. Der CLOUD Act erlaubt US-Behörden Zugriff auf eure Daten – egal wo sie gespeichert sind.

CLOUD Act: US-Behörden können Daten bei Google, Microsoft & Co. anfordern – ohne deutschen Richterbeschluss
DSGVO-Bußgelder bis 20 Mio. € bei unrechtmäßiger Datenübermittlung in Drittländer
Das Data Privacy Framework basiert auf einer Executive Order, die jederzeit widerrufen werden kann
Europäische Alternativen bieten volle Datensouveränität ohne rechtliche Unsicherheit

Stellt euch folgendes Szenario vor: Es ist Montagmorgen, 8:30 Uhr. Euer Team will arbeiten – aber Google Workspace ist gesperrt. Nicht wegen eines Ausfalls, sondern weil euer Account „wegen Verstoß gegen die Nutzungsbedingungen" deaktiviert wurde. Kein Zugriff auf Mails, Kalender, Dokumente. Nichts.

Klingt übertrieben? Passiert regelmäßig. Google sperrt Accounts automatisiert – manchmal reicht ein falsch erkannter Spam-Versand oder ein Abrechnungsfehler. Die Wiederherstellung dauert Tage bis Wochen. In dieser Zeit steht euer Geschäft still.

Aber das ist nur die Spitze des Eisbergs. Das eigentliche Risiko liegt tiefer: in der Gesetzgebung, der Politik und der Frage, wem eure Daten wirklich gehören.

Was bedeutet der CLOUD Act für eure Firmendaten?

Seit 2018 gilt in den USA der CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Was er besagt, ist erschreckend simpel:

US-Behörden können von amerikanischen Unternehmen die Herausgabe von Daten verlangen – egal wo auf der Welt diese Daten gespeichert sind.

Das bedeutet: Auch wenn eure Google-Workspace-Daten auf einem Server in Frankfurt liegen – die US-Regierung kann Google anweisen, diese Daten herauszugeben. Google muss dem nachkommen. Ohne euch zu informieren. Ohne deutschen Richterbeschluss.

Für euer Unternehmen heißt das: Eure Geschäftsgeheimnisse, Kundendaten, interne Kommunikation – alles ist potenziell einsehbar. Nicht theoretisch. Gesetzlich legitimiert.

Warum sind Privacy Shield und Data Privacy Framework so unsicher?

Die Datenübertragung zwischen EU und USA war schon immer rechtlich umstritten. Ein kurzer Rückblick:

2015: Safe Harbor gekippt – Der Europäische Gerichtshof erklärte das Abkommen für ungültig (Schrems I).
2020: Privacy Shield gekippt – Auch der Nachfolger hielt nicht stand (Schrems II). Begründung: US-Geheimdienste haben zu weitreichenden Zugriff.
2023: Data Privacy Framework – Der dritte Versuch. Basiert auf einer „Executive Order" von Biden, die den Geheimdienstzugriff einschränken soll.

Und genau hier wird es politisch brisant: Eine Executive Order ist kein Gesetz. Sie kann vom nächsten Präsidenten mit einem Federstrich widerrufen werden. Datenschutzexperten erwarten, dass auch dieses Framework vor dem EuGH landen wird – Schrems III ist nur eine Frage der Zeit.

Was das für euch bedeutet: Wer heute auf US-Cloud setzt, baut sein Geschäft auf einem rechtlichen Fundament, das jederzeit wegbrechen kann. Wenn das Privacy Framework kippt, wird die Nutzung von Google Workspace, Microsoft 365 oder AWS über Nacht zur DSGVO-Verletzung.

Welche DSGVO-Bußgelder drohen bei US-Cloud-Nutzung?

Die DSGVO kennt bei Verstößen zwei Bußgeldstufen:

Verstoß	Bußgeld
Technisch-organisatorische Mängel	Bis 10 Mio. € oder 2 % des Jahresumsatzes
Unrechtmäßige Datenübermittlung in Drittländer	Bis 20 Mio. € oder 4 % des Jahresumsatzes

„20 Millionen betrifft doch nur die Großen" – denkt ihr? Die deutschen Datenschutzbehörden verhängen auch gegen Mittelständler Bußgelder. 2023 lag das durchschnittliche Bußgeld in Deutschland bei rund 15.000 € – aber Einzelfälle gingen deutlich höher. Dazu kommt das Reputationsrisiko: Ein Datenschutzvorfall kann euch Kunden kosten.

Und selbst wenn ihr nie ein Bußgeld bekommt: Eure Auftraggeber fragen zunehmend nach. Wer im B2B arbeitet, kennt die Fragebögen zur Auftragsdatenverarbeitung. „Wo speichern Sie Daten?" – „Bei Google in den USA" ist eine Antwort, die immer öfter zum Dealbreaker wird.

Was passiert, wenn Google euren Business-Account sperrt?

Zurück zum Szenario vom Anfang. Es ist leider kein Gedankenexperiment:

Google sperrt regelmäßig Business-Accounts wegen vermeintlicher Verstöße gegen die Nutzungsbedingungen – oft durch automatisierte Systeme, ohne vorherige Warnung.
Die Wiederherstellung läuft über ein Formular. Kein Telefonsupport für kleine Workspace-Kunden. Wartezeit: Tage bis Wochen.
In der Zwischenzeit: Kein Zugriff auf Mails, Drive, Kalender. Laufende Projekte stehen still. Kunden bekommen keine Antwort.

Bei einem selbst gehosteten Stack kann euch das nicht passieren. Euer Server läuft, solange ihr ihn laufen lasst. Kein Algorithmus entscheidet über euren Geschäftsbetrieb.

Wie abhängig macht euch die US-Cloud wirtschaftlich und politisch?

Die Diskussion geht über Datenschutz hinaus. Es geht um wirtschaftliche Abhängigkeit:

Exportkontrollen: Die USA können Technologie-Exporte einschränken. Was heute undenkbar erscheint, kann morgen Realität sein. Russische Unternehmen haben 2022 über Nacht den Zugang zu Google und Microsoft verloren.
Preispolitik: US-Tech-Konzerne erhöhen regelmäßig ihre Preise. Als Kunde eines Quasi-Monopolisten habt ihr keine Verhandlungsposition.
Feature-Entscheidungen: Google stellt Produkte ein, wenn sie nicht profitabel genug sind. Google Domains? Eingestellt. Google Hangouts? Eingestellt. Wer garantiert, dass Workspace so bleibt, wie es ist?
KI und Datenverwertung: Google nutzt Unternehmensdaten zum Training seiner KI-Modelle – zumindest laut aktualisierter Datenschutzerklärung. Wollt ihr, dass eure internen Dokumente in einem Google-KI-Modell landen?

Was bedeutet Datensouveränität konkret für euer Unternehmen?

Datensouveränität ist kein Marketing-Begriff. Es bedeutet ganz konkret:

Eure Daten liegen auf Servern, die ihr kontrolliert – oder bei einem europäischen Anbieter, der europäischem Recht unterliegt.
Kein Drittland-Transfer – Eure Daten verlassen die EU/Schweiz nicht. Kein CLOUD Act, kein Privacy Framework, keine Unsicherheit.
Volle Löschkontrolle – Wenn ihr Daten löscht, sind sie weg. Nicht „zum Löschen vorgemerkt" oder „nach 180 Tagen endgültig gelöscht".
Keine Datenverwertung – Eure Daten werden nicht analysiert, nicht für Werbung genutzt, nicht für KI-Training verwendet.
Portabilität – Ihr könnt eure Daten jederzeit exportieren und zu einem anderen Anbieter mitnehmen.

So war es bei uns

Als wir unseren eigenen Stack umgestellt haben , war das Thema Datensouveränität einer der Hauptgründe. Nicht weil wir paranoid sind. Sondern weil wir unseren Kunden in die Augen schauen wollen, wenn sie fragen: „Wo liegen unsere Daten?"

Unsere Antwort heute: Auf Hetzner-Servern in Deutschland und bei Infomaniak in der Schweiz. Unter europäischem Recht. Ohne Hintertüren. Das ist ein Wettbewerbsvorteil, den ihr auch haben könnt.

Was ihr jetzt tun könnt

Ihr müsst nicht alles auf einmal umstellen. Aber ihr solltet wissen, wo ihr steht:

Bestandsaufnahme machen: Welche US-Dienste nutzt ihr? Wo liegen welche Daten? Welche Verträge habt ihr?
Risiko bewerten: Was passiert, wenn ein Dienst ausfällt oder der Zugang gesperrt wird? Wie lange könnt ihr ohne arbeiten?
Alternativen kennenlernen: Für fast jeden US-Dienst gibt es europäische oder selbst gehostete Alternativen. kSuite statt Google Workspace ist ein guter Anfang.
Schritt für Schritt umstellen: Nicht alles auf einmal. Fangt mit dem an, was am meisten Risiko birgt – meistens ist das E-Mail und Dokumentenablage.

Weiterlesen

Warum wir Google, AWS und Microsoft den Rücken gekehrt haben – Unser persönlicher Erfahrungsbericht
kSuite statt Google Workspace – Feature-Vergleich und Migrationserfahrung
Digitalisierung als Wachstumstreiber für KMU – Strategien, Praxisbeispiele und 5-Schritte-Plan

Wo liegen eure Firmendaten gerade?

Wir finden es für euch raus – kostenlos. In 30 Minuten analysieren wir euren aktuellen Stack, identifizieren Risiken und zeigen euch konkrete Alternativen.

Kostenlosen Check buchen