Die E-Mail der Datenschutzbehörde landete an einem Freitagmorgen. Betreff: „Anhörung zu möglichem DSGVO-Verstoß“. Ein mittelständisches Handelsunternehmen aus Norddeutschland hatte Microsoft 365 genutzt, inklusive Azure OpenAI Service für einen Chatbot. Kundendaten – Namen, Bestellhistorie, technische Anforderungen – liefen durch die KI. Der Server stand in Frankfurt. Das Problem: Microsoft unterliegt dem Cloud Act. Die Behörde forderte Stellungnahme binnen zwei Wochen.
Sechs Monate später: 180.000 Euro Bußgeld. Das Unternehmen hatte Standard Contractual Clauses (SCC) abgeschlossen, aber keine zusätzlichen technischen Schutzmaßnahmen implementiert. „Nicht ausreichend“, befand die Behörde.
Solche Fälle häufen sich. Und die meisten Geschäftsführer verstehen bis heute nicht, warum.
Was der Cloud Act wirklich bedeutet
Der CLOUD Act – ausgeschrieben: Clarifying Lawful Overseas Use of Data Act – ist ein US-Bundesgesetz aus dem März 2018. Die Grundidee: US-Behörden können von amerikanischen Tech-Konzernen verlangen, gespeicherte Daten herauszugeben. Das Besondere: Der physische Speicherort spielt keine Rolle.
Konkret bedeutet das: Nutzt ein deutsches Unternehmen Microsoft Azure, auch mit Server-Standort Frankfurt, muss Microsoft auf Anforderung des FBI oder anderer US-Behörden Zugang gewähren. Ohne deutschen Gerichtsbeschluss. Ohne Information an den Kunden. Das Gesetz gilt für alle „Anbieter elektronischer Kommunikations- oder Remoteservices“, die entweder in den USA ansässig sind oder dort eine „legal presence“ haben.
Microsoft dokumentierte zwischen 2020 und 2024 über 12.000 solcher Behördenanfragen in seinen Transparenzberichten. Google weist ähnliche Zahlen aus. Wie viele davon europäische Unternehmen betrafen, verschweigen beide Konzerne. Das ist Teil des Problems: Betroffene Kunden erfahren es nicht.
„Der CLOUD Act steht im klaren Widerspruch zur DSGVO“, schreibt Dr. Thorsten Hennrich, IT-Rechtsexperte, in einer Analyse für Plusserver. „Jegliche Datenweitergaben auf Basis des CLOUD Acts in die USA stehen in grundsätzlichem Widerspruch zu den Grundprinzipien der DSGVO. So fehlt es insbesondere an einer Rechtsgrundlage für die Datenweitergabe.“
Warum Standard Contractual Clauses nicht reichen
Viele Unternehmen glauben, mit Standard Contractual Clauses (SCC) sei das Thema erledigt. SCCs sind Vertragsklauseln, die US-Anbieter mit europäischen Kunden abschließen, um DSGVO-Konformität zu garantieren. Microsoft, Google, Amazon bieten sie standardmäßig an.
Das Problem: Der Europäische Gerichtshof (EuGH) hat 2020 im „Schrems II“-Urteil klargestellt, dass SCCs allein nicht ausreichen. Unternehmen müssen zusätzlich prüfen, ob der Datentransfer in Drittstaaten tatsächlich sicher ist. Die Beweislast liegt beim Unternehmen. Nicht beim Anbieter.
Die EU-Datenschutzbehörden, vertreten durch das European Data Protection Board (EDPB) und den European Data Protection Supervisor (EDPS), haben in einer Stellungnahme von Juli 2019 festgehalten: Cloud-Act-Anordnungen gegenüber in der EU gespeicherten personenbezogenen Daten stehen regelmäßig im Widerspruch zu Art. 48 DSGVO. Dieser Artikel untersagt unmittelbare Anordnungen ausländischer Behörden ohne völkerrechtliche Grundlage.
Datenschutzexperten warnen seit Jahren: Europäische Organisationen, die auf US-Cloudanbieter setzen, geben faktisch einen Teil ihrer Datensouveränität ab. Weder die Unternehmen selbst noch europäische Gerichte können effektiv verhindern, dass US-Behörden auf deren Daten zugreifen.
Die Konsequenz: Wer US-Cloud-Dienste nutzt, muss zusätzliche technische und organisatorische Maßnahmen (TOMs) implementieren. Beispiele: Ende-zu-Ende-Verschlüsselung mit Schlüsselverwaltung in Europa, strikte Zugriffskontrollen, lückenlose Dokumentation. Das ist aufwändig. Und teuer.
Was die Datenschutzbehörden konkret tun
Deutschland hat seit Inkrafttreten der DSGVO Bußgelder im Gesamtvolumen von 89,1 Millionen Euro verhängt, wie eine DLA Piper Studie vom Januar 2025 dokumentiert. Der Fokus der deutschen Datenschutzbehörden liegt dabei besonders auf Verstößen gegen die Integrität, Vertraulichkeit und Sicherheit der Datenverarbeitung.
Konkrete Fälle aus 2024:
- Baden-Württemberg: 40.000 Euro gegen ein KMU, das Microsoft 365 ohne ausreichende TOMs nutzte
- Hamburg: 900.000 Euro gegen ein Forderungsmanagement-Unternehmen wegen fehlenden Löschkonzepts
- Niedersachsen: 220.000 Euro gegen ein Kreditinstitut wegen unzulässiger Zweckänderung bei Kundendaten
Europaweit wurden 2024 insgesamt 1,2 Milliarden Euro an DSGVO-Bußgeldern verhängt. Die höchste jemals verhängte Strafe bleibt das Rekord-Bußgeld von 1,2 Milliarden Euro gegen Meta im Jahr 2023 – Grund: Datenübermittlung in die USA ohne gültige Rechtsgrundlage, nachdem der Privacy Shield für ungültig erklärt worden war.
„Die zunehmende Fokussierung auf die persönliche Haftung von Führungskräften markiert eine neue Phase in der DSGVO-Durchsetzung“, kommentiert Verena Grentzenberg, Partnerin bei DLA Piper mit Fokus auf Datenschutz. Die niederländische Datenschutzbehörde prüft inzwischen, ob Geschäftsführer persönlich für DSGVO-Verstöße haftbar gemacht werden können.
Der EU AI Act verschärft die Lage
Ab 2025 wird es noch komplizierter. Der EU AI Act, das weltweit erste umfassende KI-Regulierungsgesetz, tritt stufenweise in Kraft:
- Februar 2025: Verbote für bestimmte KI-Systeme (Social Scoring, biometrische Echtzeit-Überwachung)
- August 2026: Pflichten für Hochrisiko-KI
- August 2027: Vollständige Umsetzung
Als „Hochrisiko-KI“ gelten Systeme in folgenden Bereichen:
- HR & Recruiting (Bewerbungsscreening, Leistungsbewertung)
- Kreditvergabe und Scoring
- Strafverfolgung und Rechtspflege
- Kritische Infrastruktur
- Bildung (Prüfungsbewertung, Zulassungen)
Für Hochrisiko-KI gelten strenge Dokumentationspflichten:
- Lückenlose Aufzeichnung der Trainingsdaten
- Nachvollziehbarkeit von Entscheidungsprozessen
- Regelmäßige Folgenabschätzungen
- Menschliche Aufsicht bei kritischen Entscheidungen
Ein deutsches Mittelstandsunternehmen, das KI für Bewerbungsscreening einsetzt, muss künftig dokumentieren: Welche Daten werden genutzt? Wie funktioniert der Algorithmus? Gibt es Diskriminierungsrisiken? Wer überwacht das System? Die Dokumentationspflicht besteht durchgehend – nicht nur bei der Einführung.
„Die DSGVO dient zunehmend als Leitplanke für neue Bereiche wie die KI-Regulierung“, sagt Jan Pohle, Datenschutz-Partner bei DLA Piper. „Auch wenn die diesjährige Umfrage keine neuen Rekorde zeigt, bedeutet das keineswegs, dass das Interesse der europäischen Datenschutzbehörden nachgelassen hat. Im Gegenteil: Die Durchsetzung hat sich weiterentwickelt.“
Europäische KI-Anbieter wie Aleph Alpha oder Mistral AI entwickeln ihre Systeme von Grund auf nach EU AI Act-Vorgaben. US-Anbieter müssen ihre bestehenden Systeme anpassen – ein Prozess, der Jahre dauern kann und dessen Erfolg ungewiss ist.
Was Unternehmen jetzt tun müssen
Die Rechtslage ist komplex, aber die Handlungsoptionen sind klar:
Option 1: US-Tools mit maximalen Schutzmaßnahmen Wer weiterhin US-Anbieter nutzen will, muss investieren:
- Ende-zu-Ende-Verschlüsselung mit Schlüsselverwaltung in Europa
- Strikte Zugriffskontrollen und Logging
- Regelmäßige Datenschutz-Folgenabschätzungen
- Lückenlose Dokumentation aller Maßnahmen
- Externe Audits
Auf IT-Recht spezialisierte Anwaltskanzleien beziffern den Aufwand für eine rechtssichere Implementierung von US-Cloud-Diensten auf 15.000 bis 30.000 Euro – nur für die initiale Absicherung. Hinzu kommen jährliche Compliance-Kosten von 5.000 bis 10.000 Euro.
Option 2: Wechsel zu europäischen Anbietern Server in der EU, Unternehmen in der EU, EU-Recht:
- Kein Cloud Act-Risiko
- DSGVO-Compliance by Design
- EU AI Act-konforme Entwicklung
- Oft günstigere Gesamtkosten
Die Rechnung: Ein mittelständisches Unternehmen spart beim Wechsel zu europäischen Tools durchschnittlich 23 Stunden Datenschutzbeauftragten-Zeit pro Jahr (bei 180 Euro Stundensatz = 4.140 Euro) plus Risikominimierung.
Option 3: Hybrid-Ansatz Viele Unternehmen fahren gut mit einer Kombination:
- Europäische KI für kundenbezogene Prozesse (Chatbot, CRM, HR)
- US-KI für interne, unkritische Use Cases (Brainstorming, Prototyping)
- Strikte Daten-Governance: Klare Regeln, was wo verarbeitet wird
Das Dilemma der Datentreuhand
Einige US-Anbieter versuchen, das Problem mit „Datentreuhand-Modellen“ zu lösen. Beispiel: Microsoft bot zeitweise „Office 365 Deutschland“ an, betrieben von T-Systems als Treuhänder. Die Idee: T-Systems hat die Kontrolle über die Daten, Microsoft bekommt nur für Wartungszwecke Zugriff.
Das Problem: Ob US-Behörden diese Konstruktion respektieren, ist rechtlich ungeklärt. Rechtsexperten schreiben in Fachzeitschriften: „Ob die US-Behörden dies auch so sehen, muss sich in der Praxis erst zeigen.“ Zudem funktioniert das Modell nur, solange der Treuhänder nicht selbst von einem US-Konzern übernommen wird.
Wann Sie wirklich handeln müssen
Die Dringlichkeit hängt von drei Faktoren ab:
1. Datensensibilität Je sensibler die verarbeiteten Daten, desto höher das Risiko:
- Höchstes Risiko: Gesundheitsdaten, Anwaltskommunikation, HR-Daten
- Hohes Risiko: Kundendaten mit Namen, E-Mails, Bestellhistorie
- Mittleres Risiko: Interne Kommunikation mit Kundenbezug
- Niedriges Risiko: Öffentliche Recherche, anonymisierte Daten
2. Branche Regulierte Branchen stehen unter verschärfter Beobachtung:
- Gesundheitswesen, Finanzdienstleistung, Rechtsberatung: Sehr hohes Risiko
- Personaldienstleistung, Versicherung: Hohes Risiko
- Handel, Dienstleistung: Mittleres Risiko
3. Unternehmensgröße Ab 50 Mitarbeitern steigt die Wahrscheinlichkeit einer Datenschutzprüfung deutlich. Ab 250 Mitarbeitern sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen.
Die Souveränitätsfrage
Die Wahl der technischen und organisatorischen Infrastruktur ist längst zu einer strategischen Souveränitätsfrage geworden. Der klassische Gedanke, dass der physische Speicherort der Daten entscheidend ist, hat sich als überholt erwiesen. Heute zählt die rechtliche Kontrolle über den Anbieter.
Datenschutzexperten sehen die Entwicklung kritisch: Die Tatsache, dass Europa seinerseits nun Instrumente für den grenzüberschreitenden Datenzugriff schafft, macht den US-Cloud-Act weder harmloser noch weniger gefährlich für die Datensouveränität in Europa. Im Gegenteil: Es zeigt, wie sehr die Wahl zwischen US- und EU-Anbietern zur fundamentalen Entscheidung geworden ist.
Die Empfehlung ist eindeutig: Wer mit personenbezogenen Daten arbeitet, sollte europäische Anbieter bevorzugen. Die rechtliche Unsicherheit bei US-Tools ist zu groß, die potentiellen Bußgelder zu hoch, der Compliance-Aufwand zu aufwändig.
Die Frage ist nicht mehr, ob das Risiko real ist. Die Frage ist, wann die erste Prüfung kommt – und ob Sie dann vorbereitet sind.