„Unsere Server stehen in Frankfurt.“ Das ist der Satz, mit dem Cloud-Anbieter werben, wenn sie europäische Kunden überzeugen wollen. Microsoft sagt es. Google sagt es. Amazon sagt es. Und es stimmt. Die Server stehen wirklich in Frankfurt. Das Problem: Es ist irrelevant.
Der Serverstandort ist eine Ablenkung
Der Cloud Act macht den Serverstandort rechtlich bedeutungslos. § 2713 Title 18 USC formuliert es eindeutig: US-Unternehmen müssen auf Anforderung amerikanischer Behörden Daten herausgeben – „regardless of whether such communication, record, or other information is located within or outside of the United States.“
Egal ob der Server in Frankfurt, Dublin oder Tokio steht: Wenn das Unternehmen amerikanisch ist, gilt amerikanisches Recht. Microsoft kann die Herausgabe nicht verweigern, auch wenn die Daten auf deutschen Servern liegen. Das Unternehmen unterliegt US-Jurisdiktion, nicht der Server.
Dr. Thorsten Hennrich, IT-Rechtsexperte, schreibt in einer Analyse für Plusserver: „Der physische Standort von Servern ist für die rechtliche Beurteilung nachrangig. Entscheidend ist, wem das Unternehmen gehört und welchem Recht es unterliegt.“
Microsoft Azure Frankfurt vs. IONOS Deutschland
Beide betreiben Rechenzentren in Frankfurt. Beide bieten Cloud-Dienste an. Beide werben mit „Made in Germany“. Der Unterschied liegt nicht in der Technologie, sondern in der Eigentümerstruktur.
Microsoft Azure gehört zur Microsoft Corporation, Redmond, Washington, USA. Das Unternehmen unterliegt US-Recht, auch wenn das Frankfurter Rechenzentrum von der Microsoft Deutschland GmbH betrieben wird. Die deutsche Tochter ist rechtlich unselbständig. Der Cloud Act greift.
IONOS gehört zur United Internet AG mit Sitz in Montabaur, Deutschland. Das Unternehmen unterliegt deutschem Recht. Die Rechenzentren stehen in Deutschland, das Management sitzt in Deutschland, die Aktionäre sind überwiegend deutsch. Der Cloud Act greift nicht.
Der Serverstandort ist identisch: Frankfurt. Die rechtliche Situation ist gegensätzlich.
Europäische Hyperscaler: Die Alternative
Lange dominierten US-Konzerne den Cloud-Markt. AWS, Microsoft Azure, Google Cloud – zusammen über 60% Marktanteil in Europa. Aber europäische Alternativen wachsen.
IONOS (Deutschland): 8 Millionen Kunden, Rechenzentren in Deutschland, USA und Spanien. Für europäische Kunden: Daten bleiben in der EU, deutsches Recht, kein Cloud Act.
OVHcloud (Frankreich): Größter europäischer Cloud-Anbieter, 1,6 Millionen Kunden, 43 Rechenzentren weltweit. Französisches Unternehmen, französisches Recht, keine US-Zugriffsmöglichkeiten.
STACKIT (Deutschland): Cloud-Sparte der Schwarz-Gruppe (Lidl, Kaufland), fokussiert auf europäische Kunden. Server in Deutschland, deutsches Recht, volle DSGVO-Konformität.
Diese Anbieter sind technisch vergleichbar mit AWS oder Azure. Die Rechenleistung, Verfügbarkeit, Features – alles auf ähnlichem Niveau. Der Unterschied liegt in der Jurisdiktion.
Was „souveräne Cloud“ wirklich bedeutet
Die EU-Initiative Gaia-X sollte eine „souveräne Cloud-Infrastruktur“ schaffen. Die Idee: Europäische Unternehmen bauen eine Cloud, die europäischen Standards entspricht und europäischer Kontrolle unterliegt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert souveräne Cloud als „Cloud-Dienste, bei denen der Betreiber europäischem Recht unterliegt, keine außereuropäischen Zugriffsmöglichkeiten bestehen und technische sowie organisatorische Maßnahmen höchsten Sicherheitsstandards entsprechen.“
Entscheidend sind drei Kriterien: Unternehmensstandort in der EU, keine Tochter eines Nicht-EU-Konzerns, Rechenzentren in der EU. Nur wenn alle drei erfüllt sind, ist die Cloud wirklich souverän.
Microsoft Azure erfüllt keines dieser Kriterien vollständig. Das Unternehmen ist amerikanisch, auch wenn es deutsche Töchter und Rechenzentren hat. IONOS, OVHcloud und STACKIT erfüllen alle drei.
Checkliste: Wie prüfe ich, wo meine Daten wirklich liegen?
Die Frage „Wo stehen die Server?“ ist die falsche. Die richtigen Fragen sind:
- Wo sitzt der Mutterkonzern? (USA = Cloud Act gilt)
- Welchem Recht unterliegt das Unternehmen? (US-Recht = Problem)
- Gibt es Tochtergesellschaften außerhalb der EU? (Konzernstrukturen schaffen Zugriffsmöglichkeiten)
- Wer hat physischen Zugang zu den Servern? (Wartungsverträge mit US-Firmen?)
- Welches Recht gilt für Streitigkeiten? (US-Gerichtsstand = problematisch)
Ein deutscher Server eines US-Unternehmens ist nicht sicherer als ein US-Server desselben Unternehmens. Die Jurisdiktion zählt, nicht die Geografie.
Die Datenschutzkonferenz der Länder stellte 2023 klar: „Der Serverstandort allein ist kein ausreichendes Kriterium für die DSGVO-Konformität. Entscheidend ist die rechtliche und faktische Kontrolle über die Daten.“
Die Serverstandort-Debatte lenkt ab vom eigentlichen Problem: der Unternehmenszugehörigkeit. Frankfurt ist nicht gleich Frankfurt. Es kommt darauf an, wem Frankfurt gehört.