CLOUD Act 2026 – Warum US-Cloud-Dienste in der EU rechtlich nicht mehr tragbar sind

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Anbieter wie Microsoft, Google, Amazon, Apple und Meta dazu, Daten ihrer Kunden weltweit an US-Behörden herauszugeben — unabhängig davon, in welchem Land die Server stehen. Auch dann, wenn die Daten in Frankfurt, Dublin oder Amsterdam liegen.

2026 hat sich die Lage drastisch verschärft.

Was hat sich 2026 geändert?

1. Neue US-Executive-Orders

Die zweite Trump-Administration hat in den ersten 100 Tagen mehrere Executive Orders unterzeichnet, die die richterliche Kontrolle über CLOUD-Act-Anfragen praktisch aufheben. Der EU-US Data Privacy Framework (DPF) — ohnehin nur ein Adequacy-Beschluss der Kommission — ist damit politisch obsolet, auch wenn er formal noch besteht.

2. Microsoft hat es zugegeben

Anne Hoge, Chefjuristin von Microsoft Frankreich, bestätigte 2025 vor dem französischen Senat unter Eid: Microsoft kann nicht garantieren, dass Daten aus seiner „EU Data Boundary" niemals an US-Behörden weitergegeben werden. Genau das ist die ehrliche Antwort auf den CLOUD Act — und sie macht jedes Microsoft-Deployment in einer kritischen Infrastruktur juristisch angreifbar.

3. Schrems III ist in Vorbereitung

Max Schrems hat 2025 die nächste Klage angekündigt. Schrems II hat 2020 den „Privacy Shield" gekippt. Schrems III zielt auf das DPF — und alle Beobachter rechnen damit, dass der EuGH erneut zugunsten der Kläger entscheiden wird. Das ist keine Frage des Ob, sondern des Wann. Parallel zwingt das NIS2-Umsetzungsgesetz seit 2026 rund 29.000 deutsche Unternehmen zu strenger Informationssicherheit — Microsoft 365 ist mit den Anforderungen des BSI-IT-Grundschutzes strukturell nicht vereinbar.

Was bedeutet das konkret für Sie?

Wenn Ihr Unternehmen heute folgende Tools einsetzt, sind Sie betroffen:

Jede dieser Plattformen unterliegt dem CLOUD Act. Sobald personenbezogene Daten — und das ist bei E-Mail-Adressen, Telefonnummern, Kundennamen praktisch immer der Fall — verarbeitet werden, ist die DSGVO-Konformität fragwürdig.

Die Aufsichtsbehörden ziehen an

• Datenschutzkonferenz (DSK): Empfehlung gegen Microsoft 365 in öffentlichen Schulen
• Berliner Datenschutzbeauftragte: Warnung vor Microsoft 365 für die Verwaltung
• Hessischer Datenschutzbeauftragter: Untersagung von Microsoft 365 an Schulen
• NRW, Niedersachsen, Baden-Württemberg: Aktiver Ausstieg in Behörden und Schulen
• EU-Kommission: Migration der internen Kommunikation auf Matrix/Element

Wenn Behörden migrieren, ist das ein klares Signal: Die Rechtsabteilungen sehen die Risiken konkret und jetzt.

Was ist die Alternative?

Souveräne, EU-gehostete Open-Source-Infrastruktur. Konkret:

• Microsoft 365 → Nextcloud + ONLYOFFICE + Element
• Outlook → mailcow / Stalwart Mail
• Teams → Matrix/Element + Element Call
• OneDrive / SharePoint → Nextcloud
• OneNote → Nextcloud Notes
• Active Directory → Keycloak
• LastPass / 1Password → Vaultwarden

Alle diese Dienste laufen auf europäischen Servern (Hetzner, OVHcloud, Scaleway, IONOS), sind vollständig DSGVO-konform und unterliegen keinem CLOUD Act.

Wie europioneer hilft

Wir migrieren KMU, Schulen und Behörden in wenigen Wochen — ohne Datenverlust, ohne Produktivitätseinbruch. Sie behalten Ihre E-Mail-Adressen, Ihre Dateien, Ihre Workflows. Was sich ändert, ist die Rechtssicherheit.

• Festpreis, transparente Kalkulation
• Hosting in Deutschland (Hetzner Falkenstein/Helsinki) oder On-Premise
• Schulung für alle Mitarbeiter inklusive
• 24/7 Support für kritische Systeme

Kostenloses Erstgespräch vereinbaren →

Fazit

Der CLOUD Act ist nicht neu — aber 2026 ist er unausweichlich geworden. Wer heute noch ohne Migrationsplan auf US-Cloud setzt, geht ein vermeidbares Compliance-Risiko ein. Die politische Lage in Europa könnte für einen Wechsel kaum günstiger sein.

Souveränität ist keine Ideologie. Sie ist Risikomanagement.