„Unsere Daten liegen in Frankfurt.“ Das klingt beruhigend. Viele IT-Anbieter werben damit als Datenschutz-Argument. Aber es ist nur die halbe Wahrheit – und die halbe Wahrheit kann teuer werden.

Das Problem: Eigentümer schlägt Standort

Entscheidend ist nicht, wo ein Server steht. Entscheidend ist, welcher Firma er gehört.

US-amerikanische Unternehmen unterliegen US-Recht – egal wo auf der Welt ihre Server stehen. Das sind keine Verschwörungstheorien, das ist geltendes Recht.

USA PATRIOT Act (2001) und CLOUD Act (2018)

Der USA PATRIOT Act von 2001 gab US-Behörden weitreichende Befugnisse zur Überwachung im Rahmen der Terrorismusbekämpfung – einschließlich des Zugriffs auf Daten amerikanischer Unternehmen.

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018 hat das noch einmal explizit klargestellt: US-amerikanische Cloud-Anbieter sind verpflichtet, Daten auf Anfrage von US-Behörden herauszugeben – auch wenn diese Daten physisch außerhalb der USA gespeichert sind. Das Gericht in den USA entscheidet, nicht das Gericht am Datenspeicherort.

Was das in der Praxis bedeutet: Wenn Ihre Daten bei AWS, Microsoft Azure, Google Cloud oder Salesforce liegen – egal ob in Frankfurt, Amsterdam oder Dublin – können US-Behörden darauf zugreifen, ohne dass Sie davon erfahren, und ohne dass ein deutsches Gericht involviert wird.

Schrems II: Der Europäische Gerichtshof hat das bestätigt

Im Juli 2020 kippte der Europäische Gerichtshof mit dem „Schrems II“-Urteil das Privacy Shield – das Datentransferrahmenwerk zwischen EU und USA. Der Grund: Genau dieser Zugriff durch US-Behörden ist mit dem europäischen Datenschutzniveau unvereinbar.

Seitdem existieren zwar neue Vereinbarungen (EU-US Data Privacy Framework, 2023), aber Datenschutzexperten und der Europäische Datenschutzausschuss warnen: Solange der CLOUD Act unverändert gilt, bleibt das Grundproblem bestehen. Weitere Klagen sind anhängig.

Was bedeutet das für kleine Unternehmen in Deutschland?

Die DSGVO schreibt vor, dass personenbezogene Daten Ihrer Kunden und Mitarbeiter sicher und kontrolliert verarbeitet werden. Wenn Sie einen US-Anbieter nutzen, haben Sie diese Kontrolle nicht vollständig. Sie können einem US-Behördenzugriff nicht widersprechen.

Das ist besonders relevant für:

Was echte Datensouveränität bedeutet

Datensouveränität bedeutet: Ihre Daten liegen auf Servern eines europäischen Unternehmens, das ausschließlich europäischem Recht unterliegt und keine US-amerikanische Muttergesellschaft hat.

Anbieter, die das erfüllen:

Anbieter, die das nicht erfüllen, egal wo ihre Server stehen: AWS (Amazon), Microsoft Azure, Google Cloud, Salesforce, Dropbox.

Unser Ansatz bei JJ Tycho Systems

Wir setzen ausschließlich auf europäische Infrastruktur. Unsere Systeme laufen auf Hetzner-Servern in deutschen und finnischen Rechenzentren. Hetzner ist ein deutsches Unternehmen, das ausschließlich europäischem Recht unterliegt.

Für ERP-Systeme nutzen wir ERPNext – Open Source, keine US-amerikanischen Lizenzinhaber, keine Backdoors, kein Vendor-Lock-in. Für Dokumentenverwaltung und Collaboration: Nextcloud, ebenfalls europäisch und Open Source.

Das ist kein Marketing. Das ist eine bewusste technische und rechtliche Entscheidung – für unsere Kunden und für uns selbst.

Wenn Sie wissen möchten, wie Ihre aktuelle IT-Infrastruktur in Sachen Datensouveränität aufgestellt ist, sprechen Sie uns an. Wir schauen gemeinsam hin – ohne Panikmache, mit klaren Empfehlungen.

Was jetzt?

Kein US-Anbieter. Kein CLOUD Act. Ihr Raum.

Wirkliche Datensouveränität bedeutet: eigene Infrastruktur, eigene Kontrolle. Keine Muttergesellschaft in den USA. Keine Hintertür.

Tycho Operations entdecken → Gespräch anfragen Tiefer: Was Freiheit bedeutet →

Weiterführend: Europa antwortet auf den CLOUD Act – aber warten Sie nicht auf CADA →

Ihr digitaler Raum wartet.

Tycho Platform entdecken Freiheits-Check starten