🚨 Deine Daten – Aber nicht deine Kontrolle.

Verfasst von Monika Stabel

Warum der Standort eurer Daten längst nicht mehr reicht – und wieso europäische Souveränität entscheidend für den digitalen Wandel ist.

🔍 Was auf den ersten Blick sicher wirkt …

Stellen wir uns eine typische Situation vor:
Eine deutsche Bank speichert und verarbeitet personenbezogene Daten ĂĽber einen Cloud-Dienst. Der Serverstandort? Frankfurt am Main. Die Infrastruktur? ISO-zertifiziert, DSGVO-konform. Auf den ersten Blick also alles vorbildlich.

Doch es gibt ein entscheidendes Detail, das häufig übersehen wird: Der Anbieter dieser Cloud-Lösung ist ein Tochterunternehmen eines nicht-europäischen Technologiekonzerns. Und damit unterliegt er anderen rechtlichen Verpflichtungen – unabhängig davon, wo die Daten gespeichert sind.

Warum ist das relevant?

Nicht-europäische Gesetze wie der CLOUD Act verpflichten Unternehmen mit Hauptsitz außerhalb Europas dazu, Zugriff auf gespeicherte Daten zu gewähren, wenn es von den dortigen Behörden verlangt wird – auch dann, wenn die Daten physisch auf Servern innerhalb Europas liegen.

Besonders kritisch:
Die betroffenen Organisationen in Europa werden darĂĽber nicht notwendigerweise informiert. Geheimhaltungspflichten verhindern zudem, dass Unternehmen oder Nutzer erfahren, ob oder wann ein Zugriff stattgefunden hat.

Der Patriot Act – oft übersehen, aber entscheidend

Der Patriot Act, kurz nach 9/11 in den USA verabschiedet, erlaubt weitreichende Zugriffe auf Daten – auch außerhalb der USA, wenn Sicherheitsinteressen geltend gemacht werden.

Er war der Vorläufer des CLOUD Act und zeigt deutlich:
Sobald ein Anbieter zu einem nicht-europäischen Konzern gehört, können auch Daten in Europa betroffen sein – trotz lokalem Hosting.


Zwei Fallbeispiele – und ihre Brisanz

🔸 Der Microsoft-Irland-Fall

Im Jahr 2013 forderten nicht-europäische Ermittlungsbehörden den Zugriff auf E-Mails, die auf Servern in einem irischen Rechenzentrum von Microsoft gespeichert waren. Microsoft weigerte sich – mit Verweis darauf, dass diese Daten außerhalb der nationalen Gerichtsbarkeit lägen.

Der Fall ging bis vor den Supreme Court. Doch noch bevor ein Urteil fiel, schuf der Kongress mit dem CLOUD Act eine gesetzliche Grundlage, die klarstellte: Nicht-europäische Unternehmen sind verpflichtet, auch auf ausländische Server zuzugreifen, wenn eine entsprechende Anordnung vorliegt.

Dieses Gesetz betrifft nicht nur Tech-Riesen – sondern alle Unternehmen mit Hauptsitz außerhalb Europas, selbst wenn deren europäische Tochterfirmen die Cloud-Lösungen betreiben.

🔸 ProtonMail & die Weitergabe von Nutzerdaten

Ein weiteres Beispiel betrifft den bekannten E-Mail-Dienst ProtonMail, der mit Sitz in der Schweiz für besondere Datensicherheit wirbt. Dennoch kam es 2021 zu einem Vorfall: Auf Anordnung französischer Behörden wurde Proton gezwungen, die IP-Adresse eines Nutzers weiterzugeben – in Zusammenarbeit mit internationalen Partnern.

Obwohl die Schweiz kein EU-Mitglied ist, wurde durch das Ersuchen deutlich, wie schnell internationale Abkommen und Rechtshilfeverfahren nationale Schutzgesetze aushebeln können. Der Vorfall führte zu heftiger Kritik – und zeigt einmal mehr, wie fragil Datenschutz wird, wenn mehrere Rechtssysteme aufeinandertreffen.

Was bedeutet das für europäische Organisationen?

Für Unternehmen, Behörden und Institutionen, die sensible Daten verarbeiten, etwa im Finanz-, Gesundheits- oder Bildungssektor – wird die Frage immer dringlicher:

Kann ich gewährleisten, dass nur ich – und keine nicht-europäische Behörde – Zugriff auf meine Daten hat?

Scriba: Europäische Souveränität. Ohne Kompromisse.

Mit Scriba bieten wir eine Lösung, die digitale Souveränität nicht nur verspricht, sondern konsequent umsetzt.
 Unsere Software zur Sprachaufnahme und Protokollerstellung ist vollständig europäisch – in Entwicklung, Betrieb und rechtlicher Struktur.

Was uns besonders macht:

Entwicklung & Hosting in Deutschland

Unsere Infrastruktur liegt ausschlieĂźlich in zertifizierten Rechenzentren innerhalb Deutschlands.

🔒 Keine Anbindung an nicht-europäische Mutterkonzerne

Kein CLOUD Act, keine ĂĽbergeordneten internationalen Zugriffsbefugnisse.

100 % DSGVO-konform

Datenschutz ist bei uns nicht nur ein Haken in der Fußnote, sondern gelebte Praxis – technisch und vertraglich überprüfbar.

Transparente Verträge & Prozesse

AVV, Datenverarbeitung, Zugriffskontrollen – alles klar dokumentiert und jederzeit einsehbar.

🚀 Souveränität beginnt mit der richtigen Entscheidung

In einer digitalisierten Welt, in der Daten zum wertvollsten Gut werden, darf digitale Unabhängigkeit kein Lippenbekenntnis sein.

Scriba steht für ein souveränes, sicheres Europa – mit Lösungen, die unsere Werte und unsere Daten schützen.



Quellen:
Microsoft-Irland-Fall & CLOUD Act
→ Handelsblatt: US-Cloud-Act – Ein Gesetz mit Sprengkraft

ProtonMail & Herausgabe von IP-Daten
→ heise online: ProtonMail gibt IP-Adresse eines Nutzers preis

Monika Stabel