Login Demo buchen
MENU
Header Home

Der CLOUD Act und seine Folgen: Warum wir unsere Cloud-Infrastruktur neu gedacht haben

So schützen wir Ihre Daten vor dem US CLOUD Act und garantieren maximale Rechtssicherheit durch unsere neue europäische Infrastruktur.

Main visual poster

Entdecken Sie, wie Sie Ihre Planung noch smarter machen können

Sprechen Sie mit unserem Expertenteam für eine individuelle Potenzialanalyse.

Demo buchen

Cloud-Technologie bildet das Rückgrat vieler digitaler Dienste. Doch mit der zunehmenden Regulierung und politischen Einflussnahme im internationalen Kontext rückt die Frage nach der Sicherheit von Unternehmensdaten immer weiter in den Fokus. Besonders der CLOUD Act hat bei vielen Unternehmen für Verunsicherung im Hinblick auf die rechtlichen Rahmenbedingungen der Datenspeicherung gesorgt.

Auch wir haben unsere Infrastruktur auf den Prüfstand gestellt und unsere Plattform nach umfassender Bewertung der Lage auf einen europäischen Cloud-Anbieter umgezogen. In diesem Beitrag möchten wir teilen, welche Überlegungen uns dazu bewogen haben und welche praktischen Auswirkungen das für unsere Kundinnen und Kunden hat. Gleichzeitig beleuchten wir zentrale Hintergründe rund um die CLOUD Act Verordnung, die auch für andere Organisationen von Bedeutung sind.

10

Inhaltsverzeichnis

  1. Was hinter dem CLOUD Act steckt - und weshalb er auch europäische Anbieter betrifft
  2. Was ergibt sich daraus für unsere Datenschutz-Strategie?
  3. Warum wir uns für eine europäische Infrastruktur entschieden haben
  4. Was sich für unsere Kunden ändert - und was gleich bleibt
  5. Digitale Souveränität als strategische Zukunftsfrage

Was hinter dem CLOUD Act steckt - und weshalb er auch europäische Anbieter betrifft

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz aus dem Jahr 2018. Es verpflichtet in den USA ansässige Cloud-Anbieter, Daten an US-Behörden herauszugeben  selbst dann, wenn sich diese Daten physisch auf Servern außerhalb der USA befinden.

Denn die physische Speicherung von Daten in Europa allein schützt nicht vor dem Zugriff durch US-Behörden. Entscheidend ist die Kontrolle über das Unternehmen, nicht nur der Standort des Rechenzentrums.

Das bedeutet: Auch wenn ein Unternehmen in Europa operiert, können Daten, die auf der Infrastruktur von US-Anbietern liegen, von ausländischen Stellen angefragt werden. Hier kann es unter Umständen sogar ausreichen, wenn das fragliche Unternehmen nur zu einem Teil zu einer amerikanischen Muttergesellschaft gehört. AWS und die anderen US-Hyperscaler versprechen eine Antwort mit sogenannter European Sovereign Cloud, aber diese bewegt sich nicht glaubhaft in einem anderen rechtlichen Rahmen und ist bisher nur ein noch nicht eingelöstes Versprechen.

Zudem sieht der CLOUD Act keine Informationspflicht gegenüber den betroffenen Personen oder Unternehmen vor. Die Datenabfrage kann also erfolgen, ohne dass Sie oder wir darüber in Kenntnis gesetzt werden. Obendrein ist der Rechtsweg gegen solche Anfragen nur eingeschränkt möglich - betroffene Unternehmen haben oft keine Möglichkeit, vor europäischen Gerichten für die Durchsetzung ihrer Datenschutzrechte zu klagen.

Was ergibt sich daraus für unsere Datenschutz-Strategie?

Wir verarbeiten täglich Daten im Auftrag unserer Kunden, darunter nicht selten auch vertrauliche oder personenbezogene Informationen. Wenn diese Daten über Plattformen laufen, die dem US-Recht unterliegen, können wir trotz europäischer Unternehmensstruktur nicht mit letzter Sicherheit ausschließen, dass Zugriffe von Dritten erfolgen könnten.

Diese Unsicherheit – gepaart mit den internationalen politischen Entwicklungen der letzten Jahre  war ein Auslöser, unsere Infrastruktur grundlegend zu überdenken. Die Diskussion rund um den CLOUD Act hat für uns deutlich gemacht: Unternehmerische Datenhoheit wird zu einem zentralen Faktor in der Zukunftssicherheit von Software-Anbietern.

Hinzu kommt: Viele europäische Unternehmen, insbesondere in sensiblen oder regulierten Branchen wie der Industrie, dem Gesundheitswesen oder dem öffentlichen Sektor, unterliegen strengen Vorgaben zur Datenverarbeitung und Compliance.  Diesen Betrieben ist ein Hosting unter außereuropäischer Kontrolle aus unserer Sicht nicht länger zuzumuten.

Ein weiteres zentrales Thema bei der Entscheidung für europäische Cloud-Anbieter ist die DSGVO. Denn die DSGVO sieht vor, dass personenbezogene Daten nur unter bestimmten Bedingungen in Drittländer übermittelt werden dürfen. Der CLOUD Act kann jedoch US-Unternehmen dazu zwingen, Daten ohne Zustimmung der betroffenen Personen oder ohne angemessene Schutzmaßnahmen weiterzugeben, was gegen die DSGVO verstoßen könnte.

Warum wir uns für eine europäische Infrastruktur entschieden haben

Nach eingehender Evaluierung verschiedener Möglichkeiten haben wir uns für eine Migration auf die Infrastruktur des Cloud-Anbieters OVHcloud mit Hauptsitz in Frankreich entschieden. Dieser unterliegt ausschließlich EU-Recht, betreibt seine Rechenzentren in Europa und bietet volle Transparenz bezüglich Datenschutz und Datenverarbeitung. Zudem ist er auch im weltweiten Vergleich einer der führenden Anbieter im Bereich Hosting.

Was für uns entscheidend war:

  • Kein Risiko durch außereuropäische Gesetze wie den US CLOUD Act
  • Klare Rechtslage: Alle Daten bleiben in der EU, unter europäischem Datenschutz
  • Verträglichkeit mit den Compliance-Vorgaben unserer Kunden in sensiblen Branchen

Darüber hinaus passt dieser Anbieter in Bezug auf Nachhaltigkeit, Energiemanagement und Transparenz zu unseren strategischen Grundsätzen. Die Umstellung ist daher auch ein Signal in Richtung unserer langfristig verantwortungsvollen IT-Strategie.

Neben OVHcloud gibt es weitere europäische Anbieter wie IONOS oder Scaleway, die ähnlich strenge Datenschutzstandards bieten. Die Entscheidung hängt oft von technischen Anforderungen und Integrationen ab.

Der CLOUD Act ist nicht nur ein bestehendes Gesetz, sondern auch ein Ausblick auf zukünftige regulatorische Herausforderungen. Diese werden Unternehmen drängen, ihre Dateninfrastruktur regelmäßig zu überprüfen. Die Entwicklung von Vorschriften auf nationaler und internationaler Ebene wird vermutlich die Anforderungen an Cloud-Dienste und Datenhoheit in den kommenden Jahren noch weiter verstärken. Für Unternehmen bedeutet das, dass die Wahl des Cloud-Anbieters nicht nur heute, sondern auch für die Zukunft sorgfältig abgewogen werden muss.

Was sich für unsere Kunden ändert - und was gleich bleibt

Unser Plattformbetrieb und die Funktionsweise der Software bleiben unverändert. Der Umzug der Infrastruktur hat im Hintergrund stattgefunden und lief unterbrechungsfrei ab.

Neu ist:

  • Die Verarbeitung aller Daten erfolgt ausschließlich durch europäische Anbieter
  • Datenzugriffe durch außereuropäische Stellen sind rechtlich ausgeschlossen
  • Nachhaltige Compliance ohne Konfliktpotenzial durch EU- und internationales Recht

Gleichzeitig schaffen wir durch die Datenhaltung innerhalb der EU eine stabile Grundlage für Verfügbarkeit und Resilienz, ohne die Datenhoheit aufzugeben.

Die Umstellung auf eine europäische Cloud-Infrastruktur bringt aus Sicht des Datenschutzes und der Compliance mehrere Vorteile:

  • Rechtssicherheit: Ihre Daten unterliegen ausschließlich europäischem Recht
  • Transparenz: Klare Dokumentation darüber, wo Ihre Daten verarbeitet werden
  • Vertrauensbasis: Besonders für sensible Branchen ein wichtiges Signal
  • Zukunftssicherheit: Die regulatorischen Anforderungen innerhalb der EU nehmen weiter zu
  • Weniger Audit-Aufwand: Dank klarer Rechtslage und DSGVO-Konformität reduziert sich die Nachweispflicht im Rahmen von Zertifizierungen

Antworten auf häufige Fragen zur Migration

Die Umstellung erfolgte nahtlos im laufenden Betrieb. Die Funktionalität der Plattform ist dabei unverändert geblieben, aber natürlich gibt es wie immer unsere laufenden Updates. Zudem haben wir die Infrastruktur aufgeräumt und werden künftig keine jährliche Maintenance-Unterbrechung mehr brauchen.

Alle operativen Daten sowie zugehörige Backups werden nun in Rechenzentren innerhalb der EU verarbeitet und gespeichert.

Wir haben die Migration mehrfach getestet, parallel betrieben und vollständig dokumentiert. Zudem ist unsere Infrastruktur nun cloud-agnostisch organisiert, was bei Bedarf in Zukunft schnelle Wechsel des Cloud-Anbieters ermöglicht.

Nein. Es gibt keine Preisänderungen oder Anpassungen an bestehenden Verträgen.

Unsere Infrastruktur erleichtert die Einhaltung von DSGVO, ISO 27001, EU AI Act und anderen Regulierungen erheblich. Darüber hinaus ist shyftplan nun auch unter https://shyftplan.eu/ erreichbar.

Digitale Souveränität als strategische Zukunftsfrage

Die Infrastruktur, auf der eine Software betrieben wird, ist kein neutrales Feld mehr. Sie beeinflusst, wer Zugriff auf welche Daten hat, wie sicher diese Daten verarbeitet werden und ob ein Unternehmen langfristig regulatorischen Anforderungen gerecht werden kann.

Zudem stärken Unternehmen, die bewusst auf europäische IT-Strukturen setzen, nicht nur ihre eigene Sicherheit, sondern auch die europäische Innovationslandschaft.

Der CLOUD Act verdeutlicht exemplarisch, wie internationale Gesetzgebung auch auf europäische Unternehmen wirken kann. Gerade in einer Zeit, in der die politische Einflussnahme auf digitale Infrastruktur immer stärker zunimmt, ist es entscheidend, die Kontrolle über Daten und Systeme zu behalten.

Ein europäischer Cloud-Anbieter ist damit auch ein zentraler Baustein in der digitalen Souveränität von Unternehmen, mit dem sich sowohl SaaS-Anbieter als auch Software-Nutzer langfristig absichern können.

Weitere spannende Artikel entdecken...