KI-REGULIERUNG

Copilot + EU-Hosting = sicher?
Das ist eine
gefährliche Vereinfachung.

Viele Unternehmen glauben, mit der Wahl europäischer Azure-Rechenzentren auf der sicheren Seite zu sein. Sie sind es — nur nicht vollständig. Der CLOUD Act verschiebt die eigentliche Frage: nicht ob die Daten in der EU liegen, sondern wer im Zweifel Zugriff darauf hat.

Das oftmals unterschätzte Risiko von Copilot

Stellen Sie sich eine typische Situation vor: Der IT-Leiter hat Microsoft 365 Copilot mit Hosting in der EU-Region konfiguriert. Der Datenschutzbeauftragte hat grünes Licht gegeben. Der CISO hat das abgezeichnet. Auf dem Papier: DSGVO-konform, Daten in Europa, alles in Ordnung.

Was in dieser Analyse fehlt: Ein US-amerikanisches Unternehmen wie Microsoft unterliegt unabhängig davon, wo es seine Server betreibt, dem CLOUD Act — dem „Clarifying Lawful Overseas Use of Data Act". Und dieser verändert die Risikolage fundamental.

Image Description

Der physische Speicherort der Daten bestimmt nicht, wer rechtlich Zugriff auf sie verlangen kann. Entscheidend ist, welchem nationalen Recht der Datenanbieter unterliegt — und das ist bei Microsoft: US-amerikanisches Recht.

Was ist der CLOUD Act — und warum betrifft er Ihre Unternehmensdaten?

Der CLOUD Act wurde 2018 in den USA verabschiedet. Er verpflichtet US-amerikanische Technologieunternehmen dazu, US-Behörden auf Anforderung Zugang zu gespeicherten Daten zu gewähren — unabhängig davon, in welchem Land diese Daten physisch gespeichert sind.

Das bedeutet konkret: Wenn Microsoft eine rechtlich valide Anfrage einer US-Bundesbehörde erhält — etwa des FBI, der NSA oder des Justizministeriums — ist das Unternehmen verpflichtet, dieser nachzukommen. Auch dann, wenn die Daten auf Servern in Frankfurt oder Amsterdam liegen.

Welche Daten sind betroffen — und warum ist das ein Vorstandsthema

Die eigentliche Brisanz entsteht nicht durch banale Alltagsdaten. Sie entsteht durch die Art von Informationen, die Mitarbeitende täglich in Copilot eingeben, wenn sie mit ihm zusammenarbeiten:

  • Unternehmensstrategien & M&A-Pläne
  • KPIs, OKRs & Finanzprojektionen
  • Vertragsentwürfe & Klauseln
  • Interne Kommunikation & Memos
  • Produktentwicklung & IP
  • Personalentscheidungen & HR-Daten
  • Kundendaten & CRM-Inhalte
  • Geschäftsgeheimnisse nach §§ 2, 4 GeschGehG

Diese Daten fließen durch die Copilot-Infrastruktur, werden dort verarbeitet, zwischengespeichert, indiziert. Und genau diese Infrastruktur gehört einem US-Unternehmen.

Image Description
Die unbequeme Wahrheit aus der Praxis.

Das Thema CLOUD Act ist kein IT-Thema. Es ist ein Vorstandsthema. Wer Unternehmensgeheimnisse in ein US-geführtes System eingibt und dabei nur die Server-Standorte prüft, hat die falsche Checkliste.

Erno Marius Obogeanu-Hempel
Gründer KI-Plattform-Vergleich.de — Unternehmensberater, Hochschuldozent, Autor

Wann ist ein Zugriff durch US-Behörden konkret möglich?

Der CLOUD Act kennt verschiedene Zugriffspfade. Nicht jeder Datensatz ist permanent im Visier von Behörden — aber der rechtliche Rahmen für einen Zugriff existiert, und er kann aktiviert werden: 

Szenario 1: Nationale Sicherheit (National Security Letters)
Im Rahmen von Sicherheitsanfragen können Behörden wie die NSA Daten anfordern — oft mit einer Schweigepflicht für den Anbieter. Das bedeutet: Microsoft darf in bestimmten Konstellationen nicht einmal den betroffenen Kunden informieren.

Szenario 2: Strafverfolgungsanfrage (Law Enforcement Request)
Eine US-Bundesbehörde stellt Microsoft eine rechtlich bindende Anfrage im Rahmen eines Ermittlungsverfahrens. Microsoft ist zur Herausgabe verpflichtet — auch wenn die betroffenen Daten auf EU-Servern liegen. Betroffen kann theoretisch jedes Unternehmen sein, das in den Ermittlungsgegenstand gerät oder mit einem betroffenen Dritten zusammenarbeitet.

Szenario 3: Executive Agreements mit Drittstaaten
Der CLOUD Act erlaubt bilaterale Vereinbarungen der USA mit anderen Ländern. Diese können den Zugriff auf Daten weiter ausweiten und auch nicht-US-amerikanische Behörden einbeziehen — eine Eskalation des rechtlichen Rahmens, die noch nicht vollständig ausgeschöpft ist.

88%

der DACH-Unternehmen sind nicht ausreichend vorbereitet auf die KI-Regulierung 2026 — obwohl viele bereits KI-Tools im Einsatz haben (Adacta-Studie 2026)

7%

des globalen Jahresumsatzes drohen als Bußgeld bei schwerwiegenden Verstößen gegen den EU AI Act — für viele Unternehmen mehr als der Jahresgewinn

KI-Plattformen deutscher und europäischer Unternehmen – sicher vor dem CLOUD Act.
Die besten KI-Plattform-Lösungen

Kein Theorieproblem: Dokumentierte Fälle und öffentliche Bekenntnisse

Die CLOUD-Act-Debatte ist nicht abstrakt. Es gibt dokumentierte Fälle, öffentliche Anhörungen und Transparenzberichte, die den strukturellen Zugriffspfad belegen. Im Folgenden ein Beispiel:

Der Fall Microsoft Irland: Der Ursprung des CLOUD Act

Der CLOUD Act entstand nicht im Vakuum. Er ist die direkte gesetzgeberische Antwort auf einen konkreten Rechtsstreit: 2013 forderte das FBI von Microsoft die Herausgabe von E-Mail-Daten eines Nutzers — die auf Servern in Dublin, Irland gespeichert waren. Microsoft verweigerte die Herausgabe und argumentierte, ein US-Durchsuchungsbefehl habe keine extraterritoriale Wirkung. Das Berufungsgericht gab Microsoft recht. Der CLOUD Act von 2018 machte diesen Sieg rechtlich obsolet: Seitdem ist geklärt, dass US-Unternehmen Daten herausgeben müssen — unabhängig vom physischen Speicherort. Das FBI hatte seinen Fall gewonnen, ohne den Prozess abwarten zu müssen.

Airbus zieht die Konsequenz: Ausstieg aus US-Clouds

Europas größter Luft- und Raumfahrtkonzern hat die strategische Entscheidung getroffen, seine kritischsten Daten — Flugzeugbaupläne, Produktionsprozesse, technologisches Knowhow — aus US-Cloud-Infrastruktur zu migrieren. Mit einer geplanten Ausschreibung von über 50 Millionen Euro sucht Airbus aktiv eine europäische Sovereign-Cloud-Lösung. Die Begründung: Datensouveränität ist keine Compliance-Frage mehr, sondern eine industriepolitische Überlebensfrage.

Image Description

Der öffentliche Sektor reagiert bereits: Ausschreibungen, Blockaden, Neuausrichtungen

Die CLOUD-Act-Problematik hat längst den öffentlichen Sektor erreicht — und verändert Beschaffungsprozesse, Datenschutzbewertungen und politische Entscheidungen. Was früher als IT-Thema abgetan wurde, landet jetzt auf dem Schreibtisch von Datenschutzbeauftragten, Beschaffungsabteilungen und Kabinettsmitgliedern.

Image Description

Ausschreibungen verlangen „EU-only Anbieter"

Europäische Behörden und öffentliche Institutionen beginnen, in IT-Ausschreibungen explizit „EU-rechtlich verankerte Anbieter" zu fordern — also Unternehmen, die nicht dem CLOUD Act unterliegen. Dieser Trend zeigt sich sowohl in Frankreich (unter dem Konzept „Cloud de Confiance") als auch in Deutschland, wo das BSI und Datenschutzbehörden mehrerer Bundesländer entsprechende Empfehlungen ausgesprochen haben.

Datenschutzbeauftragte blockieren Projekte

In mehreren dokumentierten Fällen haben Datenschutzbeauftragte in deutschen Behörden und öffentlichen Einrichtungen den Einsatz von Microsoft 365 und Azure für bestimmte Datenklassen untersagt oder eingeschränkt — insbesondere für Daten, die einer besonderen Schutzwürdigkeit unterliegen. Das Argument: Ein Transfer-Impact Assessment nach Art. 46 DSGVO kann die CLOUD-Act-Risiken nicht vollständig mitigieren.

Image Description
Image Description

Schrems II und die Folgen für US-Dienstleister

Das EuGH-Urteil „Schrems II" von 2020 hatte bereits festgestellt, dass US-Geheimdienste auf Daten von EU-Bürgern zugreifen können und damit das EU-US-Privacy-Shield für ungültig erklärt. Das Nachfolgeabkommen EU-US Data Privacy Framework (DPF) von 2023 ist ein politischer Kompromiss — schützt aber nicht vor dem CLOUD Act. FISA Section 702 und der CLOUD Act gelten weiterhin uneingeschränkt, was europäische Datenschützer offen als ungelöstes Grundproblem bezeichnen.

Für privatwirtschaftliche Unternehmen hat dieser Wandel im öffentlichen Sektor eine direkte Konsequenz: Wer als Lieferant, Dienstleister oder Partner öffentlicher Institutionen tätig ist, wird zunehmend mit denselben Anforderungen konfrontiert — und muss nachweisen können, dass seine KI-Infrastruktur den entsprechenden Anforderungen an digitale Souveränität genügt.

Was im öffentlichen Sektor als regulatorische Pflicht behandelt wird, ist für privatwirtschaftliche Unternehmen eine strategische Frage — die denselben Risikorahmen betrifft.

Der strategische Shift: Weg von isolierten US-Tools, hin zu EU-Recht

Die Konsequenz aus der CLOUD-Act-Analyse ist nicht Technologieabstinenz — sie ist eine Neubewertung des strategischen Rahmens. Unternehmen, die digitale Souveränität ernst nehmen, vollziehen derzeit einen klaren Richtungswechsel:

weg von US-Tool-Lizenzen als einzige KI-Strategie
hin zu Multi-KI-Plattformen mit Governance-Schicht und Modellwahlfreiheit
hin zu Lösungen, die vollständig unter EU-Recht operieren.

Das bedeutet konkret: Plattformen, die nicht einem US-Anbieter gehören, die auf EU-Infrastruktur betrieben werden, deren Betreibergesellschaften deutschem oder europäischem Recht unterliegen — und die dennoch Zugang zu den leistungsstärksten Modellen wie GPT-4o, Claude oder Gemini bieten können, mit vorheriger Anonymisierung – oder Nutzung von Private-LLMs, die auf EU-Infrastruktur betrieben werden

KI-Plattformen, die das Risiko des CLOUD Act minimieren.
Die besten KI-Plattform-Lösungen

Was technische Datensouveränität in der Praxis bedeutet

Moderne Multi-LLM-Governance-Plattformen lösen das CLOUD-Act-Dilemma an mehreren Stellen gleichzeitig:

 

  1. EU-rechtliche Betreiberstruktur
    Die Plattform selbst — als Vermittler und Governance-Schicht — unterliegt ausschließlich EU-Recht. Das trennt den rechtlichen Rahmen des Orchestrators von dem der Modellbetreiber und schafft eine Haftungsstruktur, die unter europäischem Recht vollständig verankert ist.

  2. Anonymisierung sensitiver Daten vor der Übergabe an das LLM
    Bevor ein Prompt das Unternehmensnetz verlässt, erkennt die Plattform personenbezogene Daten, Namen, IBANs, strategische Kennzahlen und anonymisiert sie automatisch. Das LLM — auch wenn es einem US-Anbieter gehört — sieht niemals Klardaten. Damit entfällt der eigentliche Wert eines CLOUD-Act-Zugriffs für diese Daten.

  3. Vollständige Audit-Logs und Transparenz
    Jede Interaktion wird protokolliert: welches Modell, welche Abteilung, welche Datenkategorie. Diese Dokumentation ist nicht nur für behördliche Prüfungen relevant — sie ist die Grundlage für eine informierte Risikoentscheidung auf Vorstandsebene.

  4. Modellwahlfreiheit ohne Shadow AI
    Mitarbeitende wählen aus zugelassenen Modellen — aktuell, gezielt, für die spezifische Aufgabe geeignet. Das eliminiert den wichtigsten Treiber von Shadow AI: die Lücke zwischen dem, was das Unternehmen offiziell bereitstellt, und dem, was die Arbeit tatsächlich braucht.

KI-Plattformen unter EU-Recht vergleichen

Vergleichen Sie Plattformen, die Datensouveränität technisch verankern — mit Zugang zu LLM-Modellen unter europäischem Rechtsrahmen.

Jetzt KI-Plattform-Lösungen vergleichen