Anrufen
StartseiteBlogDatensouveränität & CLOUD Act
Datensouveränität Juni 2026 7 Min. Lesezeit

Nextcloud statt Google & Microsoft: Wer wirklich Zugriff auf Ihre Cloud-Daten hat

„Server in Deutschland" klingt sicher. Ist es nicht — wenn der Anbieter ein US-Unternehmen ist. Der CLOUD Act verpflichtet Google, Microsoft und Dropbox zur Herausgabe Ihrer Daten an US-Behörden, ohne dass Sie darüber informiert werden müssen. Self-hosted Nextcloud ist die einzige strukturelle Antwort darauf.

Inhaltsverzeichnis

Der CLOUD Act — das Gesetz, das Ihre Google-Daten nicht schützt

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde 2018 in den USA verabschiedet. Er ist kurz und präzise in seiner Wirkung: US-amerikanische Behörden können von US-Unternehmen verlangen, Daten herauszugeben — unabhängig davon, auf welchem Server die Daten liegen und in welchem Land sich dieser Server befindet.

Das bedeutet konkret: Wenn Google, Microsoft, Amazon Web Services, Apple oder Dropbox eine entsprechende Anfrage eines US-Gerichts oder einer US-Strafverfolgungsbehörde erhalten, sind sie zur Herausgabe verpflichtet. Auch wenn Ihre Daten auf einem Rechenzentrum in Frankfurt liegen. Auch wenn Sie ein deutsches, österreichisches oder Schweizer Unternehmen sind.

Was das Ganze besonders problematisch macht: Das betroffene Unternehmen darf Sie als Kunden in vielen Fällen nicht über die Anfrage informieren. Geheimhaltungsanordnungen (sogenannte „gag orders") sind ein reguläres Instrument dieser Verfahren. Sie erfahren im Zweifel nie, dass US-Behörden auf Ihre Mandantendaten, Patientenakten oder Geschäftsgeheimnisse zugegriffen haben.

Europäische Datenschutzbehörden haben diese Situation wiederholt thematisiert. Meta und Google wurden in den vergangenen Jahren zu Strafen in Milliardenhöhe verurteilt — nicht weil der CLOUD Act angewendet wurde, sondern weil die strukturelle Unvereinbarkeit von US-Überwachungsrecht und europäischem Datenschutzrecht aufgezeigt wurde. Das Grundproblem bleibt ungelöst.

Warum "DSGVO-konform" nicht dasselbe ist wie "sicher vor staatlichem Zugriff"

Viele Unternehmen verlassen sich darauf, dass ihre Cloud-Verträge mit Google oder Microsoft die notwendigen datenschutzrechtlichen Instrumente enthalten: Auftragsverarbeitungsverträge (AVV), Standard Contractual Clauses (SCCs) und den Verweis auf das EU-US Data Privacy Framework. Das ist rechtlich sorgfältig — und trotzdem unzureichend.

Standard Contractual Clauses sind ein DSGVO-Instrument. Sie regeln, wie ein Datenverarbeiter mit personenbezogenen Daten umzugehen hat — und sie bieten Schutz vor unbefugter kommerzieller Nutzung. Was sie nicht können: Ein US-Unternehmen von einer rechtmäßigen Anfrage nach US-Recht dispensieren. Der CLOUD Act ist kein Datenschutzverstoß im Sinne der DSGVO — er ist ein US-Gesetz, das parallel und ohne Rücksicht auf europäisches Recht wirkt.

Das hat der Europäische Gerichtshof 2020 im Schrems-II-Urteil im Kern bestätigt: Das Privacy Shield-Abkommen wurde für ungültig erklärt, weil US-Überwachungsgesetze — insbesondere FISA Section 702 und Executive Order 12333 — mit den Grundrechten von EU-Bürgern unvereinbar sind. Das Nachfolgeabkommen, das EU-US Data Privacy Framework von 2023, ist unter Datenschutzexperten umstritten und gilt als fragil gegenüber einer erneuten EuGH-Prüfung.

Die Konsequenz: Wer wirklich sicher sein will, braucht eine Lösung, in der kein US-Unternehmen in der Verarbeitungskette auftaucht. Nicht als Serverstandort-Frage, sondern als Unternehmenssitz-Frage. Der einzige Weg dorthin ist eigene Infrastruktur oder ein Anbieter ohne US-Verbindung.

Für wen ist echte Datensouveränität nicht optional

Für viele Unternehmen ist das CLOUD-Act-Risiko theoretisch und abstrakt. Für bestimmte Berufsgruppen und Branchen ist es ein konkretes rechtliches und haftungsrechtliches Problem.

Anwaltskanzleien

Das anwaltliche Berufsgeheimnis nach § 43a BRAO verpflichtet Rechtsanwältinnen und Rechtsanwälte zur absoluten Verschwiegenheit über alles, was ihnen in ihrer beruflichen Eigenschaft anvertraut wurde. Mandantendaten, Korrespondenz, Strategiepapiere, Vertragsentwürfe — all das unterliegt dieser Pflicht. Eine Herausgabe an US-Behörden, auch ohne Wissen der Kanzlei, kann eine Pflichtverletzung mit berufsrechtlichen und strafrechtlichen Konsequenzen darstellen. Die Bundesrechtsanwaltskammer hat mehrfach darauf hingewiesen, dass Cloud-Dienste nur dann vertretbar sind, wenn die Mandantendaten unter vollständiger Kontrolle der Kanzlei bleiben.

Arztpraxen und Kliniken

Die ärztliche Schweigepflicht nach § 203 StGB ist eine der schärfsten Verschwiegenheitspflichten im deutschen Recht — ihre Verletzung ist strafbar. Patientendaten fallen zudem unter Art. 9 DSGVO als besondere Kategorie personenbezogener Daten, die erhöhten Schutz genießen. Die Verarbeitung von Patientendaten in einer US-Cloud — auch wenn Server in der EU stehen — ist rechtlich angreifbar. Wer als Arzt oder Klinik Cloud-Dienste nutzt, muss sicherstellen, dass Dritte keinen Zugriff erlangen können. Ein US-Konzern mit CLOUD-Act-Verpflichtung ist kein Dritter ohne Zugriffsmöglichkeit.

Steuerberater und Wirtschaftsprüfer

Die Verschwiegenheitspflicht nach § 57 StBerG schützt die Finanzdaten und Geschäftsgeheimnisse von Mandanten. Bilanzen, Steuererklärungen, interne Kalkulationen und Jahresabschlüsse von Unternehmen sind hochsensibel — sowohl aus Datenschutzsicht als auch aus Wettbewerbsschutzgründen. Eine Herausgabe an US-Ermittlungsbehörden kann weitreichende Folgen für die betroffenen Mandanten haben, ohne dass der Steuerberater dies verhindern oder auch nur kommunizieren kann.

KRITIS-Betreiber

Für Betreiber kritischer Infrastruktur gelten nach dem IT-Sicherheitsgesetz 2.0 und der europäischen NIS2-Richtlinie erhöhte Anforderungen an die Sicherheit ihrer IT-Systeme und die Souveränität über verarbeitete Daten. NIS2 verlangt explizit ein Risikomanagement für Lieferketten — und ein US-Cloud-Anbieter mit CLOUD-Act-Exposition ist ein Lieferkettenrisiko, das dokumentiert und bewertet werden muss. In vielen Konstellationen ist eine KRITIS-konforme Begründung für US-Cloud-Nutzung kaum zu konstruieren.

KMU mit Geschäftsgeheimnissen

Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) schützt Geschäftsstrategien, Kundenlisten, Preiskalkulationen, technische Entwicklungen und andere vertrauliche Unternehmensinformationen. Wer diese Daten in US-Cloud-Diensten verarbeitet, ohne die CLOUD-Act-Exposition zu kennen und zu dokumentieren, riskiert im Streitfall den Vorwurf, das Geschäftsgeheimnis nicht angemessen geschützt zu haben. Das ist relevant bei Schadensersatzklagen und im Verhältnis zu Geschäftspartnern, die entsprechende Anforderungen stellen.

Was Self-hosted Nextcloud wirklich bedeutet

Nextcloud selbst zu hosten bedeutet nicht, dass man einen eigenen Serverraum betreibt. Es bedeutet, dass der Code auf Ihrer Hardware oder auf einem Server läuft, den Sie kontrollieren — und bei einem Hostinganbieter, der kein US-Unternehmen ist und keiner US-Muttergesellschaft gehört.

Die Konsequenz ist strukturell anders als bei US-Anbietern:

  • Kein US-Unternehmen in der Kette: Nextcloud GmbH ist ein deutsches Unternehmen. Die Software ist Open Source. Es gibt keine US-Muttergesellschaft, die dem CLOUD Act unterläge.
  • Daten verlassen Ihre Infrastruktur nicht: Dateien, Kalender, Kontakte, Kommunikation — alles verbleibt auf dem Server, den Sie kontrollieren.
  • EU-Recht gilt vollständig: DSGVO, nationales Datenschutzrecht (BDSG, DSG-AT, nDSG) greifen ohne Einschränkung durch ausländische Überwachungsgesetze.
  • Open-Source-Code ist prüfbar: Nextcloud ist vollständig quelloffen. Es gibt keine Hidden Backdoors, die ein Anbieter einbauen könnte, ohne dass dies entdeckt würde. Der Code wird regelmäßig von unabhängigen Sicherheitsforschern auditiert.
  • Keine behördliche Anfrage möglich, die Sie nicht erreicht: Behörden, die auf Daten in Ihrer eigenen Infrastruktur zugreifen wollen, müssen das nach deutschem, österreichischem oder Schweizer Recht tun — und Sie werden davon erfahren.

Was hinter einer produktionssicheren Nextcloud-Einrichtung steckt

Nextcloud in einer Stunde zu installieren ist möglich. Nextcloud so einzurichten, dass es für ein Unternehmen zuverlässig, sicher und wartbar ist, ist eine andere Aufgabe. Die wesentlichen Komponenten:

  • Datenbank-Backend: PostgreSQL für produktive Umgebungen — nicht SQLite, das für Einzelnutzer-Tests ausreicht, aber unter Last versagt.
  • Caching: Redis für Session-Handling und APCu als lokaler PHP-Cache; ohne beides ist Nextcloud ab einer bestimmten Nutzerzahl träge.
  • Reverse Proxy & TLS: Nginx mit gültigem Zertifikat (Let's Encrypt oder internes CA), korrekte Security Headers (HSTS, CSP, X-Frame-Options).
  • Backup-Strategie: Automatisierte, getestete Backups von Datenbankdump und Dateiverzeichnis — mit definierten Recovery-Zeiten (RTO/RPO).
  • Security Hardening: Fail2ban-Integration, restriktive Dateisystemberechtigungen, regelmäßige Sicherheitsupdates, Deaktivierung nicht benötigter Apps.
  • LDAP/Active Directory-Anbindung: In Unternehmensumgebungen Synchronisation mit bestehendem Verzeichnisdienst, damit Nutzer und Gruppen zentral verwaltet werden.
  • Monitoring: Überwachung von Verfügbarkeit, Speicherplatz, Datenbankperformance und Zertifikatslaufzeiten — mit definierten Alarmierungspfaden.

Nicht die Installation ist die eigentliche Leistung, sondern die Fähigkeit, das System zu betreiben: Updates einspielen, Sicherheitslücken zeitnah schließen, auf Vorfälle reagieren, Performance-Probleme diagnostizieren. Wer das intern nicht abdecken kann oder will, sollte das beim Dienstleister klären.

Migration von Google und Microsoft: Was mitgenommen werden kann

Die häufigste Sorge bei einer Migration: Jahre an Daten, die in Google Drive oder Microsoft 365 liegen. In der Praxis ist das lösbar — wenn die Migration strukturiert angegangen wird.

Von Google Workspace

  • Google Drive → Nextcloud Files: Export über Google Takeout, strukturierter Upload, Neustrukturierung der Freigaben und Zugriffsrechte
  • Google Kalender → CalDAV: iCal-Export und direkter Import in Nextcloud Calendar; danach native Synchronisation mit iOS, Android, Thunderbird
  • Google Contacts → CardDAV: Export und Import in Nextcloud Contacts; alle Endgeräte synchronisieren dann über CardDAV
  • Gmail-Historien: IMAP-basierter Export auf eigenen Mailserver; die E-Mail-Infrastruktur läuft unabhängig von Nextcloud, kann aber über Nextcloud Mail verwaltet werden

Von Microsoft 365 und Exchange

  • OneDrive / SharePoint → Nextcloud Files: Synchronisierter Export über OneDrive-Client, Upload und Berechtigungsmigration
  • Outlook-Kalender und Kontakte: Migration auf eigenen IMAP/CalDAV/CardDAV-Server; Outlook kann weiter als Client genutzt werden oder wird durch Thunderbird ersetzt
  • Exchange-E-Mail-Historien: PST-Export und Import in eigenen Mailserver; komplexer bei größeren Postfächern, aber vollständig machbar
Fazit: Der Unterschied zwischen "im DSGVO-Rahmen" und "wirklich datensouverän" ist gravierend. DSGVO-Konformität schützt vor Datenschutzverstößen durch den Anbieter — aber nicht vor staatlichem Zugriff durch US-Behörden nach dem CLOUD Act. Wer als Berufsgeheimnisträger, KRITIS-Betreiber oder Unternehmen mit schützenswerten Geschäftsgeheimnissen handelt, sollte sich nicht auf die strukturellen Kompromisse von US-Cloud-Anbietern verlassen. Self-hosted Nextcloud auf eigener oder europäischer Infrastruktur ist keine Ideologie — es ist die einzige technische Antwort, die die Angriffsfläche tatsächlich beseitigt.

Häufige Fragen

Der US Clarifying Lawful Overseas Use of Data Act (2018) verpflichtet US-amerikanische Unternehmen, auf Anordnung US-Behörden Zugriff auf gespeicherte Daten zu gewähren — unabhängig davon, auf welchem Server weltweit diese Daten liegen. Wer Google, Microsoft oder Amazon nutzt, ist damit potenziell vom US-Zugriff betroffen, auch wenn die Server in Frankfurt stehen.
Ja, vollständig. Nextcloud ist eine selbst gehostete Lösung — die Daten liegen ausschließlich auf Ihrer Infrastruktur, kein Drittanbieter hat Zugriff. Es gibt keine Verbindung zu US-Servern, keinen CLOUD Act, keine Telemetriedaten. Nextcloud erfüllt damit die DSGVO-Anforderungen besser als jeder US-Cloud-Anbieter.
Nextcloud bietet Dateiverwaltung, gemeinsame Bearbeitung (Collabora Office / OnlyOffice), Kalender, Kontakte, E-Mail, Videokonferenzen, Aufgabenverwaltung und Chat — vergleichbar mit Google Workspace oder Microsoft 365, aber vollständig unter Ihrer Kontrolle. Kein Abomodell, keine Nutzerdaten für Werbezwecke, kein Vendor Lock-in.
Ab ca. 1.200 € für bis zu 10 Nutzer (Installation, Konfiguration, Einweisung). Migration von Google oder M365 mit Datentransfer und Schulung ab ca. 2.500 €. Laufende Kosten: Server-Hosting ca. 20–80 €/Monat, keine Nutzerlizenzen. Im Vergleich: Google Workspace Business kostet ca. 10–22 €/Nutzer/Monat.

Datensouveränität konkret umsetzen

Im Erstgespräch klären wir, welche Daten Sie aktuell bei US-Anbietern verarbeiten, wo das rechtliche Risiko liegt und was eine Migration auf eigene Infrastruktur konkret bedeutet.

Erstgespräch vereinbaren Nextcloud-Details →