Ein Rechtsgutachten der Uni Köln für das Bundesinnenministerium kommt zu dem Schluss, dass US-Behörden Zugriff auf die Daten auf Cloud-Servern von US-Unternehmen haben. Das bedeutet, dass die Behauptungen von Google, Microsoft und Amazon bezüglich der Datensicherheit ihrer Server in der EU nur Marketing-Blabla sind. Im Grunde war das bereits klar.
Souveränität bzw. eine Datenhoheit für die eigenen Daten kann man daher nur gewährleisten, wenn man den Server inhouse selbst betreibt. Für Firmen ist das in den eigenen Räumen natürlich kein Problem. Für private Clouds ist das etwas umständlicher. Denn man erhält an privaten Internet-Anschlüssen in der Regel keine feste IP-Adresse. Mit DynDNS-Klimmzügen lässt sich zwar einiges bewerkstelligen, pflegeleicht ist das nicht.
Ein Kompromiss könnte sein, die eigene Cloud auf Servern eines deutschen oder zumindest europäischen Providers zu betreiben, der Serverstandorte in Deutschland bzw. Europa verspricht. Das Risiko dabei ist, dass dieses Versprechen – absichtlich oder unwissentlich – nicht stimmt. Der Ausfall von Amazon Web Services (AWS) im Oktober 2025 hat gezeigt, dass nicht wenige Anbieter über den Einsatz von AWS Stillschweigen bewahren – bis sie erwischt werden (Beispiel: der Messenger Signal). Anbieter, die im Grunde keine richtigen Provider sind, sondern nur in eigenem Namen und unter anderem Label Webspace von übergeordneten Betreibern anbieten, sind sich dessen möglicherweise gar nicht bewusst.
Lösung: eigener Server mit eigener Cloud
Fazit: Firmen sollten ihre betrieblichen Clouds auf eigenen Servern in eigenen Räumen betreiben, zum Beispiel mit NextCloud. Bei privaten Clouds muss man abwägen, wie man das Risiko vom Betreiber belogen zu werden gegen den Aufwand eines per DynDNS angebundenen, eigenen Servers einschätzt. Mit Hilfe des SelfHosting-Systems „YunoHost“ lässt sich eine NextCloud relativ einfach einrichten. Darüber hinaus bietet YunoHost viele weitere Dienste wie Mastodon, WordPress, verschiedene Office-Pakete und anderes aus dem umfangreichen Katalog.
Auf der Website von „Frag den Staat“ kann man das Rechtsgutachten der Uni Köln nachlesen: Rechtsgutachten zu Zugriffsmöglichkeiten US-amerikanischer Sicherheitsbehoerden (geschwärzt)