Der CLOUD Act: Eure Daten und die amerikanische Software

Im Januar 2026 wurde öffentlich, was viele befürchtet hatten: Microsoft hat BitLocker-Verschlüsselungsschlüssel an das FBI herausgegeben. Bei einer Betrugsermittlung in Guam forderte das FBI per Gerichtsbeschluss die Entschlüsselung dreier Laptops – und Microsoft lieferte die Schlüssel.

Was bedeutet das konkret für euch? Ihr glaubt, eure Windows-Festplatte sei verschlüsselt und sicher. Aber wenn Microsoft die Schlüssel in der Cloud speichert, können US-Behörden mit einem Durchsuchungsbefehl darauf zugreifen. Eure Verschlüsselung ist nur so sicher, wie das Unternehmen, das die Schlüssel verwaltet.

Microsoft bestätigte gegenüber Forbes, dass das Unternehmen etwa 20 solcher Anfragen pro Jahr erhält – und sie erfüllt, wenn eine gültige gerichtliche Anordnung vorliegt. Das Problem: Windows 11 sichert diese Wiederherstellungsschlüssel standardmäßig in der Microsoft Cloud, sobald ihr euch mit einem Microsoft-Konto anmeldet. Die meisten Nutzer wissen nicht einmal, dass dies passiert.

Das ist kein Einzelfall. Es ist die konkrete Realität des CLOUD Act.

Was ist der CLOUD Act?

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018 ist ein US-Gesetz mit einer einfachen, aber weitreichenden Regelung: US-Behörden können von US-Unternehmen die Herausgabe von Daten verlangen – egal wo auf der Welt die Server stehen.

Die Kernpunkte, die ihr wissen müsst:

1. Der Serverstandort ist irrelevant
Eure Daten können in einem Rechenzentrum in Frankfurt, Amsterdam oder Zürich liegen – wenn das Unternehmen unter US-Kontrolle steht, kann das FBI mit einem Durchsuchungsbefehl darauf zugreifen.

2. Ihr werdet nicht informiert
Die Betroffenen erfahren in der Regel nie, dass ihre Daten abgerufen wurden. US-Behörden können "Gag Orders" (Schweigeanordnungen) verhängen, die es Unternehmen verbieten, ihre Kunden zu informieren.

3. Fast alle großen Tech-Konzerne sind betroffen
Microsoft, Google, Amazon, Apple, Meta (Facebook), Dropbox, Slack, Zoom – sie alle unterliegen dem CLOUD Act, weil sie US-Unternehmen sind.

4. Auch Tochtergesellschaften bieten keinen Schutz
Microsoft Deutschland, Google Switzerland, Amazon Luxembourg – die US-Muttergesellschaft kann angewiesen werden, ihre Tochter zur Datenherausgabe zu zwingen.

Warum das für euch als Privatperson wichtig ist

Viele denken: "Ich habe nichts zu verbergen, warum sollte mich das interessieren?" Hier sind konkrete Gründe:

Eure privaten Fotos, E-Mails und Dokumente
Wenn ihr Microsoft OneDrive, Google Drive oder Dropbox nutzt, liegen eure Familienfotos, persönlichen E-Mails und privaten Dokumente auf US-Servern. US-Behörden können darauf zugreifen – ohne dass ihr es je erfahrt.

Eure Gesundheitsdaten
Nutzt ihr eine Fitness-App eines US-Anbieters? Synchronisiert ihr Gesundheitsdaten in die Cloud? Diese Daten können abgerufen werden.

Eure Kommunikation
WhatsApp (gehört zu Meta/Facebook), Gmail, Outlook.com – alles US-Dienste. Eure Kommunikation kann durchsucht werden.

Geschäftliche Dokumente
Selbstständige und kleine Unternehmen: Vertrauliche Verträge, Kundendaten, Geschäftsgeheimnisse – alles potenziell zugänglich für US-Behörden.

Die Illusion der "EU-Cloud"

Microsoft, Google und Amazon bewerben ihre "EU-Rechenzentren" als sichere Lösung. Das ist Marketing, keine Datenschutzgarantie.

Eure Daten können in Frankfurt auf deutschen Servern liegen – wenn Microsoft Azure sie verwaltet, unterliegen sie trotzdem dem CLOUD Act. Die Gerichtsbarkeit folgt dem Eigentümer, nicht dem Serverstandort.

Selbst wenn ein US-Konzern eine europäische Tochtergesellschaft gründet, die formal die Daten verwaltet: Die US-Muttergesellschaft kann angewiesen werden, die Tochter zur Herausgabe zu zwingen.

Warum Verschlüsselung allein nicht hilft

"Aber meine Daten sind doch verschlüsselt!" höre ich oft. Das Problem: Wer kontrolliert die Schlüssel?

Der BitLocker-Fall zeigt es deutlich: Wenn Microsoft eure Verschlüsselungsschlüssel in der Cloud speichert, kann das Unternehmen gezwungen werden, sie herauszugeben. Eure Verschlüsselung wird wertlos.

Was ihr über Verschlüsselung wissen müsst:

Client-seitige Verschlüsselung: Nur ihr habt die Schlüssel, der Anbieter sieht nur verschlüsselte Daten.
→ Gut: Signal, Tresorit, Proton Drive
→ Schlecht: Standard OneDrive, Google Drive, Dropbox

Server-seitige Verschlüsselung: Der Anbieter verschlüsselt die Daten, hat aber selbst die Schlüssel.
→ Das ist wie ein Tresor, zu dem auch die Bank den Schlüssel hat.

Zero-Knowledge-Architektur: Der Anbieter kann technisch nicht auf eure Daten zugreifen.
→ Genau das fehlt bei Microsoft, Google, Amazon

Apple und Google bieten mittlerweile erweiterten Datenschutz mit Ende-zu-Ende-Verschlüsselung für Cloud-Backups an. Microsoft nicht. Senator Ron Wyden (USA) kritisierte: "Es ist schlicht unverantwortlich, dass Tech-Unternehmen Produkte ausliefern, die es ihnen erlauben, heimlich die Verschlüsselungsschlüssel der Nutzer herauszugeben."

Die praktische Lösung: Open Source und Selbst-Hosting

Die gute Nachricht: Ihr müsst nicht auf Komfort verzichten, um eure Privatsphäre zu schützen. Es gibt ausgereifte, quelloffene Alternativen zu allen gängigen Cloud-Diensten.

1. Linux statt Windows/macOS

Warum Linux?

• Keine Telemetrie, die heimlich Daten sendet
• kein Login oder Anmelde-Zwang
• Keine Cloud-Zwangsintegration
• Volle Kontrolle über euer System
• Keine BitLocker-Schlüssel in fremden Händen

Empfohlene Distributionen für Einsteiger:

• Linux Mint: Perfekt für Windows-Umsteiger
• Ubuntu: Große Community, viel Support
• Fedora: Modern und sicher
• Pop!_OS: Ausgezeichnet für Nvidia-Grafikkarten

Verschlüsselung unter Linux:
LUKS (Linux Unified Key Setup) verschlüsselt eure Festplatte – und ihr verwaltet die Schlüssel. Keine Cloud-Uploads, keine Hintertüren.

2. Nextcloud statt OneDrive/Google Drive

Nextcloud ist die Open-Source-Alternative zu Microsoft 365 und Google Workspace. Alles, was diese Dienste können, kann Nextcloud auch – aber unter eurer Kontrolle.

Features:

• Datei-Synchronisation (wie Dropbox)
• Kalender und Kontakte (CalDAV/CardDAV)
• Office-Dokumente (Collabora Online, ONLYOFFICE)
• E-Mail-Integration
• Videokonferenzen (Nextcloud Talk)
• Aufgabenverwaltung
• Passwort-Manager
• Notizen
• Fotogalerien mit automatischem Upload vom Smartphone

Drei Möglichkeiten, Nextcloud zu nutzen:

Option A: Gemietetes Hosting in Europa
Wir bieten managed, aber auch fertige Nextcloud-Instanzen:

• Einfach, wartungsfrei
• DSGVO-konform
• Rechenzentren in Deutschland, Spanien, Frankreich oder je nach Standort von IONIS
• Ab ca. 16CHF pro Monat

Option B: Eigener Server zuhause (Self-Hosting)
Eine Synology oder UGREEN NAS bei euch im Büro/Zuhause:

• Einmalige Hardware-Kosten (ab ca. 400-800CHF)
• Keine monatlichen Gebühren
• Physische Kontrolle über die Hardware
• Synology DiskStation bietet diverse Apps für Fotos, Datensicherungen und Spiegelungen
• UGREEN NASync läuft perfekt mit Docker/Nextcloud

Option C: Selber Virtual Private Server (VPS) mieten
Ein gemieteter Server bei einem europäischen Hoster:

• Volle Kontrolle
• Root-Zugriff
• Selbst installieren und konfigurieren
• Anbieter: Hetzner, netcup, Contabo, IONOS (alle Deutschland)
• Ab ca. 5€/Monat

3. Freie Protokolle: CalDAV, CardDAV, WebDAV

Einer der größten Vorteile von Open Source: Keine Vendor-Lock-ins durch proprietäre Protokolle.

CalDAV (Kalender): Synchronisiert eure Termine zwischen allen Geräten
CardDAV (Kontakte): Synchronisiert Adressbücher
WebDAV (Dateien): Standard-Protokoll für Datei-Synchronisation

Diese Protokolle funktionieren mit jeder kompatiblen Software:

• Thunderbird (Desktop)
• Evolution (Linux)
• Apple Kalender & Kontakte (iOS/macOS)
• DAVx⁵ (Android)
• Viele weitere

Ihr seid nicht an einen Anbieter gebunden. Wechsel sind einfach – kopiert einfach eure Daten auf einen neuen Server.

Praktische Artikel zum Thema DAV:

https://yourdevice.ch/nextcloud-direkt-via-webdav-in-linux-und-windows-einbinden/

https://yourdevice.ch/thunderbird-kalender-mit-nextcloud-caldav-verbinden/

https://yourdevice.ch/iphone-kalender-auf-android-oder-in-die-nextcloud-uebertragen/

https://yourdevice.ch/kontakte-und-sms-auf-ein-custom-rom-uebertragenkontakte-und-sms-von-android-oder-iphone-auf-custom-rom-uebertragen/

https://yourdevice.ch/kontakte-synchronisieren-mit-nextcloud-android-und-thunderbird/

https://yourdevice.ch/nextcloud-direkt-in-android-einbinden/

https://yourdevice.ch/nextcloud-kalender-mit-android-synchronisieren/

4. E-Mail: Europäische Provider

Statt Gmail/Outlook.com:

• Mailbox.org (Deutschland) – DSGVO-konform, grüner Strom
• Proton Mail (Schweiz) – Ende-zu-Ende-verschlüsselt
• Tutanota (Deutschland) – Zero-Knowledge-Verschlüsselung
• Posteo (Deutschland) – Datenschutz-fokussiert

Ausführlicher Artikel zum Thema:

Alle bieten:

• IMAP/SMTP (Standard-Protokolle)
• CalDAV/CardDAV
• Verschlüsselung
• Keine Werbung
• Kosten: 1-5€ pro Monat

5. Weitere Alternativen

Statt Google Docs:

• Collabora Online (mit Nextcloud)
• ONLYOFFICE (mit Nextcloud)
• LibreOffice (Desktop)

Statt Dropbox:

• Nextcloud (siehe oben)
• Synology Cloud Station
• Seafile

Statt Zoom/Teams:

• Jitsi Meet (Open Source, selbst-hostbar)
• BigBlueButton (ideal für Bildung)
• Nextcloud Talk

Statt Google Analytics:

• Matomo (selbst-hostbar)
• Plausible (Privacy-first, EU-hosted)
• Fathom Analytics

Statt 1Password/LastPass:

• Bitwarden (Open Source, selbst-hostbar)
• KeePassXC (lokal, keine Cloud)
• Vaultwarden (Bitwarden-kompatibler Server)

Schritt-für-Schritt: So steigt ihr aus

Woche 1: Bestandsaufnahme

• Welche Cloud-Dienste nutzt ihr?
• Wo liegen eure wichtigsten Daten?
• Welche Apps synchronisieren in US-Clouds?

Woche 2: Nextcloud einrichten

• Entweder bei einem EU-Hoster anmelden
• Oder eigene NAS/Server aufsetzen
• Nextcloud-Apps auf Smartphone installieren

Woche 3: Daten migrieren

• Fotos aus Google Photos/OneDrive herunterladen
• Dokumente nach Nextcloud verschieben
• Kalender/Kontakte exportieren und importieren

Woche 4: Umstellung abschließen

• E-Mail-Account bei europäischem Provider
• Cloud-Syncs der alten Anbieter deaktivieren
• Alte Accounts kündigen

Was ist mit Unternehmen

Für Firmen gelten besondere Anforderungen, aber die Lösungen sind ähnlich:

• Nextcloud auf einem eigenen Server oder bei EU-Hoster
• Synology mit mehreren DiskBays für Datensicherungen im RAID1 oder 5 oder QNAP/Ugreen NAS im Büro
• Linux-Workstations (Ubuntu/Fedora)
• evt dedizierter Mailserver mit Mailcow, oder Mailhoster bei einem Schweizer Unternehmen wie Informaniak

Rechtliche Absicherung:

• Transfer Impact Assessments durchführen
• Auftragsverarbeitungsverträge (AVV) mit EU-Providern
• Dokumentation der Datenflüsse
• Im Zweifelsfall: Datenschutzbeauftragten konsultieren

Häufige Einwände – und warum sie nicht stimmen

"Ich habe nichts zu verbergen"
→ Würdet ihr euer Tagebuch, eure Bankdaten und eure Fotos einem Fremden auf der Straße geben? Privatsphäre ist ein Grundrecht, kein Privileg für "Verdächtige".

"Das ist mir zu kompliziert"
→ Nextcloud ist genauso einfach wie Dropbox. Drag & Drop, fertig. In den meissten Fällen gibt es die Nextcloud bereits fertig eingerichtet. Wer selber installieren will, nutzt AIO-Docker Setups

"Ich brauche Microsoft Office für die Arbeit"
→ LibreOffice und ONLYOFFICE sind mit allen Office-Formaten kompatibel. Für die meisten Nutzer gibt es keinen funktionalen Unterschied.

"Aber alle anderen nutzen WhatsApp/Gmail"
→ Das ist keine technische, sondern eine soziale Frage. Je mehr Leute wechseln, desto normaler wird es. Seid Vorbild. Nutzt andere Messenger, zeigt den Leuten wie einfach es ist, Signal, oder Element zu verwenden.

"Das ist teurer als die kostenlosen Google-Dienste"
→ Kostenlos bedeutet: Ihr seid das Produkt. Eure Daten werden analysiert, für Werbung genutzt und – wie wir wissen – an Behörden weitergegeben. 10CHF/Monat für echte Privatsphäre sind ein Schnäppchen.

"Was ist, wenn meine NAS kaputt geht?"
→ Backups! Synology bietet Cloud-Backup zu anderen Synology-NAS, oder ihr nutzt einen EU-Backup-Dienst z.B bei Hetnzer's Storage Box. Redundanz ist bei jeder Lösung wichtig – auch Google Drive kann ausfallen.

Fazit: Digitale Souveränität ist möglich

Der CLOUD Act zeigt: Solange US-Unternehmen eure Daten kontrollieren, habt ihr keine Kontrolle. Nicht über die Sicherheit, nicht über den Zugriff, nicht über eure Privatsphäre.

Die Lösung ist nicht kompliziert:

1. Linux statt Windows – volle Systemkontrolle
2. Nextcloud statt OneDrive/Google Drive – eure Cloud, eure Regeln
3. Eigene Hardware (NAS) oder Hosting in der Schweiz oder in der EU bei nicht amerikanischen Unternehmen – physische oder rechtliche Kontrolle
4. Offene Protokolle (CalDAV, WebDAV) – keine Abhängigkeit von einzelnen Anbietern
5. Europäische E-Mail-Provider – DSGVO-konform, keine US-Zugriffe

Der Fall Microsoft/BitLocker/FBI ist nur das jüngste Beispiel. Es wird nicht das letzte sein. Solange ihr US-Dienste nutzt, gebt ihr die Kontrolle ab – freiwillig oder nicht.

Die Technologie für echte digitale Souveränität existiert bereits. Ihr müsst sie nur nutzen.

Jeder Server, den ihr selbst betreibt, jede Nextcloud-Instanz in einem schweizer oder europäischen Rechenzentrum, jeder Wechsel zu Open Source ist ein Schritt weg von Überwachung und hin zu echter Privatsphäre.

Fangt heute an. Eure Daten gehören euch – nicht Microsoft, nicht Google, und schon gar nicht dem FBI.

Quellen und weiterführende Links

1. BitLocker/FBI-Fall:
   • TechRepublic: "Microsoft Shared BitLocker Keys With FBI, Raising Privacy Fears"
     https://www.techrepublic.com/article/news-microsoft-bitlocker-keys-fbi-privacy/
   • Aardwolf Security: "Microsoft Hands Over BitLocker Encryption Keys to FBI"
     https://aardwolfsecurity.com/microsoft-hands-over-bitlocker-encryption-keys-to-fbi/
   • Medium (Mike Broadly): "Microsoft Gave BitLocker Encryption Keys to the FBI"
     https://medium.com/illumination/microsoft-gave-bitlocker-encryption-keys-to-the-fbi-and-most-windows-users-may-not-know-this-0f4c4e911929
2. CLOUD Act Grundlagen:
   • European Data Protection Board (EDPB): "Initial legal assessment of the impact of the US CLOUD Act"
     https://www.edpb.europa.eu/sites/default/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf
   • U.S. Department of Justice: "The Purpose and Impact of the CLOUD Act" (White Paper, 2019)
     https://www.justice.gov/opa/press-release/file/1153446/download
   • Wire: "CLOUD Act - What It Means for EU Data Sovereignty"
     https://wire.com/en/blog/cloud-act-eu-data-sovereignty
   • LexisNexis: "Cloud Act and GDPR: What implications for EU companies' data protection?"
     https://www.lexisnexis.com/blogs/int-legal/b/insights/posts/cloud-act-gdpr-implications
   • Exoscale: "CLOUD Act vs. GDPR: The Conflict About Data Access Explained"
     https://www.exoscale.com/blog/cloudact-vs-gdpr/
3. Schrems-Urteile:
   • Court of Justice of the European Union: "Schrems II" (Case C-311/18), 16. Juli 2020
     https://curia.europa.eu/juris/liste.jsf?num=C-311/18
   • The New Stack: "What GDPR, Schrems 2 and the End of Privacy Shield Means"
     https://thenewstack.io/what-gdpr-schrems-2-and-the-end-of-privacy-shield-means-to-your-kubernetes-based-service/
   • Anexia: "Implications of the Schrems II Judgement on Cloud Provider"
     https://anexia.com/blog/en/schrems-ii-cloud-provider/
4. Trans-Atlantic Data Privacy Framework:
   • European Commission: Implementing Decision (EU) 2023/1795
     https://eur-lex.europa.eu/eli/dec_impl/2023/1795/oj
   • IAPP: "How could Trump administration actions affect the EU-U.S. Data Privacy Framework?"
     https://iapp.org/news/a/how-could-trump-administration-actions-affect-the-eu-u-s-data-privacy-framework-
   • Taylor Wessing: "Die Zukunft des EU-U.S. Data Privacy Frameworks"
     https://www.taylorwessing.com/de/insights-and-events/insights/2025/01/eu-us-data-privacy-frameworks
   • Lewis Silkin: "Could Trump play the Trump card against the Data Protection Framework?"
     https://www.lewissilkin.com/insights/2025/03/30/could-trump-play-the-trump-card-against-the-data-protection-framework-102k26v
   • mailbox.org: "CLOUD Act: European companies must act now"
     https://mailbox.org/en/post/digital-sovereignty-in-uncertain-times
   • KPMG: "Data Privacy Framework: Datenaustausch mit den USA erneut auf dem Prüfstand"
     https://klardenker.kpmg.de/financialservices-hub/data-privacy-framework-datenaustausch-mit-den-usa-erneut-auf-dem-pruefstand/
   • American Security Project: "Tech Tensions—The Future of the U.S.-EU Data Privacy Framework"
     https://www.americansecurityproject.org/transatlantic-tech-tensions-the-future-of-the-u-s-eu-data-privacy-framework/
5. Praktische Anleitungen:
   • Nextcloud Homepage: https://nextcloud.com
   • LibreOffice: https://www.libreoffice.org
   • Linux Mint: https://linuxmint.com
   • Ubuntu: https://ubuntu.com
   • Fedora: https://fedoraproject.org
   • Pop!_OS: https://pop.system76.com
   • Mailbox.org: https://mailbox.org
   • Proton: https://proton.me
   • Tutanota: https://tutanota.com
   • Bitwarden: https://bitwarden.com
   • Jitsi Meet: https://meet.jit.si
   • Matomo: https://matomo.org
6. Europäische Hoster:
   • Hetzner (Deutschland): https://www.hetzner.com
   • netcup (Deutschland): https://www.netcup.de
   • Contabo (Deutschland): https://contabo.com
   • Infomaniak (Schweiz): https://www.infomaniak.com
   • OVHcloud (Frankreich): https://www.ovhcloud.com
   • Scaleway (Frankreich): https://www.scaleway.com