Zum Inhalt springen
DSGVO & Datenschutz

EU-Server & FISA Deep-Dive

EU-Server bei US-Anbietern unterliegen FISA und Cloud Act. Was das für KMU bedeutet und welche Alternativen wirklich schützen.

sebastian@agent-schomerus.de4 Min. Lesezeit
EU-Server & FISA Deep-Dive
Teilen:

„Unsere Daten liegen in Europa.“

Dieser Satz beendet in vielen Unternehmen jede Diskussion über Datenschutz bei KI-Tools. Er klingt beruhigend. Er klingt nach Lösung. Und er führt in die Irre.

In fast jedem Gespräch mit Geschäftsführern und IT-Leitern fällt dieser Satz als Totschlagargument. Datenstandort Europa — Thema erledigt. Aber der physische Standort der Daten ist nur eine Dimension. Und oft nicht die entscheidende.

Was ist der US Cloud Act — und warum betrifft er euch?

Der Clarifying Lawful Overseas Use of Data Act — kurz CLOUD Act — trat 2018 in Kraft[1]. Er regelt, dass US-Behörden auf Daten zugreifen können, die von US-Unternehmen kontrolliert werden. Und zwar unabhängig davon, wo diese Daten physisch gespeichert sind.

Ob eure ChatGPT-Prompts auf Servern in Frankfurt, Amsterdam oder Dublin liegen: Wenn der Anbieter ein US-Unternehmen ist, greift der Cloud Act.

Betroffen: OpenAI, Microsoft, Google, Anthropic, Amazon — alle großen KI-Anbieter mit US-Hauptsitz.

Nicht betroffen: Mistral AI (Paris), DeepL[5] (Köln), Aleph Alpha (Heidelberg) — europäische Anbieter, die ausschließlich EU-Recht unterliegen.

FISA 702 — das Gesetz, das fast niemand kennt

Während der Cloud Act zumindest in Fachkreisen diskutiert wird, bleibt FISA Section 702[2] in der deutschen DSGVO-Debatte erstaunlich unsichtbar.

FISA 702 — der Foreign Intelligence Surveillance Act, Abschnitt 702 — ermöglicht US-Geheimdiensten die anlasslose Überwachung elektronischer Kommunikation von Nicht-US-Bürgern. Nicht auf Verdacht. Nicht mit richterlichem Beschluss. Anlasslos.

Drei Punkte, die FISA von anderen Gesetzen unterscheiden:

  1. Keine Ausnahmen. Jeder US-Anbieter unterliegt FISA 702. Es gibt kein Opt-Out, keinen Enterprise-Tarif, der davor schützt.

  2. Aktive Umgehungspflicht. FISA kann Anbieter verpflichten, Sicherungsmaßnahmen zu umgehen. Nicht „kann eventuell“ — ist rechtlich vorgesehen. Verschlüsselung, die für euch eingerichtet wurde, kann auf Anordnung gebrochen werden.

  3. Geheimhaltungspflicht. Anbieter dürfen betroffene Kunden nicht darüber informieren, dass ein FISA-Zugriff stattgefunden hat. Ihr erfahrt es nicht.

IPA 2016 und IP(A)A — die blinden Flecken

Neben Cloud Act und FISA gibt es weitere Gesetze, die in der deutschen Diskussion fast nie auftauchen:

Der UK Investigatory Powers Act 2016[3] (IPA 2016) — umgangssprachlich „Snoopers' Charter“ — gibt britischen Behörden umfangreiche Befugnisse zur Datenerhebung. Nach dem Brexit unterliegen britische Cloud-Anbieter nicht mehr der DSGVO, sondern dem UK Data Protection Act — mit eigenen Regeln und eigenen Lücken.

Der Investigatory Powers (Amendment) Act (IP(A)A) erweitert diese Befugnisse noch. Für Unternehmen, die Cloud-Dienste mit britischer Infrastruktur nutzen, ist das relevant — und wird unterschätzt.

Was bedeutet das konkret für euer Unternehmen?

Ein typisches Szenario: Euer Team nutzt ChatGPT Enterprise. EU-Server ausgewählt. DPA unterschrieben. Training-Opt-Out aktiviert. Auf dem Papier sieht alles gut aus.

In der Praxis:

  • FISA-Zugriff: Möglich. OpenAI ist ein US-Unternehmen. FISA 702 gilt.
  • Cloud Act: Aktiv. US-Behörden können auf die Daten zugreifen.
  • Sub-Sub-Prozessoren: OpenAIs Subprozessoren haben eigene Dienstleister. Drei, vier Ebenen tief. Wo deren Server stehen und welchem Recht sie unterliegen, steht in keinem Standard-DPA.

Euer DPA schützt euch vor dem Anbieter. Nicht vor dem US-Justizministerium.

4 Alternativen die tatsächlich schützen

1. Europäische Anbieter

Mistral AI (Paris): Europäisches Unternehmen, EU-Server, kein Cloud Act, kein FISA. Leistungsfähige Modelle für die meisten Unternehmensanwendungen. Teams-Tarif ab 24,99 Euro[4] pro User und Monat.

DeepL (Köln): Deutsches Unternehmen, deutsche Server, deutsches Recht. Goldstandard für Übersetzung und Textverbesserung. Ab 7 Euro pro User und Monat.

2. US-Tools über EU-Partner

Azure OpenAI mit EU Data Boundary: GPT-Modelle auf EU-Servern (Schweden), betrieben über Microsoft Azure. Die Daten bleiben physisch in der EU und Microsoft begrenzt den Zugriff vertraglich. Aber: Microsoft ist ein US-Unternehmen. Bei einer Cloud-Act-Anforderung könnten sie gezwungen sein, Daten herauszugeben. Es reduziert das Risiko erheblich, eliminiert es aber nicht vollständig.

3. Self-Hosting

Open-Source-Modelle wie Llama oder Mistral Open auf eigenen Servern betreiben. Volle Kontrolle, kein Cloud Act, kein FISA. Aber: erfordert IT-Kompetenz, Wartung, Sicherheitskonzepte und eigene DSGVO-Dokumentation. Für KMU oft nur mit externem IT-Partner realistisch.

4. Hybridmodell

Die pragmatischste Lösung für die meisten KMU: Nicht-sensible Aufgaben (Textentwürfe, Brainstorming, allgemeine Recherche) bei US-Tools mit Enterprise-DPA. Sensible Daten (Kundennamen, Finanzdaten, Personalakten, Gesundheitsdaten) bei europäischen Anbietern oder lokal. Klare Trennlinie in der KI-Richtlinie definieren.

Fazit — Serverstandort prüfen reicht nicht. Jurisdiktion prüfen ist Pflicht.

Die entscheidende Frage bei jedem KI-Tool ist nicht: Wo stehen die Server? Sondern: Welchem Recht unterliegt der Anbieter?

Wer das verinnerlicht hat, macht den ersten Schritt weg vom EU-Server-Mythos. Und wer dann noch aktiv seine DPAs überwacht und eine KI-Richtlinie lebt, ist den meisten Unternehmen bereits weit voraus.

Im Mythen-Artikel habe ich vier weitere gefährliche Annahmen zerlegt. Und in den 5 Schritten der Vorwoche steht, was ihr konkret tun könnt.

Die wichtigste Erkenntnis dieser Woche: „Fast richtig“ reicht nicht für Compliance. Und es reicht nicht für den Schutz eurer Daten.

Teilen:

Quellen & Referenzen (5)

  1. 1
    US CLOUD Act — Clarifying Lawful Overseas Use of Data Act (2018)
    congress.govAbgerufen: 09.04.2026
  2. 2
    Foreign Intelligence Surveillance Act Section 702 (FISA 702)
    congress.govAbgerufen: 09.04.2026
  3. 3
    UK Investigatory Powers Act 2016 (IPA 2016)
    legislation.gov.ukAbgerufen: 09.04.2026
  4. 4
    Proliance — DSGVO-Check: ChatGPT, Copilot & Gemini im Vergleich
    proliance.aiAbgerufen: 09.04.2026
  5. 5
    WeVenture — Mistral AI & Datenschutz: Die sichere KI-Alternative aus Europa
    weventure.deAbgerufen: 09.04.2026

Häufig gestellte Fragen

Greift der Cloud Act auch auf Daten in deutschen Rechenzentren zu?

Ja, wenn der Anbieter des Dienstes US-Recht unterliegt. Der physische Standort der Daten ist irrelevant — entscheidend ist die Jurisdiktion des Unternehmens, das die Daten kontrolliert.

Was ist der Unterschied zwischen Cloud Act und FISA?

Der Cloud Act erlaubt US-Behörden auf Anfrage Zugriff auf Daten bei US-Unternehmen. FISA 702 ermöglicht anlasslose Massenüberwachung von Nicht-US-Bürgern und kann Anbieter verpflichten, Sicherungsmaßnahmen zu umgehen. Beide gelten für jeden US-Anbieter ohne Ausnahme.

Ist Mistral eine echte Alternative zu ChatGPT für Unternehmen?

Aus Datenschutzsicht: eindeutig ja. Mistral ist ein europäischer Anbieter aus Paris, kein Cloud Act, kein FISA, EU-Server. Die Modelle sind leistungsfähig, wenn auch nicht auf GPT-5-Niveau. Für viele Unternehmensanwendungen ausreichend.

Schützt Azure OpenAI mit EU Data Boundary vor dem Cloud Act?

Teilweise. Die Daten bleiben physisch in der EU und Microsoft beschränkt den Zugriff vertraglich. Aber Microsoft ist ein US-Unternehmen — bei einer Cloud-Act-Anforderung könnten sie gezwungen sein, Daten herauszugeben. Es reduziert das Risiko erheblich, eliminiert es aber nicht vollständig.

Kommentare

Noch keine Kommentare. Sei der Erste!

Kommentar schreiben

Wird nicht veröffentlicht.