Warum Cloud falsch läuft.
Die unbequeme Wahrheit über Microsoft 365, den CLOUD Act und warum Ihr Auftragsverarbeitungsvertrag Sie nicht schützt.
Was, wenn das Internet ausfällt?
Vergessen Sie für einen Moment den Datenschutz. Vergessen Sie die DSGVO. Stellen Sie sich eine einfachere Frage:
Was passiert mit Ihrem Unternehmen, wenn morgen das Internet ausfällt?
Ihre E-Mails liegen bei Microsoft. Ihre Dateien bei Google. Ihre Videokonferenzen bei Zoom. Ihr CRM bei Salesforce. Alles hängt an zwei Fäden: Ihrer Internetverbindung und Cloud-Diensten, die Sie nicht kontrollieren.
Das ist keine Ausfallsicherheit. Das ist Fahrlässigkeit.
Januar 2026: Der Berliner Blackout
Am Morgen des 3. Januar 2026 passierte in Berlin etwas, das die Verwundbarkeit unserer Infrastruktur brutal offenlegte.
Unbekannte hatten Brandsätze unter einer Kabelbrücke über dem Teltowkanal platziert. Fünf 110-kV-Hochspannungskabel wurden zerstört. Die Ringleitung hatte keinen zweiten Einspeisepunkt.
Kommunikation: tot. Festnetz fiel sofort aus. Mobilfunk folgte – 39 Vodafone-Standorte, 29 Telekom, 18 O2. Die Menschen konnten niemanden erreichen.
Heizung: aus. Wohnungen kühlten auf einstellige Temperaturen ab. Mitten im Januar. Bei Minusgraden.
Alltag: zusammengebrochen. Schulen geschlossen. S-Bahn fuhr nicht. Ampeln aus. Geschäfte dunkel. Die Bundeswehr wurde angefordert.
Vier Tage. Wegen eines einzigen Anschlags auf eine einzige Kabelbrücke.
November 2025: Das Internet fällt aus
Wenige Wochen vorher, am 18. November 2025: Ein Bug bei Cloudflare – dem Unternehmen, das vor etwa 20 Prozent aller Websites geschaltet ist.
Ein Fehler in einer Feature-Datei führte zur Kettenreaktion. Das System stürzte ab. Und mit ihm das halbe Internet.
X (Twitter): nicht erreichbar.
ChatGPT: nicht erreichbar.
Discord: nicht erreichbar.
Millionen von Websites: nicht erreichbar.
Fast drei Stunden dauerte es, bis sich die Lage normalisierte. Wenige Wochen später, am 5. Dezember: Wieder Cloudflare. Wieder weltweiter Ausfall. 28 Prozent des gesamten HTTP-Traffics betroffen.
Der Cloudflare-Ausfall zeigt, wie stark das Internet von nur wenigen zentralen Infrastruktur-Anbietern abhängt. Für jede Organisation ist es keine tragfähige Strategie mehr, sich für kritische Funktionen allein auf einen einzelnen Anbieter zu verlassen.
— Benjamin Schilz, CEO WireLichterfelde war ein Terroranschlag. Cloudflare war ein simpler Software-Bug. Zwei völlig unterschiedliche Ursachen – dasselbe Ergebnis: Millionen Menschen von ihrer digitalen Infrastruktur abgeschnitten.
Die geopolitische Bombe
Während ich dieses schreibe, eskaliert ein Konflikt, der bis vor kurzem undenkbar schien.
Am 18. Januar 2026 kündigte US-Präsident Donald Trump Strafzölle gegen Deutschland und sieben weitere europäische NATO-Staaten an. Der Grund: Grönland.
Trump will die Arktisinsel kaufen. Zunächst 10 Prozent Zölle ab 1. Februar. Dann 25 Prozent ab Juni – auf alle Warenimporte in die USA. Die Drohung gilt, bis Dänemark verkauft.
Das ist kein Handelsstreit. Das ist Erpressung.
Wir sind zurzeit extrem erpressbar.
— Marcel Fratzscher, DIW-PräsidentZwar wurde der akute Zollkonflikt durch NATO-Vermittlung vorerst entschärft. Aber der Schaden ist angerichtet. ZDF-Korrespondent Ulf Röller analysiert: Das transatlantische Verhältnis sei “nachhaltig zerstört”.
Vom digitalen Leben abgeschnitten
Sie denken: Das betrifft mich nicht? Dann kennen Sie den Fall Nicolas Guillou nicht.
Ein europäischer Staatsbürger. Von einem Tag auf den anderen: Kein Zugriff mehr auf seine Cloud-Dienste. Kein Zugriff auf seine Daten. Kein Zugriff auf sein digitales Leben.
Eine ausländische Regierung kann europäische Bürger mit einem Federstrich vom digitalen Leben abschneiden – und Europa schaut zu.
Die Frage ist nicht, ob Sie persönlich auf einer Sanktionsliste landen.
Die Frage ist: Wie viel Ihrer geschäftlichen Existenz hängt von Diensten ab, die jemand anderes mit einem Federstrich abschalten kann?
Amerikanisches Recht kann sich über Nacht ändern. Durch eine Executive Order. Durch einen Präsidenten, der morgens auf Truth Social postet.
Was heute Grönland ist, kann morgen ein anderes Thema sein. Taiwan. Ukraine. Technologie-Exporte. Die Spielregeln haben sich geändert.
Und mittendrin: Ihre IT-Infrastruktur. Auf Microsoft-Servern. Mit Google-Diensten. Unter amerikanischer Kontrolle.
Wo ist Ihr Plan B?
Jedes seriöse Unternehmen hat einen Notfallplan. Feuerlöscher im Flur. Erste-Hilfe-Kasten im Büro. Versicherungen gegen Einbruch. Backup-Festplatten für wichtige Daten.
Aber was ist Ihr Plan, wenn das Internet ausfällt? Wenn Ihre Cloud-Dienste nicht mehr erreichbar sind? Wenn ein geopolitischer Konflikt eskaliert?
Die ehrliche Antwort für die meisten Unternehmen: Es gibt keinen.
Keine Backup-Strategie. Keinen Plan B. Keine Alternative. Einfach die Hoffnung, dass es schon nicht passieren wird.
Ein Unternehmen ohne Backup-Strategie für Internetausfälle handelt fahrlässig.
Wenn Sie als Geschäftsführer keine Antwort auf die Frage haben “Was tun wir, wenn das Internet ausfällt?” – dann haben Sie Ihre Sorgfaltspflicht nicht erfüllt.
Die Kosten eines Ausfalls
Ein Unternehmen mit 10 Mitarbeitern. Durchschnittliches Jahresgehalt: 50.000 Euro. Das sind etwa 200 Euro pro Tag pro Mitarbeiter an reinen Personalkosten.
Bei 10 Mitarbeitern: 2.000 Euro pro Tag – nur für die Zeit, in der niemand arbeiten kann.
Dazu kommen: Verlorene Aufträge. Verpasste Deadlines. Verärgerte Kunden. Vertragsstrafen. Reputationsschäden.
Ein Tag Ausfall kostet schnell 5.000 bis 15.000 Euro.
Vier Tage wie in Lichterfelde? 20.000 bis 60.000 Euro.
Wo liegen Ihre Daten?
Aber selbst wenn das Internet läuft – wissen Sie eigentlich, wo Ihre Daten liegen?
Die meisten Unternehmen können diese Frage nicht beantworten. Nicht wirklich. Nicht präzise.
Sie wissen vielleicht, dass sie Microsoft 365 nutzen. Oder Google Workspace. Sie wissen, dass ihre E-Mails “irgendwo in der Cloud” liegen. Aber wo genau? Unter welchem Recht? Mit welchen Konsequenzen?
Fragen Sie Ihren IT-Leiter: Auf welchen Servern liegen unsere Kundendaten? Wer hat Zugriff? Welches Gericht ist zuständig, wenn etwas schiefgeht?
Die Antworten werden Sie überraschen. Oder beunruhigen. Wahrscheinlich beides.
“Server in Deutschland” bedeutet nicht “deutsches Recht.”
Wenn der Anbieter ein amerikanisches Unternehmen ist, gilt amerikanisches Recht – egal wo der Server steht.
Die Cloud war praktisch. Sie war günstig. Sie war modern. Wir haben nicht gefragt, wem sie gehört.
Aber jetzt fragen wir.
Der CLOUD Act – Das Gesetz, das alles ändert
Im Jahr 2013 verlangte die amerikanische Regierung von Microsoft, E-Mails herauszugeben. Die E-Mails lagen auf einem Server in Irland. Microsoft weigerte sich.
Der Fall ging durch die Instanzen. Er wurde zum Symbol für eine grundsätzliche Frage: Wem gehören Daten in der Cloud?
Im Jahr 2018 kam die Antwort. Nicht von einem Gericht. Vom amerikanischen Kongress.
US-Behörden fordern E-Mails von Microsoft-Servern in Irland. Microsoft weigert sich.
Versteckt in einem 2.232 Seiten langen Haushaltsgesetz. Keine Debatte. Einfach durchgewunken.
EU-Gerichtshof erklärt Privacy Shield für ungültig. US-Datentransfers rechtlich problematisch.
Was der CLOUD Act bedeutet
CLOUD Act steht für “Clarifying Lawful Overseas Use of Data Act” – Gesetz zur Klärung des rechtmäßigen Zugriffs auf Daten im Ausland.
Was das Gesetz sagt, ist einfach:
Amerikanische Unternehmen müssen Daten an amerikanische Behörden herausgeben – egal wo auf der Welt diese Daten gespeichert sind.
Der Server steht in Frankfurt? Egal.
Die Daten gehören einem deutschen Unternehmen? Egal.
Das deutsche Recht verbietet die Herausgabe? Egal.
DSGVO vs. CLOUD Act – Der Widerspruch
🇪🇺 EU (DSGVO)
“Daten von EU-Bürgern dürfen nicht ohne Rechtsgrundlage in Drittländer übertragen werden.”
🇺🇸 USA (CLOUD Act)
“US-Firmen müssen Daten an US-Behörden rausgeben, egal wo sie gespeichert sind.”
→ Widerspruch! US-Firmen müssen entweder EU- oder US-Gesetz brechen.
Betroffene Dienste
Wenn Sie einen dieser Dienste nutzen, unterliegen Ihre Daten dem CLOUD Act:
- Microsoft (Azure, Office 365, OneDrive, Teams) Auch “EU Data Boundary” ändert nichts am CLOUD Act.
- Google (Gmail, Drive, Workspace) Server in Europa? Spielt keine Rolle.
- Amazon (AWS) Frankfurt-Region? CLOUD Act greift trotzdem.
- Salesforce, Zoom, Slack, Dropbox Alle US-Unternehmen. Alle betroffen.
- Apple (iCloud) Auch Ihre privaten Daten.
Ihr Auftragsverarbeitungsvertrag schützt Sie nicht
Vielleicht haben Sie mit Ihrem Cloud-Anbieter einen Auftragsverarbeitungsvertrag geschlossen. Artikel 28 DSGVO verlangt das. Der Vertrag sagt, dass der Anbieter Ihre Daten nur nach Ihrer Weisung verarbeiten darf.
Das klingt beruhigend. Aber hier ist das Problem:
Sie haben mit dem Hausmeister vereinbart, dass er niemanden in Ihre Wohnung lässt. Dann kommt die Polizei mit einem Durchsuchungsbefehl. Glauben Sie, der Hausmeister wird sich auf Ihren Vertrag berufen?
Ein Vertrag bindet nur die Parteien, die ihn geschlossen haben. Wenn eine amerikanische Behörde Daten anfordert, interessiert sie sich nicht für Ihren Vertrag. Sie interessiert sich für amerikanisches Recht.
Und amerikanisches Recht steht über jedem Vertrag, den ein amerikanisches Unternehmen mit Ihnen schließt.
Die 43-Milliarden-Euro-Abhängigkeit
Die Abhängigkeit von US-Cloud-Diensten ist nicht nur ein Datenschutzthema. Es ist ein wirtschaftliches und strategisches Problem.
Die jüngsten Preisanpassungen zeigen das Problem: Ab April 2025 steigen die Preise für Microsoft-Produkte um 5 bis 15 Prozent – einzelne Dienste wie Power BI Pro sogar um 40 Prozent.
Wenn Standard zur Abhängigkeit wird, ist es Zeit, souverän zu rechnen.
Besonders betroffen: Berufsgeheimnisträger
Für bestimmte Berufsgruppen ist das Cloud-Problem nicht nur ärgerlich. Es ist existenziell.
Anwälte
Mandantenakten in der Cloud? Wenn US-Behörden Zugriff fordern, ist das Mandatsgeheimnis Geschichte. §203 StGB schützt nicht vor dem CLOUD Act.
Ärzte & Therapeuten
Patientenakten enthalten die intimsten Informationen. Eine Praxissoftware auf Azure? Microsoft kann zur Herausgabe gezwungen werden.
Journalisten
Quellenschutz ist lebenswichtig – manchmal buchstäblich. Metadaten verraten, wer mit wem kommuniziert. Für manche Quellen ist das tödlich.
Die Verteidigung “Aber alle nutzen Microsoft” wird vor Gericht nicht gut ankommen. Die Verteidigung “Ich wusste nicht, dass amerikanische Behörden Zugriff haben könnten” ebenso wenig.
Berufsgeheimnisträger tragen persönliche Verantwortung. Sie können sich nicht hinter ihrer IT-Abteilung verstecken.
Was bedeutet das für Sie konkret?
Wenn Sie Microsoft 365, Google Workspace, Salesforce, Zoom, Slack, Dropbox, AWS, Azure oder einen anderen amerikanischen Cloud-Dienst nutzen:
- Ihre Daten können von US-Behörden angefordert werden. Der physische Standort des Servers ist irrelevant.
- Sie werden möglicherweise nicht informiert. Gag Orders können dem Unternehmen verbieten, Sie zu benachrichtigen.
- Sie können sich nicht wehren. Es gibt kein deutsches Gericht, das Sie schützt.
- Sie bewegen sich in einer rechtlichen Grauzone. DSGVO vs. CLOUD Act – diesen Widerspruch können Sie nicht auflösen.
- Sie tragen das Risiko. Wenn die Aufsichtsbehörde morgen durchgreift, tragen Sie die Konsequenzen. Nicht Microsoft. Sie.
Die Lösung liegt nicht in besseren Verträgen
Sie liegt in anderen Strukturen.
Die gute Nachricht: Es gibt Alternativen. Es gibt einen Weg, die Kontrolle zurückzugewinnen, ohne in die digitale Steinzeit zurückzufallen.
Dieser Weg heißt digitale Souveränität. Und er ist pragmatischer, als Sie vielleicht denken.
Die Frage ist nicht, ob Sie etwas zu verbergen haben.
Die Frage ist, wer entscheiden darf, was verborgen bleibt.
Wie abhängig ist Ihr Unternehmen?
In 30 Minuten analysieren wir Ihre aktuelle Situation und zeigen konkrete Alternativen.