Zusammenfassung: Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten in Clouds von US-Anbietern – auch in EU-Rechenzentren. Schrems II macht DSGVO-konforme Datenübermittlung juristisch fragil. Gleichzeitig steigen SaaS-Kosten Jahr für Jahr. Die Antwort für KMU heißt 2026 zunehmend: kontrolliertes, selbst gehostetes Setup auf Servern in Deutschland.
Der CLOUD Act – das unterschätzte Risiko
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) verpflichtet US-Unternehmen, auf Anordnung von US-Behörden Daten herauszugeben – unabhängig davon, wo diese Daten gespeichert sind. Das betrifft Microsoft 365, Google Workspace, AWS, Dropbox, Slack und viele weitere Dienste, die Mittelständler täglich nutzen. Die Datenhaltung „in der EU“ reicht nicht, solange der Anbieter US-rechtlich angreifbar ist.
Schrems II – warum Standardvertragsklauseln nicht reichen
Der EuGH hat 2020 den Privacy Shield gekippt. Seitdem müssen Unternehmen bei jeder Datenübermittlung in die USA eigenständig prüfen, ob der Schutz vor Geheimdienstzugriff dem EU-Standard entspricht – und dokumentieren. Für KMU ist diese Prüfung in der Praxis kaum leistbar. Der sauberste Weg ist, die Datenübermittlung gar nicht entstehen zu lassen.
Die drei konkreten Probleme im Alltag
- Haftung: Als Verantwortlicher haften Sie für die DSGVO-Konformität Ihrer Verarbeiter – auch wenn Microsoft und Google Ihnen versichern, alles sei in Ordnung.
- Kostendruck: Lizenzpreise von Microsoft, Google und Salesforce sind 2023–2026 spürbar gestiegen. Pro Mitarbeiter und Monat summieren sich Office-, Zoom-, Dropbox- und CRM-Abos auf 60–120 €.
- Vendor-Lock-in: Je mehr Workflows in einer SaaS-Suite liegen, desto teurer wird der Ausstieg. Wer heute nicht plant, kauft sich einen Ausstieg über Jahre mit ein.
Was eine souveräne Alternative aussieht
Souveränität bedeutet nicht, auf Komfort zu verzichten. Es bedeutet, Technologie zu wählen, bei der Sie den Betreiber und das Rechenzentrum kennen – und ein Exit jederzeit möglich bleibt. Drei Open-Source-Plattformen decken den Großteil dessen ab, was KMU heute tatsächlich brauchen:
- Nextcloud – Files, Office, Video-Meetings, Kalender, Kontakte, Mail. Deutsche Firma aus Stuttgart. Ersatz für den Großteil von Microsoft 365.
- OpenCloud – moderne, schlanke File-Cloud aus Deutschland. Nachfolger des ownCloud-Projekts, seit 2024 eigenständig.
- n8n – Workflow-Automation aus Berlin. Die Open-Source-Alternative zu Zapier und Make, mit starker KI-Integration.
So sieht ein realistischer Migrationspfad aus
- Bestandsaufnahme (1–2 Wochen): Welche US-SaaS nutzen Sie wofür? Welche Workflows sind kritisch? Welche Daten sind besonders sensibel?
- Pilot (4–6 Wochen): Ein Team (z. B. Geschäftsführung oder eine Abteilung) nutzt die neue Plattform parallel zum Altsystem.
- Rollout (8–12 Wochen): Schrittweise Migration nach Team oder Funktion. Schulung inklusive.
- Abschaltung Altsystem: Daten archivieren, Lizenzen kündigen, Kosten freisetzen.
Was Sie davon haben
- Rechtssicherheit: Daten unter deutscher Rechtshoheit, DSGVO-konform, AV-Vertrag mit klar benanntem deutschem Verarbeiter.
- Kostenkontrolle: Linear skalierende Infrastrukturkosten statt unvorhersehbarer SaaS-Preiserhöhungen.
- Exit-Option: Open Source und offene Standards – bei Bedarf wechseln Sie den Betreiber oder bringen das System ins eigene Haus.
- Resilienz: Weniger Abhängigkeit von einzelnen US-Anbietern – robuster gegen geopolitische Risiken.
Häufige Einwände – und was dahinter steckt
„Das ist zu kompliziert für uns.“
Nicht, wenn Sie nicht selbst hosten. Als Managed Service bekommen Sie die gleiche Nutzererfahrung wie bei Microsoft 365 – nur eben betrieben aus Deutschland.
„Microsoft läuft doch einwandfrei.“
Bis es nicht mehr einwandfrei läuft – oder bis die Datenschutz-Behörde anklopft. Souveränität ist wie Versicherung: Sie zahlt sich dann aus, wenn es drauf ankommt.
„Unsere Kunden erwarten Teams.“
Nextcloud Talk und Jitsi lassen sich genauso in Kalender-Einladungen einbetten. Die meisten Geschäftspartner akzeptieren das ohne Rückfragen, wenn die Einladung sauber aussieht.
Reden wir über Ihren nächsten Freiraum-Moment.
Kostenlose Erstberatung, unverbindlich, 30 Minuten. Wir hören zu, skizzieren Optionen, Sie entscheiden.