Deutsche Unternehmen sollten jetzt auf europäische E-Mail-Server wechseln

Die E-Mail ist das Rückgrat der Unternehmenskommunikation. Doch was viele Geschäftsführer und IT-Verantwortliche nicht wissen: Mit der Nutzung amerikanischer E-Mail-Dienste wie Microsoft Exchange oder Google Workspace gehen sie erhebliche rechtliche und wirtschaftliche Risiken ein. In diesem Artikel erfahren Sie, warum das so ist – und welche Alternativen es gibt.

Das Problem mit amerikanischen Cloud-Diensten

Der CLOUD Act: Wenn US-Behörden mitlesen können

Im März 2018 verabschiedete der US-Kongress den
CLOUD Act (Clarifying Lawful Overseas Use of Data Act).
Dieses Gesetz verpflichtet amerikanische Unternehmen – und dazu gehören
Microsoft, Google und Amazon – auf Anfrage von US-Behörden
alle gespeicherten Daten herauszugeben.
Und zwar unabhängig davon, wo auf der Welt diese Daten physisch gespeichert sind.

Was bedeutet das konkret?

Selbst wenn Microsoft Ihre E-Mails in einem deutschen Rechenzentrum speichert,
können US-Behörden Zugriff verlangen. Microsoft ist gesetzlich verpflichtet,
diesem Verlangen nachzukommen – ohne Sie zu informieren und ohne dass ein
deutsches Gericht zustimmen müsste.

„Der CLOUD Act hebelt die europäische Datenschutzgrundverordnung faktisch aus.
Unternehmen, die amerikanische Cloud-Dienste nutzen, können keine vollständige
DSGVO-Konformität garantieren.“

Das Schrems-II-Urteil: Der EuGH setzt ein Zeichen

Am 16. Juli 2020 erklärte der Europäische Gerichtshof das
Privacy Shield für ungültig. Dieses Abkommen sollte eigentlich
den Datentransfer zwischen der EU und den USA auf eine rechtssichere Basis stellen.
Der EuGH urteilte jedoch, dass die USA kein angemessenes Datenschutzniveau bieten.

Die Konsequenzen:

• Datentransfers in die USA sind rechtlich problematisch
• Unternehmen müssen zusätzliche Schutzmaßnahmen nachweisen
• Aufsichtsbehörden können Bußgelder verhängen
• Die Verantwortung liegt beim datenverarbeitenden Unternehmen – also bei Ihnen

Das EU-US Data Privacy Framework: Eine Lösung?

Im Juli 2023 trat das neue EU-US Data Privacy Framework in Kraft.
Viele Unternehmen atmeten auf – doch die Erleichterung könnte verfrüht sein.

Kritikpunkte am neuen Rahmenwerk:

• US-Gesetze wie CLOUD Act und FISA 702 wurden nicht geändert
• NOYB (Max Schrems) hat bereits eine Anfechtung angekündigt
• Experten rechnen mit einem „Schrems III“-Urteil
• Die Rechtsunsicherheit bleibt bestehen

Konkrete Risiken für deutsche Unternehmen

1. Bußgelder nach DSGVO

Bußgelder nach Art. 83 DSGVO können bis zu
20 Millionen Euro oder
4 % des weltweiten Jahresumsatzes betragen.

Beispiele aus der Praxis:

• Untersagung von Google Analytics durch portugiesische Behörden
• Feststellung der DSGVO-Widrigkeit durch die österreichische DSB
• Verstärkte Prüfungen deutscher Aufsichtsbehörden

2. Berufsgeheimnisträger in der Zwickmühle

• § 203 StGB schützt das Berufsgeheimnis
• Weitergabe sensibler Daten kann strafbar sein
• US-Cloud-Dienste können diesen Schutz nicht garantieren
• Berufsverbände warnen explizit

Die Bundesrechtsanwaltskammer empfiehlt ausdrücklich europäische Cloud-Anbieter.

3. Geschäftsgeheimnisse und Wirtschaftsspionage

• Industriespionage unter dem Deckmantel der Strafverfolgung
• Wettbewerbsverzerrung zugunsten US-Unternehmen
• Zugriff auf sensible Geschäftsinformationen

4. Abhängigkeit und Preispolitik

• 2022: Preiserhöhung bis zu 20 %
• 2023: Lizenzmodell-Änderungen
• 2024: Zusatzkosten durch Copilot-Lizenzen

Der Vergleich: Microsoft Exchange vs. Deutscher Managed E-Mail Server

Fazit: Digitale Souveränität beginnt bei der E-Mail

Wer sensible Unternehmensdaten amerikanischen Cloud-Anbietern anvertraut,
gibt Kontrolle ab – nicht aus bösem Willen, sondern aufgrund gesetzlicher Zwänge.

Digitale Souveränität bedeutet:

• Kontrolle über Ihre Daten
• Rechtssicherheit
• Unabhängigkeit
• Planbare Kosten

Hier geht es zu unserer E-Mail Server Lösung