Wenn ein US-Dekret die E-Mails einer europäischen Organisation abschaltet
Eine Executive Order in Washington kann den Login einer ganzen Organisation in Europa abschalten. Der IStGH-Vorfall zeigt, warum vertragliche und juristische Trennung von US-Anbietern keine akademische Frage mehr ist.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Der Mechanismus
- Der Fall, der das Risiko sichtbar gemacht hat
- Was daraus folgt
- Abgelehnte Alternativen und Mythen
- Was Sie jetzt tun sollten
- Wie Dernium hier hilft
- Offene Punkte
- Häufige Fragen
- Schützt mich ein Rechenzentrum in Deutschland vor einem US-Lockout?
- Hilft Verschlüsselung gegen dieses Risiko?
- Warum trifft eine Sanktion gegen eine Person gleich die ganze Organisation?
- Reicht ein "Sovereign Cloud"-Paket eines US-Anbieters aus?
- Ist dieses Risiko nur für Behörden und internationale Organisationen relevant?
Problem
Cloud-Verträge mit US-Anbietern enthalten eine implizite Sanktions-Klausel. Sie steht nicht in den AGB, sondern im US-Recht, und sie kann den Login einer ganzen Organisation mit einer Anweisung aus Washington heraus abschalten. Wer das für bloß hypothetisch hält, hat im vergangenen Jahr nicht genau hingeschaut.
Für wen ist das? Für Verantwortliche, die Abhängigkeiten von US-Anbietern bewerten.
Kurze Antwort
Eine US-Person ist gesetzlich verpflichtet, eine US-Sanktion zu vollziehen - und kein europäisches Rechenzentrum hebelt das aus. Im Kern:
- US-Anbieter (Microsoft, AWS, Google) und ihre ausländischen Töchter dürfen einer sanktionierten Person keine Dienste mehr bereitstellen, technische Dienste eingeschlossen.
- Der Serverstandort (etwa Frankfurt) ändert daran nichts, solange der Mutterkonzern eine US-Person ist.
- Verschlüsselung, "Sovereign Cloud"-Pakete und EU-Rechenzentren schützen die Daten, nicht aber den Zugang: Wird der Login deaktiviert, nützt all das nichts.
- Robust ist nur eine Lieferkette, in der keine US-Person an der Erbringung beteiligt ist - Vertragspartner und Betreiber ausschließlich in Europa, ohne Tochterverhältnis zu einem US-Konzern.
Der Mechanismus
Das einschlägige Werkzeug ist der International Emergency Economic Powers Act (IEEPA, ein US-Gesetz, das dem Präsidenten weitreichende Sanktions-Befugnisse gibt). Erklärt ein US-Präsident per Executive Order (Präsidialdekret mit Gesetzeskraft) eine Person für sanktioniert, dürfen US-Unternehmen ihr keine "funds, goods, or services" mehr bereitstellen, einschließlich technischer Dienste. Die Pflicht trifft den US-Konzern und seine ausländischen Töchter; Verstöße werden in den USA verfolgt. Eine deutsche GmbH-Tochter eines amerikanischen Anbieters folgt der Konzernanordnung, weil sonst der Vorstand persönlich haftet.
Der Fall, der das Risiko sichtbar gemacht hat
Im Frühjahr 2025 verlor Karim Khan, der Chefankläger des Internationalen Strafgerichtshofs (IStGH, das ständige Gericht in Den Haag für Völkerstraftaten), den Zugang zu seinem Microsoft-E-Mail-Konto. Vorausgegangen war eine Executive Order als Reaktion auf IStGH-Haftbefehle gegen israelische Regierungsmitglieder. Britische Bankkonten Khans wurden eingefroren, US-Reisen für IStGH-Mitarbeitende blockiert. Khan wechselte auf einen Schweizer Mail-Anbieter; einige Monate später verließ der IStGH Microsoft 365 komplett.
Bemerkenswert ist die Eskalations-Logik des Vorfalls: sanktioniert ist eine Person, abgeschaltet wird ein Account, gefährdet ist die ganze Organisation. Ein moderner Cloud-Anbieter trennt Personen-Accounts nicht sauber von Mandantendiensten. Verzeichnisdienste, geteilte Postfächer, SSO-Sitzungen (Single Sign-On, die einmalige Anmeldung für mehrere Dienste), Kalenderfreigaben hängen am selben Vertrag. Wer einen Mitarbeitenden zwingen kann, zwingt indirekt den ganzen Tenant (Mandant, die abgegrenzte Organisations-Instanz beim Cloud-Anbieter).
Was daraus folgt
Datensouveränität ist nicht primär eine Datenschutzfrage, sondern eine Frage darüber, wer den Stecker ziehen kann. Verschlüsselung im Ruhezustand schützt nichts, wenn der Login deaktiviert wird. Vertragliche Garantien beim US-Anbieter, europäische Rechenzentren, lokale Tochtergesellschaften und "Sovereign Cloud"-Pakete decken den Datenexport ab, nicht aber den Zugang. Der Mutterkonzern bleibt US-Person; ein Dekret wirkt durch.
Der einzige robuste Hebel ist juristische Trennung. Vertragspartner und Betreiber müssen ausschließlich in Europa sitzen, ohne Tochterverhältnis zu einem US-Konzern. Das ist unbequem, weil es echten Marktaufbau erfordert statt einer Konfigurations-Zeile. Aber kein anderer Weg schließt die Lücke.
Abgelehnte Alternativen und Mythen
"Unsere Daten liegen doch in einem Rechenzentrum in der EU." Das deckt den Datenstandort ab, nicht den Zugang. Solange der Betreiber eine US-Person oder deren Tochter ist, kann ein US-Dekret den Login abschalten, egal wo die Festplatten stehen.
"Wir haben ein 'Sovereign Cloud'-Paket gebucht." Solche Pakete adressieren in der Regel Datenresidenz und Betriebspersonal, ändern aber nichts daran, dass der Mutterkonzern dem US-Recht unterliegt. Die Sanktions-Pflicht wirkt durch die Konzernstruktur hindurch.
"Verschlüsselung schützt uns." Verschlüsselung schützt den Inhalt vor fremdem Mitlesen. Sie hilft nicht, wenn der Anbieter Ihren Zugang deaktivieren muss - dann kommen Sie selbst nicht mehr an die verschlüsselten Daten.
"Das betrifft nur internationale Gerichte, nicht uns." Der Mechanismus ist allgemein: Er trifft jede Person oder Organisation, die auf eine US-Sanktionsliste gerät. Ob das je passiert, ist eine Risikoabwägung - der technische Hebel existiert unabhängig davon.
Was Sie jetzt tun sollten
- Identifizieren Sie Ihre kritischen Dienste (E-Mail, Identität/Login, Dateiablage, Kalender) und klären Sie je Dienst, wer Vertragspartner und Betreiber ist - und ob dahinter eine US-Person steht.
- Trennen Sie in der Bewertung Datenstandort von Zugang: Fragen Sie nicht nur "wo liegen die Daten", sondern "wer kann unseren Login abschalten".
- Priorisieren Sie die Identität: Wer Ihren zentralen Login kontrolliert, kontrolliert im Zweifel alles daran Hängende. Ein anbieterunabhängiger oder europäischer Identitäts-Anker reduziert die Hebelwirkung.
- Halten Sie für Ihre wichtigsten Dienste einen praktikablen Ausweichpfad bereit (Datenexport, alternativer Anbieter), damit ein Lockout Sie nicht überrascht.
- Prüfen Sie bei strategischen Diensten den Wechsel zu Anbietern ohne US-Tochterverhältnis - das schließt die Lücke, die Konfiguration und Verträge allein nicht schließen.
Wie Dernium hier hilft
Dernium baut Identität und Arbeitsplatz so, dass keine US-Person im kritischen Pfad steht. Alle Systeme werden ausschließlich in Deutschland entwickelt und laufen auf Servern in Deutschland. Dernium Desk liefert einen vollwertigen Browser-Arbeitsplatz auf eigener Infrastruktur. Dernium Office deckt Texte, Tabellen und Whiteboards mit Ende-zu-Ende-Verschlüsselung ab, sodass selbst Dernium die Inhalte nicht lesen kann. Zahlreiche weitere Werkzeuge ergänzen das Portfolio in sicherheitsrelevanten Spezialanwendungen.
Eine Executive Order aus Washington kann an diesen Diensten nichts ändern.
Offene Punkte
Souveränität ist gradient, nicht binär. Halbleiter, Netzwerk-Hardware und Energie sind weiterhin global. Aber der Hebel verlagert sich: ein Dekret in Washington wirkt nicht mehr unmittelbar auf eine Software, die in Den Haag eingesetzt wird.
Häufige Fragen
Schützt mich ein Rechenzentrum in Deutschland vor einem US-Lockout?
Nur teilweise. Der Standort regelt, wo Ihre Daten liegen, nicht, wer den Zugang abschalten kann. Solange der Vertragspartner oder Betreiber eine US-Person oder deren Tochter ist, gilt für ihn US-Recht, und eine Sanktions-Anordnung kann den Login deaktivieren - unabhängig vom Serverstandort.
Hilft Verschlüsselung gegen dieses Risiko?
Gegen unbefugtes Mitlesen ja, gegen einen Lockout nein. Verschlüsselung verbirgt den Inhalt vor Dritten. Wird Ihr Zugang aber deaktiviert, kommen auch Sie selbst nicht mehr an Ihre verschlüsselten Daten. Das Risiko liegt beim Zugang, nicht bei der Vertraulichkeit.
Warum trifft eine Sanktion gegen eine Person gleich die ganze Organisation?
Weil moderne Cloud-Dienste Personen-Konten und gemeinsame Dienste nicht sauber trennen. Verzeichnis, geteilte Postfächer, einmalige Anmeldung und Kalenderfreigaben hängen am selben Vertrag. Wird das Konto einer einzelnen sanktionierten Person abgeschaltet, kann das Funktionen treffen, an denen die gesamte Organisation hängt.
Reicht ein "Sovereign Cloud"-Paket eines US-Anbieters aus?
Es verbessert die Datenresidenz und das Betriebsmodell, löst aber das Kernproblem nicht. Solange der Mutterkonzern eine US-Person ist, wirkt eine US-Sanktions-Pflicht durch die Konzernstruktur. Die Lücke schließt erst ein Anbieter ohne Tochterverhältnis zu einem US-Konzern.
Ist dieses Risiko nur für Behörden und internationale Organisationen relevant?
Der Auslöser - eine US-Sanktion - trifft am ehesten exponierte Stellen, aber der Mechanismus ist allgemein und an keine Branche gebunden. Für die meisten Unternehmen ist es eine Risikoabwägung: Wie kritisch ist der jeweilige Dienst, und wie schwer wiegt ein plötzlicher Verlust des Zugangs. Der technische Hebel besteht unabhängig davon, ob er je gezogen wird.