Skip to main content
Zurück zum Blog
Praxisratgeber·14. Juli 2026·5 Min. Lesezeit

Digitale Souveränität: Warum europäische Kanzleien auf EU-Cloud setzen

90% der EU-Daten liegen auf US-Infrastruktur. Warum Kanzleien auf EU-Cloud und On-Premise umsteigen und worauf es bei der Wahl ankommt.

Steffen Müller · Patent Technology Specialist

Digitale Souveränität: Das Ende der Naivität bei der Datenhaltung

Ein unbequemer Fakt: Rund 90% der in der EU erzeugten Daten werden auf Infrastruktur verarbeitet und gespeichert, die von US-amerikanischen Anbietern kontrolliert wird. Amazon Web Services, Microsoft Azure und Google Cloud dominieren den europäischen Cloud-Markt mit einem kombinierten Marktanteil von über 70%. Für allgemeine Geschäftsdaten mag das akzeptabel sein. Für die sensibelsten Daten, die eine Anwaltskanzlei verwaltet - unveröffentlichte Patentanmeldungen, Erfindungsgeheimnisse, Prozessstrategien - ist es ein Problem.

2026 ist das Jahr, in dem europäische Kanzleien diese Naivität ablegen. Nicht aus Paranoia, sondern aus regulatorischer Notwendigkeit und strategischem Kalkül.

Das Problem: Cloud Act und FISA 702

Der US CLOUD Act von 2018 gibt US-Behörden das Recht, auf Daten zuzugreifen, die von US-Unternehmen kontrolliert werden - unabhängig davon, wo die Server physisch stehen. Ein Patent-Drafting-Tool, das auf Azure-Servern in Frankfurt läuft, aber von Microsoft betrieben wird, unterliegt dem Cloud Act. Punkt.

Section 702 des Foreign Intelligence Surveillance Act (FISA) erweitert diese Zugriffsrechte auf die Überwachung von Kommunikation ausländischer Personen. Die Verlängerung von FISA 702 im April 2024 hat den Anwendungsbereich sogar noch ausgeweitet.

Der Europäische Gerichtshof hat in Schrems II (C-311/18) unmissverständlich klargestellt, dass das US-Datenschutzniveau nicht dem europäischen entspricht. Das EU-US Data Privacy Framework von 2023 bietet eine Rechtsgrundlage für Datentransfers, aber es adressiert das grundsätzliche Zugriffsproblem nicht - US-Behörden behalten ihre Zugriffsrechte.

Für Kanzleien, die der anwaltlichen Schweigepflicht unterliegen, ist das keine theoretische Sorge. Ein Zugriff durch US-Behörden auf Mandantendaten - auch wenn er technisch möglich, aber praktisch selten ist - stellt einen Bruch des Mandatsgeheimnisses dar, der berufsrechtliche und haftungsrechtliche Konsequenzen haben kann.

Souveräne Cloud: Was der Markt bietet

Die Antwort auf dieses Problem ist nicht der Rückzug aus der Cloud, sondern die Wahl der richtigen Cloud. Der Markt für souveräne Cloud-Lösungen hat sich seit 2024 rapide entwickelt.

US-Anbieter mit "souveränen" Angeboten: Microsoft hat mit Azure Confidential Computing und dem "EU Data Boundary" Maßnahmen ergriffen, die sicherstellen sollen, dass EU-Daten in der EU bleiben. AWS bietet "European Sovereign Cloud" als separaten Service an. Diese Angebote sind technisch solide, lösen aber das Cloud-Act-Problem nicht grundsätzlich - die Betriebsgesellschaft bleibt amerikanisch.

Europäische Alternativen: OVHcloud (Frankreich), IONOS (Deutschland), Hetzner (Deutschland), UpCloud (Finnland) und andere bieten Cloud-Infrastruktur, die vollständig unter europäischer Kontrolle steht. Die Leistungsfähigkeit dieser Anbieter hat sich in den letzten Jahren erheblich verbessert, auch wenn sie bei einzelnen Managed Services nicht mit dem Ökosystem von AWS oder Azure mithalten.

Gaia-X und EUCS: Die europäischen Initiativen für Cloud-Zertifizierung schreiten voran. Das European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) wird erstmals einen einheitlichen europäischen Standard für Cloud-Sicherheit etablieren. Die finale Version wird für 2026/2027 erwartet.

Hybrid-Cloud-Strategien

In der Praxis ist die Lösung selten ein binäres Entweder-Oder. Die meisten Kanzleien werden eine Hybrid-Strategie verfolgen:

Sensible Daten auf europäischer oder eigener Infrastruktur: Patentanmeldungsentwürfe, Mandantenkommunikation, Strategiedokumente, Erfindungsmeldungen. Alles, was unter die anwaltliche Schweigepflicht fällt und dessen Offenlegung kommerziellen Schaden verursachen könnte.

Weniger sensible Daten auf Standard-Cloud: Öffentliche Patentdatenbanken, allgemeine Office-Anwendungen, Website-Hosting, Marketing-Tools. Daten, die entweder bereits öffentlich sind oder deren Kompromittierung keinen signifikanten Schaden verursacht.

KI-Verarbeitung als Sonderfall: KI-Tools verarbeiten Eingabedaten, generieren Zwischenergebnisse und produzieren Ausgaben. Jeder dieser Schritte muss unter Datenschutzgesichtspunkten bewertet werden. Ein Patent-Drafting-Tool, das Erfindungsbeschreibungen als Input nimmt, verarbeitet potenziell die sensibelsten Daten einer Kanzlei. Hier ist eine EU-basierte oder On-Premise-Lösung besonders wichtig.

Die Hybrid-Strategie erfordert eine klare Datenklassifizierung. Kanzleien müssen definieren, welche Daten welchem Schutzniveau unterliegen und welche Infrastruktur dafür geeignet ist. Das klingt aufwendig, ist aber ein einmaliger Definitionsprozess, der danach als Leitlinie für alle IT-Entscheidungen dient.

On-Premise: Die ultimative Souveränität

Für Kanzleien, die maximale Kontrolle wollen oder brauchen, bleibt On-Premise-Betrieb die konsequenteste Lösung. Die Daten verlassen nie die eigene Infrastruktur. Kein Cloud-Anbieter hat Zugriff. Kein ausländisches Gesetz greift.

Die Gegenargumente - hohe Kosten, Wartungsaufwand, fehlende Skalierbarkeit - haben in den letzten Jahren an Gewicht verloren. Moderne On-Premise-Lösungen sind containerisiert, automatisiert und deutlich einfacher zu betreiben als die Server-Schränke der 2010er Jahre. Insbesondere für KI-Anwendungen gibt es inzwischen optimierte Hardware (GPU-Server), die speziell für den Kanzleibetrieb dimensioniert werden kann.

On-Premise ist nicht für jede Kanzlei die richtige Lösung. Für Kanzleien mit mehr als 20 Berufsträgern, die regelmäßig hochsensible Mandatsarbeit durchführen und bereits eine IT-Infrastruktur betreiben, ist es aber eine ernstzunehmende Option, die oft kostengünstiger ist als erwartet.

Evaluierungskriterien für die Infrastrukturwahl

Bei der Bewertung von Infrastrukturoptionen für sensible Patentdaten sollten fünf Kriterien leitend sein:

Rechtliche Kontrolle: Welchem Rechtsraum unterliegt der Anbieter? Welche Behörden können Zugriff verlangen? Gibt es Mechanismen, die einen solchen Zugriff verhindern oder zumindest transparent machen?

Technische Kontrolle: Wer verwaltet die Verschlüsselungsschlüssel? Hat der Anbieter technischen Zugriff auf die Daten im Klartext? Ist eine Verschlüsselung möglich, bei der nur die Kanzlei den Schlüssel hält (Bring Your Own Key / Hold Your Own Key)?

Verfügbarkeit und Ausfallsicherheit: Redundante Rechenzentren, SLA-Garantien, Disaster-Recovery-Konzepte. Gerade für fristgebundene Patentanmeldungen ist Ausfallsicherheit geschäftskritisch.

Zertifizierungen: ISO 27001, SOC 2 Type II, BSI C5. Diese Zertifizierungen sind kein Allheilmittel, aber sie bieten eine objektive Bewertungsgrundlage und erleichtern die Compliance-Dokumentation.

Exit-Strategie: Wie einfach ist ein Anbieterwechsel? Sind die Daten in portablen Formaten exportierbar? Gibt es Lock-in-Effekte? Eine souveräne Infrastrukturstrategie muss auch den Wechsel des Anbieters berücksichtigen.

Fazit

Digitale Souveränität ist kein protektionistisches Konzept - es ist die logische Konsequenz aus der Verpflichtung, Mandantengeheimnisse zu schützen, regulatorische Anforderungen zu erfüllen und die eigene Infrastrukturstrategie zukunftssicher zu gestalten.

Die gute Nachricht: Der Markt für europäische und souveräne Cloud-Lösungen war nie besser als 2026. Die Alternativen sind ausgereift, die Kosten wettbewerbsfähig, die Migrationswege gut dokumentiert. Wer jetzt handelt, gewinnt Kontrolle, ohne Leistung zu verlieren.


WunderIP bietet EU-Serverstandorte und optionale On-Premise-Bereitstellung - maximale Datenkontrolle für Ihre Patentarbeit. Jetzt informieren.

Digitale SouveränitätEU CloudOn-PremiseDatenschutzCloud Act
Teilen

Bereit, Ihren IP-Workflow zu transformieren?

Starten Sie Ihre 14-tägige kostenlose Testversion. Keine Kreditkarte erforderlich.