René Floitgraf info@rene-floitgraf.de +49 2402 385700

    • Digitale Souveränität: Was wir vom niederländischen Solvinity-Verbot lernen können

    3. Juni 2026 René Floitgraf
    0 Comment
    Datenschutz

    Sind US-Clouds in Gefahr?

    Während in Deutschland seit Jahren diskutiert wird, ob US-Dienstleister wegen der US-Gesetzgebung ein Risiko darstellen, haben die Niederlande in einem konkreten Fall entschieden – und ein US-Investment an kritischer Infrastruktur untersagt.

    Bei uns dreht sich die Debatte oft im Kreis: Ist der CLOUD Act überhaupt anwendbar? Und falls ja – verstößt am Ende die US-Mutter gegen US-Recht oder die EU-Tochter gegen EU-Recht? Eine Frage, die in der Praxis selten beantwortet wird, weil eine Herausgabe an US-Behörden in aller Regel im Verborgenen abliefe. Der niederländische Fall zeigt, wie ein Staat diese Unsicherheit auflöst, bevor sie zum Problem wird.

    Was geschah

    Die niederländische Regierung hat die geplante Übernahme des Cloud- und IT-Dienstleisters Solvinity durch den US-Konzern Kyndryl (ein IBM-Spin-off) vollständig untersagt. Der Hintergrund hat Gewicht: Solvinity betreibt zentrale Teile der niederländischen Staats-IT, unter anderem die Infrastruktur hinter DigiD, dem digitalen Identitätssystem, über das Millionen Bürger Steuererklärung, Gesundheitsdienste und Behördengänge abwickeln.

    Bemerkenswert sind die Details:

    • Es ist die erste Übernahme überhaupt, die das niederländische Bureau Toetsing Investeringen (BTI) seit seinem Bestehen vollständig verboten hat – ein echter Präzedenzfall.
    • Rechtsgrundlage ist die Wet ongewenste zeggenschap telecommunicatie (WOZT), das niederländische Investitionsprüfungsrecht für die digitale Infrastruktur.
    • Das BTI prüfte und empfahl schließlich ein vollständiges Verbot, dem die zuständige Staatssekretärin folgte.

    Wichtig für die Einordnung: Die Regierung begründet das Verbot ausdrücklich landesneutral, risikobasiert und proportional. Offiziell geht es um den Schutz des öffentlichen Interesses, nicht um die US-Nationalität des Käufers; man betont sogar den Wert ausländischer – auch amerikanischer – Technologieunternehmen für den Standort. Das ist die diplomatische Sprachregelung des amtlichen Dokuments, und es ist fair, sie als solche zu zitieren.

    Der CLOUD Act war das Argument im Parlament

    So neutral die amtliche Begründung formuliert ist – der politische Antrieb hinter dem Fall war ein anderer. In der parlamentarischen Debatte wurde sehr konkret die Sorge geäußert, dass US-Gesetze wie der CLOUD Act einen amerikanisch kontrollierten Betreiber zwingen könnten, Daten herauszugeben oder den Zugang zu DigiD einzuschränken. Im Raum standen die Daten von über 16 Millionen DigiD-Nutzern.

    Genau hier liegt die für uns interessante Spannung: Während die Regierung formal neutral argumentiert, war es im Kern die Frage der Kontrolle über kritische Infrastruktur unter fremder Jurisdiktion, die den Ausschlag gab. Man muss die Zuspitzung „Schock für die USA“ aus diversen Quellen also nicht teilen, um den eigentlichen Punkt zu erkennen.

    Nicht alle Fraktionen trugen diese Linie mit: JA21 stimmte gegen die entsprechende Kammer-Motie und kritisierte sie als Symbolpolitik, die alle US-Unternehmen über einen Kamm schere und mit bestehenden Regeln in Konflikt geraten könne.

    Die juristische Einordnung: das Gutachten der Uni Köln

    Wer das CLOUD-Act-Argument für übertrieben hält, sollte einen Blick in das im Auftrag des Bundesinnenministeriums erstellte und von der Universität zu Köln veröffentlichte Rechtsgutachten werfen. Dessen Kernaussagen treffen genau den niederländischen Fall:

    • Entscheidend ist nicht, wo die Daten liegen, sondern wer die Kontrolle über sie hat. Sitzt der Anbieter in den USA, unterliegt er CLOUD Act, FISA Section 702 und Stored Communications Act – und mit ihm grundsätzlich auch seine europäischen Tochtergesellschaften.
    • Der physische Speicherort in Frankfurt oder Dublin ist juristisch damit weitgehend irrelevant.
    • Das Zugriffsrisiko ist nach dem Gutachten nicht rein abstrakt, sondern konkret – und vertragliche Zusicherungen ändern an der Vorrangwirkung der US-Gesetze nichts.

    Das ist der Punkt, an dem eine „Es-wird-schon-nichts-passieren“-Haltung an ihre Grenzen kommt. Wenn ein Anbieter strukturell verpflichtet sein kann, im Ernstfall herauszugeben, dann ist die Kontrolle über kritische Infrastruktur keine reine Detailfrage mehr, sondern eine Frage der Resilienz.

    Was das für die Praxis bedeutet

    Eine pragmatische Konsequenz: Die Jurisdiktion eines Dienstleisters ist weiterhin ein Risikofaktor, den man neben der technischen IT-Sicherheit bewerten muss. Die Frage lautet nicht pauschal „Cloud: ja oder nein?“, sondern „Welche Cloud, unter welcher Rechtsordnung – und mit welcher dokumentierten Risikoabwägung?“.

    Konkret heißt das: bei kritischen oder besonders schützenswerten Daten eine saubere Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, eine dokumentierte Abwägung im Rahmen der Rechenschaftspflicht – und, wo sinnvoll, die ernsthafte Prüfung europäischer Alternativen. Nicht aus Prinzip gegen US-Anbieter, sondern als bewusste, nachvollziehbare Entscheidung.

    Der niederländische Fall ist ein gutes Beispiel dafür, dass digitale Souveränität von einer abstrakten Forderung zu einer konkreten Entscheidung werden kann. Vielleicht ein guter Anlass, die eigene Risikoabwägung noch einmal zu schärfen.

    Quellen

    • Primärquelle: Kamerbrief „Besluit investeringstoetsing Solvinity“ der niederländischen Regierung – open.overheid.nl
    • Einordnung u. a. bei stock3 sowie in der niederländischen Fachpresse (Techzine, iBestuur, NL Times)
    • Rechtsgutachten der Universität zu Köln (im Auftrag des BMI) zum US-Behördenzugriff auf EU-Daten
    • Öffentlich rechtliche Informationen zur Debatte (Link 1, Link 2)

    Der Beitrag Digitale Souveränität: Was wir vom niederländischen Solvinity-Verbot lernen können erschien zuerst auf CompliPro GmbH.

    René Floitgraf hat 4,98 von 5 Sternen 20 Bewertungen auf ProvenExpert.com