Europäisch zu wählen reicht nicht: wo EU-Software weiter dem US-CLOUD-Act unterliegt
Wir haben 184 EU- und privacy-first SaaS-Tools auf CLOUD-Act-Risiko geprüft. Nur 34% sind vollständig frei davon — und in fünf Kategorien, darunter Zahlungen, kein einziges. Das Risiko kommt selten daher, dass der Anbieter US-amerikanisch ist, sondern aus dem Stack darunter.
Nur 34% der privacy-first-Tools Europas sind vollständig frei vom CLOUD Act
Wir haben 184 EU- und privacy-first SaaS-Tools aus 22 Kategorien auf ihr CLOUD-Act-Risiko geprüft — also darauf, ob ein US-Mutterkonzern, eine US-Inkorporation oder ein zentraler US-Unterauftragsverarbeiter Kundendaten der extraterritorialen Reichweite des US-Rechts aussetzen kann. Es sind genau die Tools, zu denen europäische Käufer greifen, wenn sie US-Software bewusst verlassen wollen. Trotzdem liegt nur eine Minderheit vollständig außerhalb der Reichweite des Gesetzes.
| CLOUD-Act-Risiko | Tools | Anteil |
|---|---|---|
| Keines — EU-Betreiber, kein US-Mutterkonzern, keine nennenswerten US-Unterauftragsverarbeiter | 62 | 33,7% |
| Gering — ein transienter US-Unterauftragsverarbeiter (CDN, Karten); Daten im Ruhezustand bleiben in der EU | 60 | 32,6% |
| Erheblich — US-Mutterkonzern oder ein zentraler Unterauftragsverarbeiter ist ein US-Hyperscaler | 58 | 31,5% |
| Direkt — der Betreiber selbst ist in den USA inkorporiert | 4 | 2,2% |
| Jegliches Risiko (gering + erheblich + direkt) | 122 | 66,3% |
Fast zwei von drei dieser europäischen Alternativen tragen also weiterhin ein US-Risiko, und rund ein Drittel (34%) trägt ein erhebliches oder direktes Risiko — ein US-Eigentümer, eine US-Inkorporation oder ein US-Hyperscaler im Kern des Stacks. Die Zahlen sind ein Stand unseres Datensatzes vom 10. Juni 2026; wir verifizieren Einträge vierteljährlich neu.
Nicht die Flagge des Unternehmens ist das Problem, sondern der Stack darunter
Das Risiko kommt selten daher, dass der Anbieter US-amerikanisch ist. Es kommt aus dem, was darunter läuft: Hosting, Unterauftragsverarbeiter und die Herkunft des Kapitals.
- Strapi (Frankreich) und Storyblok (Österreich) sind in Europa gebaute Headless-CMS — beide als erheblich eingestuft, über ihre Infrastruktur- und Eigentümerkette.
- Mollie (Niederlande), GoCardless, Klarna (Schweden), SumUp und Mangopay sind europäische Zahlungsnamen — alle erheblich.
- Cal.com ist Open Source und in Europa weit verbreitet, doch die Betreibergesellschaft ist in den USA inkorporiert (direkt).
Das Eigentum erzählt dieselbe Geschichte. Von den 184 Tools sind 58% EU-eigen, aber 17% haben ihren Sitz in der EU und werden dennoch US-finanziert — und Kontrolle wie auch Infrastrukturentscheidungen folgen tendenziell dem Kapital. Weitere 22% liegen in Nicht-EU-, aber angemessenheitsnahen Jurisdiktionen wie der Schweiz und dem Vereinigten Königreich, und 3% sind US-eigen.
Für Käufer ist die praktische Lehre einfach: eine europäische Marke ist nicht dasselbe wie das Verlassen der US-Jurisdiktion. Darüber entscheidet die Unterauftragsverarbeiter-Kette, und sie muss Tool für Tool gelesen werden.
Fünf Kategorien, in denen keine Option vollständig frei ist
In 5 von 22 Kategorien ist kein einziges von uns geprüftes Tool frei von CLOUD-Act-Risiko:
| Kategorie | Tools | Vollständig frei | Detail |
|---|---|---|---|
| Zahlungen | 12 | 0 | 9 von 12 erheblich (Mollie, GoCardless, Klarna, SumUp, Mangopay…) |
| Buchhaltung | 5 | 0 | Pennylane, sevdesk, Visma alle erheblich |
| Headless CMS | 5 | 0 | Strapi und Storyblok, beide in Europa gebaut, erheblich |
| Helpdesk und Live-Chat | 6 | 0 | jedes Tool trägt mindestens einen geringen US-Unterauftragsverarbeiter |
| Kalender und Buchung | 5 | 0 | Cal.com ist direkt (in den USA inkorporiert) |
Zahlungen ist der schärfste Fall. Von den zwölf europäischen Zahlungsanbietern, die wir listen, ist keiner vollständig frei — neun sind erheblich. Der Grund ist strukturell: die darunterliegende Karten- und Cloud-Infrastruktur zieht selbst EU-eigene Anbieter in den Anwendungsbereich. Es ist das klarste Beispiel des Musters im gesamten Datensatz — europäisches Eigentum, US-Risiko, weiter unten in der Kette entschieden.
Wo Europa sehr wohl saubere Optionen hat
Das Bild ist nicht einheitlich. Mehrere Kategorien haben eine starke vollständig-freie Abdeckung:
- Private E-Mail — 9 von 11 frei (Tuta, mailbox.org, Posteo, Infomaniak)
- Cloud-Hosting — 11 von 13 frei (Hetzner, OVHcloud, Scaleway)
- Filesharing — 7 von 14 frei
- Passwort-Manager — 5 von 9 frei
Das Muster ist konsistent: Europa hat vollständig souveräne Optionen dort, wo die Kategorie infrastrukturarm und identitätseigen ist — E-Mail, Speicher, Geheimnisse — und tut sich schwer, wo eine Kategorie von tiefen Zahlungsschienen oder US-gehosteter Plattforminfrastruktur abhängt.
Warum das jetzt zählt
Die Nachfrage ist belegt: IDC nennt den Schutz vor extraterritorialen Datenanfragen als führenden Treiber der Sovereign-Cloud-Einführung in Europa. Die Politik bewegt sich in dieselbe Richtung — das EU Tech Sovereignty Package, angekündigt am 27. Mai 2026, bringt die Frage „ist das wirklich EU-kontrolliert?" in die gängige Beschaffung.
Was gefehlt hat, ist eine Karte pro Tool und pro Kategorie, wo ein europäischer Käufer dem CLOUD Act heute tatsächlich entkommen kann und wo nicht. Die Kernaussage ist nicht, dass Europa Alternativen fehlen — oft fehlen sie nicht —, sondern dass die Verfügbarkeit ungleich ist und dass die Wahl allein nach der Flagge die meisten Käufer stärker exponiert lässt, als sie annehmen.
Wie wir das bewerten
Für jedes Tool erfassen wir belegte, faktische Signale — Betreiber-Jurisdiktion, Mutterkonzern, benannte Unterauftragsverarbeiter und Hosting-Region — und stufen das CLOUD-Act-Risiko auf einer vierstufigen Skala ein: keines, gering, erheblich, direkt, jeweils mit veröffentlichter Definition. Es ist eine redaktionelle Bewertung auf Basis öffentlicher Angaben, keine Selbstauskunft der Anbieter, und wir prüfen sie vierteljährlich neu. Die vollständige Methode finden Sie auf unserer Seite wie wir bewerten.
Die Zahlen hier sind ein Stand vom 10. Juni 2026 und verschieben sich, während der Datensatz wächst und Anbieter ihre Angaben ändern. Um ein einzelnes Tool zu prüfen, sehen Sie es im Verzeichnis — jeder Eintrag trägt seine Hosting-Region, Unterauftragsverarbeiter-Kette, CLOUD-Act-Stufe und das Datum der letzten Verifizierung.
Häufig gestellte Fragen
- Beseitigt die Wahl eines europäischen Tools das US-CLOUD-Act-Risiko?
- Nicht von allein. In unserem Datensatz von 184 EU- und privacy-first Tools tragen 66% trotz europäischer Ausrichtung weiterhin ein CLOUD-Act-Risiko — meist über ihr Hosting, ihre Unterauftragsverarbeiter oder US-Finanzierung, nicht weil der Anbieter US-amerikanisch ist. Das Risiko muss pro Tool geprüft werden, über Eigentum, Hosting-Region und Unterauftragsverarbeiter-Kette.
- Was bedeutet 'CLOUD-Act-Risiko' bei EU Vetted?
- Es ist unsere vierstufige redaktionelle Einstufung, ob Kundendaten unter die extraterritoriale Reichweite des US-Rechts fallen könnten: keines (EU-Betreiber, kein US-Mutterkonzern, keine nennenswerten US-Unterauftragsverarbeiter), gering (ein transienter US-Unterauftragsverarbeiter wie ein CDN, Daten im Ruhezustand in der EU), erheblich (ein US-Mutterkonzern oder ein zentraler US-Hyperscaler als Unterauftragsverarbeiter) und direkt (der Betreiber selbst ist in den USA inkorporiert). Sie beruht auf öffentlichen Angaben und wird vierteljährlich neu geprüft.
- Welche Software-Kategorien haben keine vollständig freie Option?
- Stand Juni 2026 haben fünf der 22 von uns abgedeckten Kategorien kein Tool, das vollständig frei von CLOUD-Act-Risiko ist: Zahlungen, Buchhaltung, Headless CMS, Helpdesk und Live-Chat sowie Kalender und Buchung. Zahlungen ist am deutlichsten — keiner der zwölf von uns gelisteten europäischen Anbieter ist vollständig frei, und neun sind als erheblich eingestuft.
- Wo hat Europa wirklich saubere Optionen?
- In infrastrukturarmen, identitätseigenen Kategorien. Private E-Mail (9 von 11 frei), Cloud-Hosting (11 von 13), Filesharing (7 von 14) und Passwort-Manager (5 von 9) haben alle eine starke vollständig-freie Abdeckung. Die Lücken treten dort auf, wo eine Kategorie von tiefen Zahlungsschienen oder US-gehosteter Plattforminfrastruktur abhängt.
Für jedes Produkt prüfen wir den öffentlichen AVV, das Sub-Auftragsverarbeiter-Dokument, die Hosting-Region und die Eigentümerstruktur — jeweils mit Zeitstempel. Die Signale sind redaktionell und werden vierteljährlich neu verifiziert. Selbstauskünfte akzeptieren wir nicht.