Warum Ihre Kundendaten unter fremdem Recht stehen könnten
Die Illusion der Kontrolle
Viele Unternehmen glauben, sie hätten ihre Kundendaten unter Kontrolle. Die Verträge sind DSGVO-konform, die Rechenzentren stehen in Frankfurt oder Dublin, der Datenschutzbeauftragte hat abgenickt. Was dabei oft übersehen wird: Der Serverstandort allein entscheidet nicht darüber, wer im Zweifelsfall auf Ihre Daten zugreifen kann.
Der entscheidende Faktor ist die Unternehmenszugehörigkeit des Cloud-Anbieters. Und die führt bei den marktbeherrschenden CRM-Plattformen fast ausnahmslos in die USA.
Das ist kein abstraktes Rechtsproblem. Es ist eine operative Realität, die Vorstandsetagen und Compliance-Abteilungen gleichermaßen betrifft. In regulierten Branchen wird Datensouveränität im CRM zunehmend zum entscheidenden Auswahlkriterium.
Was der US CLOUD Act wirklich bedeutet
Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, wurde 2018 in den USA verabschiedet. Er verpflichtet US-amerikanische Unternehmen, auf Anfrage von US-Behörden Zugang zu Daten zu gewähren, die sie weltweit verwalten. Unabhängig davon, wo diese Daten physisch gespeichert sind.
Das betrifft Salesforce, HubSpot, Microsoft und andere US-Anbieter, auch dann, wenn deren Rechenzentren in Europa stehen. Microsoft hat das im Juni 2025 bei einer Anhörung im französischen Senat unter Eid bestätigt: Auf die Frage, ob garantiert werden könne, dass die Daten europäischer Bürger niemals ohne Zustimmung der nationalen Behörden an US-Stellen weitergegeben würden, lautete die Antwort des Chefjustiziars von Microsoft France klar „Nein“. 1 2
Selbst die als souverän vermarkteten europäischen Angebote können demnach keinen vollständigen Schutz vor US-behördlichem Zugriff garantieren, solange die Muttergesellschaft US-amerikanischem Recht unterliegt.
Das Tückische: Viele Unternehmen verwechseln Datenhaltung in Europa mit echter Datensouveränität. Data Residency und Data Sovereignty sind zwei verschiedene Konzepte. Ein europäischer Serverstandort allein schützt nicht vor dem Zugriff unter fremdem Recht. Datenschutzaufsichten und Branchenberichte verweisen seit Jahren auf steigende Bußgeldrisiken bei grenzüberschreitenden Datentransfers; der häufigste Auslöser ist die irrige Annahme, ein EU-Standort genüge.
Aber löst der Data Privacy Framework das Problem nicht?
An dieser Stelle wird ein informierter Leser einwenden: Seit Juli 2023 gibt es doch den EU-US Data Privacy Framework, den Angemessenheitsbeschluss der EU-Kommission, der Datentransfers in die USA wieder auf eine rechtssichere Grundlage stellt. Das stimmt, und genau hier liegt ein Missverständnis, das in beide Richtungen läuft.
Zunächst zur Unterscheidung: Der Data Privacy Framework regelt die Zulässigkeit des Datentransfers in die USA nach DSGVO. Der CLOUD Act regelt den behördlichen Zugriff, unabhängig davon, ob ein Transfer stattgefunden hat oder wo die Daten liegen. Anders gesagt: Selbst mit einem gültigen Data Privacy Framework bleibt das Zugriffsrisiko durch US-Behörden bestehen.
Hinzu kommt, dass die Stabilität des Rahmens selbst fraglich ist. Es ist bereits der dritte Anlauf: Die Vorgänger Safe Harbor und Privacy Shield wurden beide vom Europäischen Gerichtshof gekippt. Anfang 2025 verlor das für die Aufsicht zuständige US-Gremium PCLOB durch die Abberufung mehrerer Mitglieder seine Beschlussfähigkeit, ein Umstand, der genau jene Kontrollmechanismen schwächt, auf die sich der Angemessenheitsbeschluss stützt. Eine erste Klage gegen den Rahmen wies das EU-Gericht im September 2025 zwar ab, eine Berufung zum Europäischen Gerichtshof steht aber weiterhin im Raum. Wer seine CRM-Strategie auf den Fortbestand des Data Privacy Framework gründet, baut auf einem Fundament, das in den vergangenen zehn Jahren bereits zweimal eingestürzt ist.
Warum das Thema so lange unterschätzt wurde
Das Risiko war bekannt, aber bequem zu ignorieren. Viele Anbieter bieten ausgereifte Funktionen, tiefe Integrationen und eine weltweite Entwickler-Community. Der Wechselaufwand ist erheblich. Und solange es keine konkreten Vorfälle gab, fehlte der Druck für eine Kurskorrektur.
Das hat sich verändert. Die geopolitische Unsicherheit seit 2025, veränderte US-Außenpolitik, neue Handelsstreitigkeiten und wachsende Skepsis gegenüber transatlantischen Abhängigkeiten haben das Thema von der IT-Abteilung in den Vorstand befördert. EU AI Act, DORA und NIS2 verschärfen die regulatorischen Anforderungen. Europäische Datenschutzbehörden urteilen zunehmend konsequent: Österreich, Frankreich und Italien haben bereits festgestellt, dass der Einsatz bestimmter US-basierter Dienste für die Verarbeitung personenbezogener Daten grundsätzlich DSGVO-problematisch ist.
Für Unternehmen, die bislang auf das Sowohl-als-auch gesetzt haben, nämlich DSGVO-Konformität auf dem Papier und US-Hyperscaler in der Praxis, wird der Spielraum enger.
Welche Branchen bereits handeln und welche noch nicht
Banken, Versicherungen und Energieversorger sind am weitesten. Regulierungsrahmen wie DORA und NIS2 zwingen diese Branchen, Datenzugriffe lückenlos dokumentieren und erklären zu können. Wer nicht nachweisen kann, wo seine Kundendaten liegen und wer theoretisch darauf zugreifen könnte, hat ein Compliance-Problem.
Der Gesundheitssektor zieht nach. Patientendaten in CRM-Systemen, etwa für Pharmavertrieb, Klinikmanagement oder Laborkommunikation, sind hochsensibel. Die Kombination aus ärztlicher Schweigepflicht und regulatorischen Anforderungen macht US-Abhängigkeiten hier besonders riskant.
Im Handel, in der Industrie und im Mittelstand insgesamt ist das Bewusstsein dagegen noch unterentwickelt. Viele Unternehmen wählen ihr CRM primär nach Funktionsumfang und Preis. Datensouveränität taucht in den Auswahlkriterien selten auf. Das wird sich ändern, sobald erste Bußgeldverfahren oder Aufsichtsprüfungen konkrete Namen und Zahlen produzieren.
Europäische Alternativen: Was sie können und wo Grenzen bleiben
Wer nach europäischen CRM-Lösungen sucht, findet ein differenzierteres Bild als gemeinhin angenommen. Wenn die Unternehmenszugehörigkeit entscheidet, dann ist ein deutscher Anbieter wie SAP nicht in derselben Weise dem US CLOUD Act ausgesetzt wie ein US-Konzern. Das ist ein Punkt zu seinen Gunsten. Die relevante Frage verschiebt sich in diesem Fall auf die nächste Ebene: Auf welcher Infrastruktur läuft die Lösung, welche Subprozessoren sind eingebunden, und liegen diese ihrerseits außerhalb US-amerikanischer Jurisdiktion? Eine europäische Konzernzentrale nützt wenig, wenn der darunterliegende Cloud-Betrieb bei einem US-Hyperscaler liegt.
Genau hier trennt sich die Spreu vom Weizen. HubSpot und Pipedrive etwa bieten EU-Rechenzentren, unterliegen als US-Unternehmen aber strukturell dem US-Mutterrecht. Andere Anbieter werben mit europäischem Hosting, ohne dass die gesamte Verarbeitungskette nachweisbar europäisch wäre. Wirkliche Datensouveränität erfordert, dass sowohl der Anbieter als auch der Cloud-Betrieb außerhalb US-amerikanischer Jurisdiktion liegen. Eine Kombination, die das Feld der großen, vollintegrierten CRM-Plattformen spürbar verkleinert.
BSI Software aus der Schweiz hat im ersten Quartal 2026 eine Kooperation mit T-Systems geschlossen, die genau an diesem Punkt ansetzt. Kunden der BSI Customer Suite können dank der cloudagnostischen Architektur von BSI auf eine rein europäische SaaS-Lösung wechseln: Die Daten verbleiben vollständig in Europa, der Cloud-Betrieb erfolgt über die T Cloud der Deutschen Telekom, und BSI als Schweizer Unternehmen unterliegt nicht dem US CLOUD Act. Anbieter und Infrastruktur außerhalb der US-Jurisdiktion: Diese Kombination ist es, die den Unterschied ausmacht.
Dabei ist der oft zitierte Leistungsverzicht gegenüber US-Hyperscalern kein zwangsläufiges Argument mehr. Die Plattform arbeitet im KI-Bereich modell-agnostisch: Unternehmen entscheiden selbst, welche KI-Modelle sie einsetzen, und können diese austauschen, ohne die Plattform zu wechseln. Moderne KI-Funktionen und europäische Datenhaltung schließen sich damit nicht länger aus.
BSI hat seine Plattform zuletzt durch die Übernahme von Sikom weiter ausgebaut und bietet damit eine vollintegrierte europäische Lösung für CRM, Customer Experience und Contact Center.
>>> Mehr dazu lesen Sie in unserem Beitrag BSI übernimmt Sikom.
Was Entscheider jetzt tun sollten
Datensouveränität beginnt nicht beim IT-Dienstleister. Sie beginnt mit der Frage, welche Daten im CRM verarbeitet werden und welches Risiko damit verbunden ist.
Ein sinnvoller erster Schritt ist eine ehrliche Bestandsaufnahme: Unter welchem Recht operiert mein CRM-Anbieter? Auf welcher Infrastruktur läuft die Lösung tatsächlich? Kann ich nachweisen, wer unter welchen Umständen auf meine Kundendaten zugreifen könnte? Und: Würde mein Unternehmen eine aufsichtliche Prüfung dazu bestehen?
Wer feststellt, dass hier Lücken bestehen, sollte das nicht als rein technisches Problem behandeln. Es geht um strategische Abhängigkeiten, um regulatorisches Risiko und, mit Blick auf das wachsende Datenschutzbewusstsein der Endkunden, zunehmend auch um Vertrauen und Wettbewerbsposition. Ein Wechsel des CRM-Anbieters ist keine leichte Entscheidung. Aber er muss auch keine überstürzte sein. Sorgfältige Beratung, klare Migrationspfade und die richtigen Partner machen ihn beherrschbar.
Fazit: Souveränität ist eine strategische Entscheidung
Digitale Souveränität ist kein IT-Hype und kein regulatorisches Pflichtprogramm. Sie ist eine unternehmerische Grundsatzentscheidung: Wem vertraue ich die Daten meiner Kunden an, und unter welchem Recht?
Entscheidend ist, die beiden Ebenen sauber zu trennen. Der Data Privacy Framework mag den Transfer in die USA aktuell legalisieren: Das Zugriffsrisiko unter dem CLOUD Act beseitigt er nicht, und seine eigene Bestandsgarantie ist brüchig. Die Kooperation von BSI Software und T-Systems zeigt, dass eine vollständig europäische CRM-Lösung mit modernen KI-Funktionen heute keinen Kompromiss mehr bedeutet. Die Frage ist nicht länger, ob eine Alternative existiert. Die Frage ist, wie lange Unternehmen noch warten wollen.
Mehr zu unseren Beratungsleistungen rund um CRM und Customer Experience finden Sie auf unserer Seite zur Vertrieb-, Service- und Marketing-Beratung. Einen Überblick über die BSI Customer Suite als europäische CRM-Plattform finden Sie in unserem Lösungsbereich. Wie wir Unternehmen bei der IT-strategischen Bewertung und Auswahl von Softwarelösungen unterstützen, erfahren Sie in unserem Bereich IT-Beratung.
Quellenverzeichnis
- Moritz Förster: „Keine Garantien: Microsoft muss EU-Daten an USA übermitteln“, in: heise online / iX Magazin, 21.07.2025, URL: https://www.heise.de/news/Nicht-souveraen-Microsoft-kann-Sicherheit-von-EU-Daten-nicht-garantieren-10494684.html (abgerufen am: 08.06.2026). ↩︎
- Commission d’enquête sur les coûts et les modalités effectifs de la commande publique (CE Commande publique): Compte rendu de la semaine du 9 juin 2025 – Audition de MM. Anton Carniaux et Pierre Lagarde, Microsoft France. Sénat français, Sitzung vom 10. Juni 2025, URL: https://www.senat.fr/compte-rendu-commissions/20250609/ce_commande_publique.html (abgerufen am: 08.06.2026). ↩︎
