Raus aus der US-Cloud - für Vereine und Kirchengemeinden

Stephan Witt

Stephan Witt

5 min read
Raus aus der US-Cloud - für Vereine und Kirchengemeinden
Mitarbeiterin im Gemeindesaal mit Laptop

Dank des merkwürdigen Mannes im Weißen Haus erreichen mich einige Anfragen von Vereinen, Kirchengemeinden und sogar von Schulen, wie sie die US-Clouds vermeiden können. Eigentlich ist es verwunderlich, dass das erst jetzt passiert, denn die Situation war schon lange vor Trump bedenklich. So gesehen ist Trump derzeit der beste Vertriebsmitarbeiter für eine souveräne EU-Cloud.

Aspekt 1: Zugriff von US-Behörden

Was 2020 passierte – und warum es für uns alle relevant ist

Im Sommer 2020 änderte sich die Spielregel für den Datentransfer: Mit dem Schrems-II-Urteil kippte der Europäischer Gerichtshof das Privacy Shield. Damit fiel die wichtigste Rechtsgrundlage für viele Datentransfers in die USA weg.

Ganz verboten waren diese Transfers danach nicht. Aber sie wurden deutlich aufwendiger und unsicherer: Organisationen mussten im Einzelfall prüfen, ob Daten in den USA ausreichend geschützt sind – und oft zusätzliche Maßnahmen ergreifen. Für viele war das schwer praktikabel.

Seit 2023 gibt es mit dem EU-US Data Privacy Framework (DPF) wieder eine neue Grundlage. Datenübermittlungen an zertifizierte US-Unternehmen sind seitdem erneut möglich – zumindest formal deutlich einfacher als nach 2020.

Somit können Unternehmen, Vereine und Kirchen doch wieder aufatmen und sich zurücklehnen, oder?

Tun Sie das nicht, denn es bleibt ein Rest Unsicherheit: Das neue Abkommen ist politisch und rechtlich nicht unumstritten. Ob es langfristig Bestand hat, ist offen. Das DPF basiert nicht auf einem US-Gesetz, das demokratisch verabschiedet wurde, sondern auf einer Executive Order von Präsident Biden. Die kann der aktuelle US-Präsident jederzeit ändern oder zurückziehen.

Jederzeit Zugriff auf alles?

Man liest hier oft, dass US-Behörden "jederzeit Zugriff auf alles haben“.
Das halte ich für problematisch formuliert, denn es klingt für den Laien nach einer Datenbank, in der jede Behörde nach Belieben mitlesen kann. Nach der Gesetzeslage können US-Unternehmen lediglich gerichtlich dazu gezwungen werden, Daten herauszugeben. Das ist ein großer Unterschied zu "jederzeit Zugriff auf alles“.

Ob man den Behörden und der Justiz noch so weit vertraut, dass sie sich an die Formulierungen des Gesetzes halten, ist eine andere Frage.

Trotzdem: Der CLOUD Act gilt weiter, mit entsprechenden Gerichtsurteilen in der Hand erhalten US-Behörden Zugriff auf die Daten – egal bei welchem US-Unternehmen diese liegen und wo die Server stehen.

AI-generiertes Bild. Donald Trump, EU Cloud Salesman of the Year

Aspekt 2: "Jetzt neu – AI-Training mit Ihren Daten"

Ein weiterer Punkt, losgelöst vom Zugriff der US-Behörden, ist die Nutzung Ihrer Daten für AI-Training. Immer mehr Unternehmen ändern ihre AGBs dahingehend ab, dass Ihre persönlichen Inhalte zum Training von AI-Modellen verwendet werden. Ich möchte das nicht.

Für gemeinnützige Organisationen wie Vereine, Kirchengemeinden oder Schulen ist die Lage noch brisanter – denn diese verwalten oft genau die Daten, die besonders schützenswert sind: Mitgliedslisten mit Konfessionszugehörigkeit, Minderjährige in der Jugendarbeit, Spenderdaten, Personalthemen, seelsorgerliche Gesprächsnotizen.
Vereine haben zusätzlich noch die Herausforderung, dass sie keine eigenen Server betreiben und die Devicelandschaft sehr heterogen ist – oft kommen private, nicht gemanagte Devices zum Einsatz. Da ist der Weg zu OneDrive oder Google natürlich am bequemsten.

Was das praktisch bedeutet – drei Szenarien aus dem Vereinsleben

Szenario 1: Die Liste der Haupt- und Ehrenamtlichen im Google Drive

Eine Kirchengemeinde pflegte die Verfügbarkeit ihrer Haupt- und Ehrenamtlichen in Google Drive. Darin standen Name, Adresse, Urlaubszeiten (!). Diese Informationen gelten nach DSGVO als besonders sensible Daten – Konfessionszugehörigkeit ist explizit in Artikel 9 genannt. Sie lagen auf US-Servern. Ohne ausreichende Rechtsgrundlage.

Szenario 2: Fotos der Jugendgruppe in iCloud

Ein engagierter Gruppenleiter fotografierte Veranstaltungen und teilte die Bilder bequem über iCloud. Bilder von Minderjährigen, die einer US-amerikanischen Plattform anvertraut wurden, ohne dass die Eltern darüber informiert wurden oder eingewilligt hätten – und ohne Löschkonzept.

Szenario 3: Protokolle und Sitzungsunterlagen in OneDrive

Ein Kirchenvorstand arbeitete über Microsoft Teams und OneDrive. Darunter befanden sich Protokolle mit personalrechtlichen Entscheidungen, Informationen zu Konflikten in der Gemeinde, finanzielle Details. Alles bei Microsoft, einem US-Unternehmen mit Pflicht zur Herausgabe an US-Behörden.

In keinem dieser Fälle war böse Absicht im Spiel. Es war schlicht Unwissenheit – und die Bequemlichkeit, mit der US-Dienste sich in den Alltag geschlichen haben.

Die gute Nachricht: Es geht auch anders – und es ist einfacher als gedacht

Viele Vereine denken sich: Das können wir als ehrenamtlich geführter Verein nicht leisten. Zu technisch, zu teuer, zu aufwendig.

Das stimmt nicht. Die folgenden Alternativen funktionieren alle geräteübergreifend – auf Windows-PCs genauso wie auf iPhones, Android-Geräten und Macs. Gerade für die heterogene Gerätelandschaft eines Vereins, wo jedes Mitglied sein eigenes Smartphone mitbringt, ist das entscheidend.

Grundsätzlich wäre ich beim Einsatz von privaten Devices aber besonders vorsichtig. In der Kirchenvorstandsarbeit ist das glücklicherweise sehr klar durch die Regeln Kirchen geregelt.

Alternativen:
Dateispeicherung und gemeinsame Dokumente: Proton Drive oder Nextcloud

Proton Drive (Schweiz) ist die unkomplizierteste Alternative zu Google Drive und OneDrive. Die Daten werden Ende-zu-Ende-verschlüsselt – selbst Proton kann nicht auf die Inhalte zugreifen. Es gibt Apps für Windows, Mac, iOS und Android, und der Browser-Zugang funktioniert auf jedem Gerät. Ein kostenloser Tarif mit 1 GB ist verfügbar, für Vereine reichen meist die günstigen Bezahltarife völlig aus.

Nextcloud (Deutschland) ist die leistungsfähigere, aber etwas technischere Alternative. Es ist eine vollständige Kollaborationsplattform – Dateien, Kalender, Kontakte, Videokonferenzen. Wer einen lokalen IT-Dienstleister findet, der Nextcloud auf einem deutschen Server hostet, hat maximale Datensouveränität. Auch Nextcloud funktioniert auf allen gängigen Geräten über Apps und Browser.

E-Mail: Mailbox.org, Posteo.de oder Tuta

Viele Vereine nutzen Gmail oder Outlook für die Vereinskommunikation. Mailbox.org, Posteo und Tuta sind vollwertige E-Mail-Dienste mit Kalender und Kontakten, die auf deutschen Servern laufen und DSGVO-konform sind. Beide funktionieren über jeden Browser und haben Apps für Smartphone und Tablet. Die Kosten liegen bei wenigen Euro pro Monat.

Kommunikation im Team: Signal statt WhatsApp

Für die schnelle Abstimmung im Vorstand oder zwischen Gruppen gibt es keine bessere Alternative als Signal. Die App ist kostenlos, läuft auf iOS und Android gleichermaßen, und die Ende-zu-Ende-Verschlüsselung ist keine Marketing-Aussage, sondern technischer Standard. Im Gegensatz zu WhatsApp werden keine Metadaten an US-Konzerne weitergegeben.

Auch wenn die geglückten Phishing-Angriffe auf das Signal-Konto von Julia Klöckner derzeit einen anderen Eindruck vermitteln, Signal sei unsicher: Signal ist sicher. Es ist nicht die Technologie von Signal, die unsicher ist sondern Menschen, die diese Technologie unvorsichtig nutzen. Erst ein Mensch, der Phishing-Links klickt oder QR-Codes scannt, ermöglicht den Angriff. Aber das gilt für jede Plattform.
Ich zitiere hier gerne Forrest Gump: „Dumm ist der, der Dummes tut.“

Ein konkreter Einstieg in drei Schritten

Ich empfehle gerne diesen Einstieg:

Schritt 1 – Bestandsaufnahme: Wo liegen aktuell Daten? Welche US-Dienste sind im Einsatz? Oft ist es nur eine Handvoll Dienste, die den Großteil ausmachen. Das lässt sich in einem zweistündigen Workshop mit dem Vorstand klären.

Schritt 2 – Prioritäten setzen: Nicht alles muss sofort umgestellt werden. Beginnen Sie mit den sensibelsten Daten: Mitgliederlisten, Fotos von Minderjährigen, personalrechtliche Unterlagen. Diese zuerst in datenschutzkonforme Lösungen überführen.

Schritt 3 – Einen europäischen Dienst einführen: Proton Drive oder NextCloud ist für viele Vereine der einfachste erste Schritt. Ein Account, alle Geräte unterstützt, minimaler Einrichtungsaufwand. Danach kann man schrittweise weitere Dienste ablösen.

Mein Fazit: You can get it if you really want

Das Thema Datenschutz klingt trocken und technisch. Aber hinter jeder Mitgliederliste stecken echte Menschen, die ihrem Verein, ihrer Schule, ihrer Kirchengemeinde vertrauen. Dieses Vertrauen ernst zu nehmen ist keine juristische Pflichtübung – es ist eine Frage der Haltung.

Die gute Nachricht: Es war noch nie so einfach wie heute, sich aus der Abhängigkeit von US-Cloud-Diensten zu lösen. Die europäischen Alternativen sind ausgereift, bezahlbar und für alle gängigen Geräte verfügbar.

"You can get it if you really want You can get it if you really want You can get it if you really want But you must try, try and try, try and try You'll succeed at last." Jimmy Cliff

Das ist jetzt vielleicht geschäftsschädigend, aber ich will ehrlich sein: Das ist keine Raketenwissenschaft. Es braucht keinen IT-Experten im Vorstand, es braucht auch meistens keinen teuren Berater – es braucht den Willen, den ersten Schritt zu gehen. Wenn Sie dabei trotzdem Unterstützung suchen: Ich helfe gerne. :-) — Wenn Sie dabei Unterstützung suchen: Genau das ist mein Beratungsangebot. Kein kompliziertes IT-Projekt, sondern pragmatische Orientierung für Organisationen, die das Richtige tun wollen – ohne sich dabei zu verbiegen.

Stephan Witt ist IT-Stratege mit über 25 Jahren Erfahrung und war 15 Jahre Kirchenvorstandsvorsitzender. Er berät nebenberuflich den Mittelstand sowie gemeinnützige Organisationen zu IT-Strategie, Security, Digitalisierung und Datenschutz.

Read more