Hetzner US LLC and the CLOUD Act: A Legal Risk That Exists but Is Structurally Limited

This article is an addendum to our Self-Hosted vs. Cloud AI decision framework, where we recommended European cloud providers like Hetzner as a sovereignty-friendly middle path. After publication, several readers pointed out that Hetzner operates a US subsidiary. This piece examines that legal exposure in detail.

Hetzner US LLC, as a US-incorporated entity, unambiguously falls under CLOUD Act jurisdiction. But whether US authorities can use that subsidiary to reach customer data stored on Hetzner's German infrastructure is a far more nuanced question. The answer hinges on a fact-specific legal test of "possession, custody, or control," and Hetzner's corporate structure (where a German parent owns a US subsidiary, not the reverse) provides meaningfully stronger protection than US-headquartered providers like AWS, Azure, or Google Cloud. However, Hetzner's own documentation acknowledges the risk is not zero, and a 2025 Canadian court ruling against OVHcloud in an analogous situation demonstrates that subsidiaries of European companies are not immune from compelled cross-border data production.

The CLOUD Act Reaches Any Entity with a US Legal Presence

The Clarifying Lawful Overseas Use of Data Act, enacted March 23, 2018, amends the Stored Communications Act (SCA) through a deceptively simple provision. 18 U.S.C. § 2713 requires providers of electronic communication services (ECS) or remote computing services (RCS) to comply with obligations to preserve, back up, or disclose data within their "possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States."

The statute was Congress's direct response to United States v. Microsoft Corp., where the Second Circuit had ruled in 2016 that SCA warrants could not compel Microsoft to produce emails stored in Dublin, Ireland. The CLOUD Act legislated the government's preferred outcome while adding procedural safeguards: comity provisions, a motion-to-quash mechanism, and an executive agreements framework for bilateral data-sharing with foreign governments.

Hetzner US LLC, incorporated on August 2, 2021 in Virginia, operates data center colocation facilities in Ashburn, Virginia and Hillsboro, Oregon. As a US-incorporated LLC, it falls under general jurisdiction in US courts. The DOJ's own 2019 white paper confirms that "U.S. jurisdiction is not limited to U.S. corporations, U.S. headquartered companies, or companies owned by U.S. persons." As the BSA (Business Software Alliance) notes, the CLOUD Act applies to any provider with "sufficient minimum contacts with the United States" that has "possession, custody, or control of the data sought." Hetzner US LLC, providing cloud and hosting services from US soil, clearly qualifies as both an RCS provider and a US-jurisdictional entity.

The "Possession, Custody, or Control" Test Is What Actually Matters

While Hetzner US LLC is indisputably subject to the CLOUD Act, the law can only compel disclosure of data the entity actually possesses, has custody of, or controls. This three-part test, drawn from longstanding Anglo-American legal tradition and Federal Rules of Civil Procedure, is the real battleground for determining whether US authorities can reach Hetzner's German-hosted data through its American subsidiary.

Courts examine two dimensions of control. Legal control asks whether the subsidiary has a contractual or corporate governance right to demand data from the parent. Practical control asks whether the subsidiary has the technical ability (shared admin accounts, VPN access, API connections) to actually reach the data. As Covington & Burling's widely cited analysis explains, courts will generally find "possession, custody, or control" when an entity has either the legal right or the practical ability to access the information.

Here is the critical structural asymmetry that benefits Hetzner: courts have frequently found that parent companies control subsidiary data, but the reverse (subsidiaries controlling parent data) is far less common. This distinction is the legal foundation of Hetzner's relative protection. Hetzner Online GmbH (Germany) owns Hetzner US LLC, not the other way around. The parent can direct the subsidiary, but the subsidiary has no inherent corporate authority over the parent. As the Dutch IT law firm ICTrecht concluded: "If you have a subsidiary in the U.S., you do not have to be very concerned. To ensure the privacy of your European customers, make sure that your subsidiary has no possession, custody or control over the data that is stored in the EU."

The IAPP (International Association of Privacy Professionals) outlined a scenario where EU-stored data would not be accessible under the CLOUD Act: if the EU entity has all offices in the EU, conducts no US business, operates independently of its corporate parent, and its computer network is fully segmented from the parent's networks. Hetzner's publicly stated operational structure appears to satisfy many of these conditions: the company claims customer master data stays with Hetzner Online GmbH, that "only data stored on cloud servers is transferred to the US, and only if the customer explicitly chooses a US product location," and that support is "generally provided by our teams within the EU."

Hetzner's Own Statements Reveal a Tension Between Marketing and Legal Reality

Hetzner actively markets itself as a CLOUD Act-free alternative to US hyperscalers. Its "European Cloud" and "Cloud Made in Germany" pages declare that customers should "choose a cloud provider headquartered in Europe that isn't part of a US-based corporation" and that providers with US headquarters or belonging to US corporations are "subject to the US Cloud Act, regardless of where the data is stored."

Yet Hetzner's official Data Protection FAQ strikes a markedly more cautious tone: "If you want to choose a company that has no connection whatsoever to the USA or Singapore, we unfortunately have to decline at this time. Hetzner US LLC and Hetzner Singapore Pte. Ltd. do have a certain connection." This candid admission acknowledges that the existence of Hetzner US LLC creates at least some jurisdictional nexus, even if the company believes the practical risk is minimal.

The structural measures Hetzner describes (keeping customer master data in Germany, limiting US data transfers to customer-selected US locations, maintaining EU-based support teams) are precisely the kind of operational segregation that legal experts recommend to minimize CLOUD Act exposure. But whether these measures would survive judicial scrutiny in a concrete case remains untested. Factors that could undermine Hetzner's position include shared executives between the parent and subsidiary, common IT management systems, any intercompany agreements granting the subsidiary access to parent systems, or even informal patterns of cross-entity data access. The specific corporate governance arrangements between Hetzner Online GmbH and Hetzner US LLC are not fully public, leaving an analytical gap.

The OVHcloud Precedent Is a Warning Sign

The most directly analogous legal precedent is not a US case but a Canadian one, and it cuts against European providers' interests. In R. v. OVH Group SA (2025), the RCMP issued a production order to OVHcloud's Canadian subsidiary for subscriber data and metadata associated with IP addresses hosted on servers in France, the UK, and Australia. OVH argued its Canadian subsidiary lacked access to the data and that compliance would violate France's blocking statute.

Ontario Court of Justice Judge Heather Perkins-McVey ordered OVH to hand over the data, finding that the subsidiary had "possession or control" based partly on a previous instance where OVH had voluntarily complied with an RCMP request for German-hosted data. The court also found the risk of prosecution under France's blocking statute was low. OVH has filed for judicial review, and the French government's SISSE issued official letters warning that compliance would violate French sovereignty. The case remains pending as of early 2026.

This ruling is deeply significant for Hetzner's situation. It demonstrates that courts may interpret "control" broadly when examining subsidiary-parent relationships, and that past voluntary cooperation with law enforcement can be weaponized to establish a precedent of "possession or control." If Hetzner US LLC were to voluntarily comply with even a single US data request involving non-US-stored data, that act could expand the legal basis for future compelled production, precisely the dynamic that played out in the OVH case.

GDPR Creates a Genuine Legal Conflict with No Clean Resolution

Any CLOUD Act disclosure of EU personal data to US authorities triggers a direct collision with the GDPR. Article 48 GDPR states that foreign court judgments requiring data transfers "may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty." A unilateral CLOUD Act order does not qualify.

The EDPB and EDPS issued a joint response in July 2019 concluding that "service providers subject to EU law cannot legally base the disclosure and transfer of personal data to the US on [CLOUD Act] requests." They assessed each potential GDPR legal basis and found only the vital interests derogation (Article 6(1)(d)) potentially applicable, limited to extreme circumstances like abducted children or imminent threats to life. The EDPB recommended companies "generally refuse direct requests and refer the requesting third country authority to an existing mutual legal assistance treaty."

The CLOUD Act does include a comity mechanism: providers can move to quash orders that would violate the laws of a "qualifying foreign government." But this mechanism is only available for countries with CLOUD Act executive agreements. As of April 2026, the US has executive agreements only with the United Kingdom and Australia. No EU member state, and not the EU itself, has such an agreement. For German law conflicts, providers must fall back on vaguer common law comity principles, which legal scholars note have historically been an unreliable shield. Stanford researcher Jennifer Daskal has observed that "no comity claim has ever been invoked in connection with an SCA warrant."

The result is an unresolved compliance deadlock: comply with a CLOUD Act order and risk GDPR fines of up to 4% of global turnover, or refuse and risk US contempt-of-court sanctions. The EU's forthcoming e-Evidence Regulation (applicable from August 17, 2026) and ongoing US-EU negotiations may eventually provide a bilateral framework, but no agreement is in place today.

How Hetzner Compares to US-Headquartered Cloud Providers

The structural difference between Hetzner and providers like AWS, Microsoft Azure, or Google Cloud is not merely academic. It fundamentally changes the legal analysis.

Factor	AWS / Azure / Google Cloud	Hetzner
Ultimate parent jurisdiction	United States	Germany
CLOUD Act applies to parent directly	Yes — parent is US entity	No — parent is German entity
Direction of ownership	US parent → EU subsidiaries	EU parent → US subsidiary
Can US compel parent for all global data	Yes — parent has PCC over subsidiaries	No — no US jurisdiction over parent
US subsidiary's control over EU data	N/A (parent already compellable)	Depends on PCC analysis
Key risk	All data globally reachable via parent	Only data subsidiary controls is reachable

When US authorities issue a CLOUD Act order to Amazon or Microsoft, those companies (as US-headquartered parents) have legal and practical control over their global subsidiaries and infrastructure. Every data center worldwide falls within their "possession, custody, or control." Microsoft's chief legal officer admitted before the French Senate that Microsoft "cannot guarantee that data from European authorities will not be transferred to the US government."

For Hetzner, the calculus inverts. US authorities would need to serve the order on Hetzner US LLC (a subsidiary) and then prove that entity has PCC over data held by its German parent. This is a materially harder legal burden, though not an impossible one.

Conclusion

Hetzner US LLC is subject to the CLOUD Act, but the practical risk to German-hosted data is structurally limited, not eliminated. Three key takeaways emerge from this analysis.

First, the direction of corporate ownership is the single most important legal variable. Because Hetzner Online GmbH owns Hetzner US LLC (not the reverse), courts face a higher evidentiary bar to find that the subsidiary "controls" the parent's data. This is a genuine and meaningful structural advantage over US-headquartered providers.

Second, that advantage is only as strong as the operational segregation behind it. If Hetzner US LLC shares IT infrastructure, admin credentials, executive personnel, or intercompany data-access agreements with Hetzner Online GmbH, the "possession, custody, or control" analysis shifts against Hetzner. The OVHcloud Canada case demonstrates that courts may interpret "control" expansively, particularly when there is evidence of past voluntary cross-border data sharing.

Third, the GDPR-CLOUD Act conflict remains legally unresolved. No executive agreement exists between the US and any EU state, the statutory comity mechanism is therefore unavailable, and common law comity has never successfully shielded a provider from an SCA warrant. For customers requiring absolute certainty that their German-hosted data cannot be reached by US legal process, the only complete mitigation is using a provider with zero US corporate presence, a standard Hetzner itself acknowledges it no longer meets. For most threat models, however, Hetzner's structure provides substantially stronger protection than any US-headquartered alternative, placing it in a middle ground between full CLOUD Act exposure and complete jurisdictional isolation.

This article is not legal advice. Organizations with specific compliance requirements should consult qualified legal counsel in their jurisdiction.

Sources

Primary Legal Sources

EU/Regulatory

Legal Analysis & Law Firms

Privacy & Policy Forums

OVHcloud / King v. OVH Case

Hetzner Official

Cloud Provider & Industry Context

Dieser Artikel ist ein Nachtrag zu unserem Entscheidungsrahmen Self-Hosted vs. Cloud-KI, in dem wir europäische Cloud-Anbieter wie Hetzner als souveränitätsfreundlichen Mittelweg empfohlen haben. Nach der Veröffentlichung wiesen mehrere Leser darauf hin, dass Hetzner eine US-Tochtergesellschaft betreibt. Dieser Beitrag untersucht dieses rechtliche Risiko im Detail.

Hetzner US LLC fällt als in den USA gegründete Gesellschaft eindeutig unter die CLOUD-Act-Jurisdiktion. Ob US-Behörden diese Tochtergesellschaft jedoch nutzen können, um auf Kundendaten zuzugreifen, die auf Hetzners deutscher Infrastruktur gespeichert sind, ist eine weitaus differenziertere Frage. Die Antwort hängt von einer fallspezifischen rechtlichen Prüfung von «Besitz, Verwahrung oder Kontrolle» ab. Hetzners Unternehmensstruktur (bei der ein deutsches Mutterunternehmen eine US-Tochter besitzt, nicht umgekehrt) bietet deutlich stärkeren Schutz als US-basierte Anbieter wie AWS, Azure oder Google Cloud. Allerdings räumt Hetzners eigene Dokumentation ein, dass das Risiko nicht null ist, und ein kanadisches Gerichtsurteil von 2025 gegen OVHcloud in einer analogen Situation zeigt, dass Tochtergesellschaften europäischer Unternehmen nicht immun gegen erzwungene grenzüberschreitende Datenherausgabe sind.

Der CLOUD Act erreicht jede Einheit mit US-Rechtspräsenz

Der Clarifying Lawful Overseas Use of Data Act, in Kraft seit dem 23. März 2018, ändert den Stored Communications Act (SCA) durch eine täuschend einfache Bestimmung. 18 U.S.C. § 2713 verpflichtet Anbieter von elektronischen Kommunikationsdiensten (ECS) oder Remote-Computing-Diensten (RCS), Verpflichtungen zur Aufbewahrung, Sicherung oder Offenlegung von Daten nachzukommen, die sich in ihrem «Besitz, ihrer Verwahrung oder Kontrolle befinden, unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder andere Information innerhalb oder ausserhalb der Vereinigten Staaten befindet.»

Das Gesetz war die direkte Antwort des Kongresses auf United States v. Microsoft Corp., wo der Second Circuit 2016 entschieden hatte, dass SCA-Durchsuchungsbefehle Microsoft nicht zwingen könnten, in Dublin, Irland gespeicherte E-Mails herauszugeben. Der CLOUD Act setzte das von der Regierung bevorzugte Ergebnis um und fügte verfahrensrechtliche Schutzmassnahmen hinzu: Comity-Bestimmungen, einen Anfechtungsmechanismus und ein Rahmenwerk für bilaterale Datenaustausch-Abkommen mit ausländischen Regierungen.

Hetzner US LLC, am 2. August 2021 in Virginia gegründet, betreibt Rechenzentren in Ashburn, Virginia und Hillsboro, Oregon. Als in den USA eingetragene LLC unterliegt sie der allgemeinen Gerichtsbarkeit in US-Gerichten. Das White Paper des DOJ von 2019 bestätigt, dass «die US-Gerichtsbarkeit nicht auf US-Unternehmen, in den USA ansässige Unternehmen oder Unternehmen beschränkt ist, die US-Personen gehören.» Wie die BSA (Business Software Alliance) feststellt, gilt der CLOUD Act für jeden Anbieter mit «ausreichenden Mindest-Kontakten zu den Vereinigten Staaten», der «Besitz, Verwahrung oder Kontrolle über die gesuchten Daten» hat. Hetzner US LLC, das Cloud- und Hosting-Dienste von US-Boden aus anbietet, qualifiziert sich eindeutig sowohl als RCS-Anbieter als auch als US-jurisdiktionale Einheit.

Der «Besitz, Verwahrung oder Kontrolle»-Test ist entscheidend

Obwohl Hetzner US LLC unbestreitbar dem CLOUD Act unterliegt, kann das Gesetz nur die Offenlegung von Daten erzwingen, die die Einheit tatsächlich besitzt, verwahrt oder kontrolliert. Dieser dreiteilige Test, der auf langjähriger angloamerikanischer Rechtstradition und den Federal Rules of Civil Procedure basiert, ist das eigentliche Schlachtfeld für die Frage, ob US-Behörden über die amerikanische Tochtergesellschaft auf Hetzners in Deutschland gehostete Daten zugreifen können.

Gerichte prüfen zwei Dimensionen der Kontrolle. Rechtliche Kontrolle fragt, ob die Tochtergesellschaft ein vertragliches oder gesellschaftsrechtliches Recht hat, Daten vom Mutterunternehmen zu verlangen. Praktische Kontrolle fragt, ob die Tochtergesellschaft die technische Möglichkeit hat (gemeinsame Admin-Konten, VPN-Zugang, API-Verbindungen), tatsächlich auf die Daten zuzugreifen. Wie die häufig zitierte Analyse von Covington & Burling erläutert, werden Gerichte in der Regel «Besitz, Verwahrung oder Kontrolle» annehmen, wenn eine Einheit entweder das rechtliche Recht oder die praktische Fähigkeit hat, auf die Informationen zuzugreifen.

Hier liegt die entscheidende strukturelle Asymmetrie zugunsten von Hetzner: Gerichte haben häufig festgestellt, dass Mutterunternehmen die Daten von Tochtergesellschaften kontrollieren, aber das Umgekehrte (Tochtergesellschaften kontrollieren Daten des Mutterunternehmens) ist weit seltener. Diese Unterscheidung ist die rechtliche Grundlage für Hetzners relativen Schutz. Hetzner Online GmbH (Deutschland) besitzt Hetzner US LLC, nicht umgekehrt. Das Mutterunternehmen kann die Tochter anweisen, aber die Tochter hat keine inhärente gesellschaftsrechtliche Autorität über das Mutterunternehmen. Wie die niederländische IT-Rechtskanzlei ICTrecht folgerte: «Wenn Sie eine Tochtergesellschaft in den USA haben, müssen Sie sich nicht sehr besorgt sein. Um die Privatsphäre Ihrer europäischen Kunden zu gewährleisten, stellen Sie sicher, dass Ihre Tochtergesellschaft keinen Besitz, keine Verwahrung oder Kontrolle über die in der EU gespeicherten Daten hat.»

Die IAPP (International Association of Privacy Professionals) skizzierte ein Szenario, in dem in der EU gespeicherte Daten nicht unter dem CLOUD Act zugänglich wären: wenn die EU-Einheit alle Büros in der EU hat, keine US-Geschäfte führt, unabhängig von ihrem Mutterunternehmen operiert und ihr Computernetzwerk vollständig vom Netzwerk des Mutterunternehmens getrennt ist. Hetzners öffentlich dargestellte Betriebsstruktur scheint viele dieser Bedingungen zu erfüllen: Das Unternehmen gibt an, dass Kundenstammdaten bei Hetzner Online GmbH verbleiben, dass «nur Daten, die auf Cloud-Servern gespeichert sind, in die USA übertragen werden, und nur wenn der Kunde ausdrücklich einen US-Standort wählt», und dass der Support «generell von unseren Teams innerhalb der EU bereitgestellt» wird.

Hetzners eigene Aussagen zeigen eine Spannung zwischen Marketing und rechtlicher Realität

Hetzner vermarktet sich aktiv als CLOUD-Act-freie Alternative zu US-Hyperscalern. Die «European Cloud»- und «Cloud Made in Germany»-Seiten erklären, dass Kunden «einen Cloud-Anbieter mit Hauptsitz in Europa wählen sollten, der nicht Teil eines US-Konzerns ist» und dass Anbieter mit US-Hauptsitz oder US-Zugehörigkeit «dem US Cloud Act unterliegen, unabhängig davon, wo die Daten gespeichert sind.»

Doch Hetzners offizielle Datenschutz-FAQ schlägt einen deutlich vorsichtigeren Ton an: «Wenn Sie ein Unternehmen wählen möchten, das keinerlei Verbindung zu den USA oder Singapur hat, müssen wir leider zum jetzigen Zeitpunkt absagen. Hetzner US LLC und Hetzner Singapore Pte. Ltd. haben eine gewisse Verbindung.» Dieses offene Eingeständnis anerkennt, dass die Existenz der Hetzner US LLC zumindest einen gewissen jurisdiktionellen Nexus schafft, auch wenn das Unternehmen glaubt, dass das praktische Risiko minimal ist.

Die strukturellen Massnahmen, die Hetzner beschreibt (Kundenstammdaten in Deutschland behalten, US-Datenübertragungen auf vom Kunden gewählte US-Standorte beschränken, EU-basierte Support-Teams aufrechterhalten), sind genau die Art von operativer Trennung, die Rechtsexperten empfehlen, um die CLOUD-Act-Exposition zu minimieren. Ob diese Massnahmen einer gerichtlichen Überprüfung in einem konkreten Fall standhalten würden, ist jedoch ungetestet. Faktoren, die Hetzners Position untergraben könnten, umfassen gemeinsame Geschäftsführer zwischen Mutter und Tochter, gemeinsame IT-Verwaltungssysteme, konzerninterne Vereinbarungen, die der Tochter Zugang zu Systemen des Mutterunternehmens gewähren, oder sogar informelle Muster von konzernübergreifendem Datenzugriff. Die spezifischen Corporate-Governance-Vereinbarungen zwischen Hetzner Online GmbH und Hetzner US LLC sind nicht vollständig öffentlich, was eine analytische Lücke hinterlässt.

Der OVHcloud-Präzedenzfall ist ein Warnsignal

Der am direktesten vergleichbare Präzedenzfall ist kein US-Fall, sondern ein kanadischer, und er spricht gegen die Interessen europäischer Anbieter. In R. v. OVH Group SA (2025) erliess die RCMP eine Herausgabeanordnung an OVHclouds kanadische Tochtergesellschaft für Teilnehmerdaten und Metadaten zu IP-Adressen, die auf Servern in Frankreich, Grossbritannien und Australien gehostet waren. OVH argumentierte, dass die kanadische Tochter keinen Zugang zu den Daten habe und dass eine Erfüllung gegen Frankreichs Blocking-Statute verstossen würde.

Richterin Heather Perkins-McVey am Ontario Court of Justice ordnete die Herausgabe der Daten an, da die Tochtergesellschaft «Besitz oder Kontrolle» habe, teilweise basierend auf einer früheren Instanz, in der OVH freiwillig einer RCMP-Anfrage für in Deutschland gehostete Daten nachgekommen war. Das Gericht befand auch, dass das Risiko einer Strafverfolgung unter Frankreichs Blocking-Statute gering sei. OVH hat eine gerichtliche Überprüfung beantragt, und die französische Regierungsstelle SISSE gab offizielle Schreiben heraus, die warnten, dass eine Erfüllung die französische Souveränität verletzen würde. Das Verfahren ist Stand Anfang 2026 anhängig.

Dieses Urteil ist für Hetzners Situation von grosser Bedeutung. Es zeigt, dass Gerichte «Kontrolle» bei der Prüfung von Tochter-Mutter-Beziehungen breit auslegen können, und dass vergangene freiwillige Kooperation mit Strafverfolgungsbehörden als Argument verwendet werden kann, um einen Präzedenzfall für «Besitz oder Kontrolle» zu schaffen. Würde Hetzner US LLC auch nur einer einzigen US-Datenanfrage für nicht in den USA gespeicherte Daten freiwillig nachkommen, könnte diese Handlung die Rechtsgrundlage für zukünftige erzwungene Herausgaben erweitern, genau die Dynamik, die im OVH-Fall zum Tragen kam.

Die DSGVO schafft einen echten Rechtskonflikt ohne saubere Lösung

Jede CLOUD-Act-Offenlegung von EU-Personendaten an US-Behörden löst eine direkte Kollision mit der DSGVO aus. Artikel 48 DSGVO bestimmt, dass ausländische Gerichtsurteile, die Datenübermittlungen verlangen, «nur dann anerkannt oder vollstreckbar sind, wenn sie auf einem internationalen Übereinkommen, wie einem Rechtshilfeabkommen, beruhen.» Eine einseitige CLOUD-Act-Anordnung qualifiziert sich nicht.

Der EDSA und der EDSB veröffentlichten eine gemeinsame Stellungnahme im Juli 2019 mit dem Schluss, dass «Dienstleister, die dem EU-Recht unterliegen, die Offenlegung und Übermittlung personenbezogener Daten in die USA nicht auf [CLOUD-Act-]Anfragen stützen können.» Sie bewerteten jede potenzielle DSGVO-Rechtsgrundlage und fanden nur die lebenswichtige Interessen-Ausnahme (Artikel 6(1)(d)) potenziell anwendbar, beschränkt auf extreme Umstände wie entführte Kinder oder unmittelbare Bedrohungen für das Leben. Der EDSA empfahl Unternehmen, «direkte Anfragen grundsätzlich abzulehnen und die anfragende Drittlandbehörde auf ein bestehendes Rechtshilfeabkommen zu verweisen.»

Der CLOUD Act enthält zwar einen Comity-Mechanismus: Anbieter können beantragen, Anordnungen aufzuheben, die gegen die Gesetze einer «qualifizierenden ausländischen Regierung» verstossen würden. Aber dieser Mechanismus ist nur für Länder mit CLOUD-Act-Exekutivabkommen verfügbar. Stand April 2026 haben die USA Exekutivabkommen nur mit dem Vereinigten Königreich und Australien. Kein EU-Mitgliedstaat und nicht die EU selbst hat ein solches Abkommen. Für Konflikte mit deutschem Recht müssen Anbieter auf vagere Common-Law-Comity-Grundsätze zurückgreifen, die nach Ansicht von Rechtsgelehrten historisch ein unzuverlässiger Schutzschild waren. Stanford-Forscherin Jennifer Daskal hat festgestellt, dass «kein Comity-Einwand jemals in Verbindung mit einem SCA-Durchsuchungsbefehl geltend gemacht wurde.»

Das Ergebnis ist eine ungelöste Compliance-Pattsituation: Einer CLOUD-Act-Anordnung nachkommen und DSGVO-Bussgelder von bis zu 4% des weltweiten Jahresumsatzes riskieren, oder verweigern und US-Zwangsmassnahmen wegen Missachtung des Gerichts riskieren. Die kommende EU-E-Evidence-Verordnung (anwendbar ab 17. August 2026) und laufende US-EU-Verhandlungen könnten schliesslich einen bilateralen Rahmen bieten, aber heute besteht kein Abkommen.

Wie Hetzner im Vergleich zu US-Anbietern abschneidet

Der strukturelle Unterschied zwischen Hetzner und Anbietern wie AWS, Microsoft Azure oder Google Cloud ist nicht bloss akademisch. Er verändert die rechtliche Analyse grundlegend.

Faktor	AWS / Azure / Google Cloud	Hetzner
Jurisdiktion des Mutterunternehmens	Vereinigte Staaten	Deutschland
CLOUD Act gilt direkt für Mutterunternehmen	Ja — Mutter ist US-Einheit	Nein — Mutter ist deutsche Einheit
Eigentümerrichtung	US-Mutter → EU-Tochtergesellschaften	EU-Mutter → US-Tochtergesellschaft
Können USA Mutter für alle globalen Daten zwingen	Ja — Mutter hat BVK über Tochtergesellschaften	Nein — keine US-Jurisdiktion über Mutter
Kontrolle der US-Tochter über EU-Daten	N/A (Mutter bereits verpflichtbar)	Hängt von BVK-Analyse ab
Hauptrisiko	Alle Daten weltweit über Mutter erreichbar	Nur Daten, die Tochter kontrolliert, erreichbar

Wenn US-Behörden eine CLOUD-Act-Anordnung an Amazon oder Microsoft richten, haben diese Unternehmen (als US-basierte Muttergesellschaften) rechtliche und praktische Kontrolle über ihre globalen Tochtergesellschaften und Infrastruktur. Jedes Rechenzentrum weltweit fällt in ihren «Besitz, Verwahrung oder Kontrolle». Microsofts Chefjurist räumte vor dem französischen Senat ein, dass Microsoft «nicht garantieren kann, dass Daten europäischer Behörden nicht an die US-Regierung übermittelt werden.»

Für Hetzner kehrt sich die Kalkulation um. US-Behörden müssten die Anordnung an Hetzner US LLC (eine Tochtergesellschaft) zustellen und dann beweisen, dass diese Einheit BVK über Daten hat, die beim deutschen Mutterunternehmen liegen. Das ist eine materiell höhere rechtliche Hürde, wenn auch keine unmögliche.

Fazit

Hetzner US LLC unterliegt dem CLOUD Act, aber das praktische Risiko für in Deutschland gehostete Daten ist strukturell begrenzt, nicht eliminiert. Drei zentrale Erkenntnisse ergeben sich aus dieser Analyse.

Erstens ist die Richtung der Unternehmenseigentümerschaft die wichtigste rechtliche Variable. Da Hetzner Online GmbH die Hetzner US LLC besitzt (nicht umgekehrt), stehen Gerichte vor einer höheren Beweishürde, um festzustellen, dass die Tochter die Daten des Mutterunternehmens «kontrolliert». Das ist ein echter und bedeutsamer struktureller Vorteil gegenüber US-basierten Anbietern.

Zweitens ist dieser Vorteil nur so stark wie die operative Trennung dahinter. Wenn Hetzner US LLC IT-Infrastruktur, Admin-Zugangsdaten, leitendes Personal oder konzerninterne Datenzugangsvereinbarungen mit Hetzner Online GmbH teilt, verschiebt sich die «Besitz, Verwahrung oder Kontrolle»-Analyse zu Hetzners Ungunsten. Der OVHcloud-Kanada-Fall zeigt, dass Gerichte «Kontrolle» expansiv auslegen können, insbesondere wenn es Hinweise auf vergangenen freiwilligen grenzüberschreitenden Datenaustausch gibt.

Drittens bleibt der DSGVO-CLOUD-Act-Konflikt rechtlich ungelöst. Kein Exekutivabkommen besteht zwischen den USA und einem EU-Staat, der gesetzliche Comity-Mechanismus ist daher nicht verfügbar, und Common-Law-Comity hat einen Anbieter nie erfolgreich vor einem SCA-Durchsuchungsbefehl geschützt. Für Kunden, die absolute Sicherheit benötigen, dass ihre in Deutschland gehosteten Daten nicht durch US-Rechtsverfahren erreicht werden können, ist die einzige vollständige Abhilfe die Nutzung eines Anbieters mit keinerlei US-Unternehmenspräsenz, ein Standard, den Hetzner selbst einräumt, nicht mehr zu erfüllen. Für die meisten Bedrohungsmodelle bietet Hetzners Struktur jedoch wesentlich stärkeren Schutz als jede US-basierte Alternative und positioniert sich in einem Mittelfeld zwischen voller CLOUD-Act-Exposition und vollständiger jurisdiktioneller Isolation.

Dieser Artikel stellt keine Rechtsberatung dar. Organisationen mit spezifischen Compliance-Anforderungen sollten qualifizierten Rechtsrat in ihrer Jurisdiktion einholen.

Quellen

Primäre Rechtsquellen

EU/Regulatorisch

Rechtsanalysen & Kanzleien

Datenschutz- & Policy-Foren

OVHcloud / King v. OVH

Hetzner Offiziell

Cloud-Anbieter & Branchenkontext

Ole Müller
Founder, OM Intelligence | MSc ETH Zürich