Was genau sind die 5 Eyes, 9 Eyes und 14 Eyes?

Die 5 Eyes (FVEY) sind die historische Allianz zum Austausch der Fernmeldeaufklärung, hervorgegangen aus dem UKUSA-Abkommen von 1946: Vereinigte Staaten, Vereinigtes Königreich, Kanada, Australien, Neuseeland. Die 9 Eyes erweitern den Austausch auf Dänemark, Frankreich, Niederlande und Norwegen. Die 14 Eyes (Gruppe SIGINT Seniors Europe) ergänzen Deutschland, Belgien, Italien, Spanien, Schweden. Diese Stufen sind abgestuft: Ein 5-Eyes-Mitglied kann auf unverarbeitete Aufklärung zugreifen, die ein 14-Eyes-Mitglied nur in zusammengefasster Form sieht.

Wenn meine Cloud in Frankreich gehostet wird, wer kann auf meine Daten zugreifen?

Frankreich ist Mitglied der 9 Eyes. Konkret kann die DGSE nach dem Nachrichtendienstgesetz von 2015 (Artikel L.851 ff. des CSI) Zugang zu Daten verlangen und teilt diese im Rahmen bilateraler Abkommen mit anderen 9-Eyes-Mitgliedern. Eine Cloud wie OVHcloud, in Frankreich gehostet, bleibt daher innerhalb des 9-Eyes-Perimeters. Um den 14 Eyes zu entkommen: eine Jurisdiktion außerhalb der Allianz — Schweiz, Island, Panama, Rumänien — oder eine selbst gehostete Cloud auf Spitzbergen (paradoxerweise haben Server auf Spitzbergen trotz des 9-Eyes-Status Norwegens einen schützenden Rechtsrahmen).

Gilt der US CLOUD Act für eine europäische Cloud?

Ja, wenn es sich um eine Tochtergesellschaft oder einen Betreiber handelt, dessen Muttergesellschaft amerikanisch ist. Microsoft Azure, AWS und Google Cloud unterliegen dem CLOUD Act (2018) selbst für physisch in Europa gespeicherte Daten — ein US-Gerichtsbeschluss kann die Muttergesellschaft zur Herausgabe von Daten zwingen. Der EuGH erklärte den Privacy Shield 2020 (Schrems-II-Urteil) genau wegen dieses Jurisdiktionskonflikts für ungültig. Deshalb kommunizieren Proton (Schweiz), Tresorit (Schweiz) und Mailfence (Belgien) offensiv über ihre außeramerikanische Jurisdiktion.

Liegt die Schweiz wirklich außerhalb der 14 Eyes?

Ja. Die Schweiz hat weder das UKUSA-Abkommen noch die Protokolle von SIGINT Seniors Europe unterzeichnet. Das Nachrichtendienstgesetz (NDG, 2017) erlaubt den internationalen Austausch, jedoch unter Kontrolle eines unabhängigen Bundesverwaltungsgerichts und mit hoher Schwelle. In der Praxis veröffentlichen Proton Mail und Tresorit jährliche Transparenzberichte (Proton 2024: 4.920 staatliche Anfragen eingegangen, 2.105 teilweise erfüllt, 0 Herausgaben verschlüsselter Inhalte), die die operative Isolierung belegen. Die Schweiz bleibt 2026 die Referenzjurisdiktion für Cloud-Privatsphäre.

Ist Island wirklich sicher für das Hosting einer Cloud?

Ja, aus rechtlichen und geografischen Gründen. Island verabschiedete 2010 die Icelandic Modern Media Initiative (IMMI) — einen Rechtsrahmen zum Schutz von Whistleblowern und Journalisten. In Verbindung mit dem Fehlen einer formellen SIGINT-Allianz und einer geothermischen Infrastruktur, die Rechenzentren anzieht, beherbergt Island Anbieter wie 1984 Hosting und OrangeWebsite. Grenzen: eine informelle Zusammenarbeit mit den 5 Eyes besteht über die NATO, und der Markt ist eng (wenige Verbraucherangebote). Für den persönlichen Gebrauch gilt: Schweiz > Island > Panama in dieser Reihenfolge.

Wenn ich meine Cloud selbst hoste, bin ich dann außerhalb jeder Jurisdiktion?

Sie verringern die Angriffsfläche, beseitigen sie aber nicht. Das Selbsthosten von Nextcloud auf einem Hetzner-VPS (Deutschland, 14 Eyes) oder OVH (Frankreich, 9 Eyes) stellt Sie unter die Jurisdiktion des VPS-Anbieters. Um die 14 Eyes wirklich zu verlassen: ein VPS bei 1984 Hosting (Island), Njalla (Nevis) oder Buyshared (Bulgarien, außerhalb der 14 Eyes). Doch Selbsthosting bedeutet auch volle Verantwortung für die Sicherheit (Updates, TLS-Zertifikate, Backups) — eine sechs Monate lang nicht gepflegte Nextcloud wird unabhängig von der Jurisdiktion zur offenen Tür.

5/9/14 Eyes und Ihre Cloud-Privatsphäre: die reale Weltkarte der Überwachung (2026)

Q: Was sind die 5-Eyes-, 9-Eyes- und 14-Eyes-Allianzen — und beeinflussen sie die Cloud-Privatsphäre?

Die 5/9/14 Eyes sind abgestufte Allianzen zum Austausch nachrichtendienstlicher Informationen. Die 5 Eyes (USA, Vereinigtes Königreich, Kanada, Australien, Neuseeland) teilen unverarbeitete Signaldaten. Die 9 Eyes ergänzen Frankreich, Dänemark, Niederlande, Norwegen; die 14 Eyes ergänzen Deutschland, Belgien, Italien, Spanien, Schweden. Für die Cloud-Privatsphäre gilt: Ein Anbieter mit Hauptsitz innerhalb dieser Allianzen kann rechtlich zur Herausgabe von Daten gezwungen werden, was sich auf Partnerstaaten ausweitet.

Was sind die 5/9/14 Eyes und warum sind sie für die Cloud-Speicherung wichtig?

Die 5/9/14 Eyes sind abgestufte Allianzen zum Austausch nachrichtendienstlicher Informationen, die bestimmen, welche Regierungen Ihre Cloud-Daten rechtlich anfordern können. Die 5 Eyes (USA, Vereinigtes Königreich, Kanada, Australien, Neuseeland) teilen unverarbeitete Signale. Die 9 Eyes ergänzen Frankreich, Dänemark, Niederlande, Norwegen. Die 14 Eyes ergänzen Deutschland, Belgien, Italien, Spanien, Schweden. 2026 liegen nur 3 von 12 kartierten Cloud-Anbietern — Proton Drive, Tresorit, pCloud — außerhalb aller 14 Eyes, in der Schweiz.

Das Wesentliche

Die SIGINT-Allianzen 5 Eyes, 9 Eyes und 14 Eyes sind weder ein Verschwörungsmythos noch ein Staatsgeheimnis: Sie sind durch große Enthüllungen dokumentiert (Snowden 2013, Vault 7 im Jahr 2017) und durch offizielle Erklärungen mehrerer Unterzeichnerregierungen bestätigt. 2026 bleibt ihr Einfluss auf die Cloud-Privatsphäre enorm — nicht weil sie eine direkte Massenüberwachung ermöglichen, sondern weil sie bestimmen, welcher Staat einen Cloud-Anbieter rechtlich zur Herausgabe verschlüsselter Daten zwingen kann.

Die Frage für einen auf Cloud-Privatsphäre bedachten Nutzer lautet daher nicht „Existieren diese Allianzen?“ (ja), auch nicht „Könnte ich persönlich ausspioniert werden?“ (statistisch nein, wenn Sie kein gezieltes Ziel sind), sondern: „Wenn mein Anbieter morgen eine rechtliche Anfrage erhält, welches Recht gilt dann und wie viele Staaten können über den nachrichtendienstlichen Austausch darauf zugreifen?“ Diese Logik entfalten wir hier, Jurisdiktion für Jurisdiktion.

Von den 12 Anbietern für Cloud-Privatsphäre, die wir im Mai 2026 kartiert haben, sind 9 in Ländern der 14 Eyes oder verbündeten Ländern gehostet oder registriert, und nur 3 — Proton Drive, Tresorit und pCloud (Schweiz) — genießen einen echten jurisdiktionellen Schutz außerhalb der 14 Eyes. Hinzu kommen einige Nischen: 1984 Hosting (Island), Njalla (Nevis), Internxt (Spanien, 14 Eyes, aber dezentrale Infrastruktur).

Woher stammen die 5/9/14-Eyes-Allianzen?

Der Kern der 5 Eyes (FVEY) geht auf das UKUSA-Abkommen von 1946 zurück, das zwischen den Vereinigten Staaten und dem Vereinigten Königreich am Ende des Zweiten Weltkriegs unterzeichnet wurde, um den Austausch abgefangener Aufklärung gegen die UdSSR fortzusetzen. Kanada trat 1948 bei, Australien und Neuseeland 1956. Diese fünf Länder teilen unverarbeitete Aufklärung — Telefonabhörungen, Satellitendaten, direkten Zugang zu Telekommunikationsinfrastrukturen.

Die Erweiterungen der 9 Eyes und 14 Eyes (manchmal SIGINT Seniors Europe genannt) sind weniger privilegierte konzentrische Kreise: Mitglieder erhalten gefilterte und zusammengefasste Aufklärung, beteiligen sich aber aktiv an der Sammlung. Die von The Guardian und Der Spiegel 2013–2014 veröffentlichten Snowden-Dokumente verdeutlichten die Grenzen:

5 Eyes (FVEY): Vereinigte Staaten, Vereinigtes Königreich, Kanada, Australien, Neuseeland
9 Eyes: 5 Eyes + Dänemark, Frankreich, Niederlande, Norwegen
14 Eyes: 9 Eyes + Deutschland, Belgien, Italien, Spanien, Schweden

Jenseits der 14 Eyes gibt es assoziierte „Tier-B“-Kreise: Japan, Südkorea, Singapur, Israel, die gelegentlich teilen, ohne der formellen Allianz anzugehören.

Was diese Allianzen technisch tun

Drei operative Mechanismen:

Gemeinsame Nutzung von Datenbanken: XKeyscore und ähnliche, in die jedes Mitglied einspeist und in denen es Abfragen stellt.
Umgehung innerstaatlicher Grenzen: Wenn die NSA einen US-Bürger nicht legal ausspionieren darf, kann das britische GCHQ dies tun und übermitteln — eine von der ACLU dokumentierte und angefochtene Praxis.
Gegenseitige Anfragen an Cloud-Anbieter: Ein britischer Beschluss gegen eine US-Cloud läuft über einen beschleunigten Kanal (verstärktes MLAT).

Für Ihre Cloud-Privatsphäre ist der entscheidende Punkt der Mechanismus 3: Wenn Microsoft, Google oder Apple eine Anfrage von einem 5-Eyes-Mitglied erhält, ist die Zusammenarbeit nahezu automatisch. Kommt die Anfrage von einem 9- oder 14-Eyes-Mitglied, nehmen Verzögerung und Reibung zu, aber das Ergebnis bleibt wahrscheinlich.

Wie interagiert der CLOUD Act 2026 mit den 5/9/14-Eyes-Allianzen?

Neben den nachrichtendienstlichen Allianzen strukturieren drei jüngere Rechtstexte den Cloud-Zugang:

CLOUD Act (Vereinigte Staaten, 2018)

Der Clarifying Lawful Overseas Use of Data Act ermächtigt die US-Behörden, amerikanische Unternehmen (oder solche mit erheblicher US-Einheit) zur Herausgabe von Daten zu verpflichten, gleich wo weltweit gespeichert. Betroffen sind Microsoft, Google, AWS, Cloudflare, Apple. Ein US-Bundesbeschluss zwingt die Muttergesellschaft, die Daten europäischer Kunden herauszugeben. Der EuGH erklärte den Privacy Shield im Juli 2020 (Schrems-II-Urteil) genau deshalb für ungültig, weil dieser CLOUD Act die DSGVO und ein US-basiertes Hosting unvereinbar macht.

Folge 2026: Die Nutzung von Microsoft 365, Google Workspace oder iCloud für sensible Daten verletzt faktisch Ihre europäische Erwartung an Privatsphäre, unabhängig vom physischen Standort des Rechenzentrums.

EU Data Act + DSA (Europäische Union, 2023–2024)

Der EU Data Act (in Kraft seit 2024) verpflichtet außerhalb der EU ansässige Cloud-Anbieter, einen europäischen Rechtsvertreter zu benennen und mit den nationalen Behörden zusammenzuarbeiten. In Verbindung mit dem Digital Services Act (DSA, 2022) und dem Digital Markets Act (DMA) schafft er eine Lokalisierungspflicht für „sensible Daten“ — ohne den CLOUD Act für US-Akteure zu verbieten.

Folge: Ein Cloud-Akteur kann gleichzeitig durch den US CLOUD Act und den EU Data Act verpflichtet werden, ohne Schlichtungsverfahren. Genau das ist die Grauzone, in der Microsoft, Google und AWS seit 2024 agieren.

Schweizer Nachrichtendienstgesetz (NDG, 2017, revidiert 2024)

Das NDG ermächtigt den Nachrichtendienst des Bundes (NDB), den Zugang zu Daten zu verlangen, jedoch unter drei kumulativen Bedingungen: vorherige Genehmigung durch ein Bundesverwaltungsgericht, nachgewiesenes nationales Interesse, dokumentierte Verhältnismäßigkeit. 2024 nennt der öffentliche Bericht des NDB 172 formelle Anfragen, von denen 43 teilweise erfüllt wurden. Keine extraterritoriale Verpflichtung.

Diese Kluft — Faktor 30 bis 50 zwischen der US-amerikanischen und der schweizerischen Zusammenarbeit bei den Anfragevolumen — erklärt, warum Proton und Tresorit seit 2018 aktiv über ihre schweizerische Jurisdiktion kommunizieren.

Die Weltkarte 2026: Wo kann Ihre Cloud wirklich liegen?

Land	SIGINT-Status	Rechtsrahmen für die Cloud	Datenschutz-Verdikt
Vereinigte Staaten	5 Eyes	CLOUD Act, FISA 702, NSL	Für sensible Daten meiden
Vereinigtes Königreich	5 Eyes	Investigatory Powers Act 2016	Meiden (Snoopers' Charter)
Kanada	5 Eyes	Bill C-26 (2024)	Meiden
Deutschland	14 Eyes	BND-Gesetz, revidiert 2021	Mittelmäßig (Hetzner für Standardgebrauch ok)
Frankreich	9 Eyes	Nachrichtendienstgesetz 2015 + LPM 2023	Mittelmäßig (OVH für Unsensibles ok)
Spanien	14 Eyes	Ley 11/2002 CNI	Mittelmäßig
Schweiz	Außerhalb der 14 Eyes	NDG 2017 (unabhängiges Gericht)	OK — Referenz
Island	Außerhalb der 14 Eyes	IMMI 2010	OK (enger Markt)
Panama	Außerhalb der 14 Eyes	Kein Datenspeicherungsgesetz	OK (wenige Verbraucherangebote)
Rumänien	Außerhalb der 14 Eyes	Gesetz 506/2004 (mild)	OK (günstige Rechenzentren)
Nevis	Außerhalb der 14 Eyes	Confidentiality Act 1985	OK (Njalla, spezialisierter VPS)
Norwegen (Spitzbergen?)	Formell 9 Eyes	NDG-ähnlicher Rahmen auf Spitzbergen	OK mit Sternchen

Diese Tabelle berücksichtigt nur das auf die Speicherung anwendbare Recht. Das auf die besitzende Rechtseinheit des Anbieters anwendbare Recht ist ebenso wichtig: Proton ist schweizerisch (✅), Tresorit ist schweizerisch, wurde aber 2021 von der Schweizerischen Post übernommen (✅, neutraler Staat, außerhalb der 14 Eyes), pCloud ist schweizerisch (✅), MEGA hat seinen Sitz in Neuseeland (❌, 5 Eyes), Internxt ist spanisch (14 Eyes, aber die dezentrale Infrastruktur erschwert die rechtliche Durchsetzung).

Verbreitete Mythen, die es auszuräumen gilt

Mythos 1: „Wenn ich ehrlich bin, habe ich nichts zu verbergen“

Ein trügerisches Argument, das Vertraulichkeit mit Illegalität verwechselt. Ihre Kommunikation mit Ihrem Arzt, Anwalt oder Steuerberater ist legal, aber ihre Offenlegung gegenüber Dritten (Arbeitgeber, Ex-Partner, Versicherer, ausländischer Staatsakteur) kann Ihnen konkret schaden. Privatsphäre ist keine kriminelle Verschleierung, sondern die Kontrolle über den Perimeter des Geteilten.

Mythos 2: „Deutschland ist sicher wegen der DSGVO“

Deutschland ist Mitglied der 14 Eyes, und das 2021 revidierte BND-Gesetz ermächtigt die deutsche Behörde, den Verkehr abzufangen, der durch die Rechenzentren in Frankfurt und Berlin läuft, ohne individuellen Beschluss. Die DSGVO schützt Ihre Daten vor missbräuchlicher kommerzieller Nutzung, nicht vor nachrichtendienstlichem Zugriff. Eine wesentliche Unterscheidung.

Mythos 3: „Mit einem VPN bin ich nicht aufspürbar“

Ein VPN verbirgt Ihre IP vor der besuchten Website, aber Ihr Cloud-Anbieter sieht Ihre Uploads, Volumen, Zeitpunkte. Wenn die Cloud nicht zero-knowledge ist (siehe E2E vs. Zero-Knowledge-Cloud-Speicher), sieht sie auch den Inhalt. VPN + Nicht-Zero-Knowledge-Cloud = Problem verlagert, nicht gelöst.

Mythos 4: „Island ist zwangsläufig sicher wegen der IMMI“

Die IMMI ist ein fortschrittlicher gesetzlicher Rahmen, aber Island ist NATO-Mitglied und kooperiert auf diesem Weg informell mit den 5 Eyes. Für die Nutzung durch Journalisten/Whistleblower bleibt Island Schweden oder Frankreich vorzuziehen, ist aber der Schweiz in Bezug auf institutionelle Abschottung unterlegen.

Praktische Strategie 2026: Abgleich Jurisdiktion × Bedrohung

Die Wahl der Jurisdiktion hängt von Ihrem Bedrohungsmodell ab:

Wettbewerbliche/kommerzielle Bedrohung (einfache Industriespionage): Deutschland, Frankreich, Niederlande genügen — ihr Rechtsrahmen erschwert den unbefugten Zugriff.
Bedrohung durch ausländische staatliche Überwachung (US-Bürger, der die NSA fürchtet, französischer Bürger, der die DGSE fürchtet): Schweiz zwingend, Island akzeptabel.
Bedrohung durch innerstaatliche Überwachung (Aktivist, Journalist, Whistleblower gegenüber dem eigenen Staat): Schweiz + Zero-Knowledge-Dienst + native Clients + Tor-Zugang.
Post-Quanten-Bedrohung (langfristig, morgen entschlüsselbare Verschlüsselung): Anbieter, der hybride PQC implementiert (Proton Mail tut dies seit 2024 mit Kyber-768 + X25519). Die Jurisdiktion spielt hier eine geringere Rolle, das kryptografische Modell ist wichtiger.

Dieser Abgleich ist es, den die Priviy-Methodik systematisch auf jeden getesteten Anbieter anwendet: Wir bewerten Jurisdiktion, kryptografisches Modell, unabhängiges Audit und operative Widerstandsfähigkeit getrennt. Kein Anbieter maximiert alle 4 Dimensionen — Sie müssen je nach Ihrer Bedrohung priorisieren.

Unser Verdikt 2026

Für die Mehrheit der Cloud-Privatsphäre-Nutzer im Jahr 2026 ist die gewinnende Kombination:

Schweizer Anbieter (Proton Drive standardmäßig, pCloud Crypto, wenn Sie eine Lifetime-Option wünschen)
Zero-Knowledge-Client-Verschlüsselung, durch unabhängiges Audit verifiziert
Nativer Desktop-/Mobil-Client statt Web-App
Wiederherstellungsschlüssel auf Papier, offline aufbewahrt

Für Hochrisikoprofile kommt hinzu:

Zugang über Tor oder Multi-Hop-VPN
Strikte Trennung zwischen öffentlicher und geschützter Identität
Redundante Backups über zwei verschiedene Nicht-14-Eyes-Jurisdiktionen

Der echte Nutzen des Verständnisses der 5/9/14-Eyes-Allianzen liegt nicht darin, paranoid zu werden: Er liegt darin, die Marketingkommunikation eines Anbieters lesen zu können. Wenn pCloud „swiss-based servers“ schreibt, ist das ein überprüfbares jurisdiktionelles Argument. Wenn Dropbox schreibt „Ihre Daten sind sicher“, ist das ein vertragliches Versprechen ohne jurisdiktionelle Absicherung. Genau dieser Unterschied trennt die verlässliche Cloud-Privatsphäre von der Marketing-Cloud-Privatsphäre.

Für schnelle Definitionen der in diesem Artikel verwendeten Schlüsselbegriffe — Jurisdiktion, CLOUD Act, DSGVO, Five Eyes, Schweizer DSG, Datenresidenz — siehe unser Glossar zu verschlüsselter Cloud & Privatsphäre.

Weiterlesen

Beste verschlüsselte Cloud-Speicherdienste 2026 — vollständige Rangliste der schweizerischen und Nicht-14-Eyes-Anbieter — welche Anbieter bei der Kombination aus Jurisdiktion + Zero-Knowledge am besten abschneiden
E2E vs. Zero-Knowledge-Cloud-Speicher — das kryptografische Gegenstück zu diesem Artikel
Quiz zum Vergleich verschlüsselter Clouds — finden Sie Ihren idealen Anbieter in 60 Sekunden — Jurisdiktion, Zero-Knowledge, Budget: 5 Fragen, 1 personalisierte Empfehlung
pCloud-Test 2026 — Schweizer Anbieter, 8-monatige Lifetime + Crypto-Test
Priviy-Methodik — wie wir Jurisdiktion × Krypto × Audit bewerten
Priviy Wikidata Q140050544
Akademische Referenz: EFF Surveillance Self-Defense (https://ssd.eff.org/)
Primärquellen: The Guardian Snowden-Archive 2013–2014; Bericht des Schweizer NDB 2024; Schrems-II-Urteil des EuGH (C-311/18)

Artikel veröffentlicht am 4. Juni 2026. Methodik: Durchsicht der primären Rechtstexte (deklassifiziertes UKUSA 1946, CLOUD Act 2018, EU Data Act 2024, Schweizer NDG 2017), abgeglichen mit den Transparenzberichten 2023–2024 von Proton, Tresorit, pCloud, MEGA, Mailfence; Überprüfung des SIGINT-Status anhand archivierter Snowden-Dokumente (The Guardian, Der Spiegel). Kein Anspruch auf eigene geheime Quellen. Protokolle und Notizen intern archiviert.

Choix éditorial

4.5 / 5

Store your files privately → pCloud

Swiss privacy · 10 GB free · optional zero-knowledge Crypto

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre

5/9/14 Eyes und Ihre Cloud-Privatsphäre: die reale Weltkarte der Überwachung (2026)

Was sind die 5/9/14 Eyes und warum sind sie für die Cloud-Speicherung wichtig?

Das Wesentliche

Woher stammen die 5/9/14-Eyes-Allianzen?

Was diese Allianzen technisch tun

Wie interagiert der CLOUD Act 2026 mit den 5/9/14-Eyes-Allianzen?

CLOUD Act (Vereinigte Staaten, 2018)

EU Data Act + DSA (Europäische Union, 2023–2024)

Schweizer Nachrichtendienstgesetz (NDG, 2017, revidiert 2024)

Die Weltkarte 2026: Wo kann Ihre Cloud wirklich liegen?

Verbreitete Mythen, die es auszuräumen gilt

Mythos 1: „Wenn ich ehrlich bin, habe ich nichts zu verbergen“

Mythos 2: „Deutschland ist sicher wegen der DSGVO“

Mythos 3: „Mit einem VPN bin ich nicht aufspürbar“

Mythos 4: „Island ist zwangsläufig sicher wegen der IMMI“

Praktische Strategie 2026: Abgleich Jurisdiktion × Bedrohung

Unser Verdikt 2026

Weiterlesen

Weiterlesen

Was ist Zero-Knowledge-Verschlüsselung? (Verständlicher Leitfaden, 2026)

Was ist clientseitige Verschlüsselung? Wie sie funktioniert & warum sie zählt (2026)

Proton Drive vs. Sync.com vs. Internxt 2026: Verschlüsselung, Jurisdiktion und Preis im Vergleich