Der CLOUD Act erlaubt US-Behörden Zugriff auf EU-Daten – im Widerspruch zur DSGVO. Erfahren Sie, welche Risiken das für europäische Unternehmen birgt und wie Sie compliant bleiben.
Für Unternehmen, die in der Europäischen Union tätig sind oder mit ihr zusammenarbeiten, ist es essentiell, die komplexen Überschneidungen internationaler Datenschutzgesetze zu verstehen. Insbesondere der US-amerikanische CLOUD Act sorgt hier seit seiner Verabschiedung 2018 für erhebliche Unsicherheiten in Bezug auf digitale Souveränität und Datenschutz.
Dieser Artikel erklärt die Kernaspekte des CLOUD Acts, warum er den europäischen Datenschutzprinzipien, insbesondere der DSGVO, widerspricht und welche Konsequenzen sich daraus für Unternehmen ergeben, die ihre sensiblen Daten schützen wollen.
Der CLOUD Act erlaubt US-Behörden, amerikanische Firmen zur Herausgabe von Daten zu verpflichten – auch wenn die Daten außerhalb der USA gespeichert sind, etwa in EU-Rechenzentren. Betroffen sind insbesondere große US-Anbieter wie Microsoft, Google oder Amazon sowie die darauf basierenden Kommunikationstools (z. B. Microsoft Teams, Slack).
Der CLOUD Act hebt lokale Datenschutzgesetze auf, wenn US-Ermittlungen betroffen sind. Er gilt unabhängig vom physischen Speicherort, solange der Anbieter US-Recht unterliegt. US-Behörden erhalten so Zugang zu persönlichen, unternehmensbezogenen oder geheim eingestuften Daten – ohne Benachrichtigung der betroffenen Personen oder europäischer Regulierungsbehörden.
Die DSGVO schreibt vor, dass Datenübermittlungen in Drittländer nur mit rechtlicher Grundlage erfolgen dürfen (Art. 48 DSGVO). Üblicherweise sind das bilaterale Rechtshilfeabkommen (MLATs). Der CLOUD Act umgeht diese jedoch, was Unternehmen in ein Dilemma bringt:
Der Europäische Datenschutzausschuss weist klar darauf hin, dass Cloud-Dienste nicht allein auf Grundlage des CLOUD Acts Daten übermitteln dürfen.
Der CLOUD Act eliminiert die Notwendigkeit einer grenzüberschreitenden behördlichen Zusammenarbeit und gerichtlichen Überprüfung. Er erlaubt US-Behörden einen einseitigen Zugriff auf Daten, wodurch EU-Recht, Datenschutzrechte und Rechtsschutzmechanismen der betroffenen Bürger außer Kraft gesetzt werden.
Zwar existiert eine Option für Dienstanbieter, Ersuchen abzulehnen, wenn sie mit lokalem Recht kollidieren. Diese ist aber selten praktikabel und wird kaum genutzt.
Der Standort der Daten spielt keine Rolle mehr, die US-Gerichtsbarkeit definiert den Zugriff. Selbst gehostet in Frankfurt oder Paris und verwaltet von amerikanischen Unternehmen sind Daten nach US-Recht zugreifbar.
Dies verletzt fundamentale GDPR-Prinzipien wie Transparenz und Einwilligung, widerspricht Urteilen wie „Schrems II“ und untergräbt das Vertrauen in US-Cloud-Angebote.
Europäische Unternehmen sollten US-Anfragen nicht direkt Folge leisten, sondern auf MLAT-Verfahren verweisen, die Rechtssicherheit und Prüfung gewährleisten. Andernfalls fehlt eine gültige Rechtsgrundlage für Datenübermittlungen.
Während die GDPR strikte Regeln für Datenverarbeitung und Betroffenenrechte bestimmt, ermöglicht der CLOUD Act einen extraterritorialen, unangemeldeten Dateneinblick ohne EU-Gericht und Rechtsschutz.
Die Folge für Unternehmen ist eine kaum auflösbare Zwickmühle zwischen Einhaltung europäischer Datenschutzgesetze und US-Vorgaben.
Viele US-Anbieter vermarkten inzwischen EU-basierte Rechenzentren als „souveräne“ Lösungen (z. B. Microsoft 365 EU Data Boundary, Amazon European Sovereign Cloud, Google Sovereign Control). Doch die rechtliche Zuständigkeit bleibt die der USA, sodass der CLOUD Act weiterhin greift.
In sensiblen Branchen wie Gesundheitswesen, Verteidigung, Finanzdienstleistungen oder öffentlicher Verwaltung sind diese Maßnahmen unerlässlich.
Der CLOUD Act ist eine gravierende Herausforderung für den europäischen Datenschutz und stellt die digitale Souveränität infrage. US-Unternehmen sind verpflichtet, auf Forderungen von US-Behörden selbst ohne europäische Zustimmung zu reagieren. Dies bedeutet, dass Daten, selbst wenn sie innerhalb der EU gespeichert sind, einer Inanspruchnahme unterliegen können.
Echte digitale Souveränität erfordert daher Plattformen, die technologisch, rechtlich und organisatorisch an europäische Anforderungen angepasst sind. Dies umfasst insbesondere Open-Source-Lösungen und EU-gehostete Dienste wie Wire.
Matrix wird oft als die Zukunft der sicheren, dezentralen Kommunikation bezeichnet. Gestützt auf ein offenes Protokoll, eine engagierte...
Erfahren Sie, wie ISO 27701 Ihre Datenschutz-Compliance stärkt, die GDPR-Anforderungen ergänzt und den Schutz personenbezogener Daten nachhaltig...
Insider-Bedrohungen nehmen zu. Erfahren Sie, warum interne Datensicherheit 2025 geschäftskritisch ist – und wie Wire Ihr Unternehmen effektiv von...