- Der US CLOUD Act (2018) verpflichtet US-Unternehmen, Daten an US-Behörden herauszugeben, unabhängig vom Speicherort der Server.
- Auch EU-Tochtergesellschaften und EU-Rechenzentren US-amerikanischer Anbieter sind betroffen.
- Für regulierte Branchen (Finanzen, Gesundheit, Verwaltung) ist das in vielen Fällen ein DSGVO-rechtliches K.O.-Kriterium.
- Echte Datensouveränität setzt einen europäischen Anbieter ohne US-Konzernverbindung voraus.
Was ist der CLOUD Act?
Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, ist ein US-amerikanisches Gesetz, das im März 2018 vom US-Kongress verabschiedet wurde. Es erweitert die Befugnisse von US-Strafverfolgungsbehörden und Geheimdiensten erheblich: Sie können von US-Unternehmen die Herausgabe von Daten verlangen, auch wenn diese Daten außerhalb der USA gespeichert sind.
Konkret bedeutet das: Microsoft, Google, Amazon und andere US-Konzerne sind verpflichtet, einer entsprechenden Anordnung nachzukommen, selbst wenn die betreffenden Server in Frankfurt, Dublin oder Stockholm stehen. Eine Information der betroffenen Personen oder europäischen Behörden ist dabei nicht zwingend vorgesehen. Die Anordnung kann sogar mit einer Schweigepflicht (sog. gag order) verbunden sein.
Warum ist das für europäische Unternehmen relevant?
Auf den ersten Blick scheint das ein US-internes Thema zu sein. Tatsächlich entsteht aber ein direkter Konflikt mit der DSGVO: Die DSGVO verbietet die Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Schutzniveau. Der CLOUD Act schafft genau eine solche Übermittlungspflicht, ausgelöst durch eine US-Behörde, ohne Zustimmung der betroffenen Person und meist ohne Information.
Der Europäische Datenschutzausschuss (EDSA) hat dazu mehrfach Stellung genommen. Das Kernproblem: Ein US-Anbieter kann sich nicht gleichzeitig DSGVO-konform verhalten und dem CLOUD Act folgen. Im Konfliktfall gewinnt das US-Recht, schon weil die rechtlichen Konsequenzen für das Unternehmen in den USA sonst gravierend wären.
„EU-Hosting bei einem US-Anbieter löst das Datensouveränitäts-Problem nicht. Es schiebt es nur einen Schritt weiter, bis die nächste US-Anordnung kommt."
Reicht ein EU-Rechenzentrum nicht aus?
Genau das ist der häufigste Trugschluss. Viele US-Anbieter werben aktiv damit, dass ihre Rechenzentren in Deutschland, Irland oder Frankreich stehen, oft kombiniert mit Hinweisen auf eine eigene EU-Tochtergesellschaft. Das beruhigt zwar oberflächlich, ändert aber an der Rechtslage nichts:
- Standort der Server: rechtlich irrelevant für den CLOUD Act.
- EU-Tochtergesellschaft: Tochterunternehmen werden vom Mutterkonzern kontrolliert. US-Behörden wenden sich an den Mutterkonzern, dieser instruiert die Tochter.
- EU Data Boundary: Microsofts „EU Data Boundary" garantiert ausschließlich, dass Kundendaten physisch in der EU verarbeitet werden, nicht, dass sie nicht herausgegeben werden müssen.
- Datenverschlüsselung beim Anbieter: Wenn der Anbieter den Schlüssel hält, kann er entschlüsseln. Damit ist die Verschlüsselung kein Schutz gegen eine Herausgabeanordnung.
Welche Branchen sind besonders betroffen?
Theoretisch betrifft der CLOUD Act jede Organisation, die personenbezogene oder vertrauliche Daten bei US-Anbietern speichert. In der Praxis ist die Brisanz aber je nach Branche sehr unterschiedlich:
Öffentliche Verwaltung
Behörden verarbeiten Verwaltungsdaten, Personalakten, Sozialdaten und andere besonders schutzbedürftige Kategorien. Die Datenschutzkonferenz (DSK) hat sich mehrfach kritisch zum Einsatz US-amerikanischer Cloud-Dienste in der öffentlichen Verwaltung geäußert. Mehrere Bundesländer haben Microsoft 365 für Schulen mittlerweile untersagt oder eingeschränkt.
Gesundheitswesen
Patientendaten gehören zu den sensibelsten Daten überhaupt (Art. 9 DSGVO). Das Patientendaten-Schutzgesetz und §75c SGB V stellen zusätzliche Anforderungen. Eine Datenherausgabe ohne Wissen der betroffenen Patienten wäre weder rechtlich noch ethisch vertretbar.
Finanzen & Versicherungen
Hier kommen MaRisk, BAIT und VAIT ins Spiel: Aufsichtsrechtliche Anforderungen an die IT-Sicherheit, die unter anderem Auslagerungen an Drittanbieter regulieren. Die BaFin verlangt bei kritischen Auslagerungen weitreichende Kontroll- und Auskunftsrechte, die mit einem CLOUD-Act-pflichtigen Anbieter nur schwer umzusetzen sind.
Anwaltskanzleien
§43a Abs. 2 BRAO verpflichtet Anwälte zur Verschwiegenheit. Die Bundesrechtsanwaltskammer (BRAK) hat den Einsatz US-amerikanischer Cloud-Dienste in Kanzleien wiederholt als problematisch eingestuft, weil das Mandatsgeheimnis nicht garantiert werden kann.
Was sind die Konsequenzen für die Anbieterauswahl?
Wer echte Datensouveränität will, kommt um die folgenden Kriterien nicht herum:
- Eigentumsverhältnisse: Der Anbieter muss vollständig in europäischer Hand sein: keine US-Tochter, keine US-Beteiligung über kritischen Schwellen.
- Anwendbares Recht: Sitz und operative Geschäftsführung in der EU, sodass ausschließlich EU-Recht greift.
- Standort der Daten: Speicherung und Verarbeitung physisch in der EU.
- Schlüsselverwaltung: Möglichkeit zur Verschlüsselung mit kundeneigenen Schlüsseln (BYOK), sodass der Anbieter im Zweifelsfall keinen Zugriff auf Klardaten hat.
- Subprocessor-Kette: Auch eingesetzte Drittanbieter müssen die gleichen Kriterien erfüllen, sonst entsteht das Problem nur eine Ebene tiefer wieder.
Fazit
Der CLOUD Act ist kein theoretisches Risiko. Er ist die rechtliche Realität, die jeder Datentransfer an einen US-Konzern mit sich bringt. Für regulierte europäische Organisationen bedeutet das: Eine echte Trennung vom US-Cloud-Markt ist nicht nur eine politische Frage, sondern eine compliance-rechtliche Notwendigkeit.
Anbieter wie STACKIT, IONOS Cloud, OVHcloud oder Aleph Alpha bieten heute Alternativen, die diesen Anforderungen vollständig entsprechen, bei vergleichbarer technischer Qualität. Wer KI-Systeme einsetzen möchte, ohne sich diesem Konflikt auszusetzen, sollte bei der Auswahl konsequent auf die genannten Kriterien achten.