Glossar · US-Überwachungsrecht CLOUD Act (Clarifying Lawful Overseas Use of Data Act)
Ein US-Bundesgesetz von 2018, das US-Behörden ermöglicht, amerikanische Unternehmen und ihre Tochtergesellschaften zur Herausgabe von Daten zu zwingen — unabhängig davon, wo die Daten physisch gespeichert sind.
## Was der CLOUD Act tatsächlich bewirkt
Der Clarifying Lawful Overseas Use of Data Act (H.R. 4943) wurde im März 2018 vom US-Kongress verabschiedet und änderte den Stored Communications Act. Er bewirkt zwei Dinge:
1. Erlaubt US-Strafverfolgungsbehörden, US-ansässige Diensteanbieter (und deren ausländische Tochtergesellschaften) zur Offenlegung von Daten zu zwingen, die sie „besitzen, kontrollieren oder verwahren" — unabhängig vom physischen Speicherort
2. Schafft einen Rahmen für „Executive Agreements", die ausländischen Regierungen erlauben, Daten direkt von US-Anbietern anzufordern
Die erste Bestimmung ist die für europäische Unternehmen relevante.
## Warum es für europäische Daten relevant ist
Vor dem CLOUD Act konnten US-Unternehmen, die europäische Nutzerdaten auf europäischen Servern speicherten, plausibel argumentieren, dass die Daten außerhalb der US-Rechtsreichweite lägen. Nach dem CLOUD Act funktioniert dieses Argument nicht mehr — wenn das Unternehmen US-ansässig oder US-kontrolliert ist, sind die Daten unabhängig vom physischen Standort erreichbar.
Dies betrifft:
- Google (einschließlich gesamter Google Cloud, Google Workspace, Google-Dienste)
- Microsoft (Microsoft 365, Azure, alle Microsoft-Dienste)
- Amazon (AWS, alle Amazon-Dienste)
- Apple (iCloud, alle Apple-Dienste)
- Meta (Facebook, WhatsApp, Instagram-Metadaten)
- Die meisten US-SaaS-Anbieter unabhängig von der Größe
Das Gesetz schafft echten Konflikt mit der DSGVO. EU-Datenschutzrecht verbietet unbefugte Datentransfers; der CLOUD Act kann sie erzwingen. Für europäische Unternehmen, die US-Anbieter nutzen, schafft dies dauerhaftes rechtliches Risiko.
## Welche Schutzmaßnahmen existieren
Drei theoretische Schutzmaßnahmen existieren mit unterschiedlicher praktischer Wirksamkeit:
**1. Standardvertragsklauseln (SCCs)** — vertragliche Mechanismen zwischen EU- und Nicht-EU-Einrichtungen. Nach Schrems II aktualisiert, um zusätzliche Schutzmaßnahmen zu erfordern. Wirksam für Routineverarbeitung; unzureichend gegen direkten US-rechtlichen Zwang.
**2. Verschlüsselung mit EU-kontrollierten Schlüsseln** — wenn Daten verschlüsselt sind und der US-Anbieter die Schlüssel nicht hält, ergibt erzwungene Offenlegung nur Chiffretext. Operativ komplex, aber echter Schutz.
**3. Ausschließliche Verarbeitung in der EU** — Nutzung von EU-ansässigen Anbietern ohne US-Konzernverbindungen, wodurch CLOUD-Act-Zuständigkeit vollständig vermieden wird.
Davon bietet nur die dritte kategorialen Schutz. Die ersten beiden reduzieren das Risiko, beseitigen es aber nicht.
## Warum „EU-Datenresidenz" nicht ausreicht
US-Anbieter (Microsoft, Google, AWS) bewerben „EU-Datenresidenz" — die Behauptung, dass europäische Kundendaten auf europäischen Servern bleiben. Dies ist technisch wahr, aber rechtlich unzureichend.
Der CLOUD Act gilt aufgrund von Unternehmensnationalität und Konzernkontrolle, nicht aufgrund des Serverstandorts. Eine irische Microsoft-Tochter unterliegt weiterhin dem CLOUD Act, weil die Microsoft Corporation (US-Mutter) Konzernkontrolle hat. EU-Datenresidenz auf US-kontrollierter Infrastruktur entgeht der CLOUD-Act-Zuständigkeit nicht.
## Was sich 2024-2026 geändert hat
Der CLOUD Act wurde seit 2018 in zunehmendem Umfang genutzt. Öffentliche Berichterstattung zu Einzelfällen ist begrenzt (Section 2511 von Title 18 verbietet generell die Offenlegung von CLOUD-Act-Anordnungen), aber Transparenzberichte großer US-Anbieter zeigen ein stetig wachsendes Volumen grenzüberschreitender Datenanfragen.
Die europäische Reaktion hat sich beschleunigt:
- **Schrems II** (2020) — der Privacy Shield wurde gerade wegen US-Überwachungsgesetzen einschließlich des CLOUD Act für ungültig erklärt
- **EU-Datenstrategie** — betont EU-kontrollierte Cloud-Infrastruktur als strategische Priorität
- **GAIA-X-Initiative** — europäische Cloud-Föderation, ausdrücklich darauf ausgelegt, CLOUD-Act-freie Alternativen bereitzustellen
- **Anforderungen an souveräne Cloud** — französische (Cloud de Confiance) und deutsche (BSI C5) Rahmenwerke verlangen explizit CLOUD-Act-Schutz
## Praktische Auswirkungen für europäische Unternehmen
Für die meisten europäischen Unternehmen ist die praktische CLOUD-Act-Antwort 2026:
1. **Datensensibilität klassifizieren.** Nicht alle Daten haben gleiches CLOUD-Act-Risiko. Allgemeine Geschäftsdaten können bei US-Anbietern mit dokumentierten Kontrollen verbleiben. Sensible Daten (juristisch, medizinisch, personenbezogene Daten von Hochrisikopersonen) sollten zu EU-kontrollierten Anbietern verlagert werden.
2. **EU-kontrollierte Anbieter für sensible Workloads nutzen.** [Hetzner](/de/alternativen/hetzner-vs-aws/), [Scaleway](/de/alternativen/scaleway-vs-google-cloud/), [OVHcloud](/de/alternativen/ovhcloud-vs-microsoft-azure/), [Infomaniak](/de/alternativen/infomaniak-vs-digitalocean/) sind EU-ansässig ohne US-Konzernkontrolle.
3. **Für öffentlichen Sektor und regulierte Branchen** wird souveräne Cloud (Open Telekom Cloud, T-Systems Sovereign Cloud, französische Cloud de Confiance) zunehmend gefordert.
Der CLOUD Act wird nicht verschwinden. Der rechtliche Rahmen darum wird sich weiterentwickeln, aber die zugrunde liegende Zuständigkeitsfrage ist strukturell — adressiert durch die Wahl der Anbieter, nicht durch deren Konfiguration.
War das hilfreich?
Danke für Ihr Feedback!