Der CLOUD Act: Was europäische Unternehmen wissen sollten
Der CLOUD Act ist ein amerikanisches Gesetz, das US-Behörden den Zugriff auf Daten ermöglicht, die von US-Unternehmen gespeichert werden. Was das für europäische Unternehmen bedeutet, die Cloud-Dienste aus den USA nutzen, erklären wir in diesem Artikel.
Was ist der Cloud Act und warum wurde er eingeführt?
Kurz gesagt: Der CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ermöglicht US-Behörden den Zugriff auf Daten, die von US-Unternehmen gespeichert werden – unabhängig vom Speicherort der Daten.
Das Gesetz wurde geschaffen, um den Zugriff auf elektronische Beweise bei der Bekämpfung schwerer Straftaten, etwa Terrorismus oder Cyberkriminalität, zu erleichtern. Gleichzeitig fördert es die internationale Zusammenarbeit: Über bilaterale Abkommen können auch ausländische Behörden unter bestimmten Voraussetzungen direkten Zugriff auf Daten bei US-Anbietern erhalten. Ziel dieser Regelungen ist es, Strafverfolgung effizienter zu machen und rechtliche Konflikte zwischen nationalen Datenschutzgesetzen zu reduzieren.
Ja, der CLOUD Act schafft damit eine klare rechtliche Grundlage, allerdings mit Konsequenzen für die Datensouveränität bei der Nutzung von Cloud-Diensten.
Warum ist der CLOUD Act aus europäischer Sicht problematisch?
Der CLOUD Act kann den europäischen Datenschutz gefährden. Selbst wenn Daten in einem Rechenzentrum in der EU liegen, dürfen US-Behörden darauf zugreifen, sofern der Anbieter zu einem US-Konzern gehört. Insbesondere im Hinblick auf den Schutz personenbezogener Daten und geschäftskritischer Informationen ist dieses Gesetz daher stark umstritten.
Die Nutzung von Cloud-Diensten US-amerikanischer Anbieter ist also potenziell mit dem Verlust von Datensouveränität verbunden. Neben personenbezogenen Informationen, sind auch Betriebsgeheimnisse und geistiges Eigentum betroffen. Gerade Letzteres bereitet vielen Unternehmen Sorgen: Die Gefahr, dass durch staatlichen Zugriff Informationen in falsche Hände geraten, wird zunehmend als Risiko für Industriespionage wahrgenommen – besonders dann, wenn technisches Know-how oder strategisch wichtige Daten betroffen sind.
Außerdem bleibt offen, wie sich der CLOUD Act mit der DSGVO vereinbaren lässt. Diese schreibt vor, dass personenbezogene Daten nur dann in Drittländer übermittelt oder verarbeitet werden dürfen, wenn ein angemessenes Schutzniveau sichergestellt ist. Wird diese Voraussetzung durch den CLOUD Act unterlaufen – etwa weil keine technischen oder vertraglichen Schutzmaßnahmen greifen – kann das ein klarer Verstoß gegen europäisches Datenschutzrecht sein.
Welche Risiken entstehen, wenn Unternehmen den CLOUD Act ignorieren?
Wer unverschlüsselte, sensible Daten in einer US-Cloud speichert, setzt sein Unternehmen einem realen Sicherheitsrisiko aus.
Wird ein Datenzugriff durch US-Behörden nicht bemerkt oder nicht rechtzeitig erkannt, kann das zu einem Abfluss kritischer Informationen führen. In der Folge droht der Verlust geschäftsrelevanter Firmengeheimnisse durch Industriespionage. Gerade durch die aktuelle “America First”-Entwicklung ist so eine gezielte Sabotage nicht mehr völlig unrealistisch. Und auch das Vertrauen von Kund*innen und Partnerunternehmen steht auf dem Spiel – oft mit langfristiger Wirkung.
Aber: Das bedeutet nicht, dass US-amerikanische Cloud-Anbieter grundsätzlich tabu sein müssen: Oft ist nur ein kleiner Teil der Unternehmensdaten tatsächlich hochsensibel. Verwenden Sie etwa US-Clouds ausschließlich für Daten, die keinen besonderen Schutz erfordern, ist das nicht weiter besorgniserregend. Für besonders schützenswerte Daten aus kritischen Geschäftsbereichen empfiehlt sich hingegen eine eigenständige Strategie.
Wie können europäische Unternehmen sich vor den Risiken des CLOUD Acts schützen?
Die beste Schutzstrategie ist eine Kombination aus Technik, Vertrag und Standortwahl. Um die Risiken des CLOUD Act zu minimieren und den Anforderungen der DSGVO gerecht zu werden, sollten europäische Unternehmen folgende Maßnahmen in Betracht ziehen:
- Wahl europäischer Cloud- und Hosting-Anbieter:
Setzen Sie auf Anbieter mit Sitz und Rechenzentren in der EU, die nicht dem US-Recht unterliegen, besonders für Ihre hochsensiblen Daten und Geschäftsbereiche. - Abschluss eines AVVs:
Ein sorgfältig formulierter Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Anbieter ist essenziell. Er regelt, wie Daten verarbeitet werden dürfen, und ist ein zentraler Baustein für die DSGVO-Konformität – auch im Spannungsfeld mit dem CLOUD Act. Durch eine AVV sind Sie in Bezug auf DSGVO-Konformität abgesichert, doch ihre Betriebsgeheimnisse sind es weiterhin nicht zu 100%. - Datensouveränität prüfen:
Stellen Sie sicher, dass Ihre Daten nicht von Tochtergesellschaften US-amerikanischer Unternehmen verarbeitet werden.
Es gibt viele Wege, den Anforderungen des CLOUD Acts wirksam zu begegnen. ohne dabei die Kontrolle über die eigenen Daten aus der Hand zu geben oder die DSGVO zu verletzen. Entscheidend ist eine differenzierte Strategie: Während wenig kritische Daten problemlos in internationalen Clouds liegen können, brauchen besonders schützenswerte Informationen einen sicheren Hafen.
Bei makandra setzen wir genau dort an: Wir entwickeln und betreiben maßgeschneiderte Anwendungen für sensible Daten, die in Deutschland entwickelt und gehostet werden – vollständig DSGVO-konform und unabhängig von US-Gesetzen.
Unsere Schwerpunkte:
- Individuelle Softwareentwicklung für sensible Daten
- Sichere KI-Lösungen und interne Wiki-Systeme
- Hosting ausschließlich in Deutschland, mit höchsten Sicherheitsstandards
Ja, Ihre Daten sind bei uns in sicheren Händen.
