Der CLOUD Act: Was europäische Unternehmen über die Datenspeicherung in US-Clouds wissen sollten

In diesem Artikel schauen wir uns den CLOUD Act an, besprechen Risiken und mögliche Konsequenzen und geben Ihnen eine Empfehlung an die Hand, was Sie tun können, um die Risiken des CLOUD Acts zu minimieren.

Der „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act) ermöglicht US-Behörden den Zugriff auf Daten, die von US-Unternehmen gespeichert werden – unabhängig davon, ob sich diese Daten in den USA oder im Ausland befinden. Er wurde ins Leben gerufen, um US-Behörden bei der Bekämpfung schwerer Straftaten wie Terrorismus oder Cyberkriminalität einen schnelleren Zugriff auf elektronische Beweismittel zu ermöglichen. 

Er schafft eine klare gesetzliche Grundlage dafür, dass US-Unternehmen Daten herausgeben müssen – unabhängig davon, wo diese gespeichert sind. Gleichzeitig fördert das Gesetz die internationale Zusammenarbeit: Über bilaterale Abkommen können auch ausländische Behörden unter bestimmten Voraussetzungen direkten Zugriff auf Daten bei US-Anbietern erhalten. Ziel dieser Regelungen ist es, Strafverfolgung effizienter zu machen und rechtliche Konflikte zwischen nationalen Datenschutzgesetzen zu reduzieren.

Aus europäischer Perspektive steht der CLOUD Act seit seiner Einführung in der Kritik – insbesondere im Hinblick auf den Schutz personenbezogener Daten und geschäftskritischer Informationen. Denn selbst wenn Daten in einem europäischen Rechenzentrum gespeichert werden, können US-Behörden darauf zugreifen, sofern der Cloud-Anbieter zu einem US-Konzern gehört.

Die Nutzung von Cloud-Diensten US-amerikanischer Anbieter ist also potenziell mit dem Verlust von Datensouveränität verbunden. Selbst wenn die Daten physisch in Europa gespeichert sind, können sie durch den CLOUD Act dem Zugriff US-amerikanischer Behörden unterliegen. Dies betrifft nicht nur personenbezogene Informationen, sondern auch Betriebsgeheimnisse und geistiges Eigentum.

Gerade Letzteres bereitet vielen Unternehmen Sorgen: Die Gefahr, dass durch staatlichen Zugriff Informationen in falsche Hände geraten, wird zunehmend als Risiko für Industriespionage wahrgenommen – besonders dann, wenn technisches Know-how oder strategisch wichtige Daten betroffen sind.

Außerdem bleibt offen, wie sich der CLOUD Act mit der DSGVO vereinbaren lässt. Diese schreibt vor, dass personenbezogene Daten nur dann in Drittländer übermittelt oder verarbeitet werden dürfen, wenn ein angemessenes Schutzniveau sichergestellt ist. Wird diese Voraussetzung durch den CLOUD Act unterlaufen – etwa weil keine technischen oder vertraglichen Schutzmaßnahmen greifen – kann das ein klarer Verstoß gegen europäisches Datenschutzrecht sein.

Wer die Auswirkungen des CLOUD Act unterschätzt und sensible Daten – etwa Betriebsgeheimnisse oder personenbezogene Informationen – unverschlüsselt in einer US-amerikanischen Cloud speichert, setzt sein Unternehmen einem realen Risiko aus. Wird ein Datenzugriff durch US-Behörden nicht bemerkt oder nicht rechtzeitig erkannt, kann das zu einem Abfluss kritischer Informationen führen. In der Folge droht der Verlust geschäftsrelevanter Firmengeheimnisse durch Industriespionage. Gerade durch die aktuelle “America First”-Entwicklung ist so eine gezielte Sabotage nicht mehr völlig unrealistisch. 

Und auch das Vertrauen von Kund*innen und Partnerunternehmen steht auf dem Spiel – oft mit langfristiger Wirkung. Das bedeutet jedoch nicht, dass US-amerikanische Cloud-Anbieter grundsätzlich tabu sein müssen: Oft ist nur ein kleiner Teil der Unternehmensdaten tatsächlich hochsensibel. Verwenden Sie etwa US-Clouds ausschließlich für Daten, die keinen besonderen Schutz erfordern, ist das nicht weiter besorgniserregend. Für besonders schützenswerte Daten aus kritischen Geschäftsbereichen empfiehlt sich hingegen eine eigenständige Strategie.

Um die Risiken des CLOUD Act zu minimieren und den Anforderungen der DSGVO gerecht zu werden, sollten europäische Unternehmen folgende Maßnahmen in Betracht ziehen:

• Wahl europäischer Cloud- und Hosting-Anbieter: Setzen Sie auf Anbieter mit Sitz und Rechenzentren in der EU, die nicht dem US-Recht unterliegen, besonders für Ihre hochsensiblen Daten und Geschäftsbereiche. 

• Abschluss eines AVVs: Ein sorgfältig formulierter Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Anbieter ist essenziell. Er regelt, wie Daten verarbeitet werden dürfen, und ist ein zentraler Baustein für die DSGVO-Konformität – auch im Spannungsfeld mit dem CLOUD Act. Durch eine AVV sind Sie in Bezug auf DSGVO-Konformität abgesichert, doch ihre Betriebsgeheimnisse sind es weiterhin nicht zu 100%.
  
• Datensouveränität prüfen: Stellen Sie sicher, dass Ihre Daten nicht von Tochtergesellschaften US-amerikanischer Unternehmen verarbeitet werden.

Es gibt viele Wege, den Anforderungen des CLOUD Acts wirksam zu begegnen – ohne dabei die Kontrolle über die eigenen Daten aus der Hand zu geben oder die DSGVO zu verletzen. Entscheidend ist eine differenzierte Strategie: Während wenig kritische Daten problemlos in internationalen Clouds liegen können, brauchen besonders schützenswerte Informationen einen sicheren Hafen.

Bei makandra setzen wir genau dort an: Wir entwickeln und betreiben maßgeschneiderte Anwendungen für sensible Daten – von Individualsoftware über KI-Lösungen bis zu interner Wiki-Software. Alles gehostet und entwickelt in Deutschland, mit höchsten Sicherheitsstandards und vollständiger DSGVO-Konformität.