Der Clarifying Lawful Overseas Use of Data Act — kurz CLOUD Act — ist ein US-Gesetz aus dem Jahr 2018, das weitreichende Konsequenzen für jedes Unternehmen hat, das Cloud-Dienste amerikanischer Anbieter nutzt. Und das betrifft fast jeden.
Was ist der Cloud Act?
Der Cloud Act ermächtigt US-Behörden (FBI, NSA, DOJ und weitere), von amerikanischen Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind.
Konkret: Wenn Ihre Daten bei Microsoft Azure in Frankfurt liegen, können US-Behörden Microsoft trotzdem zur Herausgabe zwingen. Der Serverstandort Deutschland schützt Sie nicht.
Das Gesetz wurde als Reaktion auf einen Rechtsstreit zwischen Microsoft und der US-Regierung verabschiedet. Microsoft hatte sich geweigert, in Irland gespeicherte E-Mails herauszugeben. Der Cloud Act beendete diese Debatte — zugunsten der Behörden.
Die Chronologie: Wie es dazu kam
US-Drogenermittler fordern von Microsoft die Herausgabe von E-Mails eines Verdächtigen. Die Daten liegen auf Microsoft-Servern in Dublin, Irland.
Microsoft weigert sich und klagt. Der Fall geht durch alle Instanzen bis zum Supreme Court. Microsoft argumentiert: US-Recht gilt nicht für Daten im Ausland.
Bevor der Supreme Court entscheiden kann, verabschiedet der US-Kongress den CLOUD Act. Das Gesetz stellt klar: US-Unternehmen müssen Daten herausgeben, egal wo sie gespeichert sind.
Der Cloud Act ist geltendes Recht. Alle US-Tech-Unternehmen — Amazon, Google, Microsoft, Apple, Meta — unterliegen ihm.
Welche Anbieter sind betroffen?
Jedes Unternehmen mit Hauptsitz in den USA oder einer US-Tochtergesellschaft. Das umfasst praktisch alle großen Cloud-Anbieter:
- Microsoft (Azure, Microsoft 365, OneDrive, Teams)
- Amazon (AWS, Amazon WorkSpaces)
- Google (Google Cloud, Google Workspace, Gmail)
- Apple (iCloud)
- Salesforce, Dropbox, Zoom, Slack und viele weitere
Was bedeutet das konkret für Ihr Unternehmen?
Wenn Sie einen der genannten Dienste nutzen, müssen Sie davon ausgehen, dass US-Behörden potenziell Zugriff auf folgende Daten haben:
- E-Mails und Chat-Nachrichten Ihrer Mitarbeiter
- Dokumente in Cloud-Speichern (SharePoint, OneDrive, Google Drive)
- Kundendaten in CRM-Systemen
- Personalakten und Gehaltsdaten
- Konstruktionszeichnungen und Geschäftsgeheimnisse
- Finanz- und Buchhaltungsdaten
Der Zugriff kann ohne richterlichen Beschluss eines deutschen Gerichts erfolgen. Sie werden unter Umständen nicht einmal darüber informiert.
Cloud Act vs. DSGVO: Ein Widerspruch
Die europäische DSGVO verbietet die Weitergabe personenbezogener Daten an Drittstaaten ohne angemessenes Schutzniveau. Der Cloud Act verpflichtet US-Unternehmen zur Herausgabe — genau dieser Daten.
Für Ihr Unternehmen bedeutet das: Sie sitzen zwischen den Stühlen. Wenn Sie personenbezogene Daten bei einem US-Anbieter speichern, können Sie nicht gleichzeitig die DSGVO einhalten und dem Cloud Act entsprechen.
Der Europäische Datenschutzausschuss (EDPB) hat deshalb wiederholt darauf hingewiesen, dass die Nutzung von US-Cloud-Diensten für sensible Daten ein Risiko für die DSGVO-Konformität darstellt.
Was können Sie tun?
- Datenklassifizierung: Identifizieren Sie, welche Daten besonders schützenswert sind. Nicht alles muss auf US-Servern liegen.
- On-Premise für Sensibles: Personaldaten, Kundendaten, Geschäftsgeheimnisse — diese gehören auf eigene Server unter deutschem Recht.
- Europäische Alternativen: Für Cloud-Dienste gibt es europäische Anbieter wie Hetzner, IONOS oder Open-Source-Alternativen wie Nextcloud.
- Hybride Strategie: Nutzen Sie Cloud für unkritische Workloads und On-Premise für alles, was wirklich zählt.
- Verschlüsselung: Wenn Cloud unvermeidbar ist: End-to-End-Verschlüsselung, bei der nur Sie den Schlüssel haben.
Unser Standpunkt
Wir beraten ehrlich. Nicht jede Cloud ist schlecht, und nicht jedes Unternehmen braucht einen eigenen Serverraum. Aber Sie sollten bewusst entscheiden, welche Daten Sie wem anvertrauen.
Unsere Devise: Stellen Sie Ihre Daten dorthin, wo SIE es wollen. Nicht dorthin, wo es für den Anbieter am bequemsten ist.
Weitere Artikel: 5 Gründe für On-Premise | On-Premise vs. Cloud im Vergleich
Cloud-Abhängigkeit prüfen lassen
Wir analysieren, wo Ihre Daten heute liegen — und wo sie besser aufgehoben wären.
Kostenlose Erstberatung