Im Dezember 2023 hat der US-Kongress FISA Section 702 verlängert — das Gesetz, das US-Geheimdiensten erlaubt, Kommunikation von Nicht-US-Bürgern bei US-Cloud-Anbietern zu sammeln (Axios, 2023). Im April 2024 wurde 702 mit erweiterten Befugnissen erneuert, die europäische Datenschutzexperten sofort aufschreien ließen (CDT, 2024). Keine Ausreißer. Keine Hacks. Alles vollständig legal nach US-Recht.
Parallel erlaubt der CLOUD Act US-Strafverfolgungsbehörden, von US-Konzernen die Herausgabe von Daten zu verlangen — weltweit. Zwei Gesetze, unterschiedliche Behörden, dasselbe Ergebnis: Daten bei US-Cloud-Anbietern sind erreichbar.
Für Unternehmen, die Kunden-, Mitarbeiter- oder Geschäftsdaten bei US-Anbietern speichern, ist das nicht abstrakt. Es ist der Status quo.
Was der US CLOUD Act tatsächlich macht
Der Clarifying Lawful Overseas Use of Data Act, 2018 unterzeichnet, gibt US-Strafverfolgungsbehörden das Recht, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo die Daten physisch liegen.
Ihre Verträge in einem Frankfurter Rechenzentrum, Ihre Mails in EU-gehostetem Workspace, Ihre Backups in Oregon oder Dublin — alle potenziell erreichbar. Der Serverstandort ist irrelevant. Entscheidend ist, ob der Anbieter ein US-Unternehmen ist.
Im Anwendungsbereich (Auswahl): Microsoft (Azure, M365, Teams, SharePoint), Google (Workspace, Cloud), Amazon (AWS), Apple (iCloud), Meta, Oracle, Salesforce, Slack, Zoom, Dropbox, ServiceNow, Atlassian.
Warum das EU-US Data Privacy Framework das Problem nicht löst
Das EU-US Data Privacy Framework, 2023 von der EU-Kommission verabschiedet, soll US-Datentransfers absichern. Die Bilanz ist kurz und einseitig:
| Abkommen | Verabschiedet | Gekippt durch EuGH | Grund |
|---|---|---|---|
| Safe Harbor | 2000 | 2015 (Schrems I) | US-Massenüberwachung |
| Privacy Shield | 2016 | 2020 (Schrems II) | Unzureichender Schutz vor US-Geheimdiensten |
| Data Privacy Framework | 2023 | Anfechtung läuft | noyb / Max Schrems vor dem EuGH |
Zwei von zwei Vorgängern gekippt. Im September 2025 überstand das DPF zwar seine erste Anfechtung (Latombe-Fall vor dem EuG), aber eine breitere noyb-Klage läuft vor dem EuGH — gegen die erweiterten FISA-702-Befugnisse und die Nutzung von Executive Orders als Rechtsgrundlage.
Übersetzt: Wer auf das Überleben des DPF plant, plant auf Sand. Wenn der EuGH es kippt, sind alle darauf basierenden Transfers über Nacht rechtswidrig — wie bei Schrems I und Schrems II.
Konkrete Risiken
1. Zugriff auf Geschäftsgeheimnisse
US-Behörden können Verträge, Strategiepapiere, M&A-Akten, Patentanmeldungen und Geschäftsgeheimnisse erreichen. Wie oft das im Einzelfall passiert, ist von außen nicht prüfbar — das Risiko ist strukturell, nicht anekdotisch.
2. Wirtschaftsaufklärung
US-Geheimdienste haben ein explizites Mandat für wirtschaftliche Aufklärung. Ehemalige hochrangige Mitarbeiter haben öffentlich bestätigt, dass die Fähigkeiten auch zur Förderung wirtschaftlicher US-Interessen eingesetzt werden. Strategische Branchen — Energie, Rüstung, Automotive, Pharma — sitzen näher an dieser Linie als der Durchschnitt.
3. Das Compliance-Dilemma, das Sie nicht lösen können
Art. 48 DSGVO verbietet die Herausgabe personenbezogener Daten an Drittstaaten-Behörden ohne Rechtshilfeabkommen. Der CLOUD Act sagt das Gegenteil. Ein US-Anbieter, der einem US-Gerichtsbeschluss folgt und EU-Daten herausgibt, verstößt gegen die DSGVO. Widersteht er, riskiert er US-Strafen. Das Dilemma sitzt beim Anbieter. Die Folgen sitzen bei Ihnen.
4. Der Vertrag schlägt das Gesetz nicht
US-Anbieter versprechen vertraglich DSGVO-Konformität. Ein Vertrag hebelt kein Gesetz aus. Wenn ein US-Gericht Herausgabe anordnet, wird herausgegeben — unabhängig vom AVV.
Was Unternehmen tatsächlich tun können
Option 1: Nicht-US-Anbieter für unkritische Workloads
EU-Cloud-Anbieter (Telekom-naher Hyperscaler, mittelständische EU-Hoster) unterliegen nicht dem CLOUD Act. Für KI-Workloads: Anbieter mit Sitz außerhalb US-Jurisdiktion prüfen.
Option 2: Sovereign Cloud — mit Vorbehalt
Sovereign-Cloud-Initiativen (verschiedene Joint Ventures) versprechen, dass EU-Daten nur von EU-Personal verwaltet werden. Ob das den CLOUD Act tatsächlich aushebelt, ist juristisch umstritten — der Mutterkonzern bleibt in vielen Setups ein US-Unternehmen. Rechtlich prüfen lassen, bevor man sich darauf verlässt.
Option 3: On-Premise
Die einzige Option mit vollständiger Datensouveränität: eigene Infrastruktur. Kein US-Anbieter, kein CLOUD Act, kein FISA 702. Für KI-Workloads gibt es schlüsselfertige Plattformen, die in sechs Wochen live gehen.
Option 4: Hybrid
Pragmatischer Mix: unkritische Workloads in der Cloud (E-Mail, Kalender, allgemeine Collaboration), sensible Workloads On-Premise (Verträge, Personaldaten, IP, KI-Verarbeitung von Unternehmenswissen). Risiko sinkt. Cloud verschwindet nicht.
Ihre Daten unter Ihrer Kontrolle — nicht unter dem CLOUD Act contboxx Vault ist On-Premise-KI: kein Byte verlässt das Netzwerk. Kein US-Anbieter, kein Drittlandtransfer, keine CLOUD-Act-Exposition. Kostenlose Demo buchen
Häufig gestellte Fragen
Gilt der CLOUD Act auch für europäische Tochterunternehmen von US-Konzernen?
Ja. Der CLOUD Act gilt für US-Unternehmen und ihre Tochtergesellschaften weltweit. Wenn die europäische Tochter eines US-Konzerns Ihre Daten verarbeitet, sind diese im Anwendungsbereich — unabhängig vom Registersitz der Tochter. Die Konzernstruktur bricht die Reichweite nicht.
Schützt Verschlüsselung vor dem CLOUD Act?
Nur wenn Sie den Schlüssel selbst halten (Bring Your Own Key) und der Cloud-Anbieter keinen Zugriff darauf hat. Die meisten Cloud-Dienste verwalten die Schlüssel für Sie — bei einer CLOUD-Act-Anforderung werden die Schlüssel mit den Daten herausgegeben. Server-seitige Verschlüsselung ist hier nicht die Lösung.
Werden Unternehmen benachrichtigt, wenn ihre Daten herausgegeben werden?
Nicht zwingend. US-Gerichte können Gag Orders verhängen, die den Anbieter daran hindern, den Kunden zu informieren. Sie erfahren möglicherweise nie, dass US-Behörden auf Ihre Daten zugegriffen haben. Das ist Teil des Designs, kein Versehen.
Fazit
Der US CLOUD Act ist kein theoretisches Risiko. Er ist geltendes Recht. Wer US-Cloud-Dienste nutzt, akzeptiert implizit, dass US-Behörden seine Daten erreichen können. Das EU-US Data Privacy Framework ändert daran nichts — zwei Vorgänger sind aus denselben Gründen gefallen.
Die richtige Antwort ist nicht Panik. Es ist Kategorie für Kategorie: sensible Workloads aus US-Clouds raus. Für den Rest: echte Risikoabwägung, kein Dogma.
Datensouveränität im Detail erklärt → | KI-Compliance für Unternehmen: der vollständige Leitfaden →