<- Alle Artikel

28. Mai 20263 Min. LesezeitCLOUD ActDSGVOCompliance

CLOUD Act und DSGVO: Warum US-Cloud-Dienste für deutsche Unternehmen ein Compliance-Risiko sind

Diesen Artikel gibt es auch auf Englisch. Zur englischen Version

Wenn ein IT-Leiter seiner Geschäftsführung erklären muss, warum die Nutzung von US-Cloud-Diensten ein dokumentationspflichtiges Risiko ist, fehlt oft ein Text, der das Thema sachlich und ohne Panik zusammenfasst. Dieser Artikel ist genau das: eine Einordnung der Rechtslage, der tatsächlichen Risiken und der Handlungsoptionen. Er ersetzt keine Rechtsberatung — aber er stellt die richtigen Fragen.

Was der CLOUD Act tatsächlich regelt

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) verpflichtet US-Unternehmen, US-Behörden auf Anordnung Zugriff auf Daten zu gewähren, die sich in ihrem „Besitz, Gewahrsam oder ihrer Kontrolle" befinden — unabhängig davon, wo diese Daten physisch gespeichert sind.

Das ist der entscheidende Punkt, der in Vertriebsgesprächen gern weichgezeichnet wird: Ein Rechenzentrum in Frankfurt, eine „EU-Cloud-Region", eine deutsche Tochtergesellschaft — all das ändert nichts daran, dass der Mutterkonzern dem US-Recht unterliegt. Wenn Microsoft, Google oder Amazon eine rechtmäßige US-Anordnung erhalten, ist der Speicherort der Daten zweitrangig.

Der Konflikt mit der DSGVO

Die DSGVO verlangt für die Übermittlung personenbezogener Daten an Behörden eines Drittlands eine Rechtsgrundlage nach europäischem Recht (Art. 48 DSGVO). Eine CLOUD-Act-Anordnung ist genau das nicht — sie ist eine US-Rechtsgrundlage. Damit entsteht eine Situation, in der ein Anbieter nicht gleichzeitig beiden Rechtsordnungen vollständig genügen kann.

Drei Stationen markieren die Entwicklung:

  1. Schrems II (EuGH, 2020). Der Europäische Gerichtshof kippte das Privacy-Shield-Abkommen — mit der Begründung, dass US-Überwachungsgesetze kein der EU gleichwertiges Schutzniveau bieten.
  2. EU-US Data Privacy Framework (2023). Der Nachfolger schafft eine neue Übermittlungsgrundlage. Er steht jedoch rechtlich auf demselben Fundament wie seine zwei gescheiterten Vorgänger — und wird bereits juristisch angegriffen. Unternehmen, die ihre Compliance allein darauf bauen, bauen auf eine Entscheidung, die der EuGH zum dritten Mal prüfen wird.
  3. Die politische Dimension. Angemessenheitsbeschlüsse können von der EU-Kommission widerrufen oder durch geopolitische Entwicklungen entwertet werden. Wer schon einmal kurzfristig seine Datenflüsse umbauen musste, weiß, was das operativ bedeutet.

„Wir haben doch einen AVV" — warum das nicht reicht

Der häufigste Einwand: Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag, Standardvertragsklauseln sind unterzeichnet, also ist alles geregelt. Das greift zu kurz:

  • Verträge binden keine Behörden. Standardvertragsklauseln verpflichten den Anbieter — sie hindern keine US-Behörde an einer Anordnung nach US-Recht.
  • Das Transfer Impact Assessment ist Pflicht. Seit Schrems II müssen Verantwortliche dokumentiert bewerten, ob das Recht des Drittlands den vertraglichen Schutz aushebelt. Beim CLOUD Act ist genau das der Fall — das muss im Assessment stehen und mit technischen Maßnahmen beantwortet werden.
  • Verschlüsselung hilft nur, wenn der Anbieter die Schlüssel nicht hat. „Encryption at rest" beim selben Anbieter, der auch die Schlüssel verwaltet, schützt vor einer Herausgabeanordnung nicht. Wirksam ist nur Verschlüsselung mit Schlüsseln ausschließlich in Ihrer Hand — was viele SaaS-Funktionen technisch ausschließt.

Welche Fragen Auditoren und Kunden heute stellen

Das Risiko ist längst nicht mehr theoretisch. Es materialisiert sich in konkreten Situationen:

SituationTypische Frage
ISO-27001- / TISAX-Audit„Wo liegen personenbezogene Daten, und wer kann rechtlich darauf zugreifen?"
Ausschreibung öffentlicher Auftraggeber„Weisen Sie nach, dass Daten ausschließlich EU-Recht unterliegen."
Kundenaudit (Automotive, Gesundheit, Finanzen)„Legen Sie Ihr Transfer Impact Assessment vor."
Cyber-Versicherung„Welche Drittlandtransfers bestehen, und wie sind sie abgesichert?"

Wer hier keine dokumentierte Antwort hat, verliert im besten Fall Zeit — im schlechteren Fall den Auftrag.

Die Handlungsoptionen — nüchtern betrachtet

Niemand muss morgen alle US-Dienste abschalten. Ein professioneller Umgang mit dem Risiko sieht so aus:

  1. Inventur. Welche Dienste verarbeiten welche personenbezogenen Daten? Welche davon unterliegen US-Jurisdiktion — einschließlich der EU-Töchter von US-Konzernen?
  2. Risikobewertung pro System. Nicht jedes System ist gleich kritisch. Das Marketing-Tool mit Newsletter-Adressen und das HR-System mit Gesundheitsdaten gehören in verschiedene Risikoklassen.
  3. Priorisierte Migration der kritischen Systeme. Für die meisten Kategorien existieren ausgereifte europäische oder self-hosted Alternativen: Nextcloud für Datei-Kollaboration, Keycloak für Identity Management, Metabase für BI, n8n für Automatisierung.
  4. Dokumentierte Entscheidung für den Rest. Bewusst bei einem US-Dienst zu bleiben, kann vertretbar sein — wenn die Bewertung dokumentiert ist und technische Schutzmaßnahmen greifen. Compliance heißt nicht „null US-Dienste", sondern nachweisbar bewertete Risiken.

Fazit: Das Risiko ist managebar — aber nur dokumentiert

Der CLOUD Act schafft einen strukturellen Konflikt, den kein Vertrag und keine Marketing-Zusage auflöst. Für deutsche Unternehmen heißt das nicht Alarmismus, sondern Arbeitsauftrag: wissen, wo die Daten liegen; bewerten, was kritisch ist; migrieren, was migriert werden muss; dokumentieren, was bleibt.

Genau diese vier Schritte liefern wir mit dem Sovereignty Check: eine vollständige Inventur Ihres Cloud-Stacks, eine CLOUD-Act- und DSGVO-Risikobewertung pro System und einen priorisierten Fahrplan mit Aufwandsschätzungen — zum Festpreis, in ein bis zwei Wochen. Damit haben Sie auf die Frage des nächsten Auditors eine Antwort, die hält.