Datensouveränität vs. US CLOUD Act

Warum es wichtig ist, unabhängige deutsche Cloud-Provider zu beauftragen.

Seit 2025 stehen die Angebote US-amerikanischer Hyperscaler und anderer datenverarbeitender Unternehmen – insbesondere zahlreiche Cloud-Services – erneut stark in der Diskussion. Im Mittelpunkt steht die Frage, ob US-amerikanische Regierungsstellen auf die Daten zugreifen dürfen, insbesondere wenn diese auf Servern dieser Firmen in Europa stehen.

Es gibt zahlreiche Regularien dazu, die bekannteste ist der US CLOUD Act. Vertreter von Microsoft und AWS haben im Sommer 2025 vor verschiedenen Gremien europäischer Länder dazu Auskunft geben müssen. Sie bestätigten das, was viele seit langem wiederholt betonen, die an Datensicherheit, Datensouveränität und dem Schutz personenbezogener Daten (Datenschutz) interessiert sind: Ja, die US-Regierung kann den Zugriff auf die in Europa gespeicherten Daten verlangen.

US CLOUD Act

Verlust an Datensicherheit und -souveränität

Der CLOUD Act, erlassen im März 2018 von der ersten Trump-Administration, steht für „Clarifying Lawful Overseas Use of Data Act“. Er ermöglicht es US-Behörden, auch auf Daten zuzugreifen, die nicht in den USA liegen, beispielsweise bei US-Unternehmen in Deutschland, Frankreich und anderen europäischen Ländern. Der Act entstand als Folge einer gerichtlichen Auseinandersetzung und soll Rechtssicherheit für US-Unternehmen schaffen, die (in Europa liegende) Daten herausgeben müssen.

Die Trump-Administration hat gezeigt, wie rigoros sie die von ihr geschaffenen Gesetze nutzt. Der CLOUD Act ermächtigt US-Behörden, ohne individuelle gerichtliche Genehmigung auf bei US-Unternehmen gespeicherte Daten zuzugreifen. Auch europäische Cloudanbieter, die unter Kontrolle eines US-Konzerns geraten, fallen unter diese Regelung. Amerikanische Gerichte können die Herausgabe nur in Ausnahmefällen blockieren, etwa wenn personenbezogene Daten von Nicht-US-Bürgern betroffen sind – was in der Praxis keinen umfassenden Schutz bietet.

Ein Aufsichtsgremium, das Privacy and Civil Liberties Oversight Board (PCLOB), das Geheimdienste und Behörden bezüglich des Datenschutzes als unabhängiges Gremium überwachen soll, kann jedoch durch Executive Orders des US-Präsidenten jederzeit in seiner Besetzung verändert werden. So kam es in den ersten Tagen der zweiten Trump-Administration dazu, dass sämtliche Mitglieder der Demokratischen Partei entlassen wurden.

Undurchsichtige Gesetzeslage in den USA

Die Wissenschaftlichen Dienste des Deutschen Bundestags haben sich in ihrer Stellungnahme WD 3-300-105/23 mit der Thematik befasst: „Die jeweiligen Voraussetzungen für eine Herausgabeverpflichtung sind sehr komplex und unterscheiden sich sowohl nach Art des adressierten Diensteanbieters als auch nach Art und Aufbewahrungsdauer der Information, die herausgegeben werden soll.“ Die Stellungnahme weist darauf hin, dass das US-Recht so ausgelegt werden kann, dass auch Unternehmen, die in den USA Niederlassungen betreiben oder auf den US-Markt ausgerichtete Dienstleistungen anbieten, den Herausgabeverpflichtungen unterliegen. Der WD weist dazu auf eine Beurteilung des Schweizer Bundesamts für Justiz hin.

In diesem Fall wären möglicherweise auch die Deutsche Telekom und andere deutsche Unternehmen verpflichtet, den US-Behörden zuzuarbeiten. Die Regeln im US-Recht sind sehr komplex und machen es selbst Rechtsexperten schwer, mit 100-prozentiger Sicherheit zu behaupten: „Europäische Unternehmen mit Niederlassungen bzw. Geschäftsbeziehungen in den USA brauchen unter keinen Umständen einem Herausgabeverlangen nachkommen.“

CIA-Gesetze und Executive Orders

Zusätzlich zum CLOUD Act gesellen sich weitere Rechtsvorschriften wie FISA 702, Executive Order (EO) 12333 und EO 14086, die National Security Letters und die CIA-Gesetze selbst. Diese Gesetze und Verordnungen ermächtigen und regeln, wie verschiedene Geheimdienste Informationen über Nicht-US-Bürger und Wirtschaftsunternehmen sammeln und verwenden dürfen.
Section 702 des Foreign Intelligence Surveillance Act (FISA) erlaubt es US-Behörden, Daten von Nicht-US-Bürgern auch außerhalb der USA zu erheben, wenn dies im Interesse der USA liegt. Der dafür zuständige Geheimgerichtshof (FISC) tagt nicht öffentlich, und betroffene Ausländer haben keinerlei Rechtsmittel. Die Executive Orders 12333 (1981) und 13470 (2008) erweitern diese Möglichkeiten, indem sie Überwachungen globaler Kommunikationsknoten und Datensammlungen ohne Beschränkung für Nicht-US-Bürger zulassen.

Die offiziellen CIA-Regelungen verbieten zwar ausdrücklich die gezielte Weitergabe von Wirtschaftsinformationen zum Nutzen einzelner Unternehmen. Die offizielle Regelung ist jedoch die Nutzung im Rahmen staatlicher Politik.

Diese geballte Macht an schwer zu durchdringenden Regelungen, die an Daten interessierte Behörden nutzen können, steht im Gegensatz zu unternehmerischem Interesse und der gesetzlichen Verpflichtung, Geschäftsgeheimnisse zu schützen.

Risikominimierung und langfristige Sicherheit

Deutsche Unternehmen stehen vor der Aufgabe, Risiken und Nutzen der Verwendung von Hyperscalern neu und ehrlich zu bewerten und dabei den möglichen Abfluss von Geschäftsdaten sowie die Sperrung von Services oder die Rücknahme des Angemessenheitsbeschlusses der EU einzubeziehen. Dies gilt insbesondere vor dem immer stärker werdenden Einsatz von KI. Aspekte wie Lock-In und andere Abhängigkeiten sind ebenfalls zu berücksichtigen wie die Frage, welche Nutzungsrechte an den Daten die Services sich einräumen lassen.
Auch der Landesbeauftragte für den Datenschutz Niedersachsen rät Unternehmen, Strategien zur „digitalen Souveränität“ weiterzuverfolgen, da nur bei ausschließlicher Verarbeitung im EWR die langfristige Einhaltung des Datenschutzniveaus sichergestellt werden kann. US-Cloudanbieter versuchen zwar mit Konstruktionen wie der „EU-Datenschutz-Grenze“ oder Verschlüsselungslösungen Vertrauen zu schaffen, doch setzen diese den US CLOUD Act nicht außer Kraft.

Unserer mehrjährigen Erfahrung nach werden viele Unternehmen erkennen, dass sie keinen zusätzlichen Nutzen generieren, sich aber hohe Risiken einkaufen. Es ist dann ein Zeichen der Verantwortung und Stärke, überholte Entscheidungen zu korrigieren.

In vielen Fällen liegt die Lösung darin, seine Cloud bei einem unabhängigen, deutschen Unternehmen mit eigenen Rechenzentren in Deutschland zu buchen. Dies reduziert Risiken, Komplexität und Abhängigkeit.
Zu vielen Cloud-Services gibt es zudem erprobte und vielfach eingesetzte, lokal zu hostende Open-Source-Alternativen, wodurch sich die Risiken weiter minimieren lassen.