US CLOUD Act: Warum Ihre Daten in der US-Cloud rechtlich angreifbar sind

Viele Unternehmen gehen davon aus, dass ihre Daten sicher sind, solange die Server in Europa stehen. Beim US CLOUD Act stimmt diese Annahme nicht. Das Gesetz ist einer der Hauptgründe, warum digitale Souveränität gerade zum Thema wird. Hier steht sachlich, was dahinter steckt und was Sie daraus für Ihren Betrieb mitnehmen sollten.

Was der US CLOUD Act ist

Der CLOUD Act ist ein US-Gesetz aus dem Jahr 2018.[1] Es verpflichtet US-Anbieter, den US-Behörden auf Anordnung Zugriff auf gespeicherte Daten zu gewähren, unabhängig davon, wo auf der Welt diese Daten liegen. Entscheidend ist nicht der Standort des Servers, sondern die Frage, ob das Unternehmen amerikanischem Recht unterliegt. Ein US-Konzern mit Rechenzentrum in Frankfurt fällt also genauso darunter wie einer mit Servern in Texas.

Warum das auch deutsche Unternehmen betrifft

Wenn Sie Dienste eines US-Anbieters nutzen, etwa für E-Mail, Cloud-Speicher oder Office, liegen Ihre Daten bei einem Unternehmen, das dieser Verpflichtung unterliegt. Im Zweifel kann eine US-Behörde Zugriff verlangen, ohne dass Sie davon erfahren oder zustimmen müssen. Für rein interne Daten mag das verschmerzbar sein. Sobald aber personenbezogene Daten Ihrer Kunden oder Mitarbeiter betroffen sind, wird es zu Ihrem Problem.

Der Konflikt mit der DSGVO

Hier treffen zwei Rechtsordnungen aufeinander. Die europäische Datenschutz-Grundverordnung verlangt, dass personenbezogene Daten geschützt und nur unter klaren Bedingungen in Drittländer übermittelt werden. Der CLOUD Act erlaubt genau den Zugriff, den die DSGVO einschränken will. Die Schrems-Urteile des Europäischen Gerichtshofs haben diesen Konflikt mehrfach bestätigt und die Übermittlung in die USA erschwert.[2] Als Verantwortlicher für die Daten tragen Sie das Risiko, nicht der Anbieter.

Was das praktisch bedeutet

Sie müssen nicht in Panik verfallen, aber Sie sollten wissen, wo Ihre sensiblen Daten liegen. Je mehr personenbezogene oder vertrauliche Informationen Sie bei US-Diensten speichern, desto größer ist das rechtliche Risiko. Das betrifft Kundendaten, Personalakten, Gesundheitsdaten und alles, was unter besonderen Schutz fällt.

Was Sie tun können

Der wirksamste Schritt ist, sensible Daten bei Anbietern zu speichern, die nicht dem US-Recht unterliegen. Das müssen nicht zwingend eigene Server sein. Für E-Mail genügt oft ein deutscher oder europäischer Anbieter, für Dateien und Zusammenarbeit eine Lösung wie Nextcloud auf einem Server in Deutschland. Welche Optionen es gibt, zeigt unser Beitrag zur souveränen Cloud. Und auch hier gilt: Sie müssen nicht alles auf einmal verlagern, sondern können mit den kritischsten Daten beginnen.

Fazit

Der Standort der Server allein schützt Ihre Daten nicht. Solange ein Anbieter dem US-Recht unterliegt, kann der CLOUD Act greifen, und das steht im Widerspruch zur DSGVO. Wer mit sensiblen Daten arbeitet, sollte prüfen, wo diese liegen, und die wichtigsten Schritt für Schritt in einen sicheren Rechtsraum verlagern.

Häufige Fragen

Reicht es nicht, einen Anbieter mit Servern in der EU zu wählen? Nein. Entscheidend ist nicht der Serverstandort, sondern ob der Anbieter dem US-Recht unterliegt. Ein US-Konzern mit EU-Rechenzentrum fällt weiterhin unter den CLOUD Act.

Ist jede Nutzung von US-Diensten ein Verstoß? So pauschal nicht. Es kommt auf die Art der Daten und die getroffenen Schutzmaßnahmen an. Bei personenbezogenen Daten ist das Risiko aber real und sollte bewertet werden.

Wie fange ich an, das Risiko zu senken? Verschaffen Sie sich zuerst einen Überblick, welche sensiblen Daten wo liegen. Daraus ergibt sich von selbst, was zuerst verlagert werden sollte. Genau das schauen wir uns im Souveränitäts-Check gemeinsam an.

Wollen Sie wissen, wo Ihre Daten heute rechtlich stehen? Im Souveränitäts-Check klären wir Ihre Abhängigkeiten und Sie erhalten eine klare Empfehlung für die nächsten Schritte.