hyggecloud / wissen / cloud act
Der US CLOUD Act, einfach erklärt
Es gibt einen Satz, den wir in fast jedem Erstgespräch hören: „Aber unsere Daten liegen doch in Frankfurt." Dieser Artikel erklärt, warum dieser Satz die falsche Beruhigung ist — ohne Juristendeutsch und ohne Panikmache. Beides hat das Thema nicht verdient.
Was der CLOUD Act ist — in einem Absatz
Der Clarifying Lawful Overseas Use of Data Act ist ein US-Bundesgesetz aus dem Jahr 2018. Sein Kern: US-Behörden können von amerikanischen Unternehmen die Herausgabe von Daten verlangen, die diese Unternehmen besitzen, verwahren oder kontrollieren — ausdrücklich auch dann, wenn die Daten außerhalb der USA gespeichert sind. Der Anlass war ein Rechtsstreit zwischen Microsoft und der US-Justiz um E-Mails auf einem Server in Irland; der CLOUD Act beendete die Debatte, indem er die Reichweite gesetzlich festschrieb.
Entscheidend ist nicht, wo der Server steht. Entscheidend ist, wem das Unternehmen gehört, das ihn betreibt.
Deshalb ändert eine „EU-Region" bei AWS, Azure oder Google Cloud nichts am Grundproblem: Amazon, Microsoft und Google sind US-Unternehmen. Frankfurt, Dublin oder Paris sind für den CLOUD Act Postleitzahlen, keine Schutzräume.
„Aber das betrifft doch nur Kriminelle?"
Das ist das häufigste — und verständlichste — Gegenargument. Drei Punkte dazu:
- Es geht um Kontrolle, nicht um Schuld. Für Ihre DSGVO-Bewertung ist nicht relevant, ob ein Zugriff wahrscheinlich ist, sondern ob er rechtlich möglich ist, ohne dass europäisches Recht ihn wirksam verhindern kann. Genau das war der Kern der Schrems-Urteile des EuGH.
- Die Spielregeln können sich ändern. Sanktionen, Exportkontrollen und politische Weisungen treffen auch völlig unbescholtene Organisationen — der Fall des Internationalen Strafgerichtshofs 2025 hat das drastisch gezeigt: Microsoft sperrte das E-Mail-Konto des Chefanklägers infolge von US-Sanktionen. Kein Verbrechen, kein Gerichtsbeschluss gegen ihn — eine politische Entscheidung in Washington genügte.
- Ihre Kunden fragen nicht nach Wahrscheinlichkeiten. In Security-Questionnaires und Auftragsverarbeitungs-Prüfungen zählt die strukturelle Antwort. „US-Anbieter, aber EU-Region" wird zunehmend als das bewertet, was es ist: ein Restrisiko, das man haben kann — oder eben nicht.
Schrems II und die wacklige Brücke
2020 erklärte der Europäische Gerichtshof das „Privacy Shield"-Abkommen für ungültig (Schrems II): US-Überwachungsrecht und EU-Grundrechte passen strukturell nicht zusammen. Das Nachfolge-Abkommen — das EU-US Data Privacy Framework — steht seither in der juristischen Dauerkritik, und eine erneute Kippe durch den EuGH ist ein Szenario, mit dem Datenschutz-Fachleute offen rechnen.
Was das praktisch heißt: Wer seine Architektur auf dieses Abkommen baut, baut auf eine politisch verhandelbare Brücke. Sie kann halten. Sie kann auch beim nächsten Urteil einstürzen — und dann steht die Infrastruktur-Frage wieder auf dem Tisch, nur unter Zeitdruck.
Was ist mit den „Sovereign Cloud"-Angeboten der Hyperscaler?
AWS, Microsoft und Google haben auf die europäische Debatte reagiert: mit EU-Datenresidenz, europäischem Betriebspersonal und teils eigenen Gesellschaftsstrukturen. Das sind echte Verbesserungen bei Datenresidenz und operativer Kontrolle — aber die Gretchenfrage bleibt: Die Muttergesellschaft ist und bleibt ein US-Unternehmen. Ob die jeweilige Konstruktion den CLOUD-Act-Zugriff wirksam ausschließt, ist umstritten und letztlich eine Wette auf künftige Rechtsprechung. Für manche Risikoprofile reicht das. Für viele, die aus Souveränitätsgründen wechseln wollen, ist es die halbe Antwort zum ganzen Preis.
Die realistischen Optionen
- Option 1 — Bleiben und dokumentieren: Risiko bewerten, zusätzliche Verschlüsselung mit eigener Schlüsselhoheit prüfen, Transfer-Folgenabschätzung sauber führen. Legitim, wenn der Aufwand eines Wechsels den Nutzen übersteigt — aber es bleibt Risikomanagement, keine Risikobeseitigung.
- Option 2 — Hybrid: Sensible Workloads (Kundendaten, Kern-Datenbanken) zu einem EU-Anbieter, unkritische Dienste bleiben. Oft der pragmatischste erste Schritt — und ein guter Test für die eigene Migrationsfähigkeit.
- Option 3 — Konsequenter Wechsel: Infrastruktur zu einem Anbieter ohne US-Mutterkonzern. Nimmt das strukturelle Problem vollständig aus der Gleichung — und senkt in den meisten Fällen nebenbei die Kosten deutlich. Welche Anbieter dafür infrage kommen, zeigt unser Alternativen-Überblick.
Gilt der CLOUD Act auch für europäische Tochterfirmen von US-Konzernen?
Nach herrschender Lesart: ja, sobald die US-Mutter die Daten „kontrolliert" — und genau darauf zielt das Gesetz. Deshalb löst eine europäische GmbH-Hülle mit US-Konzern dahinter das Problem nicht grundsätzlich.
Hilft Verschlüsselung gegen den CLOUD Act?
Nur, wenn der Anbieter die Schlüssel nie sieht (echtes Bring-Your-Own-Key mit externer Schlüsselverwaltung, Ende-zu-Ende-Verschlüsselung). Beim Standard-Schlüsselmanagement des Anbieters liegt der Schlüssel — und damit der Zugriff — beim Anbieter. Solche Architekturen sind möglich, aber aufwendig und schränken Managed Services stark ein.
Reicht es, nur die Datenbank nach Europa zu holen?
Das ist oft ein sinnvoller erster Schritt (Option „Hybrid") — aber Vorsicht bei Datenflüssen: Wenn US-Dienste weiterhin auf die Daten zugreifen (Analytics, Monitoring, Backups), wandert das Problem nur eine Ebene tiefer. Eine ehrliche Datenfluss-Karte ist der Anfang jeder Lösung — die erstellen wir im Hygge Check.
Wie groß ist Ihr CLOUD-Act-Risiko wirklich?
Im Hygge Check erstellen wir Ihre Datenfluss-Karte und bewerten, welche Ihrer Workloads betroffen sind — als Faktenbasis für Ihren DSB und Ihre Geschäftsführung.
→ Erstgespräch vereinbarenAuf Wunsch gemeinsam mit Ihrem Datenschutzbeauftragten