CLOUD Act
Der CLOUD Act ist ein US-amerikanisches Gesetz aus dem Jahr 2018, das US-Behörden den Zugriff auf Daten von US-Unternehmen ermöglicht – unabhängig davon, wo diese Daten weltweit gespeichert sind. Das Gesetz steht im direkten Konflikt mit der DSGVO.
Ausführliche Erklärung
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde am 23. März 2018 vom US-Kongress verabschiedet und verpflichtet US-amerikanische Cloud- und Kommunikationsanbieter, auf Anforderung von US-Strafverfolgungsbehörden gespeicherte Daten herauszugeben – selbst wenn diese auf Servern außerhalb der USA liegen. Entscheidend ist nicht der physische Standort der Server, sondern die Unternehmensstruktur: Das Gesetz gilt für alle Anbieter, die in den USA ansässig sind oder dort eine rechtliche Präsenz haben. Damit werden auch europäische Rechenzentren von US-Anbietern erfasst.
Für österreichische und deutsche KMU entsteht durch den CLOUD Act ein rechtliches Spannungsfeld. Die DSGVO verlangt in Artikel 48, dass Datenübermittlungen an Drittstaaten nur auf Basis internationaler Abkommen wie Mutual Legal Assistance Treaties (MLATs) erfolgen dürfen. Der CLOUD Act umgeht diese Mechanismen bewusst und schafft direkte Zugriffsmöglichkeiten. Unternehmen, die Cloud-Dienste von US-Anbietern nutzen, befinden sich daher in einem strukturellen Rechtskonflikt: Gibt der Anbieter Daten an US-Behörden heraus, verstößt er gegen die DSGVO. Verweigert er die Herausgabe, verstößt er gegen US-Recht. Dieser Konflikt lässt sich nicht durch Standardvertragsklauseln oder die Wahl europäischer Rechenzentren lösen.
Die Datenschutzbehörden nehmen das Thema ernst. Meta erhielt 2023 eine Rekordstrafe von 1,2 Milliarden Euro wegen ungeschützter Datenübermittlung in die USA, Uber zahlte 2024 290 Millionen Euro. Auch für KMU besteht ein reales Compliance-Risiko, besonders in Branchen mit sensiblen Daten wie Gesundheitswesen, Steuerberatung oder Rechtsdienstleistungen. Das Trans-Atlantic Data Privacy Framework (TADPF) soll den Konflikt mildern, steht aber rechtlich auf unsicherer Basis, da es auf einer jederzeit widerrufbaren Executive Order beruht.
Die praktische Empfehlung lautet: Bei hochsensiblen oder personenbezogenen Daten sollten europäische Cloud-Anbieter ohne US-Jurisdiktion bevorzugt werden. Der Unternehmenssitz und die Konzernstruktur sind dabei entscheidend – ein EU-Rechenzentrum allein schützt nicht vor dem CLOUD Act. Ergänzend können technische Maßnahmen wie kundengesteuerte Verschlüsselung (bei der nur das Unternehmen selbst die Schlüssel hält) das Risiko minimieren. Eine Dokumentation der Abwägungen im Rahmen eines Transfer Impact Assessment ist DSGVO-seitig erforderlich.
Praxisbeispiel
Eine österreichische Steuerberatungskanzlei mit 12 Mitarbeitenden nutzt Microsoft 365 für E-Mail und Dokumentenverwaltung. Obwohl sie die EU-Region gewählt hat, unterliegt Microsoft als US-Unternehmen dem CLOUD Act. Bei einer Datenanfrage von US-Behörden müsste Microsoft die Daten herausgeben – auch Mandantendaten der Kanzlei. Nach Rücksprache mit ihrem Datenschutzbeauftragten entscheidet sich die Kanzlei, für sensible Mandantendaten auf einen deutschen Anbieter ohne US-Konzernbindung zu wechseln, während Office-Anwendungen für interne Zwecke weiter bei Microsoft bleiben.