Startseite Wissensplattform IT-Glossar Cloud Act
... IT-Glossar Cloud Act

Cloud Act

Recht
Auch bekannt als: CLOUD Act, Clarifying Lawful Overseas Use of Data Act, US Cloud Act
US-Gesetz das amerikanischen Behörden weltweiten Zugriff auf Daten von US-Unternehmen ermöglicht - egal wo die Server stehen

Was ist der Cloud Act?

Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz aus dem Jahr 2018. Es erlaubt US-Behörden wie FBI und NSA von US-Unternehmen die Herausgabe von Daten zu verlangen - völlig egal wo diese Daten physisch gespeichert sind.

Verabschiedet: 23. März 2018
In Kraft: 23. März 2018

Das bedeutet praktisch

Wenn ein US-Unternehmen Server in Deutschland betreibt können US-Behörden trotzdem auf die dort gespeicherten Daten zugreifen. Das Unternehmen muss dem nachkommen selbst wenn es gegen deutsche oder europäische Gesetze verstößt.

Betroffen sind:

  • Alle US-Unternehmen und ihre Tochtergesellschaften
  • Cloud-Anbieter (Amazon AWS, Microsoft Azure, Google Cloud)
  • Software-as-a-Service (Microsoft 365, Salesforce, Zoom)
  • Kommunikationsdienste (WhatsApp, Facebook, Gmail)

Das Unternehmen darf dem Betroffenen oft nicht einmal mitteilen dass seine Daten angefordert wurden (Gag Order).

Hintergrund

Der Cloud Act entstand aus einem Rechtsstreit zwischen Microsoft und dem US-Justizministerium. Das FBI forderte E-Mails die auf einem Microsoft-Server in Irland lagen. Microsoft weigerte sich mit dem Argument dass US-Gesetze nicht im Ausland gelten.

Der Fall ging bis zum Supreme Court. Bevor dieser entscheiden konnte verabschiedete der Kongress den Cloud Act - und gab den Behörden damit ausdrücklich weltweite Zugriffsbefugnisse.

Wie es funktioniert

Anforderung

  1. US-Behörde (FBI, NSA, DEA, etc.) beantragt Gerichtsbeschluss
  2. US-Gericht prüft nur ob formale Voraussetzungen erfüllt sind
  3. Unternehmen erhält Anordnung zur Datenherausgabe
  4. Unternehmen muss innerhalb kurzer Frist liefern (oft 14 Tage)
  5. Oft verbunden mit Gag Order (Schweigepflicht)

Keine Benachrichtigung

In den meisten Fällen erfährt der Betroffene nie dass seine Daten herausgegeben wurden. Bei Gag Orders darf das Unternehmen nicht einmal intern darüber sprechen außer mit direkten Beteiligten.

Keine Prüfung

Das US-Gericht prüft nicht ob die Datenanforderung mit Gesetzen des Landes vereinbar ist wo die Daten liegen. Es zählt nur US-Recht.

Wen betrifft es?

Unternehmen

Alle US-Corporations:

  • Beispiele: Microsoft, Google, Amazon, Facebook, Apple, Cloudflare
  • Standort egal: Ja - auch wenn Tochtergesellschaft in EU registriert ist

US-Tochtergesellschaften:

  • Beispiele: WhatsApp (Facebook), LinkedIn (Microsoft), GitHub (Microsoft)
  • Standort egal: Ja - gilt auch für europäische Niederlassungen

Cloud-Provider:

  • Beispiele: AWS, Azure, Google Cloud, Oracle Cloud
  • Problem: Selbst wenn deutsche Firma nur EU-Rechenzentren bucht - Betreiber ist US-Firma also greift Cloud Act

Datentypen

  • E-Mails und Nachrichten
  • Gespeicherte Dateien und Backups
  • Kundendaten und Verträge
  • Metadaten (wer mit wem kommuniziert)
  • Nutzungsstatistiken
  • Abrechnungsinformationen

Konflikte mit EU-Recht

DSGVO

Die EU-Datenschutz-Grundverordnung verbietet Weitergabe personenbezogener Daten an Drittstaaten ohne angemessenes Schutzniveau. USA gelten nicht als Land mit angemessenem Schutz.

Cloud Act steht damit in direktem Widerspruch zur DSGVO. Unternehmen die beiden Gesetzen unterliegen sitzen zwischen den Stühlen.

Blocking Statutes

Einige EU-Länder haben Gesetze die es Unternehmen verbieten Daten an ausländische Behörden herauszugeben ohne lokalen Gerichtsbeschluss.

Cloud Act ignoriert diese nationalen Gesetze. US-Unternehmen müssen sich für eines der beiden Gesetze entscheiden - und wählen meist US-Recht da sie sonst Strafen in den USA drohen.

EuGH-Urteile

Der Europäische Gerichtshof hat 2020 das Privacy Shield Abkommen zwischen EU und USA für ungültig erklärt (Schrems II Urteil).

Hauptgrund: US-Überwachungsprogramme wie PRISM und Befugnisse wie der Cloud Act sind nicht mit EU-Grundrechten vereinbar.

Rechtslage für Unternehmen

Dilemma

Deutsche Unternehmen die US-Cloud-Dienste nutzen stehen vor einem unlösbaren Problem:

  • Nutzen sie US-Dienste: Verstoß gegen DSGVO möglich
  • Lehnen sie Zusammenarbeit mit US-Behörden ab: Cloud-Provider könnte gekündigt werden oder US-Strafen drohen
  • Wechseln sie zu EU-Anbietern: Oft höhere Kosten und weniger Features

Behördliche Empfehlungen

Bundesdatenschutzbeauftragte und verschiedene Landesdatenschützer raten von US-Cloud-Diensten für sensible Daten ab. Besonders kritisch:

  • Gesundheitsdaten
  • Personaldaten
  • Kundendaten von EU-Bürgern
  • Geschäftsgeheimnisse

Bußgelder

Bei DSGVO-Verstößen durch Nutzung von US-Diensten drohen Bußgelder bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro.

Erste Fälle gibt es bereits: Österreichische Datenschutzbehörde untersagte 2021 Nutzung von Google Analytics wegen Cloud Act.

Was Unternehmen tun können

EU-Anbieter wählen

Beispiele:

  • Hetzner (Deutschland) statt AWS
  • IONOS (Deutschland) statt Microsoft 365
  • Nextcloud (selbst-gehostet) statt Google Drive

Vorteil: Kein Cloud Act, EU-Datenschutz gilt
Nachteil: Möglicherweise weniger Features oder höhere Kosten

Selbst-Hosting

Eigene Server in Deutschland oder EU betreiben. Volle Kontrolle über Daten und keine Abhängigkeit von US-Unternehmen.

Aufwand: Hoch - erfordert IT-Expertise

Ende-zu-Ende-Verschlüsselung

Daten verschlüsseln bevor sie in die Cloud geladen werden. Cloud-Anbieter kann sie nicht entschlüsseln und nicht an Behörden herausgeben.

Problem: Nur für ruhende Daten (Dateien). Bei Kollaborations-Tools und E-Mail schwer umsetzbar. Metadaten bleiben sichtbar.

Hybrid-Ansatz

Unkritische Daten in US-Cloud, sensible Daten selbst-gehostet oder bei EU-Anbietern. Erfordert sorgfältige Datenklassifizierung.

Was Privatpersonen tun können

US-Dienste vermeiden

E-Mail:

  • US: Gmail, Outlook.com
  • EU: Mailbox.org, Posteo, Tutanota

Cloud-Speicher:

  • US: Google Drive, Dropbox, OneDrive
  • EU: Nextcloud (selbst-gehostet), STRATO HiDrive

Messenger:

  • US: WhatsApp, Facebook Messenger
  • EU: Signal, Matrix (föderiert)

Videokonferenz:

  • US: Zoom, Google Meet, Microsoft Teams
  • EU: Jitsi (selbst-gehostet), BigBlueButton

Bewusste Kommunikation

Bei sensibler Kommunikation darauf achten welche Dienste die Gegenseite nutzt. Wenn die mit Gmail antwortet landen Mails trotzdem auf US-Servern.

Ausnahmen und Einschränkungen

Bilateral Agreements

Cloud Act erlaubt bilaterale Abkommen zwischen USA und anderen Ländern. Dabei können Regeln für gegenseitige Datenanforderungen vereinbart werden.

Bisher gibt es Abkommen mit UK und Australien. EU-US Abkommen wurde diskutiert aber nicht umgesetzt.

Notification Requirement

In manchen Fällen muss die Regierung des Landes wo die Daten liegen informiert werden. Das passiert aber nur wenn:

  • Beide Länder ein Abkommen haben
  • Die Daten ausschließlich Bürger des anderen Landes betreffen
  • Es keine Sicherheitsbedenken gibt

In der Praxis wird selten informiert.

Politische Dimension

USA Position

US-Regierung argumentiert Cloud Act sei nötig um Kriminalität und Terrorismus zu bekämpfen. Ohne würden Kriminelle einfach Daten im Ausland speichern um sich US-Strafverfolgung zu entziehen.

EU Position

EU sieht Cloud Act als Verletzung europäischer Souveränität. Datenzugriff sollte über internationale Rechtshilfe laufen nicht durch einseitige Anordnungen.

EU arbeitet an eigener Digital-Souveränität-Strategie mit Fokus auf europäische Cloud-Anbieter.

China und Russland

Ähnliche Gesetze existieren in China (Cybersecurity Law) und Russland (Data Localization Law). Diese verlangen dass Daten chinesischer/russischer Bürger im Land gespeichert werden und Behörden Zugriff bekommen.

Führt zu Fragmentierung des Internets in Einflusssphären.

Technische Hintergründe

Server-Standort

Früher galt: Daten auf deutschem Server = deutsches Recht. Cloud Act ändert das: Entscheidend ist wem das Unternehmen gehört nicht wo die Hardware steht.

Verschlüsselung

Cloud Act verlangt Daten in “intelligibler Form” - also entschlüsselt. Unternehmen müssen also Verschlüsselung aufbrechen wenn sie die Schlüssel haben.

Nur echte Ende-zu-Ende-Verschlüsselung wo Anbieter keine Schlüssel hat schützt - aber auch nicht vor Metadaten-Zugriff.

Zukunft

Trend zu Datenlokalisierung

Immer mehr Länder fordern dass Daten ihrer Bürger im Land bleiben. Cloud Act beschleunigt diese Entwicklung.

Europäische Cloud-Projekte

Gaia-X und andere EU-Initiativen versuchen europäische Cloud-Alternativen aufzubauen. Erfolg bisher begrenzt da US-Hyperscaler technologisch und preislich dominieren.

Quellen

Analysis

Eu perspective

Legal

Quellen archiviert am: 2026-01-29

dragons@work:~/digital-independence
$ status check
Projekt: Website-Evolution
Änderungen werden eingespielt: Digitale Unabhängigkeit wird ausgebaut...
$ continuous improvement
🚢 Das Schiff während der Fahrt umbauen - eine elegante Lösung nach der anderen
✓ System: dragons@work v0.4.16+529f9bef [TRACKING]
67%
✓ Analytics: plausible.dragons-at-work.de/ [ONLINE]
✓ Newsletter: listmonk.dragons-at-work.de/ [ONLINE]
⟳ Comments: sagjan.dragons-at-work.de/ [DEVELOPING]
⟳ Matrix: matrix.dragons-at-work.de/ [BUILDING]
$ echo "Fortschritt"
Fortschritt
$  
Kontaktformular Schutz eurer Daten Aufgedrücktes Wie wir zusammenarbeiten
© 2026 dragons@work. Alle Rechte vorbehalten - Version: Site: v0.4.16+529f9bef Theme: 0.5.3+ca13264e
Inhalte unter CC BY-NC-SA 4.0 – Teilen erwünscht, kommerzielle Nutzung untersagt