1. STARTSEITE
  2. BLOG
  3. Der CLOUD Act – Extraterritoriales US-Datengesetz mit globaler Tragweite

Der CLOUD Act – Extraterritoriales US-Datengesetz mit globaler Tragweite

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Bundesgesetz, das im Jahr 2018 in Kraft trat. Es verpflichtet US-Unternehmen sowie deren Tochtergesellschaften und vertraglich gebundene Dienstleister zur Herausgabe elektronischer Daten auf richterliche oder behördliche Anordnung unabhängig vom physischen Speicherort der Daten.

🌐 Zugriff trotz Speicherung in der EU
Auch wenn personenbezogene Daten innerhalb von Rechenzentren in der Europäischen Union gespeichert werden, kann ein US-amerikanischer Cloud-Anbieter rechtlich verpflichtet sein, diese Daten im Rahmen strafrechtlicher Ermittlungen an US-Behörden weiterzugeben.

Betroffen sind insbesondere international agierende Cloud-Dienste wie:

- Microsoft 365
- Google Workspace
- Amazon Web Services (AWS)
-...

📌 Datenschutzrechtliche Bewertung und Risikolage
Die extraterritoriale Reichweite des CLOUD Act stellt eine erhebliche Herausforderung für die Einhaltung der EU-Datenschutzvorgaben dar. Ein konkretes Risiko besteht insbesondere dann, wenn:

- der Cloud-Anbieter seinen Hauptsitz in den USA hat oder dort tätig ist,
- die Datenverarbeitung über US-Infrastruktur erfolgt,
- oder ein US-Konzern direkten oder indirekten Zugriff auf die Daten hat.

In solchen Fällen besteht die Möglichkeit, dass US-Behörden Zugriff auf personenbezogene Daten erhalten, auch ohne Wissen oder Einwilligung der betroffenen Personen in Europa.

✅ Voraussetzungen für wirksamen Schutz
Ein effektiver Schutz vor solchen Zugriffen ist nur gewährleistet, wenn:

- sämtliche Anbieter und Subdienstleister außerhalb des US-Rechts agieren,
- eine ausschließlich europäische Infrastruktur genutzt wird,
- und eine Ende-zu-Ende-Verschlüsselung mit ausschließlich nutzerseitiger Schlüsselkontrolle implementiert ist.

⚖️ Juristischer Zielkonflikt zwischen CLOUD Act und DS-GVO
Obwohl die Datenschutz-Grundverordnung (DS-GVO) der EU als eines der weltweit strengsten Datenschutzgesetze gilt, kann sie den Zugriff durch US-Behörden auf Grundlage des CLOUD Act nicht verhindern, wenn ein Anbieter dem US-Recht unterliegt.

Die DS-GVO bietet keine Schutzwirkung gegenüber Drittstaatengesetzen, sobald ein Anbieter durch ein solches Drittland rechtlich verpflichtet werden kann, Daten herauszugeben.

CloudAct DSGVO Datenschutz CloudSicherheit ITCompliance DigitalSovereignty Microsoft365 AWS GoogleCloud JuristischeKonflikte ITSecurity
Hinweise zum Verzeichnis von Verarbeitungstätigkeiten - AmicusData
Die Kosten von Datenschutzverstößen - AmicusData
Wann ist eine Datenschutz-Folgenabschätzung (DSFA) obligatorisch? - AmicusData
Kommentare
* Die E-Mail-Adresse wird nicht auf der Website veröffentlicht.