EU-Server, DSGVO-konformer Anbieter, Datenschutzerklärung geprüft — und trotzdem können US-Behörden auf Ihre Daten zugreifen. Möglich macht das der US CLOUD Act von 2018. Für KMU, die US-amerikanische SaaS-Tools nutzen, ist das ein reales Restrisiko, das bei der Toolauswahl bekannt sein sollte.
Kurze Antwort
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, auf welchem Server und in welchem Land diese Daten gespeichert sind. Das betrifft alle US-Anbieter: Microsoft, Google, Amazon, OpenAI und viele weitere. Ein EU-Rechenzentrum allein schützt nicht vor diesem Zugriff.
Definition
Der CLOUD Act wurde 2018 vom US-Kongress verabschiedet. Er schafft klare Rechtsgrundlagen dafür, dass US-Strafverfolgungsbehörden und Geheimdienste Datenzugang von US-Unternehmen fordern können.
Das Kernprinzip: Wenn ein Unternehmen in den USA registriert ist, unterliegen alle Daten, die es kontrolliert, US-amerikanischem Recht — unabhängig vom physischen Speicherort. Microsoft kann unter bestimmten Voraussetzungen verpflichtet werden, auf Daten zuzugreifen oder diese herauszugeben, auch wenn sie in einem Frankfurter Rechenzentrum liegen.
Der CLOUD Act steht in direktem Spannungsverhältnis zur DSGVO: Die DSGVO verbietet Datenweitergabe ohne Rechtsgrundlage, der CLOUD Act schafft eine US-rechtliche Verpflichtung zur Weitergabe. Welches Recht Vorrang hat, ist in der Praxis rechtlich ungeklärt und hängt vom Einzelfall ab.
Der CLOUD Act sieht theoretisch einen Mechanismus vor, mit dem Unternehmen einen Behördenauftrag anfechten können, wenn er gegen EU-Recht verstößt. In der Praxis ist dieser Schutzmechanismus wenig erprobt.
| Merkmal | EU-Datenschutz (DSGVO) | US-Behördenzugriff (CLOUD Act) |
|---|---|---|
| Wer regelt es? | EU-Recht | US-Bundesrecht |
| Schutz vor Weitergabe | Ja, ohne Rechtsgrundlage | Nein, bei Behördenanordnung |
| Serverstandort relevant? | Ja | Nein |
| Gilt für EU-Töchter von US-Firmen? | Ja | Ja (je nach Konzernstruktur) |
Beispiel aus der Praxis
Eine mittelständische Steuerberatungskanzlei nutzt Microsoft 365 für E-Mails und Dokumentenverwaltung. Alle Daten werden im Microsoft-Rechenzentrum Amsterdam gespeichert. Der Datenschutzbeauftragte hat den AVV geprüft, Standardvertragsklauseln (SCCs) sind vereinbart.
Im Rahmen einer US-Steuerstrafermittlung erhält Microsoft einen CLOUD-Act-Beschluss, der den Zugang zu bestimmten Daten verlangt. Microsoft kann unter diesen Voraussetzungen rechtlich verpflichtet sein, diesem Ersuchen nachzukommen — auch wenn die Daten in Amsterdam liegen. Die Kanzlei erfährt davon möglicherweise erst nachträglich.
Für die Kanzlei ist das ein Problem: Mandantendaten sind durch §203 StGB besonders geschützt. Eine unfreiwillige Weitergabe an US-Behörden kann rechtliche Konsequenzen haben, selbst wenn sie technisch durch Microsoft erfolgt.
Typische Anwendungsfälle
- US-Cloud-Dienste: Microsoft 365, Google Workspace, AWS — EU-Rechenzentrum, aber US-Recht
- KI-Tools US-amerikanischer Anbieter: ChatGPT, Claude (Anthropic), Jasper und viele weitere
- Kommunikationstools: Slack, Zoom, Teams — alle US-Unternehmen
- CRM-Systeme: HubSpot, Salesforce mit EU-Datenresidenz-Option
- Kollaborationstools: Notion, Asana, Monday.com
- Übersetzungsdienste: DeepL (deutsch) vs. Google Translate (US)
- E-Mail-Provider: Google Workspace, Microsoft Outlook
DSGVO-Relevanz
Das Cloud-Act-Risiko ist eines der komplexesten Spannungsfelder zwischen US- und EU-Recht. Drei Punkte sind für KMU relevant:
Drittstaatentransfer: Selbst wenn Daten auf EU-Servern liegen, kann ein erzwungener Behördenzugriff als Drittstaatentransfer gewertet werden. Standardvertragsklauseln (SCCs) und das Data Privacy Framework (DPF) adressieren die datenschutzrechtliche Zulässigkeit von Datentransfers — sie beseitigen jedoch die grundsätzliche Zugriffsmöglichkeit nach US-Recht nicht.
Informationspflicht: Werden Daten tatsächlich an US-Behörden herausgegeben, müssten Sie als Verantwortlicher betroffene Personen grundsätzlich informieren. In der Praxis ist dies kaum umsetzbar, da Behördenanfragen oft mit Schweigepflichten verbunden sind.
Risikoabwägung: Die DSGVO verlangt keine Null-Risiko-Verarbeitung, sondern eine angemessene Risikoabwägung. Das Cloud-Act-Risiko ist für die meisten KMU gering — US-Behörden interessieren sich in der Regel nicht für Buchhaltungsdaten eines deutschen Handwerksbetriebs. Bei Mandantendaten, Patientendaten oder Finanzdaten ist die Bewertung eine andere.
Handlungsempfehlung für KMU: Für Standardanwendungen ohne besonders sensible Daten reicht die Kombination aus EU-Serverstandort, SCCs und DPF-Zertifizierung als angemessene Schutzmaßnahme. Bei hochsensiblen Daten — insbesondere in Branchen mit gesetzlicher Schweigepflicht — sollten Anbieter ohne US-Muttergesellschaft bevorzugt werden.
Cloud Act und Schrems II
Wer sich mit dem Cloud Act beschäftigt, stößt häufig auch auf den Begriff Schrems II — und das ist kein Zufall.
2020 kippte der Europäische Gerichtshof im sogenannten Schrems-II-Urteil das Privacy Shield, das damals als Grundlage für den Datentransfer zwischen EU und USA diente. Einer der zentralen Kritikpunkte: US-Geheimdienste können auf Daten von US-Unternehmen zugreifen — unabhängig vom Speicherort. Genau das ist das Kernproblem, das auch der CLOUD Act beschreibt.
Als Reaktion auf Schrems II und den anhaltenden Druck entstand 2023 das Data Privacy Framework (DPF) als Nachfolger des Privacy Shield. Es schafft eine neue rechtliche Grundlage für Datentransfers und verpflichtet US-Unternehmen zu mehr Transparenz und Rechtsschutzmöglichkeiten für EU-Bürger. Die grundsätzliche Möglichkeit des US-Behördenzugriffs per CLOUD Act bleibt davon jedoch unberührt.
Für die Praxis bedeutet das: DPF löst das datenschutzrechtliche Transferproblem, nicht das CLOUD-Act-Zugriffsrisiko. Wer beide Aspekte verstehen will, sollte beides separat prüfen.
Verwandte Begriffe
- SCCs (Standardvertragsklauseln): Vertragswerk für rechtmäßige EU-US-Datentransfers
- DPF (Data Privacy Framework): Nachfolger des Privacy Shield, adressiert Transferzulässigkeit — nicht den Behördenzugriff selbst
- AVV (Auftragsverarbeitungsvertrag): Pflichtvertrag für Auftragsverarbeitung
- §203 StGB: Berufsgeheimnis — besonders relevant bei Cloud-Act-Risiko
- Personenbezogene Daten: Was unter die DSGVO und potenziell den CLOUD Act fällt
- TOM: Technische Maßnahmen zur Risikominimierung
Häufige Missverständnisse
- „EU-Server bedeutet kein Cloud-Act-Risiko.” Falsch. Der Serverstandort ist irrelevant, wenn das Unternehmen US-amerikanisch ist. Microsoft Frankfurt unterliegt genauso dem CLOUD Act wie Microsoft Seattle.
- „DPF-Zertifizierung beseitigt das Cloud-Act-Risiko.” Nein. DPF adressiert die datenschutzrechtliche Zulässigkeit von Datentransfers, schützt aber nicht vor direkten Behördenzugriffen nach US-Recht. Beides sind separate Fragen.
- „Nur Großkonzerne sind betroffen.” Grundsätzlich kann jede Datenmenge betroffen sein. Für die meisten KMU ist das praktische Risiko gering — bei Kanzleien, Arztpraxen oder Unternehmen mit Geschäftsgeheimnissen ist die Bewertung eine andere.
- „SCCs schützen vollständig vor Behördenzugriff.” SCCs regeln die vertragliche Ebene zwischen Unternehmen. Gegen staatliche Behördenanfragen bieten sie keinen absoluten Schutz.
Häufig gestellte Fragen
Welche Anbieter sind konkret betroffen? Alle Unternehmen mit Hauptsitz oder wesentlichen Geschäftstätigkeiten in den USA: Microsoft, Google, Amazon (AWS), Meta, OpenAI, Salesforce, Slack, Zoom. Europäische Tochtergesellschaften können je nach Konzernstruktur ebenfalls betroffen sein.
Gibt es sichere Alternativen ohne Cloud-Act-Risiko? Reine EU-Anbieter ohne US-Muttergesellschaft und ohne relevante US-Konzernstruktur unterliegen dem CLOUD Act regelmäßig nicht. Für KI-Tools ist das Angebot solcher Anbieter noch begrenzt. Unsere Tooltests zeigen für jeden Anbieter, ob ein Cloud-Act-Risiko besteht.
Muss ich meine Kunden über das Cloud-Act-Risiko informieren? In der Datenschutzerklärung sollten Sie auf die Nutzung von US-Diensten und das damit verbundene Restrisiko hinweisen. Bei Berufsgeheimnisträgern wie Anwälten oder Steuerberatern ist eine Aufklärung der Mandanten empfehlenswert.
Ist das Cloud-Act-Risiko ein K.O.-Kriterium für ein KI-Tool? Das hängt vom Anwendungsfall ab. Für allgemeine Büroarbeit ohne besonders sensible Daten ist es ein kalkulierbares Restrisiko. Für Berufsgeheimnisträger oder Unternehmen mit hochsensiblen Daten sollte das Risiko in die Toolauswahl einfließen.
Was sagen deutsche Datenschutzbehörden konkret dazu? Einige Datenschutzbehörden haben auf das Spannungsverhältnis hingewiesen. Eine abschließende behördliche Positionierung zu konkreten US-SaaS-Produkten für alle Anwendungsfälle liegt jedoch nicht vor.
Fazit
Der Cloud Act ist kein Grund zur Panik, aber ein Grund zur Aufmerksamkeit. EU-Server schützen nicht vollständig, wenn der Anbieter ein US-Unternehmen ist. Für die meisten KMU reicht eine informierte Risikoabwägung — für Berufsgeheimnisträger sollte das Thema aktiv in die Toolauswahl einfließen. Welche Tools ein Cloud-Act-Risiko haben, zeigen unsere DSGVO-Bewertungen direkt auf der jeweiligen Tool-Seite.
Passende Tooltests
Weiterführende Begriffe