☁️ Der CLOUD Act: Eine Tragikomödie in mehreren Akten
Oder: Wie ich lernte, die Bombe zu lieben und meine Daten trotzdem in der EU zu behalten
Inhaltsverzeichnis
- Präambel: Willkommen in der Zwickmühle
- Der CLOUD Act – Das Gesetz
- Die rechtliche Kollision: DSGVO vs. CLOUD Act
- Auswirkungen nach Sektor
- Europäische Cloud-Alternativen
- Kann man noch ruhig schlafen?
- Optimale Cloud-Strategien
- Fazit: Die Ironie des Schicksals
- Gesetzestexte und Quellen
Präambel: Willkommen in der Zwickmühle {#präambel}
Stellen Sie sich vor, Sie sind ein deutscher Mittelständler. Sie haben Ihre sensiblen Unternehmensdaten – Geschäftsgeheimnisse, Kundeninformationen, das geheime Rezept für die Kantinensoße – brav in einem Rechenzentrum in Frankfurt gespeichert. Bei einem amerikanischen Cloud-Anbieter. Mit deutschem Support und deutschen Datenschutzversprechen.
Und dann klingelt beim Mutterkonzern in Seattle das Telefon. Ein freundlicher Beamter des FBI möchte mal kurz in Ihre Daten schauen. Ohne Sie zu informieren. Ohne deutschen Richterbeschluss. Ohne "Bitte" und "Danke".
Willkommen im Jahr 2025. Willkommen beim CLOUD Act.
Der CLOUD Act – Das Gesetz {#der-cloud-act}
Was ist der CLOUD Act?
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-amerikanisches Gesetz, das am 23. März 2018 in Kraft trat. Es ergänzt den Stored Communications Act (18 US Code § 2713) und gibt US-Behörden weitreichende Befugnisse.
Der Kern des Gesetzes
Der CLOUD Act ermöglicht es US-Behörden, amerikanische Unternehmen zur Herausgabe von Daten zu verpflichten – unabhängig davon, wo auf der Welt diese Daten gespeichert sind.
Das bedeutet konkret:
- Physischer Speicherort ist irrelevant: Ob Frankfurt, Paris oder Tokio – wenn der Cloud-Anbieter US-Recht unterliegt, greift der CLOUD Act
- Keine Benachrichtigungspflicht: Betroffene Personen oder europäische Behörden müssen nicht informiert werden
- Umgehung internationaler Rechtshilfeabkommen: Der traditionelle Weg über MLATs (Mutual Legal Assistance Treaties) wird umgangen
- Gag-Order möglich: Anbietern kann verboten werden, ihre Kunden über die Datenabfrage zu informieren
Die offizielle US-Position
Das US-Justizministerium bewirbt den CLOUD Act als Instrument zur "effizienten Bekämpfung von Schwerkriminalität". Die Electronic Frontier Foundation hingegen bezeichnete ihn als "gefährliches Gesetz" und "nichts geringeres als ein Eingriff in die Privatsphäre und eine Beschneidung der Grundrechte".
Selbst Microsoft – nicht gerade bekannt für Compliance-Kritik an US-Gesetzen – übte scharfe Kritik.
Die rechtliche Kollision: DSGVO vs. CLOUD Act {#rechtliche-kollision}
Artikel 48 DSGVO – Die europäische Antwort
Die DSGVO enthält mit Artikel 48 eine klare Regelung für genau diesen Fall:
"Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind."
Klartext: Ohne Rechtshilfeabkommen dürfen Daten nicht einfach an US-Behörden übermittelt werden.
Das Dilemma der Unternehmen
EU-Tochtergesellschaften amerikanischer Cloud-Konzerne stehen vor einer unmöglichen Wahl:
| Handlungsoption | Konsequenz |
|---|---|
| Daten an US-Behörden übermitteln | Verstoß gegen DSGVO Art. 48 → Bußgelder bis 20 Mio. € oder 4% des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO) |
| Daten verweigern | Verstoß gegen US-Recht → Strafen nach amerikanischem Recht |
Erwägungsgrund 115 DSGVO
Die EU hat diese Problematik durchaus vorhergesehen:
"Manche Drittländer erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben, die Verarbeitungstätigkeiten natürlicher und juristischer Personen, die der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar zu regeln. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets der betreffenden Drittländer kann gegen internationales Recht verstoßen und dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen."
Man könnte fast meinen, die EU hätte den CLOUD Act kommen sehen.
Die "Souveräne Cloud"-Illusion
Viele US-Anbieter vermarkten inzwischen "souveräne" Lösungen:
- Microsoft 365 EU Data Boundary
- Amazon European Sovereign Cloud
- Google Sovereign Control
Die unbequeme Wahrheit: Diese Lösungen ändern nichts an der rechtlichen Zuständigkeit. Die US-Muttergesellschaft bleibt dem CLOUD Act unterworfen. Es ist wie ein Regenschirm aus Pappe – sieht gut aus, hält aber nicht dicht.
Auswirkungen nach Sektor {#auswirkungen-nach-sektor}
🏛️ Public Sector (Öffentliche Verwaltung)
Besondere Brisanz
Die öffentliche Verwaltung verarbeitet per Definition sensible Daten: Bürgerdaten, Steuerinformationen, Gesundheitsdaten, polizeiliche Ermittlungen, militärische Informationen. Ein Zugriff durch ausländische Behörden wäre hier besonders problematisch.
Regulatorische Anforderungen
BSI C5-Testierung wird ab 1. Juli 2025 verpflichtend für:
- KRITIS-Betreiber gemäß § 8a BSIG
- Cloud-Dienste für öffentliche Stellen mit schützenswerten Informationen
- Sicherheitsrelevante Lieferketten (Energie, Gesundheit)
Die Deutsche Verwaltungscloud-Strategie (DVS) fordert:
- Informationssicherheit nach IT-Grundschutz des BSI
- C5-Kriterienkatalog für Cloud-Services
- Sovereign Cloud Stack für herstellerunabhängige Infrastrukturen
Konsequenz für den Public Sector
| Risiko | Bewertung |
|---|---|
| Datenzugriff durch US-Behörden | Hoch – Verstoß gegen Amtsgeheimnisse möglich |
| Verlust der Datenhoheit | Kritisch – Souveränitätsverlust |
| Compliance-Verstöße | Hoch – DSGVO, BDSG, BSI-Vorgaben |
| Vertrauensverlust bei Bürgern | Erheblich |
Empfehlung: US-Hyperscaler sollten im Public Sector nur für unkritische Workloads oder gar nicht eingesetzt werden.
🏭 Konzerne und Mittelstand
Geschäftsgeheimnisse in Gefahr
Für Unternehmen geht es nicht nur um personenbezogene Daten, sondern um:
- Forschungs- und Entwicklungsdaten
- Patentanmeldungen in Vorbereitung
- Produktionsprozesse und -parameter
- Lieferanten- und Kundenbeziehungen
- Strategische Planungen
- M&A-Aktivitäten
Ein Zugriff durch US-Behörden könnte diese Informationen in die Hände amerikanischer Wettbewerber spielen – ob beabsichtigt oder durch "Leckagen".
Das Geschäftsgeheimnisgesetz (GeschGehG)
Das deutsche Geschäftsgeheimnisgesetz von 2019 definiert in § 2:
"Geschäftsgeheimnis ist eine Information, die [...] Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist"
Frage: Ist die Speicherung bei einem CLOUD-Act-unterliegenden Anbieter eine "angemessene Geheimhaltungsmaßnahme"?
Die juristische Literatur tendiert zu: Nein.
Wirtschaftsspionage – ein Elefant im Raum
Es wäre naiv anzunehmen, dass Geheimdienste gesammelte Wirtschaftsdaten nicht auch für "nationale Interessen" nutzen. Edward Snowden hat 2013 enthüllt, dass die NSA systematisch Wirtschaftsspionage betreibt. Der CLOUD Act legitimiert nun ähnliche Zugriffe.
Risikoanalyse für Unternehmen
| Unternehmenstyp | Risiko durch CLOUD Act |
|---|---|
| Unternehmen mit US-Geschäft/US-Konkurrenz | Sehr hoch |
| Technologieunternehmen | Sehr hoch |
| Pharma/Chemie | Hoch |
| Maschinenbau | Hoch |
| Dienstleister ohne sensible Daten | Mittel |
🏪 KMUs (Kleine und mittlere Unternehmen)
Die unterschätzte Gefährdung
KMUs denken oft: "Uns interessiert doch keiner." Das ist ein gefährlicher Trugschluss.
Gründe, warum auch KMUs betroffen sein können:
- Lieferketten: Als Zulieferer größerer Unternehmen können KMU-Daten interessant werden
- Nischenwissen: Gerade deutsche "Hidden Champions" haben oft einzigartiges Know-how
- Indirekte Betroffenheit: Kundendaten größerer Auftraggeber
- Zertifizierungsanforderungen: Immer mehr Auftraggeber verlangen Cloud-Compliance-Nachweise
Ressourcenproblematik
KMUs haben selten:
- Dedizierte Compliance-Abteilungen
- Budget für Multi-Cloud-Strategien
- Juristische Expertise für internationale Datenrechte
Der bittere Humor: Die BSI C5-Testierung kostet zwischen 60.000 und 120.000 Euro. Für einen Mittelständler mit fünf Mitarbeitern ist das ein Jahresumsatz.
EU Data Act – Lichtblick für KMUs
Der seit 12. September 2025 geltende EU Data Act bringt Erleichterungen:
- Cloud-Switching-Rechte: Wechsel zwischen Anbietern wird erleichtert
- Verbot von Lock-in-Effekten: Keine künstlichen Barrieren mehr
- Kostenfreie Datenportabilität ab 2027
Kleinstunternehmen (< 50 Mitarbeiter, < 10 Mio. € Umsatz) sind von vielen Pflichten ausgenommen.
Europäische Cloud-Alternativen {#alternativen}
Die gute Nachricht
Es gibt sie – echte europäische Alternativen. Der Markt wächst, die Anbieter werden professioneller.
Übersicht führender europäischer Cloud-Anbieter
🇫🇷 OVHcloud (Frankreich)
| Aspekt | Details |
|---|---|
| Größe | Größter europäischer Cloud-Anbieter |
| Rechenzentren | 43 weltweit, starker EU-Fokus |
| Services | Public Cloud, Bare Metal, Kubernetes, AI, Managed Databases |
| Zertifizierungen | ISO 27001, BSI C5, ANSSI SecNumCloud |
| Besonderheit | Eigene Hardware-Entwicklung, innovative Wasserkühlung |
🇩🇪 IONOS Cloud (Deutschland)
| Aspekt | Details |
|---|---|
| Mutterkonzern | United Internet AG |
| Services | Public Cloud, Private Cloud, Bare Metal, AI Model Hub |
| Zertifizierungen | BSI C5-Testat |
| Besonderheit | Starker Fokus auf deutschen Mittelstand |
🇩🇪 Open Telekom Cloud (Deutschland)
| Aspekt | Details |
|---|---|
| Betreiber | Deutsche Telekom AG |
| Technologie | OpenStack-basiert |
| Rechenzentren | Deutschland, Niederlande, Schweiz |
| Zertifizierungen | BSI C5, GAIA-X-kompatibel |
| Besonderheit | Enterprise-fokussiert, 24/7 deutscher Support |
🇩🇪 STACKIT (Deutschland)
| Aspekt | Details |
|---|---|
| Mutterkonzern | Schwarz Gruppe (Lidl/Kaufland) |
| Fokus | 100% in Deutschland gehostet |
| Compliance | EU- und nationales Recht |
| Besonderheit | Retail-Expertise, Skalierbarkeit |
🇫🇷 Scaleway (Frankreich)
| Aspekt | Details |
|---|---|
| Fokus | Digitale Unabhängigkeit, Nachhaltigkeit |
| Services | VMs, Object Storage, Kubernetes, Bare Metal |
| Technologie | Open-Source-basiert |
| Besonderheit | 100% erneuerbare Energie |
🇩🇪 Hetzner Cloud (Deutschland)
| Aspekt | Details |
|---|---|
| Stärke | Sehr gutes Preis-Leistungs-Verhältnis |
| Services | VMs, Dedicated Server, Storage |
| Zielgruppe | Entwickler, Tech-Startups |
| Besonderheit | Transparente Preisstruktur |
🇩🇪 plusserver/pluscloud (Deutschland)
| Aspekt | Details |
|---|---|
| Fokus | Enterprise & Public Sector |
| Zertifizierungen | BSI C5-Testat |
| Services | Managed Cloud, Kubernetes |
| Besonderheit | GAIA-X-Engagement |
GAIA-X – Der europäische Traum
GAIA-X wurde 2019 als großes europäisches Cloud-Projekt gestartet. Das Ziel: Eine souveräne, föderierte Dateninfrastruktur für Europa.
Die Realität 2025:
| Erwartung | Realität |
|---|---|
| Europäische Alternative zu Hyperscalern | Bisher eher Rahmenwerk als Produkt |
| Rein europäische Kontrolle | US-Unternehmen sind Mitglieder |
| Breite Marktakzeptanz | Begrenzte Sichtbarkeit |
GAIA-X ist nicht gescheitert, aber auch nicht der erhoffte Gamechanger. Die Prinzipien fließen jedoch in die Angebote europäischer Provider wie IONOS, Open Telekom Cloud und OVHcloud ein.
Vergleich: Was können europäische Anbieter?
| Fähigkeit | US-Hyperscaler | Europäische Anbieter |
|---|---|---|
| Compute (VMs, Container) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| Storage | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| Kubernetes | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| AI/ML-Services | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
| Globale Präsenz | ⭐⭐⭐⭐⭐ | ⭐⭐ |
| Spezialdienste (100+) | ⭐⭐⭐⭐⭐ | ⭐⭐ |
| DSGVO-Compliance | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| Datensouveränität | ⭐ | ⭐⭐⭐⭐⭐ |
| BSI C5-Testat | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| Preistransparenz | ⭐⭐⭐ | ⭐⭐⭐⭐ |
Kann man noch ruhig schlafen? {#schlaf-analyse}
Die ehrliche Antwort: Es kommt darauf an.
Szenarien für guten Schlaf 😴
Sie können beruhigt sein, wenn:
-
Ihre Daten wirklich unkritisch sind
- Öffentlich verfügbare Informationen
- Marketing-Material
- Nicht-personenbezogene, nicht-geschäftskritische Daten
-
Sie ausschließlich europäische Anbieter nutzen
- Kein US-Mutterkonzern
- Rechenzentren in der EU
- Keine Sub-Auftragsverarbeiter in US-Jurisdiktion
-
Sie technische Schutzmaßnahmen implementiert haben
- Ende-zu-Ende-Verschlüsselung mit eigenem Key Management
- Confidential Computing
- Zero-Knowledge-Architekturen
Szenarien für schlaflose Nächte 😰
Sie sollten besorgt sein, wenn:
-
Sie sensible Daten bei US-Anbietern speichern
- Personenbezogene Daten (Kunden, Mitarbeiter)
- Geschäftsgeheimnisse
- Patentinformationen
- Strategische Planungen
-
Sie in kritischen Branchen tätig sind
- Rüstung/Defense
- Kritische Infrastruktur
- Pharma/Biotech
- Hochtechnologie
-
Sie US-Wettbewerber haben
- Potenzielle Wirtschaftsspionage
- Marktvorteile durch Informationsasymmetrie
-
Sie dem Public Sector zuliefern
- Compliance-Anforderungen steigen
- BSI C5 wird Pflicht
Die Wahrscheinlichkeitsfrage
Wie wahrscheinlich ist ein CLOUD Act-Zugriff auf IHRE Daten?
Für 99% der deutschen Unternehmen: Gering.
US-Behörden haben Besseres zu tun, als die Rezepte eines bayerischen Bäckers zu analysieren.
ABER:
- Die Möglichkeit besteht rechtlich
- Sie haben keine Kontrolle oder Transparenz
- Im Zweifelsfall erfahren Sie nie davon
- Das Risiko ist asymmetrisch verteilt (kleine Wahrscheinlichkeit, aber potenziell katastrophale Auswirkungen)
Der Versicherungsgedanke
Würden Sie eine Hausratversicherung abschließen, wenn die Wahrscheinlichkeit eines Einbruchs bei 1% läge? Natürlich.
Dasselbe Prinzip gilt für Cloud-Souveränität: Es geht nicht um die Wahrscheinlichkeit, sondern um die Konsequenzen.
Optimale Cloud-Strategien {#cloud-strategien}
🏛️ Public Sector
Empfohlene Strategie: Souverän First
┌─────────────────────────────────────────────────────────────┐
│ PUBLIC SECTOR CLOUD │
├─────────────────────────────────────────────────────────────┤
│ TIER 1: Souverän (kritisch) │ 100% EU-Provider │
│ • Bürgerdaten │ • Open Telekom Cloud │
│ • Gesundheitsdaten │ • STACKIT │
│ • Polizei/Justiz │ • pluscloud │
│ • Kritische Infrastruktur │ • BSI C5-Pflicht │
├──────────────────────────────────┼──────────────────────────┤
│ TIER 2: Geschützt (sensitiv) │ EU-Provider bevorzugt │
│ • Interne Verwaltung │ • IONOS │
│ • Nicht-kritische Fachverfahren │ • OVHcloud │
├──────────────────────────────────┼──────────────────────────┤
│ TIER 3: Standard (unkritisch) │ Multi-Cloud möglich │
│ • Öffentliche Websites │ • EU-Hyperscaler-Region │
│ • Marketing │ • Strenge Verträge │
└─────────────────────────────────────────────────────────────┘
Checkliste für den Public Sector
- BSI C5-Testat für alle Cloud-Dienste (ab 01.07.2025 Pflicht)
- Deutsche Verwaltungscloud-Strategie (DVS) befolgen
- IT-Grundschutz implementieren
- Sovereign Cloud Stack evaluieren
- Exit-Strategien für alle Cloud-Verträge definieren
- Keine US-Provider für TIER 1-Workloads
🏭 Konzerne und Mittelstand
Empfohlene Strategie: Multi-Cloud mit Datenklassifizierung
┌─────────────────────────────────────────────────────────────┐
│ ENTERPRISE CLOUD STRATEGY │
├─────────────────────────────────────────────────────────────┤
│ │
│ DATENKLASSIFIZIERUNG │
│ ┌────────────────────────────────────────────────────────┐ │
│ │ STRENG VERTRAULICH → EU-Souverän + Verschlüsselung│ │
│ │ • Geschäftsgeheimnisse │ IONOS, OTC, pluscloud │ │
│ │ • F&E-Daten │ Customer-Managed Keys │ │
│ │ • M&A-Aktivitäten │ Confidential Computing │ │
│ ├─────────────────────────┼──────────────────────────────┤ │
│ │ VERTRAULICH → EU-Provider │ │
│ │ • Personaldaten │ OVHcloud, Scaleway │ │
│ │ • Finanzdaten │ BSI C5 empfohlen │ │
│ │ • Kundendaten │ │ │
│ ├─────────────────────────┼──────────────────────────────┤ │
│ │ INTERN → Multi-Cloud mit Vorsicht │ │
│ │ • Projektdaten │ Hyperscaler EU-Region │ │
│ │ • Kollaboration │ Starke Vertragsklauseln │ │
│ ├─────────────────────────┼──────────────────────────────┤ │
│ │ ÖFFENTLICH → Flexibel │ │
│ │ • Marketing │ Kostenfokus erlaubt │ │
│ │ • Website │ │ │
│ └────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────┘
Checkliste für Konzerne/Mittelstand
- Datenklassifizierung durchführen
- Geschäftsgeheimnisse identifizieren (GeschGehG)
- Multi-Cloud-Strategie entwickeln
- Exit-Klauseln in allen Verträgen (EU Data Act nutzen!)
- Verschlüsselungsstrategie mit eigenem Key Management
- Vendor-Lock-in vermeiden
- Regelmäßige Compliance-Audits
- Incident-Response-Plan für Datenherausgabeverlangen
Technische Schutzmaßnahmen
| Maßnahme | Schutzwirkung gegen CLOUD Act |
|---|---|
| Verschlüsselung at Rest (Provider-Key) | Gering – Provider hat Zugriff |
| Verschlüsselung (Customer-Managed Key) | Mittel – Key kann angefordert werden |
| Ende-zu-Ende-Verschlüsselung | Hoch – Provider sieht nur Ciphertext |
| Confidential Computing | Hoch – Auch während Verarbeitung geschützt |
| On-Premise für kritische Daten | Sehr hoch – Kein Cloud-Zugriff |
🏪 KMUs
Empfohlene Strategie: Pragmatisch Souverän
┌─────────────────────────────────────────────────────────────┐
│ KMU CLOUD STRATEGY │
├─────────────────────────────────────────────────────────────┤
│ │
│ GRUNDREGEL: Europäisch wo möglich, amerikanisch wo nötig │
│ │
│ ┌────────────────────────────────────────────────────────┐ │
│ │ KERNGESCHÄFT & KUNDEN │ EU-Provider │ │
│ │ • ERP-System │ Hetzner, IONOS │ │
│ │ • CRM mit Kundendaten │ Scaleway │ │
│ │ • Buchhaltung │ Europäische SaaS │ │
│ ├────────────────────────────┼───────────────────────────┤ │
│ │ PRODUKTIVITÄT │ EU-Alternativen prüfen │ │
│ │ • E-Mail │ Mailbox.org, Tutanota │ │
│ │ • Office-Suite │ Nextcloud, OnlyOffice │ │
│ │ • Videokonferenzen │ Jitsi, Wire │ │
│ ├────────────────────────────┼───────────────────────────┤ │
│ │ WENN US-DIENSTE NÖTIG │ Risiko minimieren │ │
│ │ • Nur nicht-sensible Daten │ Minimale Datenhaltung │ │
│ │ • Zusätzliche Verschlüss. │ EU Data Boundary nutzen │ │
│ └────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────┘
Checkliste für KMUs
- Sensible vs. unkritische Daten trennen
- EU Data Act-Rechte nutzen (Cloud-Switching, Portabilität)
- Europäische Alternativen für Kernsysteme evaluieren
- Verschlüsselung aktivieren (auch wenn Provider-seitig)
- Auftragsverarbeitungsverträge prüfen
- Bei US-Diensten: EU-Rechenzentrum wählen
- Backup-Strategie (nicht nur bei einem Anbieter)
Budget-freundliche EU-Alternativen für KMUs
| US-Dienst | EU-Alternative | Kostenvergleich |
|---|---|---|
| AWS EC2 | Hetzner Cloud | 50-70% günstiger |
| Google Workspace | Nextcloud + OnlyOffice | Vergleichbar |
| Dropbox | Tresorit (CH) | Leicht teurer |
| Slack | Element/Matrix | Open Source möglich |
| Zoom | Jitsi, Wire | Günstiger bis kostenlos |
| HubSpot CRM | Odoo (BE) | Open Source verfügbar |
Fazit: Die Ironie des Schicksals {#fazit}
Was wir gelernt haben
- Der CLOUD Act ist real – kein Gespenst, sondern geltendes US-Recht
- Die Bedenken sind berechtigt – juristisch fundiert, nicht paranoid
- Alternativen existieren – der europäische Markt wächst
- Absoluter Schutz ist unmöglich – aber Risikominimierung machbar
- Die Kosten der Souveränität sinken – europäische Anbieter werden wettbewerbsfähiger
Die große Ironie
Die USA haben mit dem CLOUD Act ihr Ziel erreicht: Effizienten Zugriff auf Daten weltweit.
Was sie nicht bedacht haben: Sie haben gleichzeitig den größten Marketingerfolg für europäische Cloud-Anbieter geschaffen. Jeder CIO, der das Gesetz liest, beginnt über Alternativen nachzudenken.
Der CLOUD Act könnte langfristig mehr für die europäische digitale Souveränität getan haben als GAIA-X.
Können Sie noch ruhig schlafen?
Ja, aber mit offenen Augen.
- Verstehen Sie die Risiken
- Klassifizieren Sie Ihre Daten
- Wählen Sie Ihre Anbieter bewusst
- Implementieren Sie technische Schutzmaßnahmen
- Behalten Sie die rechtliche Entwicklung im Blick
Der CLOUD Act ist keine Apokalypse. Er ist ein Weckruf.
Und manchmal braucht man einen Weckruf, um endlich aufzustehen und die Dinge richtig zu machen.
Gesetzestexte und Quellen {#quellen}
Primäre Rechtsgrundlagen
CLOUD Act (USA)
- Vollständiger Name: Clarifying Lawful Overseas Use of Data Act
- Inkrafttreten: 23. März 2018
- Rechtsgrundlage: Ergänzung zu 18 US Code § 2713 (Stored Communications Act)
- Quelle: US Department of Justice – CLOUD Act Resources
DSGVO – Relevante Artikel
Artikel 48 DSGVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
"Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind."
Artikel 83 Abs. 5 DSGVO – Bußgelder Bei Verstößen gegen Art. 48 drohen Bußgelder bis zu 20.000.000 Euro oder 4% des weltweiten Jahresumsatzes.
Erwägungsgrund 115 DSGVO Erläutert die Problematik extraterritorialer Gesetze von Drittstaaten.
EU Data Act
- Verordnung (EU) 2023/2854
- Inkrafttreten: 11. Januar 2024
- Anwendbar ab: 12. September 2025
- Kapitel VI: Cloud-Switching und Portabilität
BSI C5
- Vollständiger Name: Cloud Computing Compliance Criteria Catalogue
- Aktuelle Version: C5:2025 (Veröffentlichung Dezember 2025)
- Verpflichtend ab: 1. Juli 2025 für KRITIS und öffentlichen Sektor
- Quelle: BSI – C5:2025
Deutsches Geschäftsgeheimnisgesetz (GeschGehG)
- Inkrafttreten: 26. April 2019
- Relevanz: Definition angemessener Schutzmaßnahmen für Geschäftsgeheimnisse
Urteile und Leitlinien
- Schrems II (EuGH, Rs. C-311/18, 16.07.2020): Ungültigkeitserklärung des EU-US Privacy Shield
- EDSA Leitlinien 02/2024 zu Artikel 48 DSGVO: Praktische Empfehlungen für Verantwortliche
Marktdaten
- Synergy Research Q2/2024: AWS ~33%, Azure ~25%, Google Cloud ~12% globaler Marktanteil
- Bitkom Cloud-Report 2025: 97% der deutschen Unternehmen berücksichtigen Herkunftsland bei Cloud-Auswahl
- Europäischer Cloud-Markt 2024: ~61 Mrd. Euro, US-Hyperscaler mit ~70% Anteil
Erstellt: November 2025
Disclaimer: Diese Analyse stellt keine Rechtsberatung dar. Bei konkreten Compliance-Fragen konsultieren Sie bitte einen spezialisierten Rechtsanwalt.
"In der Cloud ist man nie allein. Die Frage ist nur, wer noch alles mithört."
— Unbekannter CISO, wahrscheinlich nach dem dritten Kaffee