Der CLOUD Act erlaubt US-Behörden den Zugriff auf europäische Daten – im Konflikt mit der DSGVO. Erfahren Sie, wie sich Unternehmen technisch und rechtlich absichern können.
Der CLOUD Act erlaubt US-Behörden den Zugriff auf europäische Daten – im Konflikt mit der DSGVO. Erfahren Sie, wie sich Unternehmen technisch und rechtlich absichern können.
Im März 2018 verabschiedete die US-Regierung den CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Was auf den ersten Blick nach technokratischer Gesetzgebung klingt, ist in Wahrheit ein geopolitischer Zugriff auf Ihre Unternehmensdaten – selbst wenn diese auf europäischen Servern gespeichert sind. Entscheidend ist nicht der Standort der Server, sondern wer sie kontrolliert.
US-Behörden dürfen laut CLOUD Act auf Daten zugreifen, wenn sie sich im Besitz oder unter der Kontrolle eines US-Unternehmens befinden. Damit kippt das Argument der lokalen Speicherung vollständig. Es spielt keine Rolle mehr, ob Ihre Daten in Frankfurt, Dublin oder Paris liegen – Microsoft, Google & Co. müssen sie auf Anordnung herausgeben.
Hier beginnt das rechtliche Dilemma. Die DSGVO, konkret Artikel 48, schreibt vor, dass Datenzugriffe durch ausländische Behörden nur im Rahmen internationaler Übereinkünfte erfolgen dürfen. Solche Anfragen müssen über nationale Behörden laufen – und nicht direkt an den Cloud-Anbieter gestellt werden. Genau das erlaubt der CLOUD Act aber.
Unternehmen, die personenbezogene Daten ohne diese rechtliche Grundlage übermitteln, begehen potenziell einen DSGVO-Verstoß, der mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes geahndet werden kann. Ob die im CLOUD Act vorgesehenen bilateralen Abkommen künftig als “internationale Übereinkünfte” im Sinne der DSGVO gelten, ist unklar – ein Rechtsrisiko mit offenem Ausgang.
Microsoft reagierte mit einem eigenen Modell: „Office 365 Deutschland“ wurde unter Beteiligung der Deutschen Telekom als Datentreuhänder betrieben. Vorteil: Die Daten lagen nicht unter Microsofts direkter Kontrolle. Doch der Dienst wurde inzwischen eingestellt. Andere Anbieter setzen hingegen konsequent auf ein Modell, das echte technische Barrieren schafft – betreibersichere Cloud-Dienste.
Diese Dienste funktionieren nach dem Prinzip: Was wir nicht sehen, können wir nicht übergeben. Durch vollständige Hardware-Isolierung und Ende-zu-Ende-Verschlüsselung haben Anbieter keinen Zugriff auf Kundendaten – auch nicht bei richterlicher Anordnung. Zugriff durch US- oder andere Behörden? Technisch ausgeschlossen.
Wer Cloud-Dienste nutzt und DSGVO-konform bleiben will, sollte folgende Kriterien prüfen:
| Kriterium | Empfehlung |
|---|---|
| Firmensitz des Anbieters | Innerhalb der EU, idealerweise Deutschland |
| Kontrolle über Infrastruktur | Keine Beteiligung oder Kontrolle durch US-Unternehmen |
| Technisches Schutzkonzept | Confidential Computing, Zero Access Architecture |
| Zertifikate & Standards | TCDP, ISO/IEC 27001, BSI C5 u.a. |
Zertifizierungen wie das Trusted Cloud Datenschutzprofil (TCDP) liefern rechtliche Orientierung und erhöhen die Compliance-Sicherheit. Sie helfen Unternehmen, verantwortungsvolle Anbieter zu identifizieren, die mit den Anforderungen der DSGVO nicht nur werben, sondern sie auch technisch und organisatorisch umsetzen.
Wir bei ayedo glauben nicht an Kompromisse, wenn es um Datenschutz, IT-Sicherheit und digitale Souveränität geht. Unsere Lösungen verbinden europäische Technologie mit maximaler Transparenz und Compliance. Für alle, die Cloud nicht nur sicher, sondern strategisch klug nutzen wollen.
Mit ayedo bauen Sie Ihre digitale Infrastruktur auf einem Fundament aus Vertrauen, Kontrolle und Unabhängigkeit. So wird Digitalisierung nicht zur Sicherheitslücke – sondern zur Stärke.
In unserer Discord Community findest du Antworten auf deine Fragen rund um das Thema ayedo, Kubernetes und Open Source. Hier erfährst du in Realtime was es Neues bei ayedo und unseren Partnern gibt und hast die Möglichkeit mit unserem Team in direkten Kontakt zu treten.
Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →