US Cloud Act DSGVO
cloudriven

US Cloud Act erklärt: Was er für deutsche Unternehmen konkret bedeutet

Thomas Huber Thomas Huber

Cloud-Infrastruktur ist in den meisten Unternehmen längst kein strategisches Thema mehr. Sie ist Ausgangslage. Gewachsen aus Projekten, aus pragmatischen Entscheidungen, aus dem Druck, Systeme schnell und verlässlich betreiben zu können. Die technische Seite funktioniert dabei meistens gut.

Was dabei oft nicht mitgewachsen ist: die rechtliche Einordnung dieser Infrastruktur. Sie wird selten am Anfang mitgedacht. Und genau deshalb wird sie meist erst dann relevant, wenn jemand von außen danach fragt.

Wann der Cloud Act plötzlich auf dem Tisch liegt

In meinen Gesprächen mit IT-Verantwortlichen entsteht der Druck selten intern. Er kommt von außen – und oft schneller, als erwartet.

Ein größerer Kunde möchte verstehen, wie Daten verarbeitet werden. Ein Vendor-Assessment wird Teil eines Deals. Die Rechtsabteilung prüft bestehende Setups genauer. Oder ein Audit stellt Fragen, die sich nicht mehr mit allgemeinen Aussagen beantworten lassen.

In solchen Situationen verschiebt sich die Perspektive: Es geht nicht mehr darum, ob ein System technisch sauber läuft, sondern ob sich das gesamte Setup nachvollziehbar erklären lässt. Auch gegenüber Dritten, die nicht Teil der ursprünglichen Entscheidung waren.

Genau an dieser Stelle taucht der Cloud Act erstmals konkret in den Gesprächen auf.

Was der Cloud Act konkret bedeutet

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ergänzt den Stored Communications Act (18 U.S. Code § 2713) und verpflichtet US-amerikanische Unternehmen unter bestimmten Voraussetzungen zur Herausgabe von Daten an US-Behörden, unabhängig davon, wo diese Daten physisch gespeichert sind. Entscheidend ist nicht der Standort der Server, sondern das Recht, dem das betreibende Unternehmen unterliegt.

Das bedeutet konkret: Daten, die auf Servern in Frankfurt oder München liegen, können unter den Cloud Act fallen, wenn der Infrastruktur-Anbieter ein US-amerikanisches Unternehmen ist oder einer US-amerikanischen Muttergesellschaft untersteht. Daraus folgt nicht automatisch ein Problem. Aber es verändert die Ausgangslage.

Denn damit existiert ein Zugriffsszenario, das außerhalb des europäischen Rechtsrahmens liegt. Für viele Unternehmen ist das zunächst abstrakt. Relevant wird es in dem Moment, in dem sie selbst erklären müssen, wie mit ihren Daten umgegangen wird und welche rechtlichen Mechanismen dabei greifen.

Cloud Act und DSGVO: Wo das Spannungsfeld liegt

Der Cloud Act steht selten isoliert im Raum. Seine praktische Relevanz entsteht vor allem im Zusammenspiel mit der DSGVO.

Die DSGVO erlaubt grundsätzlich internationale Datenverarbeitung, stellt dafür aber klare Anforderungen. Unternehmen müssen nachvollziehbar darlegen können, unter welchen Bedingungen Daten verarbeitet werden und welche Schutzmechanismen greifen.

In der Theorie lässt sich das über Standardvertragsklauseln und ergänzende technische sowie organisatorische Maßnahmen abbilden. In der Praxis wird es schnell komplex: Je stärker ein Setup auf konstruktive Absicherungen angewiesen ist, die erklärt werden müssen, desto größer wird der Aufwand. Und desto schwieriger wird es, diese Erklärungen auch gegenüber Dritten konsistent verständlich zu machen.

Gerade in Vendor-Assessments zeigt sich das sehr deutlich. Dort reicht es nicht, dass etwas juristisch „abgesichert" ist. Es muss auch nachvollziehbar und widerspruchsfrei sein.

Warum das Thema nicht verschwindet

Der Cloud Act selbst ist kein neues Gesetz, er ist seit 2018 in Kraft. Auch die DSGVO ist seit Jahren geltendes Recht. Was sich verändert hat, ist die Konkretheit, mit der diese Themen heute eingefordert werden.

Was früher eher theoretisch diskutiert wurde, wird heute Teil von Entscheidungsprozessen. B2B-Kunden stellen gezielte Fragen. Ausschreibungen enthalten klare Anforderungen an Datensouveränität und Rechtsrahmen. Interne Prüfungen gehen tiefer als noch vor einigen Jahren.

Damit verändert sich die Rolle von Compliance: Sie ist nicht mehr nur eine Absicherung im Hintergrund, sondern ein Faktor, der direkte Auswirkungen auf Projekte und Geschäftsbeziehungen hat.

Die strukturelle Frage hinter der Compliance

Wenn man das Thema auf eine grundlegende Ebene herunterbricht, geht es weniger um einzelne Gesetze als um eine strukturelle Frage:

 
Ist unsere Cloud-Infrastruktur so aufgebaut, dass wir sie auch unter Prüfung klar einordnen können?
 

cloudriven ist darauf ausgelegt, genau diese Frage mit Ja beantworten zu können. Infrastruktur läuft ausschließlich in deutschen Rechenzentren, unter deutschem Recht. Externe Dienste mit potentiellen Kundendaten-Impact werden gezielt geprüft und dokumentiert. ISO 27001-Zertifizierung, DSGVO-konforme Prozesse und Audit-Dokumente für Vendor-Assessments sind fester Bestandteil des Setups – nicht nachgelagert, sondern von Anfang an mitgedacht.

Das betrifft nicht nur juristische Details, sondern das Setup als Ganzes: Unter welchem Recht wird ein System betrieben? Welche Zugriffsmöglichkeiten bestehen rechtlich? Und wie transparent sind diese Zusammenhänge?

Je klarer diese Struktur ist, desto einfacher lassen sich Anforderungen erfüllen. Je komplexer sie ist, desto stärker verschiebt sich der Aufwand in Richtung Erklärung und Rechtfertigung.

Einige Cloud-Modelle sind darauf ausgelegt, möglichst flexibel und global zu funktionieren. Andere priorisieren von Anfang an, dass sich die Infrastruktur nicht nur technisch betreiben, sondern auch rechtlich eindeutig einordnen lässt. Diese Entscheidung wird selten explizit getroffen. Sie steckt meist implizit im Setup.

Ein sinnvoller erster Schritt

Ein realistischer Einstieg beginnt nicht bei einzelnen Maßnahmen, sondern bei einer Bestandsaufnahme:

Wie ist die eigene Infrastruktur aktuell aufgebaut? Welche rechtlichen Rahmenbedingungen greifen? An welchen Stellen wird es schwierig, diese Zusammenhänge nachvollziehbar darzustellen?

Diese Fragen lassen sich intern beantworten. Ein externer Blick hilft dabei, die eigene Situation objektiver einzuordnen und strukturelle Schwächen sichtbar zu machen, bevor sie in einem Audit oder Assessment sichtbar werden.

Wer diese Fragen gerade durchgeht, kann sich gerne bei mir melden.

Jetzt den Status Quo prüfen

Gespräch anfragen

FAQ: Cloud Act und deutsche Unternehmen

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Bundesgesetz aus dem Jahr 2018. Er verpflichtet US-amerikanische Unternehmen, auf behördliche Anfrage Daten herauszugeben – unabhängig davon, wo diese Daten physisch gespeichert sind. Entscheidend ist die rechtliche Zugehörigkeit des Anbieters, nicht der Serverstandort. Gesetzlich verankert ist er als Ergänzung zum Stored Communications Act in 18 U.S. Code § 2713.
Nicht direkt. Der Cloud Act ist ein US-amerikanisches Gesetz und betrifft US-Anbieter. Deutsche Unternehmen sind jedoch indirekt betroffen, wenn sie Cloud-Infrastruktur von US-Anbietern oder deren Tochtergesellschaften nutzen. In diesem Fall kann der Anbieter verpflichtet werden, Daten herauszugeben, auch wenn diese auf deutschen Servern liegen.
Es besteht ein strukturelles Spannungsfeld. Die DSGVO verlangt, dass personenbezogene Daten nur unter bestimmten Bedingungen an Drittländer übermittelt werden. Der Cloud Act kann US-Anbieter zur Datenherausgabe an Behörden verpflichten, ohne dass dieser Vorgang über europäische Rechtswege abgewickelt wird. In der Praxis lösen Standardvertragsklauseln und ergänzende Maßnahmen dieses Spannungsfeld nicht vollständig auf.
Datensouveränität beschreibt, ob Unternehmen die vollständige Kontrolle über ihre Daten behalten – rechtlich, technisch und organisatorisch. Dazu gehört, dass kein Zugriff durch ausländische Behörden möglich ist, dass der Rechtsrahmen klar und europäisch ist, und dass Daten ausschließlich bei Anbietern liegen, die nicht dem Cloud Act unterliegen.
Die sicherste strukturelle Absicherung besteht darin, Cloud-Infrastruktur ausschließlich bei Anbietern zu betreiben, die nicht dem US Cloud Act unterliegen. Das betrifft Anbieter ohne US-Muttergesellschaft, ohne US-Unternehmenssitz und ohne US-Subprozessoren. Ergänzend dazu sind ISO 27001-Zertifizierung und DSGVO-konforme Prozesse relevant, um Compliance gegenüber Kunden und Audits nachweisen zu können.
Ein Anbieter ist dann strukturell abgesichert, wenn er erstens kein US-Unternehmen ist und keine US-Muttergesellschaft hat, zweitens keine US-Subprozessoren mit Zugriff auf Kundendaten einsetzt, und drittens ausschließlich unter europäischem Recht operiert. Ergänzend sind ISO 27001-Zertifizierung und dokumentierte Drittanbieter-Prüfungen relevant, um diese Aussagen gegenüber Kunden und Audits belegen zu können. cloudriven erfüllt diese Anforderungen und dokumentiert sie in auditfähiger Form.

 
Teilen LinkedIn X
Tags: cloudriven
Thomas Huber

Weitere Beiträge

Mehr zu cloudriven