CLOUD Act vs DSGVO: Warum US-Cloud-Anbieter ein Risiko sind
CLOUD Act vs DSGVO — ein unauflösbarer Konflikt
Wenn Ihr Unternehmen AWS, Azure oder Google Cloud nutzt, haben Sie ein Problem. Der US CLOUD Act gibt amerikanischen Behörden das Recht, Daten von US-Unternehmen einzufordern — unabhängig davon, wo die Daten gespeichert sind.
Das bedeutet: Daten bei AWS in Frankfurt, Azure in Amsterdam oder Google Cloud in Helsinki können an US-Behörden übergeben werden — ohne dass Sie informiert werden.
Was ist der CLOUD Act?
Der CLOUD Act (2018) ermöglicht US-Behörden:
- Daten von US-Unternehmen weltweit anzufordern
- Dies ohne Information des Betroffenen zu tun
- Lokale Datenschutzgesetze durch bilaterale Abkommen zu umgehen
Warum ist das ein Problem?
Die DSGVO verbietet die Übermittlung personenbezogener Daten in Drittländer ohne angemessene Schutzmaßnahmen. Der CLOUD Act ermöglicht genau eine solche Übermittlung — ohne Schutzmaßnahmen und ohne Einwilligung.
“Aber wir nutzen die Frankfurt-Region”
Das spielt keine Rolle. AWS ist ein US-Unternehmen, das dem CLOUD Act unterliegt — unabhängig vom Serverstandort. Gleiches gilt für:
- Microsoft Azure (alle Regionen)
- Google Cloud Platform (alle Regionen)
- Oracle Cloud, IBM Cloud, Salesforce
- Alle SaaS-Dienste mit US-Mutterkonzern
Der EuGH stellte 2020 im Schrems II-Urteil fest, dass die USA keinen angemessenen Datenschutz bieten.
Was sagen deutsche Behörden?
- Datenschutzkonferenz (DSK) hat wiederholt vor US-Cloud-Diensten gewarnt
- BfDI empfiehlt Alternativen zu US-Anbietern für sensible Daten
- Schrems III — neue Rechtsverfahren gegen das EU-US Data Privacy Framework laufen
Die Lösung: Europäisches Hosting ohne CLOUD Act
| No-Ack Hosting | US-Hyperscaler | |
|---|---|---|
| Unternehmen | Schwedisches AB | US-Konzern |
| CLOUD Act | ❌ Betrifft uns nicht | ✅ Betrifft |
| DSGVO | ✅ Volle Konformität | ⚠️ Konflikt |
| Rechenzentrum | Stockholm | Variiert |
| Daten verlassen Schweden | ❌ Niemals | ⚠️ Möglich |
| Krypto-Zahlung | ✅ Monero, Bitcoin | ❌ |
Microsofts 33,7 Milliarden in Schweden
Microsoft investiert 33,7 Milliarden SEK in schwedische Rechenzentren. Das klingt gut — aber der CLOUD Act gilt trotzdem. Ein US-Unternehmen bleibt ein US-Unternehmen, egal wo die Server stehen.
Wer sollte handeln?
- Unternehmen mit personenbezogenen Daten (nahezu alle)
- Öffentliche Einrichtungen mit Souveränitätsanforderungen
- Gesundheitswesen mit Patientendaten
- Rechtsanwälte und Wirtschaftsprüfer mit mandantenvertraulichen Daten
- E-Commerce mit Kundendaten
Migrieren Sie von Hyperscalern
- Inventarisieren Sie Ihre Dienste bei AWS/Azure/Google
- Bewerten Sie, welche personenbezogene Daten verarbeiten
- Wählen Sie europäisches Hosting
- Migrieren Sie Daten und Dienste
- Aktualisieren Sie Datenschutzerklärung und Verarbeitungsverzeichnis