datadioramasystemhaus & softwareentwicklung
Datenschutz

Was ist der US CLOUD Act – und warum betrifft er deutsche Unternehmen?

6 Min. Lesezeit

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz aus dem Jahr 2018, das amerikanische Behörden ermächtigt, von Unternehmen unter US-Jurisdiktion die Herausgabe gespeicherter Daten zu verlangen, unabhängig davon, in welchem Land diese Daten physisch liegen. Deutsche Unternehmen sind betroffen, weil viele genutzte Cloud-Dienste von US-Konzernen wie Microsoft, Google oder Amazon stammen und damit dem Zugriff nach US-Recht unterliegen, selbst wenn die Server in Deutschland oder der EU stehen. Daraus ergibt sich ein direktes Spannungsverhältnis zur europäischen Datenschutz-Grundverordnung (DSGVO).

Das Wichtigste in Kürze

  • Der CLOUD Act verpflichtet US-Anbieter zur Datenherausgabe an US-Behörden, auch wenn die Daten außerhalb der USA gespeichert sind. Der Serverstandort allein bietet daher keinen Schutz.
  • Betroffen ist jedes deutsche Unternehmen, das Dienste von Anbietern mit US-Muttergesellschaft nutzt, etwa Microsoft 365, Google Workspace oder AWS.
  • Es besteht ein Spannungsverhältnis zur DSGVO, weil eine Datenherausgabe ohne europäisches Rechtshilfeverfahren den Grundsätzen von Zweckbindung, Transparenz und Datensouveränität widersprechen kann.
  • Risiken lassen sich durch bewusste Anbieterauswahl, Verschlüsselung und datensouveräne Architekturen wie eine eigene Private Cloud bzw. NAS-Lösung gezielt verringern.

Was ist der US CLOUD Act? Eine Definition

Der CLOUD Act steht für "Clarifying Lawful Overseas Use of Data Act" und wurde im März 2018 in den USA verabschiedet. Er schafft eine Rechtsgrundlage dafür, dass US-Strafverfolgungsbehörden von Unternehmen, die der US-Jurisdiktion unterliegen, die Herausgabe elektronischer Daten verlangen können, und zwar ausdrücklich auch dann, wenn diese Daten auf Servern außerhalb der Vereinigten Staaten gespeichert sind.

Vor dem Gesetz war juristisch umstritten, ob eine US-Behörde auf Daten zugreifen darf, die ein US-Konzern in einem Rechenzentrum im Ausland speichert. Der CLOUD Act beantwortet diese Frage eindeutig: Maßgeblich ist nicht der physische Speicherort, sondern die Kontrolle des Unternehmens über die Daten. Damit gilt das Prinzip der extraterritorialen Reichweite, das den eigentlichen Kern der Diskussion für europäische Unternehmen bildet.

Warum betrifft das Gesetz deutsche Unternehmen?

Viele deutsche Unternehmen nutzen täglich Cloud-Dienste von Anbietern mit Sitz in den USA oder mit US-Muttergesellschaft. Dazu zählen weit verbreitete Werkzeuge für E-Mail, Dateiablage, Kollaboration und Infrastruktur. Sobald ein Dienstleister der US-Jurisdiktion unterliegt, kann er grundsätzlich nach dem CLOUD Act zur Herausgabe von Kundendaten verpflichtet werden.

Entscheidend ist dabei ein häufiges Missverständnis: Auch ein Rechenzentrum in Frankfurt oder Berlin schützt nicht zwingend vor einem Zugriff, wenn der Anbieter ein US-Unternehmen ist. Ein Serverstandort innerhalb der EU ist datenschutzrechtlich wertvoll, hebt die Reichweite des CLOUD Act aber nicht automatisch auf.

  • Betroffen sind unter anderem gängige Dienste wie Microsoft 365, Google Workspace und große Public-Cloud-Plattformen.
  • Auch deutsche Tochtergesellschaften oder EU-Rechenzentren von US-Konzernen können in den Anwendungsbereich fallen.
  • Relevant ist die Frage für nahezu jede Branche, besonders aber für Unternehmen mit sensiblen Personen-, Gesundheits- oder Geschäftsdaten.

Der Konflikt mit der DSGVO

Die europäische Datenschutz-Grundverordnung stellt strenge Anforderungen an die Verarbeitung und Weitergabe personenbezogener Daten. Eine Datenherausgabe an eine ausländische Behörde ist nach Artikel 48 DSGVO grundsätzlich nur über anerkannte Rechtshilfeverfahren zulässig, nicht allein auf Grundlage einer ausländischen behördlichen Anordnung.

Genau hier entsteht das Spannungsverhältnis: Der CLOUD Act kann einen US-Anbieter zur Herausgabe verpflichten, während die DSGVO eine solche Weitergabe ohne entsprechendes Verfahren untersagen kann. Unternehmen geraten dadurch potenziell in eine Situation widersprüchlicher Rechtspflichten.

  • Souveränität: Die extraterritoriale Reichweite kann nationale und europäische Kontrollmechanismen unterlaufen.
  • Rechtsweg: Etablierte internationale Rechtshilfeverfahren können umgangen werden.
  • Datenschutzgrundsätze: Zweckbindung, Transparenz und Betroffenenrechte lassen sich schwerer durchsetzen.
  • Verantwortlichkeit: Die datenschutzrechtliche Verantwortung verbleibt beim deutschen Unternehmen als Verantwortlichem im Sinne der DSGVO.

Welche Daten sind besonders schützenswert?

Nicht alle Daten haben das gleiche Schutzbedürfnis. Für die Risikobewertung lohnt sich eine Einordnung der eigenen Datenbestände. Je sensibler eine Information und je gravierender ein unbefugter Zugriff wäre, desto sorgfältiger sollte die Wahl der Speicherlösung erfolgen.

Eine strukturierte Bestandsaufnahme hilft, Prioritäten zu setzen und den Schutzaufwand dort zu konzentrieren, wo er den größten Nutzen bringt. Sie ist zugleich die Grundlage für ein belastbares Datenschutz- und Informationssicherheitskonzept.

  • Personenbezogene Daten von Kundinnen und Kunden, Mitarbeitenden und Bewerbenden.
  • Besondere Kategorien wie Gesundheits-, Sozial- oder Finanzdaten.
  • Geschäftsgeheimnisse, Entwicklungsunterlagen und vertrauliche Verträge.
  • Kommunikationsdaten und E-Mail-Verkehr mit sensiblen Inhalten.

Wie deutsche Unternehmen ihre Datensouveränität stärken

Der CLOUD Act lässt sich nicht aus der Welt schaffen, sein Risiko aber gezielt steuern. Ein wirksamer Ansatz beginnt mit Transparenz über die eingesetzten Dienste und reicht bis zu technischen und organisatorischen Maßnahmen, die den Zugriff Dritter erschweren oder verhindern.

Eine besonders weitreichende Option ist die datensouveräne Speicherung in einer eigenen Infrastruktur, etwa über eine Private Cloud auf NAS-Basis. Liegen Daten auf einem System, das das Unternehmen selbst kontrolliert und das keinem US-Anbieter unterliegt, greift die direkte Reichweite des CLOUD Act nicht. Für sensible Bestände kann dies eine sinnvolle Ergänzung oder Alternative zu reinen Public-Cloud-Diensten sein.

Die datadiorama GmbH unterstützt Unternehmen als IT-Systemhaus bei genau solchen Fragestellungen, etwa beim Aufbau einer Private Cloud bzw. NAS-Lösung. Als Synology Consulting Expert 2026 sowie über die Partnerschaft mit Securepoint im Bereich IT-Sicherheit lassen sich datensouveräne und abgesicherte Architekturen planen und umsetzen.

  • Bestandsaufnahme: Welche Dienste werden genutzt und welchem Recht unterliegen die Anbieter?
  • Datenklassifizierung: Sensible Daten identifizieren und gezielt absichern.
  • Verschlüsselung: Ende-zu-Ende- und clientseitige Verschlüsselung, bei der nur das Unternehmen die Schlüssel hält.
  • Architektur: Private Cloud bzw. NAS für besonders schützenswerte Daten in eigener Kontrolle.
  • Vertragsgestaltung: Auftragsverarbeitung, Standardvertragsklauseln und Transparenz über Zugriffsmöglichkeiten prüfen.

Public Cloud, EU-Anbieter oder eigene Infrastruktur?

Pauschal ist keine Variante richtig oder falsch, entscheidend ist der konkrete Anwendungsfall. Public-Cloud-Dienste bieten hohe Verfügbarkeit, Komfort und einen großen Funktionsumfang, unterliegen bei US-Anbietern jedoch potenziell dem CLOUD Act. Europäische Anbieter ohne US-Bezug verringern dieses spezifische Risiko, während eine eigene Infrastruktur die größtmögliche Kontrolle bietet, dafür aber mehr Eigenverantwortung bei Betrieb und Sicherheit erfordert.

In der Praxis bewährt sich häufig ein hybrider Ansatz: weniger kritische Anwendungen in komfortablen Cloud-Diensten, besonders schützenswerte Daten hingegen in einer selbst kontrollierten Umgebung. Welche Kombination passt, hängt von Schutzbedarf, Compliance-Anforderungen und den betrieblichen Abläufen ab und sollte fachlich begleitet entschieden werden.

FAQ

Häufige Fragen

Schützt ein Serverstandort in Deutschland oder der EU vor dem CLOUD Act?
Nicht zwangsläufig. Maßgeblich ist nicht der physische Speicherort, sondern ob der Anbieter der US-Jurisdiktion unterliegt. Ein US-Konzern kann auch dann zur Herausgabe verpflichtet werden, wenn die Daten in einem Rechenzentrum innerhalb der EU liegen. Ein EU-Standort ist datenschutzrechtlich dennoch wertvoll, hebt die Reichweite des CLOUD Act allein aber nicht auf.
Steht der CLOUD Act im Widerspruch zur DSGVO?
Es besteht ein erhebliches Spannungsverhältnis. Die DSGVO erlaubt eine Datenherausgabe an ausländische Behörden grundsätzlich nur über anerkannte Rechtshilfeverfahren, während der CLOUD Act US-Anbieter direkt verpflichten kann. Dadurch können widersprüchliche Rechtspflichten entstehen, für die das deutsche Unternehmen als Verantwortlicher einstehen muss.
Welche konkreten Maßnahmen reduzieren das Risiko?
Hilfreich sind eine Bestandsaufnahme der genutzten Dienste, die Klassifizierung sensibler Daten, der Einsatz starker Verschlüsselung mit Schlüsselhoheit beim Unternehmen sowie die Speicherung besonders schützenswerter Daten in einer selbst kontrollierten Infrastruktur wie einer Private Cloud bzw. NAS-Lösung.
Kann eine eigene Private Cloud bzw. NAS-Lösung sinnvoll sein?
Für sensible Datenbestände ja. Liegen Daten auf einem System in eigener Kontrolle, das keinem US-Anbieter unterliegt, greift die direkte Reichweite des CLOUD Act nicht. Die datadiorama GmbH unterstützt als IT-Systemhaus und Synology Consulting Expert 2026 beim Aufbau solcher datensouveränen Lösungen sowie beim Thema IT-Sicherheit.

Passende Leistungen

Private Cloud / NASMailserver-Betreuung

Weitere Beiträge

IT-Strategie

IT-Outsourcing: Vorteile für kleine und mittlere Unternehmen

Warum sich das Auslagern der IT-Betreuung an ein Systemhaus lohnt – und worauf Sie bei der Wahl eines IT-Partners achten sollten.

Cloud & Workspace

Google Workspace vs. Microsoft 365: Welche Plattform passt zu Ihnen?

Beide Plattformen bieten E-Mail, Dateien und Zusammenarbeit – setzen aber unterschiedliche Schwerpunkte. Ein Vergleich für Entscheider.

Schnelles & störungsfreies Arbeiten – für Sie und Ihr Team, jederzeit

Lassen Sie uns in einem kostenlosen Erstgespräch herausfinden, wie wir Ihre IT sicherer, schneller und effizienter machen.

Jetzt Erstgespräch vereinbaren+49 331 76 991 680