CLOUD Act: was er wirklich sagt, was er nicht kann und warum er den europäischen Cloud-Markt umkrempelt - VSX.is

Im Juni 2025 stand Anton Carniaux, Direktor für öffentliche und rechtliche Angelegenheiten bei Microsoft Frankreich, vor einem Ausschuss des französischen Senats. Unter Eid wurde er gefragt, ob er garantieren könne, dass die bei Microsoft gespeicherten Daten französischer Kunden - insbesondere die über die zentrale öffentliche Beschaffungsstelle UGAP anvertrauten Daten - ohne ausdrückliche Zustimmung der französischen Behörden nicht an US-Behörden weitergegeben würden. Er antwortete kurz und bündig: „Non, je ne peux pas le garantir.“ Nein, ich kann es nicht garantieren. Wenn Microsoft eine gültige gerichtliche Anordnung gemäß dem CLOUD Act erhält, muss es dieser nachkommen. Egal, wo die Daten physisch liegen, egal, was Frankreich darüber denkt.

Diese Erklärung ist ein Wendepunkt in der europäischen Cloud-Debatte, nicht weil sie etwas Neues sagt. Dass sie CLOUD-Gesetz Seit 2018 steht es schwarz auf weiß im Gesetz. Es ist bahnbrechend, weil es laut und unter Eid von einem Vertreter eines der größten US-Provider gesagt wurde, auf dessen Infrastruktur ein wesentlicher Teil der europäischen öffentlichen Verwaltung beruht. Von diesem Moment an ist es unmöglich, so zu tun, als sei das Problem theoretisch.

In diesem Artikel werden wir aufschlüsseln, was das CLOUD-Gesetz für Sie - als Nutzer, Freiberufler oder Unternehmen in Europa - wirklich bedeutet und wann es ein Grund ist, etwas zu ändern und wann es nur ein Grund ist, es zu verstehen.

Was CLOUD Act mit seiner einfachen Sprache bewirkt

2018 verabschiedete der US-Kongress eine Änderung älterer Gesetze, die geschaffen wurden, als es die Cloud noch nicht gab. Das Ziel war nicht die Einführung einer neuen Überwachung, sondern die Klärung der Frage, wie weit die US-Gerichtsbarkeit reicht, wenn Daten bei einem US-Unternehmen gespeichert sind, sich aber physisch in Europa oder irgendwo anders auf der Welt befinden.

Der konkrete Rechtsstreit, der im Hintergrund stand, wurde von Microsoft seit 2013 geführt. Der US-Justizminister wollte, dass die E-Mails in einem irischen Datenzentrum gespeichert werden, Microsoft argumentierte, dass das US-Recht nicht auf sie anwendbar sei. Der Fall ging bis vor den Obersten Gerichtshof. Bevor dieser ein Urteil fällen konnte, verabschiedete der Kongress das CLOUD-Gesetz, das den Streit zugunsten der Staatsanwaltschaft beendete: Ja, die US-Verfügung gilt für im Ausland gespeicherte Daten - solange sie von einem Anbieter gespeichert werden, für den die USA zuständig sind.

Der Schlüsselbegriff, um den sich das ganze Thema dreht, ist „Besitz, Gewahrsam oder Kontrolle“. Wenn ein US-Anbieter Ihre Daten in einer dieser Beziehungen hat, können die US-Behörden darauf zugreifen - unabhängig davon, in welchem europäischen Rechenzentrum sie sich physisch befinden. Wenn sie sich nicht in deren Händen befinden (z. B. weil sie ohne Ihre Schlüssel nicht entschlüsselt werden können oder weil der Anbieter nicht in den USA ansässig ist), findet der CLOUD Act keine Anwendung.

Das ist der springende Punkt. Alles andere ist nur eine Verfeinerung dieses Satzes.

Für technische Leser. Mit dem CLOUD-Gesetz werden drei ältere US-Gesetze geändert - der Stored Communications Act, der Wiretap Act und das Pen Register/Trap and Trace Statute. Die wichtigste inhaltliche Bestimmung findet sich in Abschnitt 2713: Ein Anbieter muss die Verpflichtungen des SCA unabhängig vom Standort der Daten einhalten. Die zweite Komponente (§ 2523) legt den Rahmen für bilaterale Exekutivvereinbarungen mit dem Ausland fest. Die dritte Komponente (§ 2703(h)) führt einen neuen verfahrensrechtlichen Rechtsbehelf ein - den comity objection (Einspruch aus Gründen der internationalen Konformität) -, den ein Anbieter einlegen kann, wenn der Kunde weder US-Bürger noch in den USA ansässig ist und die Einhaltung der Vorschriften gegen das Recht eines Staates mit einem gültigen CLOUD Act-Abkommen verstoßen würde.

Was das CLOUD-Gesetz nicht leisten kann (und wie es in den Medien oft falsch dargestellt wird)

In der europäischen Debatte wird der CLOUD Act oft als „die Amerikaner können Ihre Daten nehmen, wann immer sie wollen“ bezeichnet. Dies ist weitgehend eine Übertreibung. Es lohnt sich zu wissen, was der CLOUD Act nachweislich nicht ist.

Es handelt sich nicht um ein neues Überwachungsgesetz. Die US-Staatsanwaltschaft benötigt nach wie vor einen Haftbefehl, der auf einem hinreichenden Verdacht beruht - genau wie vor 2018. Die Änderung betrifft die Reichweite der Gerichtsbarkeit, nicht die Bedingungen für die Auslieferung.

Er kann den Anbieter nicht dazu zwingen, Daten zu entschlüsseln, für die er nicht die Schlüssel besitzt. Das Gesetz sieht ausdrücklich vor, dass Vereinbarungen im Rahmen des CLOUD-Gesetzes nicht dazu verpflichten dürfen, einen Entschlüsselungsmechanismus zu schaffen oder eine Hintertür einzubauen. Dies ist der Grund, warum Dienste mit echter Ende-zu-Ende-Verschlüsselung (der Anbieter hat nie die Schlüssel) unter einem anderen Risikoregime arbeiten als eine traditionelle Cloud, bei der die Schlüssel vom Anbieter verwaltet werden.

Einen Anbieter, der keine Verbindungen zu den USA hat, wird sie nicht erreichen. Wenn Ihr Cloud-Anbieter ein europäisches Unternehmen ohne US-Tochtergesellschaft, US-Vermögenswerte oder US-Präsenz ist, ist er nicht direkt vom CLOUD Act betroffen. Ein Rechtskonflikt entsteht nur, wenn der Anbieter gleichzeitig unter beide Rechtsordnungen fällt.

Sie erlaubt keine Massenerfassung oder gezielte Überwachung von US-Personen durch ausländische Behörden. Die bilateralen Abkommen, die der CLOUD Act zulässt (bisher nur mit dem Vereinigten Königreich und Australien), verbieten ausdrücklich die Massenerfassung und die gezielte Erfassung von US-Bürgern durch ausländische Behörden.

Es ist wichtig, dies laut auszusprechen. Das CLOUD-Gesetz ist ein Instrument für den gezielten Zugriff auf Daten im Rahmen spezifischer strafrechtlicher Ermittlungen - kein Instrument für eine pauschale Überwachung. Für die meisten europäischen Nutzer ist die theoretische Wahrscheinlichkeit, dass ihre spezifischen Daten in einem US-Gerichtsbeschluss enthalten sind, gering. Aus den Transparenzberichten der großen Anbieter geht hervor, dass sich die überwiegende Mehrheit der US-Anfragen auf einzelne Ermittlungen gegen bestimmte Personen bezieht.

Ein größeres Risiko als das CLOUD-Gesetz. Für flache Datenerfassung über Ausländer dient in den USA FISA 702. Dort sind die Bedingungen lockerer, die gerichtliche Überprüfung indirekter und der Anwendungsbereich der Programme (PRISM, Upstream) wesentlich breiter. Schrems II hat Privacy Shield genau wegen FISA 702 für ungültig erklärt, nicht wegen des CLOUD Act. Wenn europäische Regulierungsbehörden über das Risiko der US-Überwachung sprechen, meinen sie technisch gesehen genau das.

Wenn es Sie betrifft

Hier kommt, was in den meisten Artikeln über CLOUD Act nicht angesprochen wird: wann es für Sie geändert werden muss und wann nicht. Gehen wir es Situation für Situation durch.

Privater Nutzer von Gemeinschaftsdiensten. Sie haben Google Mail, Fotos in iCloud, OneDrive, Dropbox. Das CLOUD-Gesetz gilt technisch gesehen für Ihre Daten, aber die praktische Wahrscheinlichkeit, dass die US-Behörden sie speziell haben wollen, ist sehr gering. Die Frage, was man dagegen tun kann, betrifft Sie vor allem wegen der Sensibilität der Inhalte - wenn es um Gesundheit, Finanzen, private Beziehungen oder politisch heikle Themen geht, gibt es Grund, über europäische Alternativen nachzudenken (Proton, Tuta, Infomaniac, Tresorit). Nicht wegen des FBI, sondern wegen des allgemeinen Vertrauensprofils gegenüber Anbietern, die gesetzlich verpflichtet sind, die Interessen eines Staates über Ihre Interessen zu stellen.

Freiberufler oder Kleinunternehmen ohne regulatorischen Druck. Sie machen die Buchhaltung, die Rechnungsstellung, die Kommunikation mit den Kunden. Sofern Sie nicht jemanden unter Ihren Kunden haben, dessen Daten für jemand anderen von Interesse sind (Anwaltschaft, Journalisten, Ärzte, Forscher, Lobbyisten, Politiker), ist das tatsächliche Risiko von CLOUD Act für Sie gering. Strategisch relevanter ist in der Regel das allgemeine Vertrauensprofil gegenüber dem Anbieter und die Frage, wer Ihre Geschäftsdaten im Betrieb lesen kann - nicht wer sie vor Gericht durchsetzen kann.

Ein sensibler Beruf. Anwalt, Arzt, Therapeut, Journalist, Forscher, Ermittler, Steuerberater. Für diese Berufe ist das CLOUD-Gesetz ein operativ relevantes Thema - nicht, weil irgendjemand sie alle überwachen will, sondern weil Sie Ihrer beruflichen Schweigepflicht nicht nachkommen können, wenn ein Anbieter in einer fremden Rechtsordnung ohne Ihr Wissen Daten an Sie weitergeben kann. In einigen europäischen Ländern haben die Berufsverbände bereits damit begonnen, dieses Problem normativ anzugehen. Für diese Berufe lohnt es sich, entweder einen europäischen Anbieter ohne US-Verbindungen oder Dienste mit echter Ende-zu-Ende-Verschlüsselung zu nutzen, sofern die Art der Arbeit dies zulässt.

Mittelständisches Unternehmen mit europäischen Kunden. Dies ist der Ort, an dem GDPR. Wenn Sie personenbezogene Daten europäischer Kunden verarbeiten, müssen Sie nach europäischem Recht wissen, wer auf diese Daten zugreifen kann. Die europäische Aufsichtsbehörde (EDPB) hat in ihren aktualisierten Leitlinien vom Juni 2025 klargestellt, dass die direkte CLOUD Act-Anforderung keine unabhängige legitime Grundlage im europäischen Recht hat. Wenn Ihr US-Anbieter die Daten ohne den richtigen Rechtsweg freigibt, bekommen Sie Ärger mit der europäischen Aufsichtsbehörde. Aus diesem Grund ziehen große europäische Unternehmen ab 2024 ernsthaft hybride Architekturen in Betracht, bei denen sensible Daten in der europäischen Infrastruktur verbleiben und die US-Cloud nur für weniger sensible Teile des Betriebs genutzt wird.

Regulierte Organisation oder öffentliche Verwaltung. Für Sie ist souveräne Wolke Wahl fast unvermeidlich - entweder weil der nationale Rechtsrahmen dies vorschreibt (französische SecNumCloud, deutsches BSI C5) oder weil die Haftung für etwaige Datenverluste wäre politisch und finanziell unhaltbar. Dies ist das Segment, in dem sich der europäische Markt in den letzten zwei Jahren am schnellsten gewandelt hat.

Was die Datenschutz-Grundverordnung und das CLOUD-Gesetz miteinander zu tun haben. Für einen europäischen Anbieter oder Auftragsverarbeiter, der auch der US-Gerichtsbarkeit unterliegt (aufgrund von Hauptsitz, Tochtergesellschaft, US-Vermögenswerten), ergibt sich ein unauflösbarer Konflikt: Die Befolgung einer US-Gerichtsanordnung bedeutet einen Verstoß gegen Artikel 48 der DSGVO, die Befolgung der DSGVO bedeutet einen Verstoß gegen eine US-Gerichtsanordnung. In den EDPB-Leitlinien 02/2024, Endgültige Version 2.1, vom 4. Juni 2025, heißt es ausdrücklich, dass die direkte CLOUD Act-Anforderung nicht durch ein „berechtigtes Interesse“ gemäß Artikel 6 Absatz 1 Buchstabe f der DSGVO gerechtfertigt werden kann. In der Praxis bedeutet dies, dass Anbieter in beiden Rechtsordnungen aus rein rechtlicher Sicht keinen völlig sicheren Weg haben. Eine der wenigen klaren Optionen besteht darin, die US-Behörden auf das MLAT (Interstate Mutual Legal Assistance Treaty) zu verweisen, das formell verfügbar ist.

Sovereign Cloud: Was sie wirklich ist und wann sie wirklich hilft

Das Wort „souverän“ wurde in den letzten zwei Jahren im Marketing der Cloud-Anbieter so häufig verwendet, dass es seine konkrete Bedeutung zu verlieren begann. Lassen Sie es uns auf das Wesentliche reduzieren - ohne Marketing.

In Europa gibt es heute drei Arten von Angeboten, die sich als „souverän“ präsentieren, und jedes hat ein anderes Verhältnis zum CLOUD Act.

Echte europäische Anbieter. Französisch OVHcloud, 3DS Outscale, Oodrive, NumSpot, Scaleway. Schweizer Infomaniac. Der deutsche Hetzner und andere Teilnehmer an der Gaia-X-Initiative. Diese Unternehmen verfügen über europäisches Kapital und ein europäisches Management und sind in den USA nicht oder nur minimal vertreten. Sie fallen nicht direkt unter das CLOUD-Gesetz. Die Schwäche liegt in der Größe - sie können in der Regel nicht mit AWS oder Azure konkurrieren, wenn es um die Tiefe spezialisierter Dienste geht (maschinelles Lernen, Data Warehousing, geografische Verteilung). Aber für die meisten Standardanforderungen sind sie völlig ausreichend.

Hybride „souveräne“ Partnerschaften. French Bleu (Orange + Capgemini betreiben Azure-Technologie), S3NS (Thales mit 95 % und Google Cloud mit 5 % mit GCP-Technologie), deutsche Delos Cloud (SAP betreibt Azure für die öffentliche Verwaltung). Modell: Ein europäisches Unternehmen mit europäischem Kapital betreibt US-Cloud-Technologie unter Lizenz in einer isolierten Instanz, mit eigenen Rechenzentren, eigenen Mitarbeitern und ohne Verbindung zur US-Infrastruktur. S3NS erhielt am 19. Dezember 2025 die höchste französische SecNumCloud 3.2-Qualifikation; Bleu erreichte den zweiten Meilenstein (J1) im November 2025.

Diese Welle ist sowohl die politisch durchsetzungsfähigste als auch die umstrittenste. Die französische Cyber-Agentur ANSSI erkennt diese Modelle an - aber ihr Direktor Vincent Strubel sagte im Januar 2026 ausdrücklich, dass SecNumCloud kein politisches Etikett der Souveränität ist, sondern ein Instrument der Cybersicherheit. Mit anderen Worten: ANSSI behauptet nicht, dass S3NS völlig immun gegen das CLOUD-Gesetz ist. Sie behauptet, dass es die technischen und verfahrenstechnischen Standards erfüllt und dass die operative Kontrolle über die Daten in europäischer Hand liegt.

OVHcloud - Europas größter wirklich europäischer Anbieter - argumentiert, dass hybride Modelle nicht völlig immun sind, weil die Abhängigkeit von lizenzierter US-Technologie eine langfristige Bindung schafft, deren rechtliche Durchsetzbarkeit in einer Krisensituation nicht im Voraus geprüft werden kann. Der Streit ist offen und es gibt noch keine gerichtliche Entscheidung, um ihn beizulegen.

US-Landezonen„ in Europa. Microsoft Cloud for Sovereignty, AWS European Sovereign Cloud (Eröffnung im Januar 2026 in Brandenburg), Oracle EU Sovereign Cloud. Das Marketingkonzept ist ähnlich wie bei den vorherigen Kategorien. In der Praxis sind sie unterschiedlich: Der Betreiber bleibt die US-Muttergesellschaft oder ihre europäische Tochtergesellschaft, die der US-Rechtsprechung unterliegt. Der CLOUD Act gilt hier ohne Einschränkung. AWS gibt in Transparenzberichten ab 2020 an, dass es keine außerhalb der USA gespeicherten Unternehmens- oder Regierungsinhalte freigegeben hat - ein wichtiges empirisches Signal, aber keine rechtliche Garantie für die Zukunft.

Wie der Kontrolleur sie liest. Horizontale europäische Rahmenwerke wie NIS2 oder DORA schreiben an sich nicht vor, welche Cloud zu nutzen ist. Sie verlangen ein Risikomanagement für die Lieferkette, vertragliche Durchsetzbarkeit gegenüber dem Anbieter, Auditierbarkeit, einen Ausfallplan und Zugangskontrolle. Für Sektoren mit eigenen Vorschriften (Gesundheitswesen, Finanzwesen, Verschlusssachen, kritische Infrastrukturen) gibt es nationale Qualifikationen, die für die „sovereign cloud“ typischerweise erforderlich sind - SecNumCloud in Frankreich, BSI C5 in Deutschland, ähnliche Rahmenwerke in anderen Ländern. Dies ist die Ebene, auf der die "sovereign cloud" von einer strategischen Debatte zu einer rechtlichen Verpflichtung wird.

Schrems, DPF und was kommt als Nächstes?

Parallel zum CLOUD Act wird in Europa eine zweite Ebene desselben Problems behandelt: die Frage, wie europäische Daten überhaupt legal in die USA gelangen können. Hier hat es drei Wellen gegeben.

Safe Harbor (2000) wurde 2015 vom EuGH in Schrems I gekippt. Privacy Shield (2016) wurde 2020 in Schrems II gekippt. Der dritte Versuch - der EU-US-Datenschutzrahmen (DPF) - ist seit Juli 2023 in Kraft. Der EuGH wird voraussichtlich zwischen 2026 und 2027 über seine Gültigkeit entscheiden. Die erste Runde fand bereits im September 2025 statt, als das EU-Gericht die Klage des französischen Abgeordneten Philippe Latombe abwies. Latombe legte im November 2025 Berufung beim Europäischen Gerichtshof ein, der die Überwachungspraktiken der USA in der Regel wesentlich strenger beurteilt.

Für das CLOUD-Gesetz ist es wichtig, dass es von der Datenschutz-Grundverordnung nicht direkt betroffen ist. Die DPF befasst sich mit der kommerziellen Datenübermittlung aus der EU in die USA. Das CLOUD-Gesetz befasst sich damit, was US-Behörden mit Daten machen können, wenn US-Unternehmen sie haben. Dies sind zwei parallele Ebenen desselben Problems - und zusammen sind sie der Grund dafür, dass die europäische Debatte über digitale Souveränität im Zeitraum 2024-2026 so stark an Dynamik gewonnen hat.

Was mit dem DPF passieren kann. Wenn der Gerichtshof der EU das Schrems-III-Urteil aufhebt, wird die Übermittlung personenbezogener Daten aus der EU in die USA erneut in einem rechtlichen Vakuum stattfinden. US-Anbieter werden dies mit Standardvertragsklauseln (SCC) und zusätzlichen technischen Maßnahmen, wie sie in Schrems II vorgeschrieben sind, angehen. Für den europäischen Kunden bedeutet dies in der Regel einen zusätzlichen Verwaltungsaufwand, keine Katastrophe - aber strategisch gesehen treibt es die Unternehmen weiter in die europäische Cloud. Der letztendliche Zusammenbruch der DPF wird daher in den staatlichen Cloud-Initiativen als ein stilles Szenario dargestellt, das die Migration beschleunigt.

Ein praktischer Rahmen für die Entscheidungsfindung

Wenn Sie vor der Entscheidung stehen, wohin Ihr eigenes Unternehmen gehen soll, lässt sich die Debatte über das CLOUD-Gesetz auf einige pragmatische Fragen eingrenzen.

Die erste Frage bezieht sich auf die Sensibilität der Daten. Wenn Sie in erster Linie Marketing, routinemäßige Unternehmenskommunikation oder nicht-personenbezogene Vorgänge abwickeln, sollte Ihre Entscheidung in erster Linie von betrieblichen und wirtschaftlichen Parametern bestimmt werden - das CLOUD-Gesetz ist ein berechtigtes Anliegen, sollte aber wahrscheinlich nicht das wichtigste sein. Wenn Sie mit Krankenakten, Rechtsakten von Kunden, journalistischen Quellen, Forschungsdaten oder anderen Daten arbeiten, die für Sie verheerend wären, wenn ein Dritter sie in die Hände bekäme, ist das Risiko betrieblich real - und eine gesonderte architektonische Betrachtung wert, nicht ein resigniertes „Ich werde es sowieso nicht ändern“-Argument.

Die zweite Frage ist rechtlicher Natur. Wenn Sie unter eine sektorale Verordnung fallen, die eine qualifizierte Umgebung vorschreibt (SecNumCloud in Frankreich, BSI C5 in Deutschland, Äquivalente in anderen Ländern), ist eine souveräne Cloud keine Option - sie ist eine Vorschrift. Wenn Sie unter horizontale Rahmenregelungen wie NIS2 oder DORA fallen, ist die Vorschrift allgemeiner (Risikomanagement, Vertragskontrolle, Überwachung der Anbieter), geht aber in die gleiche Richtung.

Die dritte Frage betrifft die Architektur. Wenn Sie eine mehrschichtige Architektur haben (weniger sensible Daten getrennt von sensibleren Daten), können Sie oft ein Hybridmodell betreiben: die weniger sensible Schicht in der US-Cloud für betriebliche Vorteile, die sensible Schicht in der europäischen oder vor Ort. In der Praxis ist dies der häufigste Kompromissweg, den mittlere und große europäische Unternehmen zwischen 2025 und 2026 wählen.

Die vierte Frage bezieht sich auf die End-to-End Verschlüsselung. Für Kommunikation, Backups oder Dateispeicherung, die realistische Art und Weise heute (Proton, Tuta, Tresorit, Cryptee, Signal, Matrix selbst gehostet). Vorsicht - Signal ist ein amerikanischer Betreiber; sein Risikoprofil unterscheidet sich von europäischen Diensten (Proton, Tuta, Threema). Für Datenbank- und Analyseaufgaben ist eine echte Ende-zu-Ende-Verschlüsselung technisch möglich, aber für die meisten Arbeitslasten in der Praxis nicht praktikabel. Hier geht es eher um hybride Verschlüsselung mit Schlüsselkontrolle auf der eigentlichen Seite.

Die fünfte Frage ist wirtschaftlicher Natur. Der Preisunterschied zwischen der europäischen und der US-amerikanischen Cloud hängt heute stark von der Art der Arbeitslast ab. Bei Objektspeicher, Core-Compute-Instanzen und Kubernetes-Clustern sind europäische Anbieter oft wettbewerbsfähig oder sogar billiger als US-Hyperscale-Anbieter. Bei fortgeschrittenen verwalteten Diensten (Data Warehousing, maschinelles Lernen, geografische Verteilung) sind die souveränen europäischen Angebote in der Regel teurer. Dies ist eine Realität, die bei der Entscheidungsfindung bewusst in Betracht gezogen werden muss.

Was bedeutet das?

Das CLOUD-Gesetz selbst ist nicht in erster Linie ein Überwachungsinstrument. Er ist eine gesetzgeberische Lösung für ein geografisches Problem, das dem US-Kongress nach dem Microsoft-Irland-Fall fehlte - und das der Kongress zugunsten der US-Behörden und zum Nachteil der europäischen Verfahrenskontrolle durch MLAT gelöst hat. Für die meisten einzelnen europäischen Nutzer sind die tatsächlichen Auswirkungen des CLOUD Acts geringer, als die Marketingmaterialien der europäischen Cloud-Anbieter vermuten lassen.

Aber auf der Ebene des Systems sind die Auswirkungen genau so, wie Anton Carniaux sie im französischen Senat beschrieben hat: Wir können nicht garantieren. Und diese Unfähigkeit zu garantieren ist ein strukturelles Problem. Sie macht die Infrastruktur, auf der die kritischen Daten der europäischen Staaten, Unternehmen und Bürger ruhen, zu einem Instrument, dessen Regeln von anderen geschrieben werden. Für Staaten, regulierte Organisationen und sensible Berufe ist dies ein Grund, in einen vollständig europäischen oder zumindest hybriden, souveränen Cloud-Pfad zu investieren. Für normale Nutzer und kleine Unternehmen ist es eher ein Grund, darüber nachzudenken, welche spezifischen Daten tatsächlich vom Verlust der rechtlichen Kontrolle betroffen wären - und dort eine Änderung vorzunehmen. Der Rest kann bleiben, wo er ist.

Europäische Antwort - DPF, EDPB-Leitlinien, SecNumCloud, souveräne Cloud-Partnerschaft, Regierungsbotschafter auf die Matrix, europäische Alternativen wie Infomaniac, Proton oder Threema - ist weitgehend rational, aber uneinheitlich. Regierungen und klassifizierte Lasten gehen voran, das Gesundheitswesen und KMUs bleiben auf dem US-Stack, weil ihnen entweder der regulatorische Druck oder der finanzielle Spielraum für eine Migration fehlt. Was sich seit 2023 in der europäischen Cloud abspielt, ist eine langsame und teure Konsolidierung dieser Ungleichheit - und der CLOUD Act ist der Katalysator, nicht die Ursache.

Glossar

Hintertür - Ein absichtlich eingebauter versteckter Pfad, der es Ihnen ermöglicht, den normalen Schutz (z. B. Verschlüsselung) zu umgehen.

Sammlung von Massengütern - Massenerhebung von Daten ohne gezielten Verdacht, die typischerweise von Geheimdiensten verwendet wird.

CLOUD Act-Vereinbarungen (Executive Agreements) - Bilaterale zwischenstaatliche Abkommen, die es ausländischen Behörden ermöglichen, Daten direkt von US-Anbietern anzufordern (und umgekehrt), mit eingebauten Grenzen gegen Missbrauch. Bisher wurden sie nur mit dem Vereinigten Königreich (ab Oktober 2022) und Australien (ab 31. Januar 2024) abgeschlossen. Die Verhandlungen mit der EU und Kanada laufen noch.

Comity-Einwand - Einspruch aus Gründen der internationalen Komitologie. Ein verfahrenstechnisches Mittel, mit dem ein Anbieter ein US-Gericht bitten kann, eine Anordnung aufzuheben oder zu ändern, deren Befolgung gegen das Recht eines ausländischen Staates verstoßen würde.

Ende-zu-Ende-Verschlüsselung (E2EE) - Verschlüsselung, bei der nur der Sender und der Empfänger über Schlüssel verfügen; Dienstanbieter und kann den Inhalt nicht entschlüsseln, auch nicht mit einem Gerichtsbeschluss.

EDPB (Europäischer Datenschutzausschuss) - ein Gremium, das verbindliche und empfehlende Dokumente zur Anwendung der Datenschutz-Grundverordnung herausgibt.

FISA 702 - ein US-Gesetz, das die gezielte Sammlung von Informationen über Ausländer außerhalb der USA ermöglicht. In der Regel bedeutender als das CLOUD-Gesetz in Bezug auf das europäische Überwachungsrisiko.

MLAT (Vertrag über die gegenseitige Rechtshilfe) - Vertrag über gegenseitige Rechtshilfe. Der traditionelle formale Weg, auf dem ein US-Staatsanwalt mit Zustimmung eines europäischen Gerichts Daten von einem europäischen Staat anfordert. Langsam (durchschnittlich 10 Monate), weshalb das CLOUD-Gesetz häufig von US-Behörden umgangen wird.

Besitz, Gewahrsam oder Kontrolle - „Besitz, Gewahrsam, Kontrolle“. Der Schlüsselbegriff im CLOUD-Gesetz, der bestimmt, ob die US-Behörde den Anbieter erreichen kann.

Haftbefehl mit hinreichendem Verdacht - ein Gerichtsbeschluss auf der Grundlage eines begründeten Verdachts. Standardbedingung für die Erlangung des Inhalts von Nachrichten in den USA.

Schrems I / II / eventuell III - eine Reihe von Urteilen des EuGH, mit denen die Mechanismen für die Übermittlung personenbezogener Daten zwischen der EU und den USA schrittweise abgeschafft wurden (Safe Harbor 2015, Privacy Shield 2020 oder das Data Privacy Framework in den folgenden Jahren).

SecNumCloud - Französische Qualifikation für Cloud-Dienste, die für sensible Anwendungen der öffentlichen Verwaltung geeignet sind. Höchste Stufe 3.2.

Die Informationen und Bewertungen in diesem Artikel beruhen auf öffentlich zugänglichen Quellen zum Zeitpunkt der Veröffentlichung und können sich im Laufe der Zeit ändern. Für eine konkrete rechtliche Beurteilung Ihrer eigenen Situation empfehlen wir Ihnen, einen auf Datenschutz- und IT-Recht spezialisierten Rechtsberater zu konsultieren.