Zurück zum Glossar

Begriff

Cloud Act

US-Gesetz von 2018 (Clarifying Lawful Overseas Use of Data Act). US-Behörden können US-Anbieter zur Herausgabe von Daten zwingen, auch wenn diese außerhalb der USA — etwa in der EU — gespeichert sind. Steht im Spannungsfeld zur DSGVO.

Cloud Act — ausführlicher erklärt

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, H.R. 4943) ist ein US-Bundesgesetz aus dem Jahr 2018. Es ergänzt den Stored Communications Act und stellt klar, dass US-amerikanische Anbieter elektronischer Kommunikations- und Cloud-Dienste auf Anordnung von US-Behörden (Durchsuchungsbeschluss oder Subpoena) Daten herausgeben müssen — und zwar unabhängig davon, wo diese Daten physisch gespeichert sind. Liegt der Server in einem Rechenzentrum innerhalb der EU, ändert das an der Herausgabepflicht nichts, solange der Anbieter der US-Gerichtsbarkeit unterliegt.

Maßgeblich ist die Kontrolle über die Daten, nicht der Speicherort. Betroffen sind damit nicht nur US-Konzerne wie Google, Microsoft oder Amazon, sondern auch deren Tochtergesellschaften, sofern der Mutterkonzern faktische Verfügungsgewalt über die Daten hat. Das Gesetz enthält einen sogenannten Comity-Mechanismus: Anbieter können eine Anordnung anfechten, wenn diese mit dem Recht eines anderen Staates kollidiert. Außerdem schafft der CLOUD Act einen Rahmen für zwischenstaatliche Abkommen (Executive Agreements), die grenzüberschreitende Datenanfragen beschleunigen sollen.

Im Spannungsfeld zur DSGVO ist vor allem Artikel 48 DSGVO relevant. Danach dürfen Anbieter, die EU-Recht unterliegen, personenbezogene Daten aufgrund einer ausländischen behördlichen Anordnung nur dann an Drittstaaten übermitteln, wenn dafür eine völkerrechtliche Grundlage besteht — etwa ein Rechtshilfeabkommen (MLAT). Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben festgestellt, dass eine reine CLOUD-Act-Anordnung diese Grundlage nicht ersetzt: Anbieter unter EU-Recht können eine Herausgabe und Übermittlung in die USA nicht allein auf solche Anordnungen stützen.

Beispiel / Praxisbezug

Ein Unternehmen nutzt einen LLM-Dienst eines US-Anbieters und verarbeitet darüber personenbezogene oder vertrauliche Daten. Selbst wenn der Anbieter zusichert, alle Daten in einem EU-Rechenzentrum (Data Residency) zu speichern, schließt das eine Anfrage nach dem CLOUD Act nicht aus, weil der Anbieter weiterhin US-Recht unterliegt. Genau dieses Spannungsfeld wurde 2025 sichtbar, als ein großer US-Cloud-Anbieter öffentlich einräumte, vollständige Datensouveränität für EU-Kunden nicht garantieren zu können.

Für den Einsatz von KI- und Cloud-Diensten heißt das praktisch: Data Residency in der EU senkt das Risiko, beseitigt es aber nicht. Wer hohe Anforderungen an Vertraulichkeit hat, prüft zusätzlich Faktoren wie die Rechtszugehörigkeit des Anbieters, Verschlüsselung mit eigener Schlüsselhoheit, EU-betriebene Souveränitäts-Angebote oder europäische Alternativen.

Abgrenzung zu ähnlichen Begriffen

Data Residency beschreibt lediglich den geografischen Speicherort von Daten und ist eine technisch-organisatorische Maßnahme; der CLOUD Act zeigt, dass Speicherort allein keine Souveränität garantiert. Die DSGVO ist das europäische Datenschutzrecht und definiert über Artikel 48 die Grenzen, innerhalb derer eine Datenübermittlung an Drittstaaten zulässig ist. Ein MLAT (Mutual Legal Assistance Treaty) ist das zwischenstaatliche Rechtshilfeinstrument, das eine zulässige Grundlage für solche Übermittlungen bilden kann — im Gegensatz zur einseitigen CLOUD-Act-Anordnung.

Entdecke mehr

Themenuebersicht