Zum Hauptinhalt springen Zum Seitenende springen
otris-Rat­geber
Cloud Act
und DSGVO

CLOUD Act und DSGVO: Vereinbarkeit und Hand­lungs­emp­feh­lun­gen

Stand:

US-Cloud-Anbieter unterliegen dem CLOUD Act. Das bedeutet: Sie müssen auf Anordnung US-amerikanischer Behörden Daten herausgeben – unabhängig davon, wo diese gespeichert sind. Gleichzeitig verlangt jedoch die DSGVO ein hohes Datenschutzniveau für personenbezogene Daten europäischer Bürger und strenge Anforderungen an Drittlandtransfers.

Für Unternehmen in Europa, die US-Cloud-Dienste nutzen, entsteht dadurch ein rechtliches Spannungsfeld. Dieser Beitrag zeigt, wo die Konflikte zwischen CLOUD Act und DSGVO liegen, welche Risiken bestehen und wie sich ein da­ten­schutz­kon­for­mes Cloud-Setup gestalten lässt.

US CLOUD Act und DSGVO – das Wichtigste auf einen Blick

Was ist der CLOUD Act? Ein Gesetz, das US-Unternehmen verpflichtet, Daten an US-Behörden herauszugeben, unabhängig von deren Speicherort.

Rechtlicher Konflikt mit der DSGVO: US-Zugriffe auf EU-Daten können DSGVO-Anforderungen verletzen – insbesondere, wenn kein geeigneter Transfermechanismus greift.

Welche Risiken bringt der CLOUD Act? Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes, Vertrauensverlust bei Kunden und aufwendige Compliance-Dokumentation.

Lösungen: Verschlüsselung mit EU-Schlüsselverwaltung, interne Richtlinien, vertragliche Absicherungen oder Nutzung europäischer Cloud-Anbieter.

1. Was ist der CLOUD Act?

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde 2018 in den USA verabschiedet. Er erweitert die Befugnisse US-amerikanischer Behörden: Sie können von US-Unternehmen die Herausgabe elektronischer Daten verlangen, unabhängig von deren Speicherort.

Für Unternehmen bedeutet das: Ein US-Cloud-Anbieter kann verpflichtet werden, Daten herauszugeben, selbst wenn diese in europäischen Rechenzentren liegen. Solche Anordnungen erfolgen häufig ohne (oder erst mit verspäteter) Kenntnis des betroffenen Unternehmens.

Welche Dienste fallen unter den CLOUD Act?

Der CLOUD Act gilt für alle US-Unternehmen, die elektronische Kom­mu­ni­ka­ti­ons­diens­te oder Fernzugriffsdienste anbieten, z.B.:

  • Cloud-Speicher (z.B. Microsoft OneDrive, Google Drive, AWS S3)
  • E-Mail-Dienste (z.B. Gmail, Outlook)
  • Collaboration-Tools (z.B. Microsoft Teams, Slack)
  • SaaS-Anwendungen (z.B. Salesforce, ServiceNow)

Weshalb ist der CLOUD Act für Unternehmen in Europa bedeutsam?

Die extraterritoriale Reichweite des CLOUD Act betrifft alle Unternehmen, die Dienste US-amerikanischer Anbieter nutzen. Auch wenn Daten physisch in der EU gespeichert sind, unterliegen sie potenziell dem US-Zugriff.

Für europäische Unternehmen ist das vor allem deshalb relevant, weil die DSGVO strenge Anforderungen an Datentransfers in Drittländer stellt. Der CLOUD Act widerspricht diesen Regelungen in mehreren Punkten und gefährdet somit die Compliance im Unternehmen.

2. DSGVO vs. CLOUD Act: Wo liegen die rechtlichen Konflikte?

Die DSGVO verlangt ein hohes Datenschutzniveau für personenbezogene Daten. Mehrere ihrer Grundprinzipien werden jedoch durch den CLOUD Act ausgehebelt:

  • Transparenz: Betroffene müssen laut DSGVO über Datenverarbeitungen informiert werden. Bei CLOUD-Act-Anfragen ist dies in der Regel nicht möglich. US-Anbieter dürfen oft nicht einmal mitteilen, dass eine Datenanfrage erfolgt ist.
  • Zweckbindung: Daten dürfen nur für festgelegte Zwecke verarbeitet werden. Ein Zugriff durch US-Behörden erfolgt jedoch zu Zwecken, die nicht vom ursprünglichen Verarbeitungszweck gedeckt sind.
  • Datenminimierung verlangt, dass nur notwendige Daten verarbeitet werden. Der CLOUD Act ermöglicht jedoch umfassende Datenabfragen, die weit über das erforderliche Maß hinausgehen.

Drittlandtransfers sind zudem nach Art. 44–50 der DSGVO nur zulässig, wenn eine rechtliche Grundlage besteht, die EU-Kommission ein angemessenes Schutzniveau festgestellt hat oder geeignete Garantien bestehen. Der CLOUD Act hingegen ermöglicht weitreichende Zugriffe durch US-Behörden ohne die Verfahrensgarantien der DSGVO. Es gibt keine unabhängige Aufsicht durch EU-Datenschutzbehörden.

3. CLOUD Act und Datenschutz: Welche Risiken ergeben sich für Unternehmen?

Die Nutzung US-amerikanischer Cloud-Dienste birgt rechtliche, finanzielle und reputative Risiken. Diese betreffen alle Unternehmen, die personenbezogene Daten in US-Cloud-Umgebungen verarbeiten.

Bußgelder und Haftungsfragen

Unternehmen tragen bei der DSGVO die Nachweispflicht: Sie müssen belegen, dass ein angemessenes Datenschutzniveau besteht. Gelingt dies nicht, drohen Sanktionen und Scha­den­er­satz­an­sprü­che. Verstöße gegen die DSGVO können mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Vertrauensverlust

Wenn bekannt wird, dass US-Behörden auf Kundendaten zugreifen könnten, kann das Vertrauen in das Unternehmen sinken. Besonders in sensiblen Branchen wie Gesundheitswesen, Fi­nanz­dienst­leis­tun­gen oder öffentlicher Verwaltung ist Datenschutz ein entscheidendes Kriterium.

Ressourcenbindung

Bei Audits durch Datenschutzbehörden oder Wirtschaftsprüfer müssen Unternehmen DSGVO-Konformität nachweisen. Die Prüfung und Dokumentation von Drittlandtransfers ist dabei aufwendig. Unternehmen müssen regelmäßig bewerten, ob die getroffenen Maßnahmen ausreichen. Dies bindet Ressourcen in Legal, Compliance und IT.

4. Hand­lungs­emp­feh­lun­gen für ein DSGVO-konformes Cloud-Setup

Um die Risiken des CLOUD Act zu minimieren, sind technische und organisatorische Maßnahmen erforderlich.

Verschlüsselung sicherstellen

Verschlüsselung ist die wichtigste technische Maßnahme. Daten müssen sowohl verschlüsselt übertragen als auch gespeichert werden. Entscheidend ist, dass die Verwaltung der Ver­schlüs­se­lungs­schlüs­sel ausschließlich in der EU stattfindet. Nur so kann verhindert werden, dass US-Behörden auf entschlüsselte Daten zugreifen.

Unternehmen sollten ihre Schlüssel außerdem selbst verwalten oder Dienste nutzen, bei denen der Anbieter keinen Zugriff auf die Schlüssel hat (Bring Your Own Key, Hold Your Own Key).

Zugriffsrechte limitieren

Streng limitierte Zugriffsrechte sorgen dafür, dass ausschließlich autorisierte Personen auf personenbezogene Daten zugreifen dürfen. Ein Identity- und Access-Management stellt dabei sicher, dass die Zugriffe protokolliert und regelmäßig überprüft werden.

Richtlinien festlegen und die Belegschaft schulen

Im Unternehmen muss klar geregelt sein, wie auf Datenanforderungen reagiert werden soll. Notfallpläne legen fest, wer informiert wird, welche rechtlichen Schritte möglich sind und wie betroffene Personen benachrichtigt werden.

Schulungen für Mitarbeitende sind ebenso essenziell. Sie müssen verstehen, welche Risiken der CLOUD Act birgt und wie sie damit umgehen, damit es zu keinen Verstößen kommt.

Vertragsklauseln und Zu­satz­ver­ein­ba­run­gen

EU-Stan­dard­ver­trags­klau­seln sind ein Mindeststandard für Drittlandtransfers. Sie alleine reichen jedoch nicht aus. Unternehmen müssen zusätzlich individuelle Data Processing Agreements (DPAs) vereinbaren, die konkrete Schutzmaßnahmen wie die folgenden festlegen:

Vertragsklausel Funktion
Informationspflicht Der Anbieter informiert unverzüglich bei behördlichen Datenanfragen.
Widerspruchsrecht Der Anbieter verpflichtet sich, gegen unzulässige Anfragen rechtlich vorzugehen.
Datenhoheit Ver­schlüs­se­lungs­schlüs­sel bleiben beim Unternehmen oder in EU-Rechenzentren.
Auditrechte Das Unternehmen darf regelmäßig prüfen, ob vertragliche Vorgaben eingehalten werden.

Zertifizierungen und Siegel nur als Orientierung nutzen

Zertifizierungen nach ISO 27001, EU Cloud Code of Conduct oder BSI C5 (Cloud Computing Compliance Criteria Catalogue) weisen auf hohe Si­cher­heits­stan­dards hin. Sie bieten Orientierung, ersetzen jedoch nicht die rechtliche Prüfung.

Zudem beziehen sich Zertifizierungen meist auf technische und organisatorische Sicherheit, nicht auf die rechtliche Zulässigkeit von Drittlandtransfers. Ein Anbieter mit ISO 27001 kann dennoch dem CLOUD Act unterliegen.

5. Europäische Cloud-Lösungen als Alternative

Eine wirksame Alternative zu den umfangreichen Ab­si­che­rungs­maß­nah­men ist die Wahl eines europäischen Cloud-Anbieters. Diese speichern Daten in EU-Rechenzentren und unterliegen somit nicht dem CLOUD Act.

Dies stellt Datensouveränität sicher: Unternehmen behalten somit die volle Kontrolle über ihre Daten. Sie entscheiden selbst, wo Daten gespeichert werden, wer darauf zugreift und welche Si­cher­heits­maß­nah­men gelten. Selbstverständlich ist trotzdem ein strukturiertes Datenschutz­management vonnöten, um DSGVO-Richtlinien einzuhalten.

6. Checkliste für DSGVO-Konformität trotz CLOUD Act

  1. Anbieter prüfen: Ist der Cloud-Anbieter ein US-Unternehmen? Unterliegt er dem CLOUD Act?
  2. Datenspeicherort klären: Wo werden Daten physisch gespeichert?
  3. Verschlüsselung implementieren: Werden Daten verschlüsselt? Wo liegen die Schlüssel?
  4. Verträge anpassen: Sind EU-Vertragsklauseln vereinbart? Sind DPAs nach Art. 28 DSGVO notwendig?
  5. TOMs dokumentieren: Sind technische und organisatorische Maßnahmen festgelegt und dokumentiert?
  6. Behörden- und Incident-Prozess: Ist das Vorgehen bei Datenanfragen und Da­ten­schutz­ver­let­zun­gen definiert?
  7. Regelmäßige Audits: Werden Maßnahmen regelmäßig überprüft?

7. Mit europäischen Cloud-Lösungen wie otris Datensouveränität sichern

Der CLOUD Act und die DSGVO stehen in einem rechtlichen Spannungsfeld. Unternehmen, die US-Cloud-Dienste nutzen, müssen dieses Spannungsfeld aktiv managen. Europäische Cloud-Lösungen bieten hier eine einfache Alternative, die Datensouveränität und Rechtssicherheit gewährleistet.

Sie wollen Ihren Datenschutz professionalisieren? otris unterstützt Unternehmen dabei, Verantwortung strukturiert und revisionssicher zu organisieren, mit Fachlösungen aus dem Legal-, Compliance- und Datenschutzbereich – entwickelt und gehostet in Deutschland.

Jetzt Demo anfordern

8. Häufig gestellte Fragen zu CLOUD Act und DSGVO

Welche Daten fallen unter den US CLOUD Act?

Der CLOUD Act betrifft alle elektronischen Daten, die von US-Unternehmen verwaltet werden – unabhängig davon, ob sie tatsächlich in den USA gespeichert liegen. Dazu zählen E-Mails, Dokumente, Cloud-Speicher und SaaS-Daten.

Kann man eine Herausgabe von Daten an US-Behörden verweigern?

US-Anbieter können zur Herausgabe verpflichtet sein. In bestimmten Fällen können sie Anordnungen anfechten oder eine Einschränkung erreichen; diese Möglichkeiten sind jedoch begrenzt und bieten aus EU-Sicht häufig keinen verlässlichen Schutz.

Stellen Zertifizierungen wie ISO 27001 Datenschutz sicher?

Zertifizierungen zeigen, dass ein Anbieter hohe Si­cher­heits­stan­dards einhält, was für die Einhaltung der DSGVO von großem Vorteil ist. Sie bieten jedoch keinen Schutz gegen rechtliche Anfragen durch US-Behörden.

Ist es möglich, US-Cloud-Dienste DSGVO-konform zu nutzen?

Ja, die DSGVO-konforme Nutzung erfordert jedoch technische und organisatorische Maßnahmen wie Verschlüsselung mit EU-basierter Schlüsselverwaltung, vertragliche Zu­satz­ver­ein­ba­run­gen und regelmäßige Audits. Unternehmen müssen nachweisen, dass ein angemessenes Datenschutzniveau besteht.

otris SUITEN
Zur Produktwelt otris contract Vertragsmanagement
Zur Produktwelt otris corporate Beteiligungsmanagement
Zur Produktwelt otris compliance Richtlinienmangement
Nach oben zum Menü Zurück zum Inhalt Nach oben zum Menü Zurück zum Inhalt