Cloud Act, Patriot Act: Warum EU-Hosting bei US-Firmen kein Schutz ist
Microsoft 365, Azure, Google Workspace, AWS – das sind längst keine Exoten mehr, sondern Standardlösungen, auch bei europäischen Unternehmen, öffentlichen Einrichtungen und Behörden. Die Vorteile liegen auf der Hand: Skalierbarkeit, Verfügbarkeit, Innovation. Doch im Schatten dieser digitalen Effizienz lauert ein rechtliches Spannungsfeld, das seit Jahren und gerade jetzt wieder hitzig diskutiert wird.
Der US PATRIOT Act und der US CLOUD Act ermöglichen US-Behörden unter bestimmten Umständen den Zugriff auf Daten – selbst dann, wenn diese in Rechenzentren innerhalb der EU gespeichert und verarbeitet werden. Das steht im direkten Konflikt mit den Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) und sorgt bei Datenschützern, IT-Verantwortlichen und Juristen regelmäßig für Kopfschmerzen.
Was bedeutet das konkret für den Umgang mit US-Cloud-Diensten? Ich habe dazu mal die KI befragt – selbstverständlich mit Quellenangaben.
Hier der Output:
US Cloud Act und Patriot Act: Zugriff auf Daten von US-Firmen wie Microsoft, auch bei Hosting in der EU
Patriot Act: Zugriff bei Verdachtsfällen
Der US Patriot Act wurde nach den Anschlägen vom 11. September 2001 verabschiedet und gibt US-Behörden weitreichende Befugnisse zur Überwachung und zum Zugriff auf Daten von US-Unternehmen. Konkret müssen US-Unternehmen den US-Behörden im Verdachtsfall Zugriff auf ihre Rechenzentren gewähren – unabhängig davon, wo sich diese befinden. Voraussetzung ist in der Regel eine behördliche oder richterliche Anordnung im Rahmen strafrechtlicher Ermittlungen.
Cloud Act: Globale Zugriffsbefugnis für US-Behörden
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) aus dem Jahr 2018 erweitert diese Zugriffsmöglichkeiten erheblich. Er verpflichtet US-Unternehmen wie Microsoft, Amazon oder Google, US-Behörden auf Anfrage Zugriff auf Daten zu gewähren – selbst dann, wenn diese Daten auf Servern außerhalb der USA, etwa in der EU, gespeichert sind. Das gilt auch dann, wenn lokale Datenschutzgesetze (z. B. DSGVO) die Herausgabe eigentlich verbieten würden.
Wichtige Aspekte des Cloud Act:
- Unabhängig vom Speicherort: US-Behörden können auf Daten zugreifen, die von US-Unternehmen weltweit gespeichert werden – der physische Serverstandort (z. B. in Deutschland oder Irland) ist irrelevant.
- Betroffen sind auch Kundendaten: Nicht nur interne Unternehmensdaten, sondern auch die Daten von Kunden, die in der Cloud-Infrastruktur eines US-Anbieters liegen, können herausverlangt werden.
- Kein zwingender Richtervorbehalt: Die Herausgabe kann auch ohne richterlichen Beschluss erfolgen, insbesondere bei geheimen Anfragen von US-Geheimdiensten. Der betroffene Kunde wird in der Regel nicht informiert.
- Konflikt mit EU-Recht: US-Tochterfirmen in Europa stehen damit häufig vor einem Dilemma: Sie verstoßen entweder gegen US-Recht (Cloud Act) oder gegen EU-Recht (DSGVO), wenn sie Daten herausgeben oder verweigern.
Praktische Auswirkungen am Beispiel Microsoft:
Im bekannten Fall Microsoft Irland weigerte sich Microsoft zunächst, Daten aus einem irischen Rechenzentrum herauszugeben, da dies gegen irisches und EU-Datenschutzrecht verstoßen hätte. Nach Inkrafttreten des Cloud Act musste Microsoft die Daten dennoch an US-Behörden herausgeben.
Lösungsansätze und Einschränkungen:
Einige Anbieter versuchen, mit Modellen wie der Datentreuhand (z. B. „Office 365 Deutschland“ mit T-Systems) den Zugriff durch US-Behörden zu verhindern, indem die Daten ausschließlich in Deutschland gespeichert und von einem deutschen Unternehmen kontrolliert werden. Solche Lösungen sind jedoch bislang die Ausnahme und bieten keinen vollständigen Schutz, solange der Anbieter oder dessen Muttergesellschaft US-Recht unterliegt.
Fazit
Sowohl der US Patriot Act als auch der Cloud Act ermöglichen US-Behörden einen weitreichenden Zugriff auf Daten von US-Unternehmen – unabhängig davon, ob die Daten in den USA oder im Ausland (z. B. in der EU) gespeichert sind. Für Unternehmen und Privatpersonen in Europa bedeutet das: Der physische Speicherort bietet keinen wirksamen Schutz vor US-Zugriff, solange ein US-Unternehmen oder eine US-Tochter Zugriff auf die Daten hat.
Quellen:
https://www.activemind.de/magazin/us-dienstleister/
https://www.pcspezialist.de/blog/2023/05/31/cloud-act/
https://datalynx.ch/de/insights/it-support/sechs-grundsaetze-zum-cloud-act-von-microsoft/
https://teamdrive.com/blog-de/der-cloud-act/
https://www.borncity.com/blog/2025/01/24/bekommt-eu-us-datentransferabkommen-risse/
https://www.dr-datenschutz.de/das-us-datenschutzniveau-als-problem-beim-cloud-computing