---
title: "US CLOUD Act erklärt: Warum der Serverstandort allein nicht schützt"
date: 2025-12-04T10:40:00+01:00
author: FAST LTA
canonical_url: "https://www.fast-lta.de//de/blog/us-cloud-act-erklärt-warum-der-serverstandort-allein-nicht-schützt"
section: "Entries: Articles"
---
### Was ist der CLOUD Act? [\#](#was-ist-der-cloud-act "Was ist der CLOUD Act?")

**CLOUD = Clarifying Lawful Overseas Use of Data Act (2018)**

**Simpel gesagt:** Alle US-Unternehmen (egal wo ihre Server stehen) müssen Daten an US-Behörden herausgeben, wenn ein Gerichtsbeschluss kommt.

#### Konkrete Anwendung [\#](#konkrete-anwendung "Konkrete Anwendung")

**Szenario:** AWS hat Server in Deutschland. Daten: EU-Kundendaten.

1. FBI bekommt Gerichtsbeschluss: “Gib uns alle Daten von Kunde X”
2. FBI sendet Order an AWS (egal dass Server in Deutschland)
3. AWS ist **verpflichtet**, die Daten zu AWS-Rechenzentren in den USA zu transferieren
4. FBI bekommt Daten
5. DSGVO sagt: Das war illegal! (Außer es gibt Ausnahmen wie DPF)
6. Das Unternehmen weiß nicht mal, dass das passiert ist

---

### Wer ist betroffen? [\#](#wer-ist-betroffen "Wer ist betroffen?")

#### AWS / Microsoft Azure / Google Cloud [\#](#aws-microsoft-azure-google-cloud "AWS / Microsoft Azure / Google Cloud")

Alle drei sind **US-Unternehmen**. Also:

- ❌ AWS EU-Frankfurt: Unterliegt dem CLOUD Act
- ❌ Azure EU-Datencenters: Unterliegen dem CLOUD Act
- ❌ Google Cloud EU: Unterliegt dem CLOUD Act
- ❌ AWS Region Hongkong, Singapur, etc.: Unterliegen dem CLOUD Act

Der Serverstandort ist **irrelevant.**

#### Wer ist NICHT betroffen? [\#](#wer-ist-nicht-betroffen "Wer ist NICHT betroffen?")

✅ **Europäische Cloud-Provider** (z. B.):

- Scaleway (Frankreich)
- OVHcloud (Frankreich)
- Ionos (Deutschland)
- Hetzner (Deutschland)

**Warum?** Diese sind europäische Unternehmen. Der CLOUD Act gilt nur für US-Unternehmen.

---

### Wie der CLOUD Act funktioniert: Schritt für Schritt [\#](#wie-der-cloud-act-funktioniert-schritt-f%C3%BCr-schritt "Wie der CLOUD Act funktioniert: Schritt für Schritt")

#### Schritt 1: Behörde erhält Gerichtsbeschluss [\#](#schritt-1-beh%C3%B6rde-erh%C3%A4lt-gerichtsbeschluss "Schritt 1: Behörde erhält Gerichtsbeschluss")

```
FBI-Agent sitzt im Büro.
"Verdacht auf Cyberkriminelle in Botnet X"
Gerichtsbeschluss: "Server-Daten von Botnet X herausgeben"

```

Typischer Prozess:

- Richter signiert Order
- Kein Vorwurf gegen das Cloud-Unternehmen
- Cloud-Unternehmen muss kooperieren

#### Schritt 2: US-Unternehmen wird Order zugestellt [\#](#schritt-2-us-unternehmen-wird-order-zugestellt "Schritt 2: US-Unternehmen wird Order zugestellt")

```
Zustellung an AWS: "Herausgabe aller Daten von Kunde X, Account-ID 12345"

AWS Compliance-Team liest: "Okay, das ist legal. Wir müssen daten rausgeben."
AWS extrahiert Daten (auch wenn sie in EU-Datacenter sind)

```

#### Schritt 3: Daten transferieren [\#](#schritt-3-daten-transferieren "Schritt 3: Daten transferieren")

```
AWS transferiert Daten von EU-Datacenter zu US-Datacenter
(Kurze Zeit nicht <button data-glossary="true" data-popover-target="glossary-1188676127-3" data-popover-trigger="hover" type="button">DSGVO</button>-konform, aber AWS muss das machen)

```

#### Schritt 4: Übergabe an Behörde [\#](#schritt-4-%C3%BCbergabe-an-beh%C3%B6rde "Schritt 4: Übergabe an Behörde")

```
FBI erhält Daten
Ermittlung kann starten

```

#### Schritt 5: Geheim [\#](#schritt-5-geheim "Schritt 5: Geheim")

```
Das Unternehmen (Dateninhaber) erfährt NICHTS von der Order
(Typischerweise gibt es eine "Gag Order" = Stillschweigen-Pflicht)

```

**Das ist das schlimmste:** Sie erfahren nicht mal, dass Ihre Daten beschlagnahmt wurden!

---

### Zusätzliche Macht: FISA Court und Geheimdienstliche Zugriffe [\#](#zus%C3%A4tzliche-macht-fisa-court-und-geheimdienstliche-zugriffe "Zusätzliche Macht: FISA Court und Geheimdienstliche Zugriffe")

Der CLOUD Act ist auch Teil eines größeren Geheimdienstliche-Überwachungs-Regimes:

#### FISA (Foreign Intelligence Surveillance Act) [\#](#fisa-foreign-intelligence-surveillance-act "FISA (Foreign Intelligence Surveillance Act)")

**Was ist das?** Ein spezieller Gerichtshof für Geheimdienstliche Zugriffe (weniger strikte Anforderungen als normale Gerichte)

**Beispiel:**

- Normaler Gerichtsbeschluss: Richter braucht “probable cause” (wahrscheinlicher Grund zu glauben, dass Verbrechen passiert ist)
- FISA-Court: “Foreign intelligence purposes” reicht (vager, Sicherheitsbehörde entscheidet selbst)

**Geheimhaltung:** FISA-Orders sind oft völlig geheim. Auch der Cloud-Provider darf nicht sagen, dass eine Order kam.

---

### Das EU-US DPF und das “Certification” Problem [\#](#das-eu-us-dpf-und-das-certification-problem "Das EU-US DPF und das ")

#### DPF sagt: [\#](#dpf-sagt "DPF sagt:")

“US-Unternehmen, die dem DPF beitreten, werden zusätzlich geschützt:

1. Data Protection Review Court wird eingerichtet (Beschwerden können eingereicht werden)
2. Zugriffe müssen ‘nachgelagert’ überprüfbar sein”

#### Das Problem: [\#](#das-problem "Das Problem:")

Der CLOUD Act bleibt unverändert. Die Order kann trotzdem ergehen, bevor Review Court etwas tun kann.

**Beispiel:**

```
FBI sendet Order an AWS.
AWS muss Daten herausgeben (<button data-glossary="true" data-popover-target="glossary-1188676127-6" data-popover-trigger="hover" type="button">CLOUD Act</button>).
ERST DANACH kann der Betroffene beim Review Court einreichen.
Aber die Daten sind schon raus!

```

Das ist wie: “Ihr Haus wird geplündert, aber Sie können später vor Gericht Beschwerde einreichen.”

---

### Praktische Implikationen [\#](#praktische-implikationen "Praktische Implikationen")

#### Für Compliance-kritische Daten [\#](#f%C3%BCr-compliance-kritische-daten "Für Compliance-kritische Daten")

**Szenarien:**

- Medizinische Daten (Patientendaten)
- Finanzielle Daten (Bankkonten)
- Geschäftsgeheimnisse (Trade Secrets)
- Regierungsauftragsdaten

**Empfehlung:** Nicht bei US-Cloud speichern. Oder: Mit sehr strikter Verschlüsselung (Keys halten Sie in Ihrem On-Premises-System).

#### Für unkritische Daten [\#](#f%C3%BCr-unkritische-daten "Für unkritische Daten")

**Szenarien:**

- Test-Daten
- Öffentliche Inhalte
- Zeitlich begrenzte Daten

**Empfehlung:** AWS/Azure/Google ist okay (Kosten ist wichtiger).

#### Geopolitisches Risiko [\#](#geopolitisches-risiko "Geopolitisches Risiko")

**Szenarien:**

- Deutschland zu US-Feind erklärt?
- Neue Sanktionen gegen EU-Tech-Unternehmen?
- USA blockiert Cloud-Zugriff für Nicht-Verbündete?

**Risiko:** Existiert, ist aber selten (noch nicht passiert)

---

### Lösungsansätze [\#](#l%C3%B6sungsans%C3%A4tze "Lösungsansätze")

#### 1. Europäische Cloud [\#](#1-europ%C3%A4ische-cloud "1. Europäische Cloud")

**Lösung:** Scaleway, OVHcloud, Hetzner, Ionos (alle europäisch)

**Vorteile:**

- ✅ CLOUD Act gilt nicht
- ✅ DSGVO-konform
- ✅ Datensouveränität

**Nachteile:**

- ❌ Teurer (30–50% Aufschlag)
- ❌ Weniger Services
- ❌ Kleineres Ökosystem

#### 2. Client-Side Encryption [\#](#2-client-side-encryption "2. Client-Side Encryption")

**Lösung:** Daten verschlüsseln, bevor sie zur Cloud gehen. Nur Sie haben Keys.

**Vorteile:**

- ✅ US-Behörden sehen nur encrypted Data (nutzlos)
- ✅ Dennoch AWS/Azure/Google nutzbar

**Nachteile:**

- ❌ Suchen in encrypted Data schwierig (Suchfunktionen eingeschränkt)
- ❌ Performance-Overhead
- ❌ Key-Management ist komplex

#### 3. On-Premises + Hybrid [\#](#3-on-premises-hybrid "3. On-Premises + Hybrid")

**Lösung:** Kritische Daten On-Premises, unkritische in Cloud.

**Vorteile:**

- ✅ Kritische Daten geschützt
- ✅ Cloud-Skalierbarkeit für andere Daten

**Nachteile:**

- ❌ Komplexe Infrastruktur

---

### Häufige Fragen [\#](#h%C3%A4ufige-fragen "Häufige Fragen")

**Kann AWS/Azure/Google eine CLOUD-Act-Order verweigern?**Nein. Sie sind Pflicht-Unterwerfer. Wenn sie verweigern, gibt es Strafen.

**Gibt es ein CLOUD-Act-Pendant für EU-Länder?**Nicht so explicit. Aber: EU-Länder können auch Daten-Herausgabe-Orders erteilen (weniger known, aber legal).

**Ist das nicht gegen DSGVO?**Ja, das ist die Paradoxie. DSGVO sagt “Daten-Transfer nur mit angemessenem Schutz”. CLOUD Act sagt “Herausgabe egal”. Das ist ein Konflikt.

**Was ist die beste Lösung?**Depends:

- Nicht-kritische Daten: US-Cloud ist okay
- Kritische Daten: Europäische Cloud oder On-Premises
- Hybrid: Best Practice (beide nutzen)

---

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### Datensouveränität

Datensouveränität beschreibt die vollständige Kontrolle einer Organisation über ihre Daten: wo sie gespeichert werden, wer darauf zugreifen kann, welchem Rechtsrahmen sie unterliegen und ob sie jederzeit ohne Abhängigkeit von einem einzelnen Anbieter verfügbar sind.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/datensouver%C3%A4nit%C3%A4t)