US CLOUD Act

Der CLOUD Act (2018) ist ein US-Bun­des­ge­setz, das Straf­ver­fol­gungs­be­hör­den berech­tigt, US-Unter­neh­men zur Her­aus­ga­be von Daten zu ver­pflich­ten, die die­se im Auf­trag von Kun­den spei­chern — unab­hän­gig vom phy­si­schen Stand­ort der Ser­ver. Das betrifft Ama­zon Web Ser­vices (AWS), Micro­soft Azu­re, Goog­le Cloud Plat­form sowie alle wei­te­ren US-Unter­neh­men und deren Tochtergesellschaften.

Die prak­ti­sche Kon­se­quenz ist erheb­lich: Wenn Back­up-Daten bei einem US-Cloud-Pro­vi­der lie­gen — auch auf einem Ser­ver in Frank­furt —, kann eine US-Behör­de die Her­aus­ga­be die­ser Daten ver­lan­gen. Der Pro­vi­der steht dann vor einem Kon­flikt zwi­schen US-Recht (Her­aus­ga­be­pflicht) und EU-Recht (DSGVO-Ver­bot der Her­aus­ga­be an Drit­te ohne Rechts­grund­la­ge). Euro­päi­sche Daten­schutz­be­hör­den — dar­un­ter die öster­rei­chi­sche DSB, die fran­zö­si­sche CNIL und das baye­ri­sche LDA — haben in meh­re­ren Ent­schei­dun­gen fest­ge­stellt, dass die Nut­zung von US-Cloud-Diens­ten für bestimm­te Daten­ka­te­go­rien ein unzu­rei­chen­des Schutz­ni­veau darstellt.

Das EU-US Data Pri­va­cy Frame­work (2023) ist der Ver­such, die­sen Kon­flikt zu lösen — aber sein Nach­fol­ger des für ungül­tig erklär­ten Pri­va­cy Shield (Schrems-II-Urteil, EuGH 2020) ist recht­lich fra­gil. Ein wei­te­res Schrems-Urteil des EuGH erscheint mög­lich. Für Orga­ni­sa­tio­nen, die Daten­sou­ve­rä­ni­tät lang­fris­tig sicher­stel­len müs­sen, ist On-Pre­mi­ses-Spei­che­rung oder die Nut­zung rein euro­päi­scher Cloud-Anbie­ter die belast­ba­re­re Strategie.