--- title: US CLOUD Act date: 2026-06-01T17:22:00+02:00 canonical_url: "https://www.fast-lta.de//de/glossar/us-cloud-act" section: Glossar --- Der CLOUD Act (2018) ist ein US-Bun­des­ge­setz, das Straf­ver­fol­gungs­be­hör­den berech­tigt, US-Unter­neh­men zur Her­aus­ga­be von Daten zu ver­pflich­ten, die die­se im Auf­trag von Kun­den spei­chern — unab­hän­gig vom phy­si­schen Stand­ort der Ser­ver. Das betrifft Ama­zon Web Ser­vices (AWS), Micro­soft Azu­re, Goog­le Cloud Plat­form sowie alle wei­te­ren US-Unter­neh­men und deren Tochtergesellschaften. Die prak­ti­sche Kon­se­quenz ist erheb­lich: Wenn Back­up-Daten bei einem US-Cloud-Pro­vi­der lie­gen — auch auf einem Ser­ver in Frank­furt —, kann eine US-Behör­de die Her­aus­ga­be die­ser Daten ver­lan­gen. Der Pro­vi­der steht dann vor einem Kon­flikt zwi­schen US-Recht (Her­aus­ga­be­pflicht) und EU-Recht (DSGVO-Ver­bot der Her­aus­ga­be an Drit­te ohne Rechts­grund­la­ge). Euro­päi­sche Daten­schutz­be­hör­den — dar­un­ter die öster­rei­chi­sche DSB, die fran­zö­si­sche CNIL und das baye­ri­sche LDA — haben in meh­re­ren Ent­schei­dun­gen fest­ge­stellt, dass die Nut­zung von US-Cloud-Diens­ten für bestimm­te Daten­ka­te­go­rien ein unzu­rei­chen­des Schutz­ni­veau darstellt. Das EU-US Data Pri­va­cy Frame­work (2023) ist der Ver­such, die­sen Kon­flikt zu lösen — aber sein Nach­fol­ger des für ungül­tig erklär­ten Pri­va­cy Shield (Schrems-II-Urteil, EuGH 2020) ist recht­lich fra­gil. Ein wei­te­res Schrems-Urteil des EuGH erscheint mög­lich. Für Orga­ni­sa­tio­nen, die Daten­sou­ve­rä­ni­tät lang­fris­tig sicher­stel­len müs­sen, ist On-Pre­mi­ses-Spei­che­rung oder die Nut­zung rein euro­päi­scher Cloud-Anbie­ter die belast­ba­re­re Strategie. ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ## Fragen und Antworten #### Schützt mich ein EU-Serverstandort vor dem US CLOUD Act? Nein. Der CLOUD Act knüpft nicht an den physischen Serverstandort an, sondern an den Rechtsrahmen des Unternehmens, das die Daten speichert. Ein AWS-Server in Frankfurt unterliegt US-Recht, weil AWS ein US-Unternehmen ist. Entscheidend ist: Welchem Recht unterliegt der Anbieter — nicht wo seine Server stehen. #### Gilt der CLOUD Act auch für Microsoft 365 und Azure? Ja. Microsoft ist ein US-Unternehmen und unterliegt dem CLOUD Act. Das gilt auch für Daten, die in Microsoft-Rechenzentren innerhalb der EU gespeichert sind. Microsoft hat eigene Strukturen (EU Data Boundary) eingeführt, um den Konflikt zu minimieren — aber eine vollständige Immunität gegenüber dem CLOUD Act bietet das nicht.