US CLOUD Act

Der US CLOUD Act wurde 2018 in der ersten Präsidentschaft von Donald Trump geschaffen. Die Abkürzung steht für Clarifying Lawful Overseas Use of Data Act.Er erweitert den sogenannten Stored Communication Act und ist in die zentrale Gesetzgebung der USA übernommen worden, den United States Code (USC).

Für den CLOUD Act sind die Abschnitte 18 USC §§ 2703 ff. und 18 USC § 2713 von besonderer Bedeutung.

Die Bedeutung wurde in mehreren Rechtsgutachten analysiert. In 2025 erstellte die Universität Köln im Auftrag des Bundesinnenministeriums eine Studie, die Wissenschaftlichen Dienste des Deutschen Bundestages fassten ihre Erkenntnisse 2023 zusammen.

Die wesentlichen Punkte:

  • US-Behörden haben weitreichenden Zugriff auch auf Daten, die in europäischen Rechenzentren gespeichert sind. Voraussetzung ist, dass die US-Muttergesellschaft die letztliche Kontrolle ausübt.
  • Rein europäische Unternehmen kann es ebenfalls treffen, sofern diese relevante geschäftliche Verbindungen in die USA unterhalten.
  • Darüber hinaus verlangt das US-Prozessrecht von Parteien, verfahrensrelevante Informationen schon vor Beginn eines Rechtsstreits zu speichern. Ein Cloud-Dienstleister, der regelmäßig mit Herausgabeverlangen konfrontiert ist, könnte daher zur Aufbewahrung von Daten verpflichtet sein. Schließt er sich durch technische Maßnahmen vom Zugang aus, riskiert er erhebliche Bußgelder oder strafrechtliche Konsequenzen. [Anmerkung: Diese Regelung eröffnet den Raum für Spekulationen, wie es um die Verschlüsselungstechnologien steht, die von Unternehmen angeboten werden, die dieser Jurisdiktion unterliegen. siehe Heise.]

 

Der CLOUD Act gilt auch in den "souveränen" Clouds der US-Tech-Konzerne in Deutschland bzw. Europa

Nach Einschätzung von Rechstwissenschaftlern und zivilgesellschaftlichen Organisationen ermöglicht der CLOUD Act es US-Behörden, jederzeit und ohne öffentliche Verlautbarungen weltweit auf persönliche Daten von Privatpersonen, aber auch von Unternehmen und Behörden zuzugreifen, wenn diese bei einem Cloudanbieter aus den USA oder bei einem ausländischen Tochterunternehmen eines US-Dienstleisters gespeichert sind. Der Act unterscheidet nicht zwischen Mitarbeitern mit und ohne
US-Staatsangehörigkeit. Daher bringen Marketingaussagen der us-amerikanischen Hyperscaler wie "mit europäischen Mitarbeitern" rein gar nichts in Sachen Datensouveränität. Im Gegenteil, es muss davon ausgegangen werden, dass hier bewusst Sand in die Augen von Unternehmen und Verbrauchern gestreut wird, um an Kunden und deren Daten heranzukommen.

Im Jahr 2025 haben Microsoft und AWS es auch zugegeben, dass sie mit ihren angeblich souveränen europäischen Cloud den US-Regularien unterliegen und diese respektieren. Dies erfolgte in dem einen Fall unter Eid vor dem französischen Senat und in dem anderen Fall beim Firmen-Summit 2025 vor Kunden.

Ob die US-Konzerne alle Rechtsmittel ausschöpfen, um die Daten ihrer Kunden vor einer Herausgabe zu schützen, ist zweifelhaft. Denn zum einen lässt sich die devote Zusammenarbeit mit der Trump-Administration bald täglich in den Nachrichten beobachten. Weiterhin sind die von Microsoft schnell vollzogenen Strafmaßnahmen gegen den Chefankläger des Internationalen Strafgerichtshofs in Den Haag ein erstes Paradebeispiel, wie schnell die Konzerne auf Verlangen der Administration handeln.

Aber das BSI tut doch...

Der renommierte IT-Journalist Erik Bärwald beschreibt in einem bemerkenswerten Artikel auf golem.de am 18. August 2025 die unheilvolle Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI), das eng mit Google Cloud und AWS kooperiert. Er beschreibt, dass die schon 1969 gegründete Gesellschaft für Informatik (GI) die Kooperationsvereinbarung des BSI mit Google eingehend fachlich analysiert habe und zu verheerenden Ergebnissen kommt: "Die BSI-Google-Zusammenarbeit ist ein potenzieller Booster für digitale Abhängigkeit und Erpressbarkeit Deutschlands von den USA." An anderer Stelle heißt es: "Die geplante Zusammenarbeit des BSI mit Google gefährdet nicht nur unsere nationale Sicherheit und Cybersecurity, sondern auch die strategische Autonomie und Handlungsfähigkeit der Bundesbehörden und erhöht die Erpressbarkeit von Bundesregierung, Bundesverwaltung und der deutschen Bürgerinnen und Bürger." Die Gesellschaft für Informatik e. V. (GI) ist laut Wikipedia die größte Interessenvertretung für Informatik im deutschsprachigen Raum.