Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz von 2018, das US-Behörden erlaubt, auf Daten zuzugreifen, die bei US-Technologieunternehmen gespeichert sind – unabhängig davon, wo die Daten physisch gespeichert sind, also auch auf Servern in der EU. Das Gesetz gilt extraterritorial und verpflichtet US-Anbieter (wie Amazon, Google, Microsoft), Daten herauszugeben, was zu Konflikten mit der europäischen DSGVO führt und deutsche Unternehmen betrifft, die diese Anbieter nutzen.
Kernpunkte
- Zugriffsbefugnis: US-Behörden können von US-Unternehmen die Herausgabe von Kundendaten verlangen, auch wenn diese auf Servern im Ausland liegen.
- Extraterritoriale Wirkung: Der Standort der Server ist irrelevant; entscheidend ist der US-Sitz des Anbieters.
- Konflikt mit DSGVO: Der Act steht oft im Widerspruch zum europäischen Datenschutz (DSGVO), da er Zugriff auf sensible Daten ohne Zustimmung des betroffenen Landes ermöglicht.
- Betroffene Unternehmen: Jedes Unternehmen, das US-Cloud-Dienste (z.B. Microsoft Teams, AWS) nutzt, macht seine Daten potenziell für US-Behörden zugänglich, oft ohne dass der Kunde davon erfährt.
Bedeutung für Deutschland/EU
- Rechtliche Unsicherheit: Schafft eine dauerhafte rechtliche Unsicherheit für Unternehmen, die US-Anbieter nutzen.
- Datenschutzrisiko: Erhöht das Risiko, dass sensible europäische Daten US-Überwachungspflichten unterliegen.
- Empfehlung: Es wird empfohlen, Daten bei europäischen oder deutschen Anbietern zu speichern, um diesen Risiken zu entgehen.
