CLOUD Act: Was deutsche KMU jetzt wissen müssen
Was ist der CLOUD Act?
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-amerikanisches Gesetz aus dem Jahr 2018. Es verpflichtet US-Unternehmen, gespeicherte Daten auf Anfrage von US-Behörden herauszugeben - unabhängig davon, wo sich die Daten physisch befinden. Das bedeutet: Auch wenn ein deutsches KMU seine Daten bei einem US-Cloud-Anbieter in einem Frankfurter Rechenzentrum speichert, können US-Behörden den Zugriff verlangen.
Diese extraterritoriale Reichweite steht in direktem Konflikt mit der europäischen Datenschutz-Grundverordnung (DSGVO), die den Transfer personenbezogener Daten in Drittländer ohne angemessenes Schutzniveau verbietet.
Warum betrifft das deutsche KMU?
Viele kleine und mittlere Unternehmen in Deutschland nutzen Cloud-Dienste von US-Anbietern, ohne sich der rechtlichen Implikationen bewusst zu sein. Die Nutzung von AWS, Microsoft Azure, Google Cloud oder SaaS-Diensten wie Salesforce, Slack oder Microsoft 365 fällt unter den Geltungsbereich des CLOUD Act.
Die Zahlen sprechen für sich
Laut aktüllen Erhebungen nutzen über 70 Prozent der deutschen KMU mindestens einen US-Cloud-Dienst. Gleichzeitig zeigen Studien, dass weniger als 15 Prozent dieser Unternehmen eine dokumentierte Bewertung ihrer Cloud-Abhängigkeiten durchgeführt haben.
Konkrete Risiken
- Datenzugriff ohne Wissen des Unternehmens: US-Behörden können Herausgabeverfügungen mit Verschwiegenheitspflicht erlassen. Der Cloud-Anbieter darf sein Kunden nicht informieren.
- DSGVO-Verstoss: Die Herausgabe personenbezogener Daten an US-Behörden ohne Rechtsgrundlage nach EU-Recht stellt einen DSGVO-Verstoss dar. Bussgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes sind möglich.
- Verlust von Geschäftsgeheimnissen: Nicht nur personenbezogene Daten sind betroffen. Auch Geschäftsgeheimnisse, Verträge und strategische Dokumente können Gegenstand einer Herausgabeverfügung sein.
Der CLOUD Act nach Schrems II
Das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) von 2020 hat das EU-US Privacy Shield für ungültig erklärt. Der Grund: US-Überwachungsgesetze wie der CLOUD Act und FISA Section 702 bieten keinen angemessenen Schutz für EU-Bürger.
Seit Juli 2023 gilt der EU-US Data Privacy Framework (DPF) als Nachfolger. Datenschutzexperten und der Europäische Datenschutzausschuss (EDPB) warnen jedoch, dass die grundlegenden Probleme nicht gelöst sind. Ein “Schrems III”-Verfahren ist bereits anhängig.
Was bedeutet das für den Tech-Stack?
Deutsche KMU sollten ihren gesamten Technology-Stack auf US-Abhängigkeiten prüfen. Dabei geht es nicht nur um die offensichtlichen Cloud-Dienste, sondern auch um:
- Identity Provider: Wird Microsoft Entra ID oder Google als Login-Dienst genutzt?
- Kommunikation: Laufen E-Mails über Microsoft Exchange Online oder Google Workspace?
- Entwicklungswerkzeuge: Liegen Code-Repositories bei GitHub (Microsoft)?
- Analytics und Tracking: Werden Google Analytics oder US-basierte Tracking-Dienste eingesetzt?
- Zahlungsabwicklung: Verarbeiten US-Zahlungsdienstleister Kundendaten?
Jeder dieser Dienste fällt potenziell unter den CLOUD Act.
EU-Alternativen existieren
Der europäische Markt für Cloud- und SaaS-Dienste wächst. Verzeichnisse wie European Alternatives listen über 300 europäische Unternehmen, die Alternativen zu gängigen US-Diensten anbieten. Das Gaia-X-Projekt der EU arbeitet an einem Service-Katalog mit über 600 zertifizierten Diensten.
Für viele Anwendungsfälle gibt es europäische Alternativen:
| US-Dienst | Europäische Alternative | Hauptsitz |
|---|---|---|
| AWS / Azure | IONOS, OVHcloud, Hetzner | DE / FR / DE |
| Google Workspace | Open-Xchange, Nextcloud | DE / DE |
| Slack | Rocket.Chat, Element | DE / UK |
| GitHub | GitLab (Self-Hosted) | NL |
| Google Analytics | Plausible, Matomo | EE / NZ* |
*Matomo ist Open Source und kann selbst gehostet werden.
Wie KMU jetzt handeln sollten
1. Bestandsaufnahme durchführen
Erfassen Sie alle genutzten Cloud- und SaaS-Dienste. Prüfen Sie für jeden Dienst: Wo ist der Anbieter ansässig? Unterliegt er dem CLOUD Act?
2. Risikobewertung erstellen
Nicht alle Daten sind gleich schutzwürdig. Personenbezogene Daten, Gesundheitsdaten und Geschäftsgeheimnisse erfordern besondere Aufmerksamkeit.
3. Alternativen evaluieren
Für kritische Dienste sollten europäische Alternativen geprüft werden. Eine Migration muss nicht sofort erfolgen - aber ein Plan sollte existieren.
4. Vertragliche Absicherung prüfen
Bestehende Verträge mit US-Anbietern sollten auf Standardvertragsklauseln (SCCs) und zusätzliche technische Massnahmen geprüft werden.
Automatisierte Prüfung des eigenen Stacks
Eine manülle Bestandsaufnahme ist zeitaufwändig und fehleranfällig. Automatisierte Tools können den eigenen Technology-Stack systematisch auf Abhängigkeiten von US-Anbietern prüfen. Dabei werden technische Indikatoren wie DNS-Einträge, TLS-Zertifikate, HTTP-Header und standardisierte Well-Known-URIs ausgewertet.
Solche automatisierten Prüfungen liefern nicht nur eine Momentaufnahme, sondern können als kontinuierliches Monitoring eingesetzt werden. Denn Cloud-Anbieter ändern ihre Infrastruktur und Vertragsbedingungen regelmässig.
Fazit
Der CLOUD Act stellt deutsche KMU vor ein reales Compliance-Risiko. Die Nutzung von US-Cloud-Diensten ist nicht per se verboten, erfordert aber eine bewusste Risikobewertung und dokumentierte Massnahmen. Wer seinen Stack nicht kennt, kann ihn nicht schützen.
Prüfen Sie jetzt Ihren Stack: Mit dem DASC Souveränitäts-Check analysieren Sie kostenlos, wie abhängig Ihr Unternehmen von US-Cloud-Anbietern ist — automatisiert und in wenigen Minuten.