Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US‑amerikanisches Gesetz aus dem Jahr 2018. Es regelt, unter welchen Bedingungen US‑Behörden auf Daten zugreifen dürfen, die von US‑Unternehmen gespeichert werden – auch wenn diese Daten sich physisch außerhalb der USA befinden.
Damit hat der CLOUD Act große Bedeutung für Datenschutz, internationale Zusammenarbeit und Cloud‑Anbieter wie Microsoft, Google oder Amazon.
Was der CLOUD Act bewirkt
1. Zugriff auf Daten weltweit
US‑Behörden können US‑Cloud‑Anbieter verpflichten, Daten herauszugeben, selbst wenn diese in Rechenzentren in Europa oder anderen Regionen gespeichert sind.
2. Rechtskonflikte mit anderen Ländern
Der CLOUD Act kann mit Datenschutzgesetzen wie der DSGVO kollidieren, da europäische Regeln den Zugriff auf personenbezogene Daten stark einschränken.
3. Internationale Abkommen
Das Gesetz ermöglicht sogenannte Executive Agreements zwischen den USA und anderen Staaten, um den Datenaustausch rechtlich sauberer zu gestalten.
Warum der CLOUD Act eingeführt wurde
Er entstand, nachdem Microsoft sich geweigert hatte, Daten aus einem Rechenzentrum in Irland an US‑Behörden herauszugeben. Der Fall zeigte eine Gesetzeslücke: US‑Recht galt nur für Daten innerhalb der USA. Der CLOUD Act schloss diese Lücke.
Auswirkungen für Unternehmen und Nutzer
Vorteile
- Klare rechtliche Grundlage für internationale Ermittlungen
- Schnellere Zusammenarbeit zwischen Staaten
Herausforderungen
- Unsicherheit für Unternehmen, die US‑Cloud‑Dienste nutzen
- Mögliche Konflikte mit europäischen Datenschutzvorgaben
- Diskussionen über Souveränität und Kontrolle über Daten
Wie Anbieter reagieren
Viele Cloud‑Provider setzen auf:
- Datenlokalisierung (z. B. EU‑Rechenzentren)
- Verschlüsselung, bei der nur der Kunde die Schlüssel kontrolliert
- Sovereign Cloud‑Modelle, die Zugriffe technisch und organisatorisch begrenzen
