CLOUD Act, EU-DSGVO, Schrems II: Was Unternehmen wirklich wissen müssen

Für Unternehmen bedeutet dieser CLOUD Act DSGVO-Konflikt mehr als juristische Spitzfindigkeiten: Es geht um existenzielle Risiken, Bußgelder in Millionenhöhe und die Frage, wie digitale Transformation überhaupt noch möglich ist, wenn die weltweit führenden Cloud-Anbieter aus den USA kommen. Microsoft 365, Google Workspace, AWS, Salesforce – sie alle stehen im Zentrum dieses Spannungsfelds.

Dieser Artikel erklärt den CLOUD Act DSGVO-Konflikt verständlich für Nicht-Juristen, zeigt auf, was das Schrems-II-Urteil verändert hat und gibt konkrete Handlungsempfehlungen für Unternehmen. Am Ende wissen Sie genau, ob Ihr Unternehmen betroffen ist – und was Sie tun müssen, um rechtssicher zu bleiben.

Der CLOUD Act verständlich erklärt: Wenn US-Behörden weltweit zugreifen

Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, wurde am 23. März 2018 vom US-Kongress verabschiedet. Sein Ziel: US-Strafverfolgungsbehörden den Zugriff auf Daten zu ermöglichen, die von US-Unternehmen gespeichert werden – unabhängig davon, wo auf der Welt sich die Server befinden.

Die Kernaussage des CLOUD Act

Der CLOUD Act verpflichtet US-amerikanische Technologieunternehmen, auf Anforderung von US-Behörden (FBI, NSA, CIA etc.) Daten herauszugeben, selbst wenn diese auf Servern in Europa, Asien oder anderen Regionen gespeichert sind. Das Gesetz durchbricht damit bewusst nationale Datenschutzgrenzen.

Beispiel: Microsoft betreibt Rechenzentren in Frankfurt und Amsterdam. Deutsche Unternehmen speichern ihre Daten dort in der Annahme, dass EU-Datenschutzrecht gilt. Doch wenn das FBI im Rahmen einer Ermittlung auf diese Daten zugreifen will, muss Microsoft sie nach dem CLOUD Act herausgeben – selbst wenn deutsches oder EU-Recht dem widerspricht.

Wer ist vom CLOUD Act betroffen?

Der CLOUD Act gilt für:

• US-Unternehmen: Microsoft, Google, Amazon, Salesforce, Dropbox etc.
• Ausländische Unternehmen mit US-Präsenz: Tochtergesellschaften, Niederlassungen
• Alle Daten unter ihrer Kontrolle: unabhängig vom Speicherort

Wichtig zu verstehen: Es spielt keine Rolle, dass Microsoft ein Rechenzentrum in Frankfurt betreibt. Solange Microsoft ein US-Unternehmen ist, unterliegt es dem CLOUD Act – und muss im Zweifelsfall Daten herausgeben, selbst wenn diese in Deutschland liegen und deutschen Datenschutzbestimmungen unterliegen. Mehr zur sicheren Cloud-Speicherung finden Sie auf docurex.com.

Rechtliche Absicherung durch „Executive Agreements“

Der CLOUD Act sieht sogenannte „Executive Agreements“ zwischen den USA und anderen Staaten vor, die den Datenzugriff regeln sollen. Die EU und die USA haben 2022 ein solches Abkommen angekündigt (EU-US Data Privacy Framework), das Privacy Shield ersetzen soll. Kritiker bemängeln jedoch, dass auch dieses Abkommen keinen ausreichenden Schutz vor anlasslosem Datenzugriff bietet.

Die DSGVO und ihre Anforderungen: Europäischer Datenschutz als Goldstandard

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar anwendbar. Sie gilt als einer der strengsten Datenschutzrahmen weltweit und setzt klare Grenzen für die Verarbeitung personenbezogener Daten.

Grundprinzipien der DSGVO

Die DSGVO basiert auf mehreren Kerngrundsätzen:

• Rechtmäßigkeit: Datenverarbeitung nur mit Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse)
• Zweckbindung: Daten nur für festgelegte Zwecke erheben
• Datenminimierung: nur so viele Daten wie nötig
• Richtigkeit: Daten müssen aktuell und korrekt sein
• Speicherbegrenzung: Löschung nach Zweckerfüllung
• Integrität und Vertraulichkeit: technische und organisatorische Maßnahmen (TOMs)

Datenübermittlung in Drittländer: Die besondere Hürde

Besonders relevant für den CLOUD Act DSGVO-Konflikt ist Kapitel V der DSGVO, das die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU regelt. Die DSGVO erlaubt solche Übermittlungen nur unter strengen Voraussetzungen:

1. Angemessenheitsbeschluss der EU-Kommission: Das Drittland muss ein „angemessenes Datenschutzniveau“ bieten (Art. 45 DSGVO)
2. Geeignete Garantien: z.B. EU-Standardvertragsklauseln (Art. 46 DSGVO)
3. Ausnahmen für spezifische Situationen: z.B. ausdrückliche Einwilligung (Art. 49 DSGVO)

Das Problem: Die USA haben keinen Angemessenheitsbeschluss mehr, nachdem der EuGH sowohl Safe Harbor (2015) als auch Privacy Shield (2020) für ungültig erklärt hat. Damit bleiben nur Standardvertragsklauseln – doch auch diese stehen seit Schrems II unter Druck.

Unternehmen, die gegen die DSGVO verstoßen, drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Zusätzlich sind Schadensersatzklagen betroffener Personen möglich. Wie Sie Ihre DSGVO-Compliance sicherstellen, erfahren Sie in unseren Ratgebern.

Schrems II: Der Game Changer im transatlantischen Datentransfer

Am 16. Juli 2020 fällte der Europäische Gerichtshof (EuGH) ein Urteil, das den transatlantischen Datenverkehr grundlegend veränderte: die Entscheidung im Fall Schrems II (C-311/18).

Die Vorgeschichte: Schrems I (2015)

Bereits 2015 hatte der österreichische Datenschutzaktivist Maximilian Schrems einen ersten Erfolg erzielt: Der EuGH erklärte das Safe Harbor-Abkommen für ungültig, das bis dahin als Rechtsgrundlage für Datenübermittlungen in die USA diente. Grund war die massenhafte Überwachung durch US-Geheimdienste (NSA), die durch die Snowden-Enthüllungen bekannt wurde.

Als Reaktion verhandelten die EU und die USA ein neues Abkommen: das EU-US Privacy Shield, das 2016 in Kraft trat. Doch auch dieses sollte nicht lange Bestand haben.

Schrems II (2020): Privacy Shield fällt

Im Juli 2020 erklärte der EuGH auch das Privacy Shield für ungültig. Die Begründung: US-Überwachungsprogramme wie Section 702 FISA und Executive Order 12333 ermöglichen einen unverhältnismäßigen Zugriff auf Daten europäischer Bürger. Es fehle an:

• Verhältnismäßigkeit: Überwachung nicht auf das Notwendige beschränkt
• Rechtsschutz: EU-Bürger können sich nicht effektiv gegen US-Überwachung wehren
• Unabhängige Aufsicht: keine gleichwertige Kontrolle wie in der EU

Die Konsequenzen für Unternehmen

Das Schrems-II-Urteil hat drei zentrale Auswirkungen:

1. Privacy Shield ist ungültig: Unternehmen können sich nicht mehr darauf berufen
2. Standardvertragsklauseln bleiben gültig, ABER: Unternehmen müssen prüfen, ob diese im Einzelfall ausreichenden Schutz bieten
3. Transfer Impact Assessment (TIA) erforderlich: Vor jeder Datenübermittlung in die USA muss eine individuelle Risikoanalyse durchgeführt werden

Der EuGH stellte klar: Wenn ein Drittland (wie die USA) Zugriffsmöglichkeiten auf Daten hat, die mit der DSGVO unvereinbar sind, können auch technische und organisatorische Maßnahmen diesen Konflikt nicht lösen – es sei denn, sie verhindern den Zugriff vollständig (z.B. durch Ende-zu-Ende-Verschlüsselung).

Mehr zur Umsetzung rechtssicherer Datenschutzstrategien finden Sie auf docurex.com.

Der unlösbare Konflikt: Wenn CLOUD Act und DSGVO aufeinanderprallen

Der CLOUD Act DSGVO-Konflikt ist das Ergebnis zweier unvereinbarer Rechtssysteme, die auf unterschiedlichen Werten und Prioritäten basieren:

Das Dilemma für US-Technologieunternehmen

US-Unternehmen wie Microsoft, Google und Amazon stecken in einem rechtlichen Dilemma:

• Folgen sie dem CLOUD Act: riskieren sie DSGVO-Bußgelder in der EU
• Verweigern sie die Herausgabe: drohen US-Strafen und Contempt-of-Court-Verfahren

Microsoft hat öffentlich erklärt, dass das Unternehmen im Konfliktfall US-Recht befolgen würde – auch wenn das gegen europäisches Recht verstößt. Das bedeutet für europäische Kunden: Ihre Daten sind nicht vor US-Zugriff geschützt, selbst wenn sie in EU-Rechenzentren liegen.

Warum „technische Maßnahmen“ oft nicht ausreichen

Viele Anbieter werben mit „technischen Schutzmaßnahmen“ wie Verschlüsselung oder Pseudonymisierung. Doch der EuGH hat im Schrems-II-Urteil klargestellt: Solange der Cloud-Anbieter selbst Zugriff auf die Daten hat (z.B. um sie zu entschlüsseln), können diese Maßnahmen den Konflikt nicht lösen. Nur Ende-zu-Ende-Verschlüsselung ohne Zugriff des Anbieters würde ausreichen – doch das macht viele Cloud-Dienste funktional unmöglich.

Unternehmen müssen daher genau prüfen, welche Lösungen wirklich DSGVO-konform sind. docurex bietet eine in Deutschland gehostetet, sichere Alternative, die diesen Konflikt vermeiden.

Was bedeutet das konkret für Unternehmen?

Der CLOUD Act DSGVO-Konflikt ist nicht nur ein juristisches Problem – er hat direkte Auswirkungen auf die IT-Strategie, Compliance und Geschäftsprozesse von Unternehmen.

1. Rechtliche Risiken

DSGVO-Bußgelder: Unternehmen, die personenbezogene Daten unrechtmäßig in die USA übermitteln, riskieren hohe Strafen. Datenschutzbehörden haben bereits mehrfach durchgegriffen:

• Meta (Facebook/Instagram): 1,2 Mrd. € (2023)
• Amazon: 746 Mio. € (2021)
• Google: 90 Mio. € (2022)

Schadensersatzklagen: Betroffene Personen können zivilrechtlich klagen, wenn ihre Rechte verletzt wurden.

Geschäftsrisiken: Datenpannen können zu Reputationsschäden, Kundenverlusten und Vertragsstrafen führen.

2. Compliance-Anforderungen

Nach Schrems II müssen Unternehmen ein Transfer Impact Assessment (TIA) durchführen, bevor sie Daten in Drittländer übermitteln. Das TIA umfasst:

• Analyse der Rechtslage im Zielland (USA: CLOUD Act, FISA Section 702)
• Bewertung der Zugriffsmöglichkeiten von Behörden
• Prüfung, ob Standardvertragsklauseln ausreichend sind
• Identifikation zusätzlicher technischer Maßnahmen
• Dokumentation der Risikoanalyse

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Europäische Datenschutzausschuss (EDSA) bieten Leitfäden für die Durchführung von TIAs.

3. IT-strategische Konsequenzen

Unternehmen müssen ihre Cloud-Strategie überdenken:

• Vendor Lock-in-Risiko: Abhängigkeit von US-Anbietern wie Microsoft, Google, AWS
• Migrationsbedarf: Umzug auf europäische Alternativen kann notwendig werden
• Hybride Architekturen: Sensible Daten in Europa, unkritische Daten ggf. in den USA
• Zero-Knowledge-Verschlüsselung: Technologien, bei denen der Anbieter keinen Zugriff auf Daten hat

Eine praxisnahe Lösung bietet docurex mit DSGVO-konformen Dokumentenmanagementsystemen, die in deutschen Rechenzentren gehostet werden.

Branchenanalyse: Wer ist besonders gefährdet?

Nicht alle Unternehmen sind gleichermaßen vom CLOUD Act DSGVO-Konflikt betroffen. Die Risiken hängen von mehreren Faktoren ab:

Hochrisikobranchen

1. Gesundheitswesen

Krankenhäuser, Arztpraxen und Pflegeeinrichtungen verarbeiten hochsensible Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO). Ein Zugriff durch US-Behörden ist hier besonders problematisch. Praxissoftware, Telemedizin-Plattformen und elektronische Patientenakten (ePA) sollten nicht über US-Cloud-Anbieter laufen.

2. Rechtsanwaltskanzleien und Steuerberater

Mandantendaten unterliegen der anwaltlichen Schweigepflicht bzw. dem Steuergeheimnis. Ein Zugriff durch ausländische Behörden kann berufsrechtliche Konsequenzen haben. Der Deutsche Anwaltverein (DAV) warnt ausdrücklich vor US-Cloud-Diensten ohne zusätzliche Schutzmaßnahmen.

3. Öffentliche Verwaltung

Behörden verarbeiten Daten von Bürgern und sind besonders zur Vertraulichkeit verpflichtet. Mehrere Bundesländer haben bereits Cloud-Projekte mit Microsoft gestoppt oder überprüfen sie kritisch (z.B. Baden-Württemberg, Schleswig-Holstein).

4. Finanzdienstleister

Banken, Versicherungen und Fintech-Unternehmen unterliegen strengen regulatorischen Anforderungen (BaFin, EBA). Der Zugriff ausländischer Nachrichtendienste auf Finanzdaten kann gegen nationale Sicherheitsinteressen verstoßen.

5. Kritische Infrastrukturen (KRITIS)

Energie, Wasser, Telekommunikation: Diese Sektoren unterliegen dem IT-Sicherheitsgesetz 2.0 und dürfen keine Abhängigkeiten schaffen, die die nationale Sicherheit gefährden. Mehr dazu im BSI-Leitfaden zu KRITIS.

Mittlere Risiken

6. Personaldienstleister und HR-Software

Bewerberdaten, Mitarbeiterakten, Gehaltsabrechnungen: Personenbezogene Daten im HR-Bereich sind ebenfalls schützenswert, auch wenn sie nicht die besondere Sensibilität von Gesundheitsdaten haben.

7. E-Commerce und Online-Marketing

Online-Shops und Marketing-Agenturen nutzen häufig US-Tools (Google Analytics, Facebook Pixel, Mailchimp). Nach mehreren Urteilen österreichischer und französischer Datenschutzbehörden ist der Einsatz von Google Analytics ohne zusätzliche Maßnahmen rechtswidrig.

Niedrige Risiken (aber nicht risikolos)

8. B2B-Unternehmen mit ausschließlich Geschäftskontakten

Wenn nur Geschäftskontakte (E-Mail-Adressen, Telefonnummern) verarbeitet werden, sind die Risiken geringer – aber die DSGVO gilt trotzdem. Eine vollständige Freistellung gibt es nicht.

Mehr zu branchenspezifischen Lösungen finden Sie in unserer Branchenübersicht auf docurex.com.

Die Lösung: Wie Unternehmen rechtssicher bleiben

Trotz des komplexen CLOUD Act DSGVO-Konflikts gibt es praxistaugliche Lösungen, mit denen Unternehmen rechtssicher arbeiten können.

1. Europäische Cloud-Anbieter nutzen

Die sicherste Lösung ist die Wahl eines europäischen Anbieters, der ausschließlich in der EU hostet und nicht unter US-Kontrolle steht. Beispiele:

• docurex: Deutsches Dokumentenmanagementsystem mit Hosting in Deutschland
• IONOS, Hetzner, Strato: Deutsche Cloud-Hosting-Anbieter
• OVH (Frankreich), Scaleway (Frankreich): Europäische Alternativen zu AWS
• Nextcloud, ownCloud: Open-Source-Collaboration-Plattformen

Wichtig: Auch bei europäischen Anbietern muss geprüft werden, ob diese Subunternehmer aus den USA einsetzen (z.B. CDN, Analytics).

2. Transfer Impact Assessment (TIA) durchführen

Wenn US-Anbieter unvermeidbar sind, muss ein TIA nachweisen, dass ausreichende Schutzmaßnahmen existieren. Der EDSA-Leitfaden gibt konkrete Empfehlungen.

3. Technische Schutzmaßnahmen

Technologien, die den Zugriff des Anbieters verhindern:

• Ende-zu-Ende-Verschlüsselung: Nur der Kunde hat die Schlüssel
• Client-seitige Verschlüsselung: Daten werden vor dem Upload verschlüsselt
• Bring Your Own Key (BYOK): Kunde kontrolliert die Verschlüsselungsschlüssel
• Confidential Computing: Verschlüsselung auch während der Verarbeitung

Achtung: Diese Technologien schränken oft die Funktionalität ein (z.B. keine Volltextsuche mehr möglich).

4. Vertragliche Absicherung

Standardvertragsklauseln (Standard Contractual Clauses, SCCs) sind weiterhin zulässig, müssen aber durch zusätzliche Maßnahmen ergänzt werden. Achten Sie auf:

• Transparenzklauseln: Anbieter muss über Datenanfragen informieren
• Widerspruchsklauseln: Anbieter muss Herausgabe ablehnen, wenn DSGVO entgegensteht
• Haftungsklauseln: Klare Regelungen bei Datenschutzverletzungen

5. Risikominimierung durch Datensparsamkeit

Je weniger Daten in die Cloud wandern, desto geringer das Risiko:

• Pseudonymisierung: Namen durch Kennungen ersetzen
• Anonymisierung: Daten so verändern, dass kein Personenbezug mehr besteht
• On-Premise-Lösungen: Sensible Daten lokal speichern
• Hybrid-Cloud: Kritische Daten in Europa, unkritische in der US-Cloud

Mehr zu rechtskonformen Lösungen bietet docurex im Bereich IT-Sicherheit.

Checkliste: Ist Ihr Unternehmen betroffen?

Prüfen Sie mit dieser Checkliste, ob Ihr Unternehmen vom CLOUD Act DSGVO-Konflikt betroffen ist und Handlungsbedarf besteht:

✅ Checkliste: CLOUD Act DSGVO-Risiken

Auswertung

Sie haben mehrere Risikofaktoren angekreuzt? Dann sollten Sie handeln:

1. Erstellen Sie ein Verzeichnis aller Cloud-Dienste (Schatten-IT einbeziehen!)
2. Führen Sie ein Transfer Impact Assessment durch
3. Prüfen Sie deutsche Alternativen (z.B. docurex)
4. Implementieren Sie technische Schutzmaßnahmen
5. Dokumentieren Sie alle Maßnahmen für Datenschutzbehörden

Fazit und Handlungsempfehlungen: Rechtssicherheit ist möglich

Der CLOUD Act DSGVO-Konflikt ist real, komplex – aber nicht unlösbar. Unternehmen, die jetzt handeln, können sich rechtlich absichern und gleichzeitig die Vorteile der Digitalisierung nutzen.

Die wichtigsten Erkenntnisse

1. Der CLOUD Act ist kein Papiertiger: US-Behörden haben tatsächlich Zugriff auf Daten bei US-Anbietern – auch in EU-Rechenzentren.
2. Schrems II hat die Spielregeln geändert: Datenübermittlungen in die USA sind nicht per se verboten, aber deutlich schwieriger geworden.
3. DSGVO-Bußgelder sind real: Meta, Amazon, Google – sie alle wurden bestraft. Ihre Firma könnte die nächste sein.
4. Europäische Alternativen existieren: Sie müssen nicht auf Microsoft oder Google setzen.

Konkrete Handlungsempfehlungen

Kurzfristig (sofort umsetzen):

• Verschaffen Sie sich einen Überblick über alle genutzten Cloud-Dienste
• Prüfen Sie bestehende Verträge auf Standardvertragsklauseln
• Informieren Sie Ihren Datenschutzbeauftragten
• Stoppen Sie neue Projekte mit US-Anbietern bis zur Klärung

Mittelfristig (1-3 Monate):

• Führen Sie ein Transfer Impact Assessment durch
• Bewerten Sie europäische Alternativen (z.B. docurex für Dokumentenmanagement)
• Schulen Sie Mitarbeiter zu DSGVO-Anforderungen
• Implementieren Sie technische Schutzmaßnahmen (Verschlüsselung)

Langfristig (strategisch):

• Entwickeln Sie eine europäische Cloud-Strategie
• Bauen Sie Abhängigkeiten von US-Anbietern ab
• Investieren Sie in Datensouveränität
• Etablieren Sie Datenschutz als Wettbewerbsvorteil

Ausblick: Neue Abkommen in Sicht?

Die EU und die USA verhandeln weiter über ein Nachfolgeabkommen für Privacy Shield (Data Privacy Framework). Doch Experten sind skeptisch: Solange der CLOUD Act und die US-Überwachungsprogramme bestehen bleiben, wird auch ein neues Abkommen vor dem EuGH möglicherweise nicht standhalten. Ein „Schrems III“-Verfahren ist bereits angekündigt.

Unternehmen sollten sich daher nicht auf politische Lösungen verlassen, sondern proaktiv ihre IT-Infrastruktur DSGVO-konform gestalten.

Ihre nächsten Schritte

Möchten Sie rechtssicher bleiben und gleichzeitig effizient arbeiten? Kontaktieren Sie docurex für eine unverbindliche Beratung. Als deutsches Unternehmen bieten wir DSGVO-konforme Lösungen für Dokumentenmanagement, Vertragsmanagement und digitale Zusammenarbeit – ohne CLOUD Act-Risiken.

Weitere Ressourcen:

• Volltext der DSGVO
• EuGH-Urteil Schrems II (C-311/18)
• BSI – Bundesamt für Sicherheit in der Informationstechnik