Stellen Sie sich vor, Sie lagern streng vertrauliche M&A-Dokumente, Bilanzen oder Mandanteninformationen in einem Rechenzentrum in Frankfurt. Physisch sicher, auf deutschem Boden – und trotzdem rechtlich zugänglich für US-amerikanische Ermittlungsbehörden. Kein Hackerangriff, keine Datenpanne. Einfach ein Gesetz.
Genau das ermöglicht der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Seit 2018 in Kraft, ist er zu einem der größten, aber am wenigsten diskutierten Risiken für die Datensouveränität europäischer Unternehmen geworden. Dieser Artikel erklärt, was der CLOUD Act konkret bedeutet, wen er betrifft – und warum docurex® als 100% deutsches Produkt eine fundamentale andere Ausgangslage hat.
Was ist der US CLOUD Act? – Das Gesetz, das Grenzen auflöst
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde am 23. März 2018 von Präsident Trump unterzeichnet – als Teil eines umfassenden Haushaltsgesetzes, das kaum öffentliche Aufmerksamkeit erhielt. Laut Wikipedia entstand das Gesetz als Reaktion auf einen langwierigen Rechtsstreit zwischen Microsoft und der US-Regierung: Es ging darum, ob Microsoft verpflichtet sei, Kundendaten von Servern in Irland an US-Behörden herauszugeben. Die Antwort des CLOUD Act war eindeutig: Ja.
Das Gesetz ergänzt den Stored Communications Act um eine neue Vorschrift (18 US Code § 2713) und verpflichtet US-amerikanische Anbieter elektronischer Kommunikations- und Cloud-Dienste, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung außerhalb der USA erfolgt.
Das Erschreckende daran: Internet-Firmen und IT-Dienstleistern kann nach dem Gesetz sogar verboten werden, ihre Nutzer über eine solche Datenabfrage zu informieren. Sie erfahren also möglicherweise nie, dass Ihre vertraulichen Geschäftsdaten von US-Behörden eingesehen wurden.
Der direkte Konflikt mit der DSGVO – Ein unlösbares Dilemma?
Die Datenschutz-Grundverordnung (DSGVO) wurde mit dem ausdrücklichen Ziel erlassen, personenbezogene Daten von EU-Bürgerinnen und EU-Bürgern zu schützen. Artikel 48 der DSGVO besagt eindeutig: Zugriffsanfragen ausländischer Behörden auf EU-Daten sind nur dann zulässig, wenn sie über etablierte internationale Abkommen erfolgen – die sogenannten Mutual Legal Assistance Treaties (MLATs).
Der CLOUD Act umgeht genau diese Schutzmechanismen vollständig. Er ermächtigt US-Gerichte, direkte und verbindliche Anordnungen an US-eigene Serviceprovider auszustellen – ohne internationale Abkommen, ohne Benachrichtigung der Betroffenen, ohne Einbindung europäischer Datenschutzbehörden.
Für Unternehmen entsteht dadurch ein echter Compliance-Konflikt:
⚖ DSGVO vs. US CLOUD Act – Das Dilemma
Besonders brisant: Der Europäische Gerichtshof hat im Schrems-II-Urteil (2020) festgestellt, dass US-Überwachungsgesetze wie der CLOUD Act keinen angemessenen Schutz für EU-Daten bieten. Auch das EU-US Data Privacy Framework löst dieses Problem nicht vollständig – es regelt lediglich bestimmte Übermittlungen, verhindert aber keine CLOUD-Act-Anfragen an US-Behörden.
Wer ist konkret betroffen – und wer glaubt es zu wissen, tut es aber nicht?
Ein weit verbreiteter Irrtum: Viele Unternehmen glauben, sie seien sicher, weil ihre Cloud-Daten auf europäischen Servern liegen. Das ist falsch. Die kritische Frage ist nicht wo die Daten gespeichert sind, sondern wem der Anbieter gehört.
- Microsoft 365 / Azure – Hosting in Frankfurt: Trotzdem CLOUD Act-gefährdet (US-Konzern)
- Google Workspace / Google Cloud: CLOUD Act-gefährdet (US-Konzern)
- AWS / Amazon: CLOUD Act-gefährdet (US-Konzern)
- Dracoon (seit 2023 Teil von Kiteworks / USA): CLOUD Act-gefährdet (US-Mutterkonzern)
- Dropbox Business, Box: CLOUD Act-gefährdet (US-Konzerne)
Betroffen sind vor allem Branchen, die regelmäßig mit hochsensiblen Informationen arbeiten: Rechtsanwaltskanzleien, M&A-Berater, Wirtschaftsprüfer, Investmentfirmen, Pharmaunternehmen mit Forschungsdaten, und alle, die im Rahmen von Due-Diligence-Prozessen vertrauliche Dokumente austauschen.
Besondere Risiken: Virtuelle Datenräume und M&A-Transaktionen
Im Bereich M&A-Transaktionen und Due-Diligence-Prüfungen sind die Konsequenzen des CLOUD Act besonders gravierend. Hier werden routinemäßig sensibelste Informationen geteilt: Bilanzen und Finanzprojektionen, Patente und geistiges Eigentum, Vertragsdetails und Kundenbeziehungen, Mitarbeiterdaten und Gehaltsinformationen, strategische Pläne und Bewertungsmodelle.
Ein einziger ungewollter Datenzugriff durch US-Behörden in dieser Phase könnte eine gesamte Transaktion gefährden – oder schlimmer: sensible Informationen über das Target-Unternehmen unkontrolliert zugänglich machen, noch bevor ein Deal abgeschlossen wurde.
Reales Risikoszenario: M&A-Datenraum auf US-Cloud
Sie führen einen virtuellen Datenraum für eine vertrauliche Unternehmensübernahme auf einem US-Cloud-Dienst. Eine US-Behörde ermittelt gegen einen der beteiligten Investoren. Per CLOUD Act fordert sie Zugriff auf alle Daten im Datenraum – inkl. Ihrer Mandantenunterlagen, Bilanzen und Strategiedokumente. Sie werden darüber möglicherweise nie informiert.
Die docurex®-Lösung: Digitale Souveränität 2026 durch deutsche DNA
Es gibt grundsätzlich zwei Arten, das CLOUD-Act-Risiko zu adressieren: technische Maßnahmen (z.B. kundenseitig verwaltete Verschlüsselung) oder strukturelle Unangreifbarkeit durch die Wahl eines Anbieters, der schlicht nicht unter den Geltungsbereich des Gesetzes fällt. docurex® verfolgt den zweiten, grundlegenderen Weg – und liefert damit das, was Unternehmen 2026 wirklich brauchen: digitale Souveränität.
Die drei Säulen der digitalen Souveränität bei docurex®
1. Deutsches Unternehmen – keine US-Verbindung: docurex® hat seinen Sitz in Stuttgart, Deutschland. Es gibt keine US-Muttergesellschaft, keine US-Tochtergesellschaft, keine US-Investoren mit Kontrolleinfluss. Damit greift der CLOUD Act strukturell nicht: Das Gesetz verpflichtet ausschließlich Unternehmen, die US-Recht unterliegen. docurex® tut das nicht.
2. Hosting in deutschen ISO-27001-Rechenzentren: Alle Daten werden ausschließlich in ISO-27001-zertifizierten Rechenzentren in Deutschland verarbeitet und gespeichert. Es gibt keine Auslagerung in die USA, keine Subprozessor-Kette, die US-Recht unterliegt. Die Daten verlassen niemals deutschen Boden.
3. Lokale KI – keine Drittanbieter-Abhängigkeit: Auch die KI-Funktionen von docurex® (docuKI-Chat, docuKI-Summary, docuKI-Translate) werden vollständig lokal innerhalb der deutschen Infrastruktur verarbeitet. Keine Daten werden an externe KI-APIs wie ChatGPT oder Google Gemini übermittelt. Das eliminiert eine weitere versteckte Risikoquelle, die bei vielen Mitbewerbern besteht.
- Firmensitz: Stuttgart, Deutschland – ausschließlich deutschem und EU-Recht unterstellt
- Kein US-Mutterkonzern, keine US-Tochtergesellschaft, keine US-Investoren mit Kontrolleinfluss
- Hosting: ausschließlich ISO-27001-zertifizierte Rechenzentren in Deutschland
- KI-Verarbeitung: 100% lokal, keine Übertragung an externe US-APIs
- DSGVO-konform seit dem ersten Tag – nicht nachträglich angepasst
- 256-Bit-Verschlüsselung, über 20 Sicherheitsmechanismen, Fraunhofer-zertifiziert
Was Unternehmen jetzt tun sollten – 5 konkrete Maßnahmen
Der CLOUD Act ist kein theoretisches Risiko. Laut Experten empfehlen IT-Verantwortliche und Datenschutzbeauftragte zunehmend, das Thema aktiv zu adressieren. Hier sind fünf konkrete Schritte, die Sie heute unternehmen können:
1. Eigentümerstruktur Ihrer Cloud-Anbieter prüfen: Nicht das Rechenzentrum, sondern die Unternehmensstruktur ist entscheidend. Fragen Sie: Wem gehört der Anbieter? Gibt es US-Gesellschafter oder einen US-Mutterkonzern? Auch ein „Made in Germany“-Label hilft nicht, wenn das Unternehmen danach von einem US-Konzern übernommen wurde.
2. Kritische Workloads identifizieren: Welche Daten haben das höchste Schutzbedürfnis? M&A-Daten, Mandantenakten, Patente, HR-Daten und Finanzinformationen sollten prioritär betrachtet werden. Für diese Kategorien ist ein europäischer Anbieter ohne US-Bindung nicht optional, sondern Pflicht.
3. Transfer Impact Assessment durchführen: Für alle Dateien, die in US-Cloud-Diensten liegen, sollten Transfer Impact Assessments (TIAs) gemäß DSGVO-Anforderungen erstellt werden. Ehrliche TIAs werden das CLOUD-Act-Risiko als ungemindert identifizieren, solange keine technischen Maßnahmen vorliegen.
4. Für den virtuellen Datenraum: Wechsel zu docurex®: Besonders für Due-Diligence-Prozesse und vertrauliche Dokumentenfreigabe empfiehlt sich der unmittelbare Wechsel zu einem Anbieter außerhalb der US-Jurisdiktion. docurex® lässt sich innerhalb von Stunden einrichten – ohne IT-Aufwand, ohne Installation.
5. Datenschutzbeauftragten und Compliance-Team informieren: Machen Sie das CLOUD-Act-Risiko zu einem festen Bestandteil Ihrer Compliance-Dokumentation. Achten Sie darauf, dass auch Ihre Subprozessoren und Berater entsprechend informiert sind.
Fazit: Digitale Souveränität 2026 ist keine Frage des Serverstandorts – sondern der Unternehmensstruktur
Der US CLOUD Act ist keine abstrakte Bedrohung. Er ist ein geltendes Gesetz, das täglich Wirkung entfalten kann. Die gute Nachricht: Das Risiko ist nicht unvermeidlich. Wer einen virtuellen Datenraum oder Cloud-Dienst wählt, der strukturell nicht unter US-Recht fällt, ist auf der sicheren Seite.
docurex® bietet genau diesen strukturellen Schutz. Als rein deutsches Unternehmen mit Hosting in zertifizierten deutschen Rechenzentren, ohne US-Beteiligung, ohne US-Subprozessoren für KI und mit vollständiger DSGVO-Konformität ist docurex® die logische Wahl für alle, die vertrauliche Dokumente sicher austauschen müssen – in der Due Diligence, bei M&A-Transaktionen, im Immobilienmanagement und in jeder anderen Situation, in der Vertraulichkeit keine Kompromisse duldet.
Die Frage ist nicht ob, sondern wann das CLOUD Act Risiko für ein Unternehmen real wird. Wer jetzt auf digitale Souveränität 2026 setzt, handelt nicht nur vorausschauend – sondern schützt das Vertrauen seiner Mandanten, Investoren und Geschäftspartner.
Digitale Souveränität 2026 – CLOUD Act-sicher von Anfang an
Testen Sie docurex® kostenlos und ohne Risiko. Unverbindlich, sofort einsatzbereit, 100% Made in Germany.
Weiterführende Artikel
Lesen Sie mehr zu verwandten Themen auf dem docurex®-Blog:
- Server in Deutschland: DSGVO-konforme Sicherheit für vertrauliche Daten
- Due Diligence Datenraum: Sicher, effizient, DSGVO-konform
- Virtueller Datenraum für M&A-Transaktionen
- docuKI-Chat: KI im Datenraum ohne Datenschutzrisiko
- 7 Fragen, die Sie Ihrem Datenraum-Anbieter stellen sollten
Quellen: Wikipedia: CLOUD Act | Rechtsgutachten Universität Köln zum CLOUD Act | Europäischer Datenschutzausschuss (EDPB) | EuGH Schrems-II-Urteil (C-311/18)
- Über den Autor
- Aktuelle Beiträge
Janina ist Redakteurin in der Redaktion von Text-Center und schreibt außerdem im Blog von Unternehmer-Portal.net .
