// Blog / Datensicherheit
23.04.2026

CLOUD Act: Risiko & Lösung für EU-Firmen

Datensicherheit Datenschutz Datenaustausch Compliance

Der CLOUD Act ist kein theoretisches Risiko mehr: Seit 2018 können US-Behörden auf Daten zugreifen, die bei amerikanischen Cloud-Anbietern gespeichert sind – unabhängig davon, ob die Server in Frankfurt, Dublin oder Virginia stehen. Für europäische Unternehmen, die personenbezogene Daten oder vertrauliche Geschäftsinformationen in US-Clouds verarbeiten, entsteht damit ein fundamentaler Rechtskonflikt mit der DSGVO.

 Dieser Artikel zeigt Ihnen, was der CLOUD Act konkret bedeutet, welche Branchen besonders exponiert sind und welche Alternativen Ihnen zur Verfügung stehen – einschließlich souveräner Lösungen, die Compliance und Funktionalität vereinen.

Was ist der CLOUD Act?

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde am 23. März 2018 vom US-Kongress verabschiedet. Er ermächtigt US-Strafverfolgungsbehörden, von Unternehmen mit Sitz in den USA die Herausgabe gespeicherter Daten zu verlangen – auch wenn diese Daten auf Servern außerhalb der Vereinigten Staaten liegen.

 Vor dem CLOUD Act war die Rechtslage unklar. Im sogenannten Microsoft-Ireland-Case (2013–2018) weigerte sich Microsoft, E-Mail-Daten von einem irischen Server an das FBI herauszugeben. Der Fall ging bis zum Supreme Court, wurde jedoch durch die Verabschiedung des CLOUD Act gegenstandslos, bevor ein Urteil erging. Das Gesetz schuf die Rechtsgrundlage, die US-Behörden zuvor fehlte.

 Entscheidend ist: Der CLOUD Act ersetzt nicht das bisherige MLAT-Verfahren (Mutual Legal Assistance Treaty), sondern umgeht es. Während MLATs den diplomatischen Weg über Justizministerien und Gerichte beider Länder erfordern – ein Prozess, der Monate dauern kann –, ermöglicht der CLOUD Act eine direkte Anordnung an den Anbieter. Die betroffene Person oder das betroffene Unternehmen erfährt davon unter Umständen nichts.

 Die regulatorische Landschaft hat sich seither weiter verschärft. Nach dem Schrems-II-Urteil des EuGH (2020), das den EU-US Privacy Shield kippte, trat im Juli 2023 das Trans-Atlantic Data Privacy Framework (TADPF) als Nachfolger in Kraft. Doch bereits am 31. Oktober 2025 wurde eine Berufung gegen das TADPF am EuGH durch den französischen EU-Abgeordneten Philippe Latombe eingereicht. Parallel dazu entließ die Trump-Administration am 27. Januar 2025 alle demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) – jenes Gremiums, das die Einhaltung der Datenschutzzusagen gegenüber der EU überwachen soll. Ein Bundesgericht erklärte diese Entlassungen am 21. Mai 2025 für rechtswidrig. Max Schrems kommentierte: „Ich kann mir kaum vorstellen, dass eine Biden-Executive-Order Trumps ‚America First'-Logik überlebt."

 Für IT-Entscheider bedeutet das: Die Rechtsgrundlage für transatlantische Datentransfers steht erneut auf wackeligem Fundament.

CLOUD Act vs. DSGVO – Warum es einen Rechtskonflikt gibt

Das Kernproblem ist ein direkter Normkonflikt zwischen US-amerikanischem und europäischem Recht. Artikel 48 der DSGVO ist hier unmissverständlich: Urteile und Entscheidungen ausländischer Behörden, die von einem Verantwortlichen die Übermittlung personenbezogener Daten verlangen, sind nur dann anerkennungsfähig, wenn sie auf ein internationales Abkommen (wie ein MLAT) gestützt werden. Der CLOUD Act stützt sich auf kein solches Abkommen – er umgeht sie bewusst.

 Das bedeutet in der Praxis: Ein US-Cloud-Anbieter, der einer CLOUD-Act-Anordnung nachkommt und Daten europäischer Kunden an US-Behörden übermittelt, verstößt gegen die DSGVO. Kommt er der Anordnung nicht nach, verstößt er gegen US-Recht. Dieser Konflikt ist strukturell und kann nicht durch Vertragsklauseln oder Standarddatenschutzklauseln (SCCs) gelöst werden.

 Das TADPF sollte dieses Problem entschärfen. Es basiert auf der Executive Order 14086 der Biden-Administration, die Verhältnismäßigkeitsgrundsätze für US-Geheimdienste einführte und einen Beschwerdemechanismus (Data Protection Review Court) schuf. Doch Kritiker weisen auf mehrere Schwächen hin: 

  • Die Executive Order kann vom amtierenden Präsidenten jederzeit widerrufen oder geändert werden – ohne Zustimmung des Kongresses.

  • Der Data Protection Review Court ist kein unabhängiges Gericht im europäischen Sinne, sondern dem Justizministerium unterstellt.

  • Die Entlassungen beim  PCLOB untergraben genau die Aufsichtsstruktur, auf die sich der Angemessenheitsbeschluss stützt.

 Die Bußgeldpraxis der europäischen Datenschutzbehörden zeigt, dass dieser Rechtskonflikt keine theoretische Frage ist. Meta erhielt im Mai 2023 eine Rekordstrafe von 1,2 Milliarden Euro für die ungeschützte Übermittlung von Facebook-Daten in die USA. Uber zahlte im August 2024 290 Millionen Euro, weil EU-Fahrerdaten ohne angemessenen Schutz in die USA transferiert wurden. TikTok wurde im Mai 2025 mit 530 Millionen Euro belegt – für illegale Datenübermittlung nach China, aber nach denselben DSGVO-Grundsätzen. Kumuliert wurden seit Inkrafttreten der DSGVO 2018 über 7,1 Milliarden Euro an Bußgeldern verhängt; acht der zehn höchsten Strafen richteten sich gegen US-Konzerne.

Zugriff durch US-Behörden: Mythos oder Realität?

Manche Stimmen argumentieren, der CLOUD Act werde in der Praxis selten angewendet. Die Transparenzberichte der großen US-Anbieter zeichnen jedoch ein anderes Bild.

 Microsoft berichtete für das erste Halbjahr 2025 insgesamt 28.593 Behördenanfragen weltweit, davon 6.288 von US-Strafverfolgungsbehörden. Besonders bemerkenswert: 1.974 dieser US-Anfragen – also 31 Prozent – waren mit Geheimhaltungsanordnungen (sogenannten Gag Orders) verbunden. Das bedeutet, Microsoft durfte den betroffenen Kunden nicht einmal mitteilen, dass ihre Daten angefordert wurden. Von insgesamt 27 Content-Offenlegungen bei Unternehmenskunden kamen 23 auf Veranlassung von US-Behörden.

Google verzeichnete im zweiten Halbjahr 2025 über 60.000 Anfragen allein von US-Bundesbehörden bei einer Offenlegungsrate von rund 89 Prozent.

 Diese Zahlen verdeutlichen zwei Dinge. Erstens: US-Behörden nutzen ihre Zugriffsrechte aktiv und in erheblichem Umfang. Zweitens: Durch Gag Orders erfahren betroffene Unternehmen häufig nicht, dass ihre Daten kompromittiert wurden. Für Branchen mit strengen Vertraulichkeitspflichten – etwa bei anwaltlicher Verschwiegenheit oder M&A-Transaktionen – ist das ein inakzeptables Risiko.

Welche Branchen sind besonders betroffen?

Grundsätzlich betrifft der CLOUD Act jedes Unternehmen, das Daten bei einem US-Anbieter speichert. Einige Branchen sind jedoch besonders exponiert:

  • Finanzdienstleister und Versicherungen: Mit dem Digital Operational Resilience Act (DORA), der seit Januar 2025 gilt, müssen Finanzinstitute nachweisen, dass ihre IKT-Drittanbieter keine unkontrollierten Zugriffe durch Drittstaaten ermöglichen. Ein US-Cloud-Anbieter, der dem CLOUD Act unterliegt, steht hier im direkten Widerspruch. Lesen Sie mehr über DORA-Compliance mit netfiles.

  • Rechtsanwälte und Kanzleien: Die anwaltliche Verschwiegenheitspflicht (§ 43a BRAO) ist nicht relativierbar. Mandantendaten in einer Cloud, auf die US-Behörden zugreifen können, gefährden das Mandatsverhältnis und setzen die Kanzlei Haftungsrisiken aus.

  • M&A-Berater und Investmentbanken: Bei Unternehmenstransaktionen werden hochsensible Finanzdaten, Bewertungsgutachten und Vertragsdetails in virtuellen Datenräumen ausgetauscht. Ein Datenzugriff durch Dritte kann Transaktionen gefährden, Kursbewegungen auslösen und kartellrechtliche Konsequenzen haben. Der netfiles Deal Room für vertrauliche M&A-Transaktionen wurde genau für diese Anforderungen konzipiert.

  • Gesundheitswesen: Patientendaten unterliegen neben der DSGVO auch sektorspezifischen Regelungen. Ein Zugriff durch US-Behörden wäre nicht nur ein Datenschutzverstoß, sondern ein Vertrauensbruch gegenüber Patienten.

  • Öffentlicher Sektor und kritische Infrastruktur: Behörden und KRITIS-Betreiber unterliegen dem IT-Sicherheitsgesetz 2.0 und der NIS-2-Richtlinie. Souveräne Cloud-Infrastruktur ist hier nicht optional, sondern gesetzliche Pflicht.

Welche Alternativen gibt es?

Die effektivste Maßnahme gegen CLOUD-Act-Risiken ist die Nutzung von Cloud-Anbietern, die keiner US-Jurisdiktion unterliegen. Dabei reicht es nicht, dass ein Anbieter Server in der EU betreibt. Entscheidend ist der Unternehmenssitz und die Konzernstruktur. Ein europäisches Rechenzentrum eines US-Anbieters schützt nicht vor dem CLOUD Act – das Gesetz folgt dem Unternehmen, nicht dem Server.

 Die EU arbeitet an einem strukturierten Rahmen für die Bewertung und Zertifizierung von Cloud-Souveränität. Die EUCS-Zertifizierung (European Union Cybersecurity Certification Scheme for Cloud Services) bewertet die Sicherheit von Cloud-Anbietern (CSPs) und definiert  in ihrem höchsten Level die Anforderung, dass Anbieter die Standorte der Datenverarbeitung und -speicherung sowie anwendbare Gerichtsbarbeiten über eine International Company Profile Attestation (ICPA) offenlegen. Der Anbieter muss dazu die Standorte, von denen aus er Supportleistungen für Kunden erbringt, dokumentieren. Die Gaia-X-Initiative hat darüber hinaus im November 2025 das Trust Framework 3.0 „Danube" veröffentlicht, das über 180 Data Spaces in der Umsetzungsphase unterstützt. Lesen Sie dazu auch unseren Artikel über Europäische Cloud-Anbieter im Aufwind.

 Nutzen Sie die folgende Checkliste bei der Bewertung Ihrer Cloud-Anbieter:

  • Unternehmenssitz und Konzernstruktur: Liegt der Hauptsitz in der EU? Gibt es eine US-Muttergesellschaft?

  • Rechenzentrumsstandort: Stehen die Server in der EU – und ist der Betreiber ebenfalls ein EU-Unternehmen?

  • Zertifizierungen: Verfügt der Anbieter über ISO 27001, BSI C5, SOC 2 oder vergleichbare Nachweise?

  • Verschlüsselung: Wer kontrolliert die Schlüssel? Kann der Anbieter im Klartext auf Ihre Daten zugreifen?

  • Vertragliche Zusagen: Gibt es eine verbindliche Zusage, keine Daten an Behörden außerhalb der EU herauszugeben?

  • Audit-Recht: Können Sie oder ein unabhängiger Dritter die Einhaltung prüfen?

  • Exit-Strategie: Wie einfach können Sie Ihre Daten migrieren, falls sich die Rechtslage ändert?

netfiles – Digitale Souveränität Made in Germany

netfiles ist ein deutsches Unternehmen mit Sitz in Deutschland – ohne US-Muttergesellschaft, ohne Konzernverflechtung in Drittstaaten. Das bedeutet: Der CLOUD Act hat keine Rechtsgrundlage, auf Daten bei netfiles zuzugreifen.

 Die Rechenzentren von netfiles befinden sich in München und Nürnberg und werden von deutschen Betreibern nach deutschen Datenschutzstandards betrieben. Ihre Daten verlassen zu keinem Zeitpunkt den deutschen Rechtsraum.

 Die Sicherheit und Zertifizierungen bei netfiles umfassen:

  • BSI C5-Testat – Der vom Bundesamt für Sicherheit in der Informationstechnik definierte Kriterienkatalog für sicheres Cloud Computing. Mehr dazu unter BSI C5- und SOC 2-Testat von netfiles.

  • SOC 2 Type II – Internationaler Prüfstandard für Sicherheit, Verfügbarkeit und Vertraulichkeit.

  • ISO 27001 – Zertifiziertes Informationssicherheits-Managementsystem.

  • ISO 22301 – Business Continuity Management.

  • DSGVO-Konformität – Vollständige Einhaltung der europäischen Datenschutz-Grundverordnung, nachweisbar durch Auftragsverarbeitungsverträge und technisch-organisatorische Maßnahmen.

 Alle Daten werden mit 256-Bit AES verschlüsselt – sowohl bei der Speicherung als auch bei der Übertragung.

 Für den täglichen sicheren Datenaustausch mit dem netfiles Data Room profitieren Sie von revisionssicherer Dokumentation und einer Infrastruktur, die vollständig der europäischen Rechtsordnung unterliegt. Für vertrauliche Transaktionen bietet der netfiles Deal Room granulare Zugriffskontrollen, Wasserzeichen und sichere Q&A-Funktionen.

Fazit – Jetzt handeln, bevor es zu spät ist

Der CLOUD Act ist kein abstraktes Rechtsthema. Er betrifft jede Datei, jede E-Mail und jedes Dokument, das Sie bei einem US-Cloud-Anbieter speichern. Die Transparenzberichte zeigen, dass US-Behörden ihre Befugnisse aktiv nutzen – oft ohne Wissen der betroffenen Unternehmen. Die Bußgelder in Milliardenhöhe belegen, dass europäische Datenschutzbehörden diesen Rechtskonflikt ernst nehmen.

 Gleichzeitig zeigt die politische Entwicklung, dass das TADPF auf unsicherem Fundament steht. Die Berufung am EuGH, die PCLOB-Krise und die veränderte politische Lage in den USA machen eine erneute Aufhebung – wie bei Safe Harbor und Privacy Shield – zu einem realistischen Szenario.

 Der Zeitpunkt zum Handeln ist jetzt. Unternehmen, die heute auf souveräne europäische Lösungen umstellen, schützen nicht nur ihre Daten, sondern auch ihre Geschäftskontinuität.

 

Testen Sie netfiles 14 Tage kostenlos – ohne Risiko, ohne US-Abhängigkeit. Jetzt kostenlos testen →

Sie möchten wissen, wie netfiles Ihre spezifischen Compliance-Anforderungen erfüllt? Lassen Sie sich persönlich beraten →

10 Jahre 2-Faktor-Authentifizierung Aktivitätsprotokoll Analyse Android Anwenderbericht Anwendungsbeispiel Archiv Archivierung Asset Management Automatische Benachrichtigungen Berichte BGH Urteil Bildvorschau Board Room Bookmarks Branding BSI C5 Business Continuity Checkliste Cloudspeicher Collaboration Common Data Environment (CDE) Compliance Customizing Cyber-Sicherheit Data Room Data Vault Dataroom Dateitransfer Dateiversand Datenaustausch Datenraum Datenraum-Export Datenraumindex Datenschutz Datensicherheit Datensouveränität Datentresor Datenversand Deal Room digitale Souveränität Disclaimer Diskussionen Distressed M&A Dokumentvorschau DORA Download Drag-and-Drop DSGVO Due Diligence E-Mail E2EE Einführungsvideo Einrichtung Ende-zu-Ende-Verschlüsselung Erscheinungsbild ESG Etiketten Export Favoriten Features Gremienkommunikation Grosse Dateien versenden Gruppen und Benutzer HelpCenter Hilfe Homeoffice Immobilien Immobilien-Lebenszyklus Indexierung Insolvenzen iOS iPad App ISO 22301 ISO 27001 Kennwortsicherheit Kontextmenü Kooperation Kundenservice Lesezeichen Login M&A M&A M&A-Datenraum Made in Germany Managed File Transfer Mandantenkommunikation Mergers & Acquisitions mobile App Navigation netfiles Neue Version Notizen Office Dokumente Online-Datenraum-Archiv Ordnerbeschreibungen Ordnerstruktur OTP Passkey Patriot Act Pen-Test Personalie Preise Projektraum Q & A Q&A Q&A-Download Redaction Schwärzung Sicher Dateien versenden Sicherer Dateiversand Sicherheit Sitzungsmanagement SOC 2 Sprache Startseite Suche Support Thumbnail Tipp Tipps Transaktion Ungelesene Dokumente Upload US CLOUD Act Venture Capital Verschlüsselung Versionierung Video Videokonferenz Virtueller Datenraum Wasserzeichen Weblinks Wiki Wirtschaftsspionage Zertifizierung zip Zugriffsrechte