Cloud Act & DSGVO: Warum Verträge mit US-Anbietern wertlos sind

Wenn Ihr Unternehmen Microsoft 365, Google Workspace, AWS oder OpenAI nutzt, haben US-Behörden Zugriff auf Ihre Daten. Nicht theoretisch — praktisch. Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) macht es möglich.

Und das Erschreckende: Der Serverstandort spielt keine Rolle. Auch wenn Ihre Daten in Frankfurt stehen — solange der Anbieter ein US-Unternehmen ist, kann das FBI, die NSA oder das US-Justizministerium die Herausgabe anordnen. Ohne Sie zu informieren.

Der CLOUD Act trat am 23. März 2018 als US-Bundesgesetz in Kraft. Er verpflichtet jeden US-amerikanischen Anbieter von Cloud- und Kommunikationsdiensten, auf Anordnung von US-Behörden Daten herauszugeben — unabhängig davon, ob diese Daten in den USA oder anderswo auf der Welt gespeichert sind (18 U.S.C. § 2713).

Betroffen sind unter anderem: AWS, Microsoft Azure, Google Cloud, OpenAI, Salesforce, Slack, Microsoft 365, Google Workspace — und jedes andere US-Unternehmen, das Cloud-Dienste anbietet.

Das Gesetz entstand als Reaktion auf den Fall United States v. Microsoft Corp., in dem Microsoft sich weigerte, in Irland gespeicherte E-Mail-Daten an US-Behörden herauszugeben. Bevor der Supreme Court entscheiden konnte, wurde der CLOUD Act verabschiedet — und machte die Frage obsolet.

Viele Unternehmen verlassen sich auf Data Processing Agreements (DPAs) oder Standardvertragsklauseln (SCCs) mit ihren US-Anbietern. Das Problem: Diese Verträge sind US-Bundesrecht nachrangig.

Konkret bedeutet das:

• Kein privatrechtlicher Vertrag kann ein US-Unternehmen davon befreien, einer US-Anordnung Folge zu leisten
• Geheimhaltungsanordnungen ("gag orders") verhindern, dass der Provider Sie benachrichtigt
• Der Serverstandort in der EU ist irrelevant — der CLOUD Act gilt weltweit
• Artikel 48 DSGVO wird direkt ausgehebelt

Die Verträge sind weniger wert als das Papier, auf dem sie gedruckt werden.

Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) in der Rechtssache C-311/18 das EU-US Privacy Shield für ungültig. Das Urteil stellte fest: Die USA bieten kein angemessenes Datenschutzniveau für EU-Bürger.

Der Grund: US-Überwachungsgesetze wie FISA Section 702 und Executive Order 12333 ermöglichen massenhafte Überwachung — ohne richterliche Kontrolle, ohne Verhältnismäßigkeit, ohne wirksamen Rechtsschutz.

Der Nachfolger (EU-US Data Privacy Framework, Juli 2023) basiert lediglich auf einer Präsidialverordnung, die jederzeit widerrufen werden kann. Max Schrems hat bereits angekündigt, auch dieses Abkommen anzufechten.

Die einzige Architektur, die vollständige DSGVO-Konformität und Schutz vor US-Behördenzugriff bietet:

• Europäischer Cloud-Anbieter (kein US-Unternehmen) → CLOUD Act greift nicht
• Europäisches KI-Modell (z.B. Mistral aus Frankreich) → kann nicht von US-Behörden zur Datenherausgabe gezwungen werden
• Lokale Datenverarbeitung in der EU → Daten verlassen nicht den europäischen Rechtsraum

Genau das ist die Architektur von Nexoria: Deutsche Server (Hetzner), europäisches KI-Modell (Mistral), lokale Dokumentenverarbeitung auf eigenem Server in Deutschland.

Jedes europäische Unternehmen, das US-Cloud-Dienste nutzt, setzt sich einem rechtlichen und geschäftlichen Risiko aus. Die Kombination aus CLOUD Act, FISA 702 und dem Schrems-II-Urteil macht deutlich: Nur europäische Infrastruktur mit europäischen KI-Modellen bietet echten Datenschutz.

Die gute Nachricht: Sie müssen nicht auf Funktionalität verzichten. Nexoria bietet alle Enterprise-Features — KI-Assistent, Dokumentensuche, Geschäftsprozesse, Kommunikation — auf einer Plattform, die von Grund auf DSGVO-konform gebaut ist.

Erfahren Sie, wie Nexoria Base und Pro Ihre Daten auf deutschen Servern schützen, oder vereinbaren Sie eine kostenlose Beratung mit unserem Team.