- Das US CLOUD-Gesetz (2018) ermöglicht es US-Rechtsdurchsetzung, jeden US-Haupt Cloud-Anbieter zu zwingen, Daten offenzulegen – auch Daten, die in EU-Datenzentren gespeichert sind
- Dies schafft einen direkten Konflikt mit der Forderung der DSGVO nach einem angemessenen Datenschutz – EU-SCCs lösen diesen Konflikt nicht
- Zu den betroffenen Anbietern gehören Google Workspace, Microsoft 365, AWS, Freshworks, Salesforce und im Wesentlichen jeder große US-Hauptsitz SaaS-Anbieter
- Die einzige strukturelle Lösung ist die europäisch-südische Infrastruktur: EU-Hauptversorger, EU-Hosting, kein US-Transfer, kein CLOUD-Gesetz
Wenn ein europäisches Unternehmen einen Cloud-Software-Anbieter wählt, geht es in der Regel um Funktionalität und Preis. Die Frage, wo das Unternehmen seinen Hauptsitz hat – und welche rechtlichen Verpflichtungen, die für den Anbieter entstehen – wird selten mit derselben Härte betrachtet.
Es sollte sein. Für Unternehmen, die regulierte Kundendaten verarbeiten — Client-Finanzdaten, Rechtsdateien, Gesundheitsdaten, AML/KYC-Informationen — ist der Gerichtsstand ihrer Softwareanbieter eine Compliance-Frage, nicht nur eine kommerzielle.
Was das CLOUD-Gesetz für europäische Unternehmen bedeutet
Die vom US-Kongress 2018 erlassene Klärung der Rechtmäßigkeit der Verwendung des Datengesetzes (CLOUD-Gesetz) ermächtigt US-Rechtsvollstreckungsagenturen, US-amerikanische Unternehmen zu zwingen, auf ihren Servern gespeicherte Daten zu produzieren – unabhängig davon, wo diese Server sich physisch befinden.
Vor dem CLOUD-Gesetz hätte ein US-Rechtsvollstreckungsersuchen um Daten, die in einem europäischen Rechenzentrum gespeichert sind, notwendig sein müssen, um den Prozess der gegenseitigen Rechtshilfe (MLAT) zu durchlaufen, der langsam ist und die Zusammenarbeit der europäischen Behörden beinhaltet. Das CLOUD-Gesetz übertraf dies, indem es Direktaufträge an das US-Hauptunternehmen ermöglichte, ohne dass das Land, in dem die Daten gespeichert sind, durchlaufen werden muss.
Die praktische Implikation: Wenn Ihre Kundendaten bei einem Cloud-Anbieter von US-Hauptsitz gespeichert werden – auch in einem EU-Datenzentrum –, kann die US-Rechtsvollstreckung diesen Anbieter dazu zwingen, die Daten Ihrer Kunden zu produzieren, ohne Sie zu benachrichtigen, ohne die EU-Rechtsverfahren zu durchlaufen und ohne Zustimmung der europäischen Datenschutzbehörden.
Das CLOUD-Gesetz steht im Widerspruch zu DSGVO: Art. 48 DSGVO verbietet die Übermittlung personenbezogener Daten an eine Nicht-EU-Behörde, es sei denn, diese Übertragung wird durch ein EU-US-Abkommen oder ein EU-Mitgliedstaatsrecht genehmigt. Eine CLOUD-Gesetzordnung erfüllt keine dieser Bedingungen. Dies bedeutet, dass ein US-Hauptanbieter, der eine CLOUD-Gesetzordnung für personenbezogene Daten der EU einhält, angesichts vieler europäischer Datenschutzbehörden einen Verstoß gegen die DSGVO verursacht – unabhängig davon, was die Dienstleistungsbedingungen des Anbieters sagen.
Welche Anbieter betroffen sind
Jedes Unternehmen, das in den Vereinigten Staaten tätig ist — unabhängig davon, wo sich seine Rechenzentren befinden — unterliegt dem CLOUD-Gesetz. Dazu gehören:
- Google Google Google Workspace, Google Drive, Gmail — US-Hauptquartier, CLOUD Gesetz gilt auch dann, wenn die EU-Datenresidenz ausgewählt wird
- Microsoft Microsoft 365, Teams, SharePoint, Azure — US-Hauptsitz, CLOUD Gesetz gilt auch für EU-Regionen-Einsätze
- Amazon AWS, Amazon WorkMail — US-Hauptquartier, CLOUD Gesetz gilt für alle AWS-Regionen einschließlich eu-west
- Freshworks Freshservice, Freshsales, Freshdesk — US-Hauptquartier (Delaware), CLOUD Act gilt
- Salesforce Sales Cloud, Service Cloud – US-Hauptsitz, CLOUD Act gilt
- HubSpot CRM, Marketing Hub — US-Hauptquartier, CLOUD Act gilt
Dies ist keine vollständige Liste — sie gilt im Wesentlichen für jeden großen US-Hauptsitz SaaS-Anbieter. Die EU-Datenzentrumsoption, die viele Anbieter als "GDPR Compliance"-Funktion anbieten, entfernt keine CLOUD Act-Exposition. Datenresidency und Gerichtsbarkeit sind verschiedene Dinge.
Warum Standardvertragsklauseln nicht genug sind
Die Standardantwort von US-Hauptanbietern auf Compliance-Fragen der DSGVO lautet, dass sie EU Standard Vertragsklauseln (SCCs) in ihren Datenverarbeitungsverträgen anbieten. SCCs sind ein Mechanismus zur Legitimierung von Datenübermittlungen von der EU in Drittstaaten nach DSGVO, aber sie lösen den Konflikt des CLOUD-Gesetzes nicht.
Das Urteil Schrems II des CJEU (2020) machte deutlich, dass die SCCs nur dann gültig sind, wenn der Rechtsrahmen des Empfängerlands den Schutz, den sie bieten, nicht untergraben. Für die Vereinigten Staaten ist das CLOUD-Gesetz genau diese Art von unterminierenden Rechtsrahmen: Es erlaubt dem Anbieter, Daten in einer Weise offenzulegen, die die SCCs ausdrücklich verbieten.
SCCs verlangen von dem Anbieter, den Datenexporteur über alle Rechtsordnungen, die mit den SCCs in Konflikt stehen, zu benachrichtigen und gegebenenfalls solche Aufträge anzufordern. Aber CLOUD Act-Bestellungen beinhalten häufig Gag-Bestimmungen, die den Anbieter davon abhalten, den Kunden zu melden — die SCC-Benachrichtigungspflicht wirksam undurchführbar zu machen.
Die EDPB-Position: Der Europäische Datenschutzausschuss hat wiederholt festgestellt, dass die Existenz von US-Überwachungsgesetzen, einschließlich des CLOUD-Gesetzes, bedeutet, dass SCCs allein nicht ausreichen, um Übertragungen an US-Hauptanbieter ohne zusätzliche Maßnahmen zu legitimieren. Die ergänzenden Maßnahmen, die die Exposition des CLOUD-Gesetzes angemessen berücksichtigen, sind technisch anspruchsvoll und selten in der Praxis umgesetzt.
Die Alternative: europäisch-südische Infrastruktur
Die strukturelle Lösung des CLOUD-Gesetzes besteht darin, einen Anbieter zu verwenden, der nicht der US-amerikanischen Gerichtsbarkeit unterliegt. Dies bedeutet: Hauptsitz in der EU (oder EWR), Betriebsinfrastruktur befindet sich vollständig innerhalb der EU, ohne US-basierte Muttergesellschaft, und keine US-basierten Subprozessoren mit Zugriff auf unverschlüsselte Kundendaten.
Dies unterscheidet sich von der "EU-Datenresidenz", wie sie von US-Hauptanbietern angeboten wird. EU-Datenresidency-Adressen, in denen Daten gespeichert werden. Die europäische Souveränität befasst sich mit der rechtlichen Zuständigkeit des Unternehmens, das diese Daten kontrolliert — der Zuständigkeit, die feststellt, wer seine Offenlegung erbringen kann.
EU-Datenresidenz (US-Anbieter)
Daten werden in EU-Datenzentren gespeichert. Aber das US-Hauptunternehmen behält die Kontrolle und unterliegt weiterhin den CLOUD-Gesetzen. Der Speicherort bestimmt nicht die rechtliche Zuständigkeit.
Europäische Souveränität (EU-Anbieter)
Daten werden in EU-Datenzentren gespeichert, die von einem EU-Hauptunternehmen ohne US-Mutterschaft betrieben werden. Kein CLOUD-Gesetz. Die Durchsetzung der US-Gesetzgebung muss den MLAT-Prozess nutzen, der die Zusammenarbeit der EU-Behörden erfordert.
Wie HubSecure die Datenresidenz behandelt
HubSecure betreibt EU-gehostete Infrastruktur ohne Datenübertragung zu US-Systemen. Die über HubSecure verarbeiteten Clientdaten fließen nicht durch US-gesteuerte Systeme und unterliegen nicht den CLOUD Act-Bestellungen. Die Architektur der Plattform ist für die europäische Datensouveränität von vornherein konzipiert, nicht nach der Tatsache angepasst.
Die spezifischen Datenhoheitsverpflichtungen im Datenverarbeitungsvertrag von HubSecure umfassen:
- EU-Host für alle Kundendaten ohne Übertragung auf Nicht-EU-Subprozessoren
- Subprozessorliste beschränkt auf EU-Hauptunternehmen
- Keine US-basierte Muttergesellschaft mit Kontrolle über die Daten
- Datenübertragbarkeit: Voller Export aller Clientdaten in strukturierten Formaten auf Anfrage
- Recht auf Löschung: vollständige Löschung aller Clientdaten auf Kontoabbruch, mit Löschungszertifikat
Die Wettbewerbsfähigkeit: Für europäische regulierte Unternehmen ist die europäische Datenhoheit zunehmend eine Kundenerwartung, nicht nur eine interne Compliance-Anforderung. Finanzdienstleistungskunden, Gesundheitsdienstleister und Rechtskunden, die die CLOUD-Gesetzfrage verstehen, stellen ihre Dienstleister – und Softwareanbieter ihrer Dienstleister – über CLOUD-Gesetze. "none" zu beantworten ist ein echter Wettbewerbsvorteil in Beschaffungsgesprächen.
Was Sie Ihre aktuellen Anbieter fragen sollten
Wenn Sie die CLOUD Act Belichtung Ihres aktuellen Werkzeugstapels bewerten, sind dies die Fragen, die wichtig sind:
- Wo ist diese Firma integriert? Wenn die Antwort die Vereinigten Staaten ist, gilt das CLOUD-Gesetz unabhängig von anderen Faktoren.
- Hat das Unternehmen eine amerikanische Muttergesellschaft? Tochtergesellschaften von US-Eltern können auch den an die Eltern gerichteten CLOUD-Gesetzen unterliegen.
- Kann das Unternehmen schriftlich bestätigen, dass kein US-Hauptunternehmen Zugriff auf die unverschlüsselten Daten meiner Kunden hat? Dies ist der technische Test — wenn ein US-Unternehmen auf die Daten zugreifen kann, kann es gezwungen werden, diese zu produzieren.
- Welche zusätzlichen technischen Maßnahmen führt das Unternehmen zur Minderung des CLOUD-Gesetzes für EU-Kunden durch? Akzeptable Antworten beinhalten clientseitige Verschlüsselung mit Schlüsseln, die vom Kunden gehalten werden - nicht nur TLS im Transit.
Erfahren Sie mehr über Datenresidenz in HubSecure
Überprüfen Sie unsere Daten-Residency-Verpflichtungen, Subprozessor-Liste und Datenverarbeitungsvereinbarung - und sprechen Sie uns über Migration von US-basierten Tools.
DatenrettungsdetailsWeitere Beiträge
Post-Quantum Verschlüsselung: Warum Ihre Geschäftsdaten es jetzt brauchen · NIS2 Compliance Checkliste: Wie HubSecure deckt jede Anforderung · Warum Regulierte Unternehmen brauchen gekonnt KI, nicht nur KI · HubSecure vs Freshworks: Service Tickets vs Governed Operations