CLOUD Act

Security & Compliance intermediate

Der US-CLOUD-Act erlaubt US-Behörden, US-Technologieunternehmen zur Herausgabe von Daten zu verpflichten, unabhängig davon, wo auf der Welt die Daten gespeichert sind.

Kurzfassung

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-Bundesgesetz von 2018. Er stellt klar, dass US-Behörden US-Technologieunternehmen zur Herausgabe von Daten verpflichten können, auch wenn diese außerhalb der Vereinigten Staaten gespeichert sind.

Was ist der CLOUD Act?

Vor dem CLOUD Act argumentierten US-Anbieter, dass physisch in ausländischen Rechenzentren gespeicherte Daten US-Anordnungen entzogen seien. Das Gesetz beseitigt diese Mehrdeutigkeit: Ein US-Unternehmen muss bei rechtmäßiger US-Anordnung Daten unter seiner Kontrolle herausgeben, unabhängig vom physischen Speicherort. Zusätzlich schafft das Gesetz einen Rahmen für „Executive Agreements" mit verbündeten Regierungen, um grenzüberschreitende Anfragen zu beschleunigen.

Für europäische Kunden entsteht daraus eine strukturelle Sorge. Ein Hyperscaler mit EU-Rechenzentren, EU-Kundendaten und EU-Personal bleibt ein US-Unternehmen. Unter dem CLOUD Act kann er verpflichtet werden, Daten an US-Behörden herauszugeben – unter Umständen ohne den Kunden zu informieren. Dieser Konflikt mit den DSGVO-Transfer-Prinzipien ist genau das, worauf Schrems II aufsetzt.

Die praktische Antwort ist eine Welle „EU-souveräner" Architekturen: Anbieter wählen, die nicht extraterritorialen Gesetzen unterliegen, Schlüssel in der EU halten, souveräne oder self-hosted Control Planes betreiben und Operationen vertraglich in eigene EU-Einheiten trennen. NetBird, Zitadel und ähnliche EU-Werkzeuge positionieren sich ausdrücklich als Alternativen ohne CLOUD-Act-Exposition.

Warum ist der CLOUD Act relevant?

  • Souveränitäts-Pivot: Ein Hauptgrund, warum europäische Kunden US-Anbieter neu bewerten
  • Lieferantenbewertung: Standardfrage in NIS2-, DORA- und Schrems-II-Reviews
  • Architekturwirkung: Beeinflusst, wo Schlüssel und Control Planes platziert werden
  • DSGVO-Spannung: Kernelement im rechtlichen Konflikt um EU–US-Datentransfers

Verwandte Begriffe

  • Schrems II: EuGH-Urteil, dessen Risikoanalyse den CLOUD Act direkt benennt
  • GDPR: Verordnung, deren Prinzipien mit extraterritorialem US-Recht in Spannung stehen
  • NIS2 Directive: Treibt Lieferkettenprüfungen, die CLOUD-Act-Exposition sichtbar machen
  • DORA: Finanzregulierung, die dieselben Souveränitätsfragen stellt

Ähnliche Lösungen

Für regulierte Branchen

<b>Regulierte Branchen scheitern nicht bei Audits, weil ihnen Richtlinien fehlen. Sie scheitern, weil Compliance Fähigkeiten erfordert, nicht Zertifikate.</b> Wir arbeiten mit Organisationen, die unter kontinuierlichem regulatorischem Druck stehen, einschließlich NIS2, ISO 27001 und branchenspezifischen Anforderungen. Wir haben Teams bei mehreren Audits, Sicherheitsüberprüfungen und Compliance-Programmen unterstützt – immer mit Fokus auf operative Realität statt Theorie.

Mehr entdecken

NIS2 & ISO 27001 Vorbereitung

Compliance erfordert Kompetenz, keine Zertifikate. Unsere Trainings helfen Ihnen, genau das zu erreichen. Damit Sie bei Audits, Vorfällen oder Prüfern nie wieder ins Schwitzen kommen.

Mehr entdecken

Verwandte Begriffe

Schrems II

Schrems II ist das EuGH-Urteil von 2020, das den EU–US Privacy Shield für ungültig erklärte und die Bedingungen für Drittlandtransfers personenbezogener Daten verschärfte.

Mehr entdecken

DSGVO (Datenschutz-Grundverordnung)

Die DSGVO ist die EU-Verordnung zum Schutz personenbezogener Daten von EU-Bürgern und regelt deren Erhebung, Verarbeitung und Speicherung.

Mehr entdecken

NIS2-Richtlinie

Was ist die NIS2-Richtlinie? Die EU-Cybersicherheitsverordnung und ihre Auswirkungen erklärt.

Mehr entdecken

DORA (Digital Operational Resilience Act)

DORA ist eine EU-Verordnung, die Finanzunternehmen zur digitalen operationalen Resilienz ihrer IKT-Systeme verpflichtet.

Mehr entdecken

Wir sind für Sie da

Sie interessieren sich für unsere Trainings oder haben einfach eine Frage, die beantwortet werden muss? Sie können uns jederzeit kontaktieren! Wir werden unser Bestes tun, um alle Ihre Fragen zu beantworten.

Hier kontaktieren