Warum der US CLOUD Act ein Problem und Risiko für Europa und den Rest der Welt ist: Ein Gesetz mit weitreichenden Folgen

Warum der US CLOUD Act ein Problem und Risiko für Europa und den Rest der Welt ist: Ein Gesetz mit weitreichenden Folgen

Dieser Artikel analysiert den US Clarifying Lawful Overseas Use of Data (CLOUD) Act von 2018 und seine weitreichenden Folgen für den globalen Datenschutz, die Datensouveränität und die internationale Zusammenarbeit. Der CLOUD Act ermächtigt US-Behörden, von US-Kommunikations- und Cloud-Dienstleistern die Herausgabe von Daten zu verlangen, die sich in deren Besitz, Obhut oder Kontrolle befinden, unabhängig vom physischen Speicherort der Daten – also auch außerhalb der USA. Diese extraterritoriale Reichweite kollidiert fundamental mit Datenschutzregimen wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, insbesondere mit deren Regeln für internationale Datentransfers (Art. 48 DSGVO).

Die Analyse zeigt, dass der CLOUD Act erhebliche Rechtsunsicherheit für global agierende Unternehmen schafft, die sich widersprüchlichen rechtlichen Anforderungen gegenübersehen. Er untergräbt das Vertrauen in US-Technologieanbieter und etablierte Mechanismen für den Datentransfer, eine Problematik, die durch das Schrems II-Urteil des Europäischen Gerichtshofs verschärft wurde. Über Europa hinaus birgt das Gesetz Risiken der staatlichen Überwachung, der Wirtschaftsspionage und Konflikte mit lokalen Rechtsordnungen weltweit.

Die globale Abhängigkeit von den großen US-Cloud-Anbietern (AWS, Microsoft Azure, Google Cloud) ist immens, insbesondere in Nordamerika und Europa. Gleichzeitig entwickeln Länder wie China und Russland abgeschottete digitale Ökosysteme mit starken lokalen Anbietern und strenger Regulierung, was ihre Abhängigkeit reduziert. Andere Nationen und Regionen, einschließlich der EU mit Initiativen wie Gaia-X und dem Data Act, verfolgen unterschiedliche Strategien zur Risikominderung, die von Datenlokalisierungsgesetzen über die Förderung lokaler Alternativen bis hin zu Verhandlungen über bilaterale Abkommen mit den USA reichen.

Trotz der legitimen Notwendigkeit, die grenzüberschreitende Strafverfolgung zu beschleunigen – ein Kernanliegen des CLOUD Act angesichts der Langsamkeit traditioneller Rechtshilfeverfahren –, löst das Gesetz aus Sicht vieler Kritiker den Balanceakt zwischen effektiver Kriminalitätsbekämpfung und dem Schutz von Grundrechten und nationaler Souveränität nicht zufriedenstellend. Der Bericht schließt mit Handlungsempfehlungen für Unternehmen und politische Entscheidungsträger zur Navigation dieser komplexen Landschaft.

Passend dazu:

• Abhängig von der US-Cloud? Deutschlands Kampf um die Cloud: So wollen sie AWS (Amazon) und Azure (Microsoft) Konkurrenz machen

Der US CLOUD Act und seine Auswirkungen auf die europäische Datensouveränität

Die fortschreitende Digitalisierung und die damit einhergehende Verlagerung von Datenverarbeitung und -speicherung in die Cloud-Infrastrukturen globaler Anbieter haben die Art und Weise, wie Unternehmen und öffentliche Verwaltungen agieren, fundamental verändert. Insbesondere die Dienste der großen US-amerikanischen Hyperscaler – Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) – sind zu einem integralen Bestandteil der digitalen Infrastruktur vieler Länder geworden. Diese Entwicklung birgt enorme Effizienz- und Innovationspotenziale, schafft jedoch gleichzeitig neue und komplexe Herausforderungen für den Datenschutz, die Datensicherheit und die Wahrung nationaler Souveränität.

Eine signifikante Verschärfung dieser Problematik erfolgte durch die Verabschiedung des US Clarifying Lawful Overseas Use of Data (CLOUD) Act im März 2018. Dieses US-Bundesgesetz räumt amerikanischen Strafverfolgungs- und Ermittlungsbehörden weitreichende Befugnisse ein, auf Daten zuzugreifen, die von US-Unternehmen oder Unternehmen unter US-Jurisdiktion weltweit gespeichert und verwaltet werden. Die Kernproblematik liegt in der expliziten extraterritorialen Reichweite des Gesetzes: US-Behörden können die Herausgabe von Daten verlangen, selbst wenn diese auf Servern außerhalb der Vereinigten Staaten liegen.

Diese gesetzliche Regelung führt zu direkten und fundamentalen Konflikten mit etablierten Datenschutzregimen anderer Staaten, allen voran der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Die Möglichkeit eines Zugriffs durch US-Behörden unter Umgehung international vereinbarter Rechtshilfeverfahren und potenziell ohne Einhaltung der strengen europäischen Datenschutzstandards schürt erhebliche Bedenken hinsichtlich staatlicher Überwachung, Wirtschaftsspionage und der Aushöhlung der digitalen Souveränität. Der CLOUD Act wird daher weithin als problematisch und als Risiko für Unternehmen und Bürger nicht nur in Europa, sondern weltweit betrachtet.

Dieser Artikel verfolgt das Ziel, eine umfassende und fundierte Analyse des US CLOUD Act und seiner globalen Auswirkungen zu liefern. Er analysiert die Kernmechanismen des Gesetzes und dessen extraterritoriale Dimension. Ein besonderer Fokus liegt auf der detaillierten Untersuchung des Konfliktpotenzials mit der EU-DSGVO und den daraus resultierenden Implikationen für die europäische Datensouveränität, auch im Lichte der Rechtsprechung des Europäischen Gerichtshofs (EuGH), insbesondere des Schrems II-Urteils. Darüber hinaus werden die Risiken und potenziellen negativen Folgen für Länder außerhalb Europas beleuchtet. Der Bericht kartiert die globale Landschaft der Abhängigkeit von US-Cloud-Anbietern, identifiziert Regionen mit hoher und niedriger Abhängigkeit und analysiert vergleichend die Strategien, die verschiedene Länder zur Bewältigung der durch den CLOUD Act entstehenden Herausforderungen verfolgen.

Die Struktur des Artikels folgt dieser Zielsetzung: Nach dieser Einleitung werden im zweiten Kapitel die Kernbestimmungen und die extraterritoriale Reichweite des CLOUD Act detailliert erläutert. Das dritte Kapitel widmet sich der Konfliktzone zwischen dem CLOUD Act, der DSGVO und der europäischen Datensouveränität. Kapitel vier untersucht die globalen Risiken und Implikationen außerhalb Europas. Das fünfte Kapitel kartiert die globale Abhängigkeit von US-Cloud-Anbietern, während das sechste Kapitel nationale Strategien und Reaktionen auf den CLOUD Act vergleicht. Eine Synthese der Ergebnisse und ein Fazit bilden das siebte Kapitel, gefolgt von Handlungsempfehlungen im achten Kapitel.

Der US CLOUD Act: Kernbestimmungen und extraterritoriale Reichweite

Der Clarifying Lawful Overseas Use of Data (CLOUD) Act stellt eine signifikante Gesetzgebung im Bereich des grenzüberschreitenden Datenzugriffs durch US-Behörden dar. Um seine Auswirkungen vollständig zu verstehen, ist eine genaue Betrachtung seiner gesetzlichen Grundlagen, seiner Funktionsweise und insbesondere seiner extraterritorialen Ansprüche unerlässlich.

Gesetzliche Grundlagen und Funktionsweise

Der CLOUD Act wurde am 23. März 2018 als Teil eines umfassenden Haushaltsgesetzes (Consolidated Appropriations Act, 2018, Public Law 115-141, Division V) erlassen und trat sofort in Kraft. Er stellt keine gänzlich neue Rechtsgrundlage dar, sondern ändert primär bestehende Gesetze, insbesondere den Stored Communications Act (SCA) von 1986, der Teil des Electronic Communications Privacy Act (ECPA) ist. Der SCA regelt, unter welchen Bedingungen US-Behörden auf gespeicherte elektronische Kommunikationsdaten zugreifen dürfen, die von Dienstanbietern gehalten werden.

Der Kern des CLOUD Act, kodifiziert unter anderem in 18 U.S.C. § 2713 und § 2523, verpflichtet Anbieter von “electronic communication services” (ECS) und “remote computing services” (RCS), die der Jurisdiktion der Vereinigten Staaten unterliegen, zur Einhaltung von Anordnungen zur Sicherung, zum Backup oder zur Herausgabe von Inhalten elektronischer Kommunikation sowie von Metadaten oder anderen Informationen über Kunden oder Abonnenten. Diese Verpflichtung gilt für Daten, die sich im “Besitz, Gewahrsam oder unter der Kontrolle” (“possession, custody, or control”) des Anbieters befinden. Die US-Jurisdiktion kann dabei auch Anbieter erfassen, die ihren Hauptsitz nicht in den USA haben, aber beispielsweise durch Geschäftsbeziehungen, eine Niederlassung in den USA oder Verträge mit US-Kunden eine ausreichende Verbindung zu den Vereinigten Staaten aufweisen.

Die entscheidende Klarstellung, die der CLOUD Act bringt, ist, dass diese Verpflichtung zur Herausgabe von Daten unabhängig davon gilt, ob die betreffenden Daten innerhalb oder außerhalb der Vereinigten Staaten gespeichert sind (“regardless of whether such communication, record, or other information is located within or outside of the United States”).

Auslöser für diese Gesetzgebung war maßgeblich der Rechtsstreit United States v. Microsoft Corp. (oft als “Microsoft Ireland Case” bezeichnet). In diesem Fall weigerte sich Microsoft, dem FBI E-Mails eines Kunden herauszugeben, die auf einem Server in Irland gespeichert waren, mit der Begründung, dass US-Warrants keine extraterritoriale Wirkung hätten und der SCA nicht für Daten außerhalb der USA gelte. Der Fall erreichte den Supreme Court, wurde aber durch die Verabschiedung des CLOUD Act hinfällig (“moot”), da dieser die Rechtsfrage im Sinne der Regierung entschied.

Es ist wichtig zu betonen, dass der CLOUD Act nach Darstellung der US-Regierung und unterstützender Organisationen keinen Freibrief für Massenüberwachung oder willkürlichen Datenzugriff darstellt. Zugriffsanordnungen (typischerweise Warrants, die auf “probable cause” basieren, oder Subpoenas) müssen weiterhin den rechtsstaatlichen Anforderungen des US-Rechts entsprechen, spezifisch sein und richterlicher Kontrolle unterliegen. Sie sind auf Daten beschränkt, die im Zusammenhang mit konkreten strafrechtlichen Ermittlungen relevant sein könnten (“serious crime, including terrorism”). Ferner schafft der CLOUD Act explizit keine Verpflichtung für Anbieter, Daten zu entschlüsseln, wenn sie diese nur in verschlüsselter Form vorliegen haben und die Schlüssel nicht kontrollieren.

Extraterritoriale Anwendung und Jurisdiktionsanspruch

Die zentrale und umstrittenste Neuerung des CLOUD Act ist die gesetzliche Verankerung der extraterritorialen Reichweite von US-Zugriffsanordnungen. Das Gesetz stellt klar, dass die Pflicht zur Herausgabe von Daten für Anbieter unter US-Jurisdiktion unabhängig vom physischen Speicherort der Daten besteht.

Diese Position basiert auf dem etablierten Rechtsprinzip, dass ein Staat Unternehmen, die seiner Gerichtsbarkeit unterstehen, zur Herausgabe von Informationen verpflichten kann, die sich unter ihrer Kontrolle befinden, auch wenn diese Informationen im Ausland gespeichert sind. Der CLOUD Act kodifiziert dieses Prinzip spezifisch für elektronische Kommunikationsdaten im Kontext des SCA.

Genau dieser unilaterale Anspruch auf extraterritorialen Zugriff ist die Hauptquelle internationaler Besorgnis und rechtlicher Konflikte, insbesondere im Verhältnis zur Europäischen Union und deren Datenschutzgrundverordnung (DSGVO). Er wird als Eingriff in die Souveränität anderer Staaten und als potenzielle Umgehung etablierter internationaler Rechtshilfeverfahren wahrgenommen.

Exekutivvereinbarungen als Alternative zu Rechtshilfeabkommen

Neben der Klarstellung der extraterritorialen Reichweite von US-Anordnungen führt der CLOUD Act einen zweiten wichtigen Mechanismus ein: Er ermächtigt die US-Exekutive (Präsident bzw. Regierung), bilaterale Abkommen, sogenannte “Executive Agreements”, mit “qualifizierten” ausländischen Regierungen abzuschließen.

Das erklärte Ziel dieser Abkommen ist es, den grenzüberschreitenden Datenzugriff für Zwecke der Strafverfolgung bei schweren Straftaten (“serious crime, including terrorism”) zu beschleunigen und effizienter zu gestalten. Sie sollen eine Alternative oder Ergänzung zu den traditionellen Rechtshilfeabkommen (Mutual Legal Assistance Treaties, MLATs) bieten, deren Verfahren oft als zu langsam und bürokratisch kritisiert werden, um mit der Geschwindigkeit digitaler Kriminalität Schritt zu halten.

Der Kernmechanismus dieser Executive Agreements besteht darin, rechtliche Hindernisse (“conflicts of law” oder “legal restrictions”) zu beseitigen, die Anbieter daran hindern könnten, rechtmäßigen Anordnungen des Partnerlandes Folge zu leisten. Konkret würde ein solches Abkommen es beispielsweise einem US-Provider erlauben, einer Anordnung aus dem Vereinigten Königreich direkt nachzukommen, ohne gegen US-Recht (z.B. SCA-Beschränkungen zur Offenlegung) zu verstoßen, und umgekehrt. Die Behörden jedes Landes könnten somit ihre eigenen nationalen Verfahren nutzen, um Daten vom Provider im jeweils anderen Land anzufordern.

Die USA können solche Abkommen jedoch nur mit Staaten abschließen, die als “qualifiziert” gelten. Voraussetzung hierfür ist eine Zertifizierung durch den US Attorney General (Justizminister) und den Secretary of State (Außenminister) gegenüber dem Kongress, dass das betreffende Partnerland über robuste materielle und prozedurale Schutzmechanismen für Privatsphäre und bürgerliche Freiheiten verfügt und diese auch in der Praxis anwendet. Das Partnerland muss Rechtsstaatlichkeit, Nichtdiskriminierung und Datenschutz respektieren.

Bisher haben die USA solche Executive Agreements mit dem Vereinigten Königreich (unterzeichnet 2019, in Kraft seit Oktober 2022) und Australien (unterzeichnet Dezember 2021) abgeschlossen. Verhandlungen mit der Europäischen Union wurden 2019 angekündigt und sind im Gange, gestalten sich jedoch aufgrund der komplexen Rechtslage (DSGVO, Schrems II) und der Beteiligung von 27 Mitgliedstaaten als schwierig.

Wichtige Schutzvorkehrungen für diese Abkommen sind im CLOUD Act selbst vorgesehen: Anordnungen, die unter einem solchen Abkommen ergehen, dürfen nicht gezielt auf US-Personen (Bürger oder Personen mit ständigem Aufenthalt) oder Personen, die sich in den USA aufhalten, abzielen. Sie müssen spezifisch sein (z.B. auf eine bestimmte Person, ein Konto abzielen) und einer unabhängigen Überprüfung oder Aufsicht (z.B. durch ein Gericht) unterliegen.

Anfechtungsmöglichkeiten für Provider

Der CLOUD Act sieht explizit einen Mechanismus vor, mit dem Provider US-amerikanische Zugriffsanordnungen unter bestimmten Bedingungen gerichtlich anfechten können (sog. “motion to quash or modify”). Dieses Recht besteht, wenn der Provider “vernünftigerweise glaubt” (“reasonably believes”), dass zwei kumulative Bedingungen erfüllt sind:

• Der betroffene Kunde oder Abonnent ist keine US-Person und hat keinen Wohnsitz in den USA.
• Die geforderte Offenlegung würde ein “materielles Risiko” schaffen, dass der Provider gegen die Gesetze einer “qualifizierten ausländischen Regierung” verstößt. Eine “qualifizierte ausländische Regierung” ist dabei eine solche, mit der die USA ein Executive Agreement im Rahmen des CLOUD Act abgeschlossen haben.

Wenn der Provider eine solche Anfechtung einreicht, kann das zuständige US-Gericht die Anordnung ändern oder aufheben. Dies geschieht jedoch nur, wenn das Gericht feststellt, dass (a) die Offenlegung tatsächlich gegen das Gesetz des qualifizierten ausländischen Staates verstoßen würde, (b) die Gewährung der Anfechtung “den Interessen der Justiz” (“interests of justice”) dient, und (c) die Interessen der Justiz dies unter Berücksichtigung der “Gesamtheit der Umstände” (“totality of the circumstances”) erfordern.

Für die Beurteilung, was die “Interessen der Justiz” erfordern, listet das Gesetz spezifische Faktoren auf, die das Gericht abwägen muss (“comity analysis”). Dazu gehören unter anderem: die Interessen der USA und der ausländischen Regierung, die Wahrscheinlichkeit und Art der Strafen, die dem Provider im Ausland drohen würden, die Verbindungen des Betroffenen und des Providers zu den USA und zum Ausland, die Bedeutung der Informationen für die Ermittlung und die Verfügbarkeit alternativer Wege zur Informationsbeschaffung.

Diese gesetzliche Regelung wirft jedoch Fragen hinsichtlich ihrer praktischen Wirksamkeit auf. Die Fokussierung des expliziten Anfechtungsgrundes auf Gesetzeskonflikte mit qualifizierten ausländischen Regierungen (also solchen mit Executive Agreement) könnte die Position von Providern schwächen, die sich auf Gesetze von Ländern ohne ein solches Abkommen berufen möchten, wie beispielsweise die EU-DSGVO im aktuellen Zustand ohne EU-US-Abkommen. Zwar bleibt die Möglichkeit bestehen, sich auf allgemeine Prinzipien der internationalen Höflichkeit und Interessenabwägung (“common law comity”) zu berufen, doch der spezifische gesetzliche Mechanismus ist enger gefasst. Dies könnte US-Gerichte dazu verleiten, Konflikten mit Gesetzen von Nicht-Abkommensstaaten weniger Gewicht beizumessen oder den Anfechtungsprozess als weniger klar definiert anzusehen.

Darüber hinaus ist die praktische Relevanz der Anfechtungsmöglichkeit generell begrenzt. Die Beweislast liegt beim Provider, der nachweisen muss, dass er “vernünftigerweise glaubt”, die Bedingungen seien erfüllt. Selbst wenn ein Gesetzeskonflikt nachgewiesen wird, kann das Gericht die Anordnung aufheben, muss es aber nicht. Die Entscheidung basiert auf einer Abwägung unbestimmter Rechtsbegriffe wie “Interessen der Justiz” und “Gesamtheit der Umstände”, die dem Gericht einen weiten Ermessensspielraum lassen. Es besteht die Gefahr, dass US-Interessen, insbesondere in Strafverfolgungs- oder Sicherheitsfragen, systematisch höher gewichtet werden als ausländische Datenschutzinteressen, vor allem wenn kein bilaterales Abkommen existiert, das diese Interessen formal anerkennt. Der Europäische Datenschutzausschuss (EDSA) betrachtet diesen Mechanismus daher skeptisch und betont, dass er lediglich eine Möglichkeit zur Anfechtung darstellt, keine Verpflichtung, und somit keine ausreichende Sicherheit für die Rechte von EU-Bürgern bietet.

Passend dazu:

• Die digitale Abhängigkeit Europas von den USA: Cloud-Dominanz, verzerrte Handelsbilanzen und Lock-in-Effekte

Konfliktzone: CLOUD Act vs. EU-DSGVO und Datensouveränität

Die extraterritoriale Reichweite des US CLOUD Act und die damit verbundenen Zugriffsbefugnisse für US-Behörden führen zu erheblichen Spannungen und direkten rechtlichen Konflikten mit dem Datenschutzregime der Europäischen Union, insbesondere der Datenschutz-Grundverordnung (DSGVO). Diese Konflikte betreffen Kernprinzipien des EU-Datenschutzrechts und werfen grundlegende Fragen zur Datensouveränität auf.

Direkte Kollision mit der DSGVO (Art. 6, Art. 48)

Der fundamentale Konflikt ergibt sich daraus, dass der CLOUD Act US-Behörden ermöglicht, die Übermittlung von Daten – einschließlich personenbezogener Daten von EU-Bürgern – aus der EU in die USA anzuordnen, ohne dass diese Anordnung notwendigerweise auf einer der in der DSGVO vorgesehenen Rechtsgrundlagen für die Datenverarbeitung oder den internationalen Datentransfer beruht.

Besonders relevant ist der Konflikt mit Artikel 48 DSGVO (‘Übermittlungen oder Offenlegungen, die nach dem Unionsrecht nicht zulässig sind’). Dieser Artikel legt fest, dass Entscheidungen von Gerichten oder Verwaltungsbehörden eines Drittlandes, die einen Verantwortlichen oder Auftragsverarbeiter zur Übermittlung oder Offenlegung personenbezogener Daten verpflichten, nur dann anerkannt oder vollstreckbar sind, wenn sie auf einer völkerrechtlichen Übereinkunft – wie einem Rechtshilfeabkommen (MLAT) – beruhen, die zwischen dem ersuchenden Drittland (hier den USA) und der Union oder einem Mitgliedstaat in Kraft ist. Eine Anordnung, die allein auf dem CLOUD Act basiert, ohne durch ein solches internationales Abkommen legitimiert zu sein, erfüllt diese Bedingung nicht. Sie stellt aus Sicht der DSGVO keine gültige Rechtsgrundlage für den Transfer dar.

Darüber hinaus fehlt es einer solchen Übermittlung an einer validen Rechtsgrundlage gemäß Artikel 6 DSGVO, der die Bedingungen für die Rechtmäßigkeit der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten festlegt. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben in ihrer gemeinsamen Bewertung klargestellt, dass die üblichen Rechtsgrundlagen hier nicht greifen:

• Art. 6(1)(c) DSGVO (Erfüllung einer rechtlichen Verpflichtung): Diese Rechtsgrundlage ist nicht anwendbar, da die “rechtliche Verpflichtung” aus dem CLOUD Act stammt, also aus dem Recht eines Drittstaates, und nicht aus dem Unionsrecht oder dem Recht eines Mitgliedstaates, wie es Art. 6(3) DSGVO fordert. Eine Ausnahme bestünde nur, wenn die US-Anordnung durch ein MLAT im EU-Recht verankert wäre.
• Art. 6(1)(e) DSGVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse): Auch diese Rechtsgrundlage scheidet aus, da die Aufgabe (hier die Befolgung der US-Anordnung) nicht im Unionsrecht oder im Recht eines Mitgliedstaates festgelegt ist.
• Art. 6(1)(f) DSGVO (Wahrung berechtigter Interessen): Zwar könnte ein Provider ein berechtigtes Interesse daran haben, einer CLOUD Act-Anordnung nachzukommen, um Sanktionen nach US-Recht zu vermeiden. Dieses Interesse wird jedoch nach Auffassung von EDSA/EDSB regelmäßig von den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Personen (Schutz ihrer Daten) überwogen. Die Behörden argumentieren, dass die Betroffenen sonst ihres Schutzes nach der EU-Grundrechtecharta (insbesondere Recht auf wirksamen Rechtsbehelf, Art. 47) beraubt werden könnten.
• Art. 6(1)(d) DSGVO (Schutz lebenswichtiger Interessen): Diese Rechtsgrundlage könnte theoretisch in sehr eng begrenzten Ausnahmefällen anwendbar sein, etwa wenn die Daten zur Abwendung einer unmittelbaren Gefahr für Leib und Leben einer Person benötigt werden. Sie bietet jedoch keine Grundlage für routinemäßige Datenherausgaben im Rahmen von Strafverfolgungsmaßnahmen.

Diese Kollision der Rechtsnormen schafft einen unauflösbaren Konflikt für Provider, die sowohl der US-Jurisdiktion (und damit dem CLOUD Act) als auch der EU-Gesetzgebung (DSGVO) unterliegen. Befolgen sie eine CLOUD Act-Anordnung ohne MLAT-Grundlage, verstoßen sie gegen die DSGVO und riskieren hohe Bußgelder (bis zu 4% des weltweiten Jahresumsatzes) sowie zivilrechtliche Klagen. Verweigern sie die Herausgabe unter Berufung auf die DSGVO, riskieren sie Sanktionen nach US-Recht.

Bewertung durch den EDSA/EDSB und Rechtsunsicherheit

Die europäischen Datenschutzaufsichtsbehörden, koordiniert im EDSA, sowie der EDSB haben zu dieser Konfliktlage klar Stellung bezogen. In ihrer gemeinsamen rechtlichen Bewertung vom Juli 2019 kamen sie zu dem Schluss, dass der CLOUD Act als solcher keine ausreichende Rechtsgrundlage nach der DSGVO für die Übermittlung personenbezogener Daten in die USA darstellt.

Sie betonen nachdrücklich, dass Provider, die dem EU-Recht unterliegen, personenbezogene Daten nicht allein aufgrund einer direkten Anordnung nach dem CLOUD Act an US-Behörden übermitteln dürfen. Eine solche Übermittlung sei nur zulässig, wenn sie auf einer anerkannten internationalen Übereinkunft, typischerweise dem EU-US MLAT oder einem bilateralen MLAT zwischen einem Mitgliedstaat und den USA, basiert. Der MLAT-Prozess gewährleiste die notwendigen rechtsstaatlichen Garantien und die Einbindung der Justizbehörden des ersuchten Staates.

Die im CLOUD Act vorgesehene Möglichkeit für Provider, eine Anordnung anzufechten (“motion to quash”), wird von EDSA und EDSB als unzureichender Schutzmechanismus bewertet. Sie weisen darauf hin, dass dies lediglich eine Option für den Provider ist, keine Verpflichtung, und dass der Ausgang eines solchen Verfahrens vor einem US-Gericht ungewiss ist und keine Garantie für die Wahrung der Rechte von EU-Bürgern nach EU-Standards bietet.

Diese klare Haltung der maßgeblichen europäischen Datenschutzbehörden verschärft die Rechtsunsicherheit für Unternehmen, die US-Cloud-Dienste nutzen oder anbieten. Sie müssen sich der Tatsache bewusst sein, dass die Nutzung solcher Dienste potenziell nicht DSGVO-konform ist, wenn der Anbieter nicht garantieren kann, dass er Daten nicht aufgrund einer CLOUD Act-Anordnung unter Verletzung der DSGVO herausgibt.

Implikationen von Schrems II und US-Überwachungsgesetzen

Die Problematik des CLOUD Act muss im Kontext der breiteren Debatte über Datentransfers in die USA und die dortigen Überwachungsgesetze gesehen werden, die durch das Schrems II-Urteil des EuGH vom 16. Juli 2020 eine neue Dimension erreicht hat.

In diesem Urteil erklärte der EuGH das EU-US Privacy Shield-Abkommen für ungültig. Der Hauptgrund hierfür waren die weitreichenden Befugnisse der US-Nachrichtendienste (insbesondere nach Section 702 des Foreign Intelligence Surveillance Act – FISA – und Executive Order 12333), auf personenbezogene Daten von EU-Bürgern zuzugreifen, die in die USA übermittelt werden. Der EuGH befand, dass diese Zugriffsmöglichkeiten nicht den Anforderungen der EU-Grundrechtecharta an Notwendigkeit und Verhältnismäßigkeit genügen und dass EU-Bürgern kein wirksamer Rechtsschutz gegen solche Zugriffe in den USA zur Verfügung steht.

Obwohl der CLOUD Act formal ein Instrument der Strafverfolgung und nicht der nachrichtendienstlichen Überwachung ist, verstärkt er die durch Schrems II aufgeworfenen Bedenken. Er etabliert einen weiteren gesetzlichen Mechanismus für den extraterritorialen Zugriff auf Daten durch US-Behörden. Aus europäischer Sicht fehlt auch diesem Mechanismus (sofern er nicht auf einem MLAT oder einem zukünftigen, als adäquat befundenen Abkommen basiert) die notwendige rechtsstaatliche Verankerung im EU-Recht (Art. 48 DSGVO). Die Kombination der Zugriffsrechte aus Überwachungsgesetzen (FISA 702, EO 12333) und dem CLOUD Act (Strafverfolgung) erzeugt ein Gesamtbild weitreichender staatlicher Zugriffsmöglichkeiten der USA auf Daten, die global von US-Providern gespeichert werden.

Dies hat direkte Auswirkungen auf die Nutzung anderer Transfermechanismen wie der Standardvertragsklauseln (Standard Contractual Clauses, SCCs). Das Schrems II-Urteil verpflichtet Datenexporteure, bei der Nutzung von SCCs für Transfers in Drittländer wie die USA im Einzelfall zu prüfen, ob das Recht und die Praxis des Ziellandes ein Schutzniveau gewährleisten, das dem in der EU garantierten “im Wesentlichen gleichwertig” ist. Falls nicht, müssen zusätzliche Maßnahmen (Supplementary Measures) ergriffen werden, um etwaige Schutzlücken zu schließen. Die Existenz von Gesetzen wie FISA Section 702 und dem CLOUD Act macht es für Unternehmen extrem schwierig, nachzuweisen, dass das US-Recht ein solches äquivalentes Schutzniveau bietet. Dies erschwert die rechtskonforme Nutzung von US-Cloud-Diensten für die Verarbeitung personenbezogener Daten aus der EU erheblich. Der CLOUD Act wirkt hier wie ein Verstärker der Schrems II-Problematik, da er das Spektrum der gesetzlichen US-Zugriffsmöglichkeiten erweitert und die Argumentation für eine “wesentliche Gleichwertigkeit” des Schutzniveaus weiter untergräbt.

Aushöhlung europäischer Datensouveränität und Vertrauensverlust

Über die rein rechtlichen Konflikte hinaus wird der CLOUD Act weithin als eine Bedrohung für die digitale Souveränität Europas wahrgenommen. Datensouveränität bezeichnet das Recht und die Fähigkeit von Staaten, Organisationen oder Individuen, die Kontrolle über ihre Daten auszuüben, insbesondere darüber, wo sie gespeichert, wie sie verarbeitet und wer darauf zugreifen kann. Der CLOUD Act untergräbt dieses Prinzip, indem er einer ausländischen Macht (den USA) erlaubt, potenziell einseitig auf Daten zuzugreifen, die auf europäischem Territorium gespeichert sind oder von europäischen Bürgern und Unternehmen stammen, sofern diese Daten von einem Provider unter US-Jurisdiktion verwaltet werden.

Die Möglichkeit eines solchen Zugriffs, der möglicherweise ohne Einhaltung europäischer Verfahren (wie MLATs) und ohne Wissen oder Benachrichtigung der betroffenen Personen oder Unternehmen erfolgt, führt zu einem erheblichen Vertrauensverlust in US-amerikanische Technologieanbieter. Dieses Misstrauen betrifft nicht nur den Schutz personenbezogener Daten im Sinne der DSGVO, sondern erstreckt sich auch auf die Sicherheit sensibler Unternehmensdaten, wie Geschäftsgeheimnisse, Forschungs- und Entwicklungsdaten, Finanzinformationen und geistiges Eigentum. Die Sorge vor Wirtschaftsspionage oder dem ungewollten Abfluss wettbewerbskritischer Informationen durch staatliche Zugriffe ist ein wesentlicher Faktor, der Unternehmen dazu veranlasst, Alternativen zu US-Providern zu suchen oder zusätzliche Schutzmaßnahmen zu ergreifen.

EU-Antworten: Data Act und Gaia-X (Status und Herausforderungen)

Als Reaktion auf die Herausforderungen der Digitalisierung und die Dominanz außereuropäischer Technologieanbieter hat die Europäische Union verschiedene Initiativen gestartet, um die digitale Souveränität zu stärken und einen eigenen europäischen Weg im Umgang mit Daten zu definieren. Zwei zentrale Bausteine sind der Data Act und die Initiative Gaia-X.

Der EU Data Act, der im Dezember 2023 im Amtsblatt veröffentlicht wurde und ab dem 12. September 2025 anwendbar sein wird, zielt darauf ab, die Fairness in der Datenwirtschaft zu erhöhen und den Zugang zu und die Nutzung von Daten, insbesondere von Industriedaten, zu verbessern. Er soll Innovation fördern und die Verfügbarkeit von Daten steigern. Konkret gibt der Data Act Nutzern von vernetzten Produkten (z.B. IoT-Geräte, smarte Maschinen) mehr Kontrolle über die von diesen Geräten generierten Daten und erleichtert den Wechsel zwischen verschiedenen Cloud-Anbietern, indem er beispielsweise Hürden für den Anbieterwechsel abbaut und unangemessene Vertragsklauseln verbietet. Relevant im Kontext des CLOUD Act sind auch die Bestimmungen, die Schutzmaßnahmen gegen unrechtmäßige Datenübermittlungsanforderungen von Drittstaatenbehörden vorsehen und somit die EU-Datensouveränität stärken sollen.

Die Initiative Gaia-X, gestartet 2019, verfolgt das ambitionierte Ziel, eine föderierte, sichere und souveräne europäische Dateninfrastruktur zu schaffen. Gaia-X soll ein Ökosystem etablieren, in dem Daten gemäß europäischer Werte und Standards – Transparenz, Offenheit, Sicherheit, Interoperabilität und Datensouveränität – geteilt und verarbeitet werden können. Es soll eine Alternative zu den dominanten Hyperscalern bieten und die Abhängigkeit von außereuropäischen Anbietern verringern.

Allerdings befindet sich Gaia-X noch in einer frühen Phase der Umsetzung (“ramp-up phase”) und steht vor erheblichen Herausforderungen. Zwar gibt es erste Pilotprojekte und Anwendungsfälle, wie Catena-X für die Automobilindustrie oder Testbeds in Partnerländern wie Japan, aber eine breite Marktdurchdringung steht noch aus. Zu den Hürden zählen die technische Komplexität des föderierten Ansatzes, die Sicherstellung echter Interoperabilität zwischen verschiedenen Anbietern, Governance-Fragen innerhalb der Gaia-X Association (der Trägerorganisation) und die langsame Adoption, insbesondere in hochregulierten Sektoren wie dem Gesundheitswesen. Zudem wurde Kritik laut, dass die ursprüngliche Vision einer rein europäischen Cloud durch die Einbindung der großen US-Hyperscaler in die Gaia-X Association verwässert worden sei und das Projekt unter übermäßiger Bürokratie leide. Es erscheint derzeit unwahrscheinlich, dass Gaia-X eine direkte Konkurrenz zu AWS, Azure und GCP aufbauen kann. Seine Bedeutung könnte eher darin liegen, als Rahmenwerk für Standards und Vertrauen für spezifische europäische Datenräume (Data Spaces) zu dienen.

Diese europäischen Initiativen offenbaren jedoch auch eine strategische Inkonsistenz. Einerseits wird mit Gaia-X und dem Data Act versucht, die Abhängigkeit von US-Providern zu reduzieren und die Kontrolle über Daten in Europa zu stärken. Andererseits verhandelt die Europäische Kommission parallel mit den USA über ein Executive Agreement im Rahmen des CLOUD Act. Ein solches Abkommen würde, wenn es zustande kommt, den direkten Datenzugriff durch US-Behörden unter bestimmten Bedingungen legalisieren und potenziell vereinfachen – also genau den Mechanismus institutionalisieren, der die Souveränitätsbedenken ursprünglich ausgelöst hat. Dies spiegelt das Dilemma der EU wider, gleichzeitig digitale Autonomie anzustreben und die als notwendig erachtete pragmatische Zusammenarbeit mit den USA in der Strafverfolgung auf eine effiziente Basis zu stellen, ohne dabei die eigenen hohen Datenschutzprinzipien (insbesondere die Anforderungen aus dem Schrems II-Urteil und Art. 48 DSGVO) preiszugeben. Die Auflösung dieser Spannung ist eine zentrale Herausforderung für die zukünftige transatlantische Datenpolitik.

KI-Gamechanger: Die flexibelste KI-Plattform - Maßgeschneiderte Lösungen, die Kosten senken, Ihre Entscheidungen verbessern und die Effizienz steigern

Unabhängige KI-Plattform: Integriert alle relevanten Unternehmensdatenquellen

• Diese KI-Plattform interagiert mit allen spezifischen Datenquellen
  • Von SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox und vielen andere Daten-Management-Systmen
• Schnelle KI-Integration: Maßgeschneiderte KI-Lösungen für Unternehmen in Stunden oder Tagen, anstatt Monaten
• Flexible Infrastruktur: Cloud-basiert oder Hosting im eigenen Rechenzentrum (Deutschland, Europa, freie Standortwahl)

• Höchste Datensicherheit: Einsatz in Anwaltskanzleien ist der sichere Beweis
• Einsatz über die unterschiedlichsten Unternehmensdatenquellen hinweg
• Wahl der eigenen bzw. verschiedenen KI-Modelle (DE,EU,USA,CN)

Herausforderungen, die unsere KI-Plattform löst

• Mangelnde Passgenauigkeit herkömmlicher KI-Lösungen
• Datenschutz und sichere Verwaltung sensibler Daten
• Hohe Kosten und Komplexität individueller KI-Entwicklung
• Mangel an qualifizierten KI-Fachkräften
• Integration von KI in bestehende IT-Systeme

Mehr dazu hier:

• KI-Integration einer unabhängigen und Datenquellen-übergreifenden KI-Plattform für alle Unternehmensbelange

Globale Risiken und Implikationen außerhalb Europas

Die durch den CLOUD Act aufgeworfenen Probleme beschränken sich nicht auf das Verhältnis zwischen den USA und Europa. Das Gesetz hat potenziell weitreichende Auswirkungen auf Länder und Regionen weltweit, insbesondere in Bezug auf staatliche Überwachung, Wirtschaftsspionage, Konflikte mit lokalen Gesetzen und das allgemeine Vertrauen in die globale digitale Infrastruktur.

Staatliche Überwachung und bürgerliche Freiheiten

Der CLOUD Act hat von Beginn an Kritik von Bürgerrechtsorganisationen wie der Electronic Frontier Foundation (EFF) und der American Civil Liberties Union (ACLU) auf sich gezogen. Ein Hauptkritikpunkt ist, dass das Gesetz die Schutzmechanismen gegen unangemessene staatliche Durchsuchungen und Beschlagnahmungen (verankert im 4. Zusatzartikel der US-Verfassung für US-Bürger) potenziell untergräbt. Insbesondere die Möglichkeit, über Executive Agreements bilaterale Regelungen zu schaffen, die den direkten Datenzugriff durch ausländische Behörden auf Daten in den USA ermöglichen und dabei möglicherweise die sonst übliche richterliche Kontrolle durch US-Gerichte umgehen, wird als problematisch angesehen. Hinzu kommt, dass Betroffene einer Datenanfrage unter dem CLOUD Act nicht notwendigerweise über den Zugriff informiert werden müssen, was die Möglichkeiten zur Wahrnehmung von Rechtsmitteln einschränkt.

Für Personen außerhalb der USA ist der Schutz durch die US-Verfassung ohnehin geringer. Der CLOUD Act erleichtert den US-Behörden den Zugriff auf deren Daten, die bei US-Providern gespeichert sind, unabhängig vom Standort. Dies schürt weltweit Befürchtungen hinsichtlich einer Ausweitung der staatlichen Überwachung durch die USA. Es besteht die Sorge, dass der Mechanismus des CLOUD Act, insbesondere die Executive Agreements, als Vorbild für andere Staaten dienen könnte, auch solche mit geringeren rechtsstaatlichen Standards und weniger ausgeprägtem Schutz bürgerlicher Freiheiten. Die Parallele zu Chinas National Intelligence Law, das chinesischen Behörden ebenfalls weitreichende Zugriffsrechte auf Daten von Unternehmen einräumt, wurde bereits gezogen. Dies könnte globale Trends hin zu verstärkter staatlicher Überwachung und Kontrolle digitaler Kommunikation befördern.

Wirtschaftsspionage und Schutz geistigen Eigentums

Die Zugriffsbefugnisse unter dem CLOUD Act beschränken sich nicht auf Kommunikationsinhalte oder Metadaten von Privatpersonen. Sie können potenziell auch hochsensible Unternehmensdaten erfassen, die bei US-Cloud-Providern gespeichert sind. Dazu zählen Geschäftsgeheimnisse, Finanzdaten, Kundendatenbanken, Prototypen, Forschungs- und Entwicklungsdaten sowie anderes geistiges Eigentum (Intellectual Property, IP).

Auch wenn der erklärte Zweck des CLOUD Act die Bekämpfung schwerer Kriminalität ist, besteht die Sorge, dass die weitreichenden Zugriffsmöglichkeiten missbraucht werden könnten, etwa für Zwecke der Wirtschaftsspionage zugunsten von US-Unternehmen oder zur Erlangung strategischer wirtschaftlicher Vorteile. Allein die Möglichkeit eines solchen Zugriffs durch eine ausländische Regierungsmacht untergräbt das Vertrauen von Unternehmen weltweit in die Sicherheit und Vertraulichkeit ihrer kritischen Daten, wenn diese bei US-Anbietern liegen. Dieses Risiko stellt für viele Unternehmen, insbesondere in technologieintensiven oder sicherheitskritischen Branchen, einen erheblichen Nachteil bei der Nutzung von US-Cloud-Diensten dar.

Konflikte mit lokalen Rechtsordnungen

Ähnlich wie im Fall der EU-DSGVO kann der extraterritoriale Anspruch des CLOUD Act auch mit den Datenschutzgesetzen, Geheimhaltungspflichten oder anderen rechtlichen Bestimmungen zahlreicher anderer Länder kollidieren. Global agierende Cloud-Provider, insbesondere solche mit Hauptsitz oder starker Präsenz in den USA, sehen sich somit potenziell einem Netz widersprüchlicher rechtlicher Verpflichtungen ausgesetzt.

Beispiele für Länder mit eigenen Datenschutzregimen, die potenziell im Konflikt mit dem CLOUD Act stehen, sind zahlreich:

• Schweiz: Das revidierte Bundesgesetz über den Datenschutz (revFADP) orientiert sich stark an der DSGVO und enthält ebenfalls Regeln für internationale Datentransfers, die einen angemessenen Schutz im Zielland erfordern.
• Brasilien: Die Lei Geral de Proteção de Dados Pessoais (LGPD) hat ebenfalls extraterritoriale Wirkung und unterwirft die Verarbeitung von Daten brasilianischer Bürger strengen Regeln, einschließlich für internationale Transfers.
• Indien: Der Digital Personal Data Protection Act (DPDP Act, oft noch als PDPB referenziert) enthält ebenfalls Bestimmungen zu Datentransfers und sieht für bestimmte “kritische” Daten möglicherweise Lokalisierungsanforderungen vor.
• China: Das Cybersecurity Law (CSL) und das Personal Information Protection Law (PIPL) sehen strenge Regeln für Datensicherheit und grenzüberschreitende Transfers vor und beinhalten Datenlokalisierungsanforderungen.
• Russland: Das Föderale Gesetz Nr. 152 “Über personenbezogene Daten” schreibt die Speicherung personenbezogener Daten russischer Bürger auf Servern in Russland vor (Datenlokalisierung).

Diese Beispiele verdeutlichen, dass der CLOUD Act nicht nur ein bilaterales Problem zwischen den USA und der EU ist, sondern eine globale Herausforderung für die Kohärenz internationaler Rechtsordnungen im digitalen Raum darstellt.

Auswirkungen auf internationale Datentransfers und Vertrauen in US-Technologieanbieter

Die Existenz des CLOUD Act und die damit verbundenen Unsicherheiten und Rechtskonflikte haben erhebliche Auswirkungen auf internationale Datentransfermechanismen und das generelle Vertrauen in US-Technologieanbieter.

Das Gesetz trägt zur Erosion des Vertrauens in etablierte Instrumente für den transatlantischen Datenverkehr bei, wie das frühere EU-US Privacy Shield oder die aktuell stark genutzten Standardvertragsklauseln (SCCs). Wie im Kontext von Schrems II dargelegt, erschwert der CLOUD Act die Annahme, dass in den USA ein dem EU-Recht “im Wesentlichen gleichwertiges” Schutzniveau für personenbezogene Daten besteht.

Dies zwingt Unternehmen weltweit, die Risiken bei der Nutzung von US-Cloud-Diensten neu und sorgfältiger zu bewerten. Sie müssen prüfen, ob und wie sie die Einhaltung ihrer lokalen Datenschutzgesetze gewährleisten können, wenn sie Daten an US-Provider übermitteln oder von diesen verarbeiten lassen. Dies führt vermehrt zur Prüfung alternativer Lösungen, wie der Nutzung lokaler oder regionaler Cloud-Anbieter, die nicht der US-Jurisdiktion unterliegen, oder zur Implementierung zusätzlicher technischer und organisatorischer Schutzmaßnahmen (wie Ende-zu-Ende-Verschlüsselung mit eigener Schlüsselverwaltung, Datenpseudonymisierung oder strikte Datenlokalisierung für bestimmte Datentypen).

Die durch den CLOUD Act und ähnliche Gesetze anderer Länder geschaffene Rechtsunsicherheit und die daraus resultierenden Schutzmaßnahmen könnten zudem eine Tendenz zur “Balkanisierung” des Internets verstärken. Darunter versteht man eine zunehmende Fragmentierung des globalen digitalen Raums entlang nationaler oder regionaler Grenzen, gekennzeichnet durch strengere Datenlokalisierungsanforderungen, unterschiedliche technische Standards und erschwerte grenzüberschreitende Datenflüsse. Der CLOUD Act wirkt hier als ein wesentlicher Treiber für diesen globalen Trend hin zu mehr digitaler Souveränität. Indem die USA unilateral einen extraterritorialen Zugriff auf Daten verankern und damit potenziell die Rechtsordnungen anderer Staaten übergehen, provozieren sie Gegenreaktionen. Diese manifestieren sich in Form von Datenlokalisierungsgesetzen, der staatlichen Förderung lokaler Cloud-Ökosysteme und der Verschärfung nationaler Regeln für internationale Datentransfers. Der CLOUD Act beschleunigt somit, möglicherweise ungewollt, eine Entwicklung weg von einem offenen, global vernetzten Datenraum hin zu stärker national oder regional kontrollierten digitalen Territorien.

Passend dazu:

• Unabhängige KI-Plattformen als strategische Alternative für europäische Unternehmen

Kartierung der globalen Abhängigkeit von US-Cloud-Anbietern

Um die Tragweite des CLOUD Act einschätzen zu können, ist ein Verständnis der globalen Marktanteile und der daraus resultierenden Abhängigkeiten von den großen US-Cloud-Anbietern – Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) – unerlässlich. Die Marktdominanz dieser Akteure bestimmt maßgeblich, wie viele Unternehmen und Organisationen weltweit potenziell von CLOUD Act-Anfragen betroffen sein könnten.

Marktanteile der US-Hyperscaler (AWS, Azure, GCP)

Zahlreiche Marktanalysen bestätigen die überwältigende Dominanz der drei großen US-Hyperscaler im globalen Markt für Cloud-Infrastrukturdienste (Infrastructure-as-a-Service, IaaS und Platform-as-a-Service, PaaS). Zusammen kontrollierten AWS, Microsoft Azure und GCP Ende 2023 bzw. Anfang 2025 (je nach Quelle und genauer Definition des Marktes) einen Anteil von etwa 66% bis 70% des weltweiten Umsatzes in diesem Segment.

Die ungefähren Marktanteile für das vierte Quartal 2024 lassen sich wie folgt zusammenfassen (basierend auf Daten aus verschiedenen Quellen, exakte Zahlen können leicht variieren, der Trend ist jedoch konsistent):

• Amazon Web Services (AWS): ca. 30-33%. AWS ist weiterhin der klare Marktführer, dessen Pionierrolle im Cloud Computing ihm einen anhaltenden Vorsprung sichert. Allerdings zeigt sich in den letzten Jahren eine leichte Tendenz zur Stagnation oder sogar ein leichter Rückgang des Marktanteils, während die Konkurrenz aufholt.
• Microsoft Azure: ca. 21-24%. Azure hat sich als starke Nummer Zwei etabliert und verzeichnet kontinuierliches Wachstum, oft getrieben durch die Integration mit anderen Microsoft-Produkten und eine starke Position im Unternehmenssektor.
• Google Cloud Platform (GCP): ca. 11-12%. GCP ist die Nummer Drei und zeigt ebenfalls deutliches Wachstum, wenn auch von einer kleineren Basis ausgehend. Google investiert stark in Bereiche wie KI und Datenanalyse, um Marktanteile zu gewinnen.

Neben diesen drei Giganten gibt es weitere relevante Akteure, deren Marktanteile jedoch deutlich geringer sind. Dazu gehört Alibaba Cloud, das mit etwa 4% global zwar eine kleinere Rolle spielt, aber den Cloud-Markt in China dominiert. Weitere Anbieter mit globalen oder regionalen Schwerpunkten sind IBM, Salesforce, Oracle, Tencent Cloud und Huawei Cloud (beide stark in China) sowie spezialisierte Anbieter.

Die folgende Tabelle fasst die geschätzten globalen Marktanteile der führenden Cloud-Infrastrukturanbieter (IaaS/PaaS) für Ende 2024 / Anfang 2025 zusammen und verdeutlicht die Dominanz der US-Hyperscaler:

Geschätzte Globale Cloud-Marktanteile (IaaS/PaaS) Q4 2024/Anfang 2025

Die aktuellen Daten des globalen Cloud-Marktes für IaaS/PaaS im vierten Quartal 2024 und zu Beginn des Jahres 2025 zeigen eine klare Dominanz der US-amerikanischen Hyperscaler. AWS behauptet mit 30 bis 33 Prozent den größten Marktanteil, wobei ein stabiler bis leicht rückläufiger Trend zu beobachten ist. Microsoft Azure folgt mit 21 bis 24 Prozent und verzeichnet weiteres Wachstum. Google Cloud Platform (GCP) sichert sich 11 bis 12 Prozent des Marktes mit positiver Entwicklungstendenz. Der chinesische Anbieter Alibaba Cloud hält einen stabilen globalen Marktanteil von etwa 4 Prozent. Die übrigen Anbieter, darunter IBM, Oracle, Tencent und Huawei, teilen sich zusammen 27 bis 34 Prozent des Marktes mit unterschiedlichen Entwicklungstrends. Bemerkenswert ist die Gesamtposition der US-Hyperscaler, die gemeinsam etwa 62 bis 69 Prozent des globalen Cloud-Marktes kontrollieren und dabei leichtes Wachstum verzeichnen.

Diese Zahlen unterstreichen die erhebliche globale Abhängigkeit von den drei großen US-Anbietern. Ein Großteil der weltweiten Cloud-Infrastruktur unterliegt somit potenziell der Jurisdiktion des CLOUD Act.

Regionen/Länder mit hoher Abhängigkeit

Die Abhängigkeit von US-Cloud-Providern ist geografisch unterschiedlich stark ausgeprägt, jedoch in vielen wichtigen Wirtschaftsregionen sehr hoch:

• Nordamerika (insbesondere USA und Kanada): Als Heimat der Hyperscaler und mit der höchsten Cloud-Durchdringung ist die Abhängigkeit hier naturgemäß am größten. AWS hat in den USA eine besonders starke Marktposition. Auch Kanada zeigt hohe Investitionen in Cloud und KI, oft über US-Plattformen.
• Europa: Trotz der Bedenken hinsichtlich DSGVO und CLOUD Act ist die Abhängigkeit von AWS, Azure und GCP in Europa extrem hoch. Ihr kombinierter Marktanteil auf dem Kontinent wird auf über 70% geschätzt. Interessanterweise scheint Azure in einigen europäischen Ländern wie den Niederlanden (angeblich 67% Marktanteil), Polen (49%) und auch in Japan (49%) laut einer Analyse sogar vor AWS zu liegen. Große europäische Volkswirtschaften wie Deutschland, das Vereinigte Königreich und Frankreich investieren massiv in Cloud-Technologien und künstliche Intelligenz, wobei die US-Plattformen eine zentrale Rolle spielen. Diese Diskrepanz zwischen hoher Marktabhängigkeit und dem politischen Streben nach digitaler Souveränität stellt ein zentrales Spannungsfeld dar.
• Indien: Der indische Cloud-Markt zeigt eine hohe Wachstumsdynamik und eine starke Abhängigkeit von US-Anbietern, wobei die Marktstruktur der in den USA ähnelt: AWS führt (ca. 52%) vor Azure (ca. 35%) und GCP (ca. 13%). Gleichzeitig gibt es in Indien einen starken politischen Willen zur Digitalisierung und zunehmend auch Bestrebungen zur Datenlokalisierung, insbesondere für sensible Daten wie Finanzdaten. Dies könnte langfristig das Wachstum lokaler Anbieter fördern.
• Lateinamerika: Die Cloud-Nutzung in Ländern wie Brasilien wächst, wird aber ebenfalls stark von den globalen US-Playern dominiert. AWS expandiert aktiv in der Region, beispielsweise mit einer neuen Region in Mexiko. Lokale Datenschutzgesetze wie die brasilianische LGPD und spezifische Datenlokalisierungsanforderungen, etwa im Finanzsektor, könnten die Marktdynamik beeinflussen, ändern aber bisher wenig an der Grundabhängigkeit.
• Australien: Als technologisch hochentwickeltes Land mit einer engen politischen und wirtschaftlichen Bindung an die USA weist Australien eine hohe Cloud-Adoption auf. Das Bestehen eines CLOUD Act Executive Agreements zwischen den USA und Australien deutet auf eine Akzeptanz der US-Zugriffsmechanismen hin und lässt eine hohe Abhängigkeit von US-Providern vermuten.
• Andere Regionen (z.B. Afrika, Teile Südostasiens): In vielen Entwicklungs- und Schwellenländern bauen sich die Cloud-Märkte erst auf. Oftmals dominieren hier ebenfalls die globalen US-Anbieter aufgrund ihrer Skalenvorteile und ihres technologischen Vorsprungs. Gleichzeitig nehmen auch in diesen Regionen die Bestrebungen nach digitaler Souveränität und Datenlokalisierung zu, wie Beispiele aus Vietnam oder Indonesien zeigen.

Länder mit geringerer Abhängigkeit und alternative Ökosysteme (China, Russland)

Im Kontrast zu der weit verbreiteten Abhängigkeit von US-Hyperscalern haben sich insbesondere in China und Russland weitgehend eigenständige digitale Ökosysteme entwickelt, die von lokalen Anbietern dominiert werden.

• China: Der chinesische Cloud-Markt ist der zweitgrößte der Welt, aber er ist stark reguliert und für ausländische Anbieter nur schwer zugänglich. Die Dominanz liegt klar bei heimischen Technologiekonzernen: Alibaba Cloud hält einen Marktanteil von etwa 36%, gefolgt von Huawei Cloud mit ca. 19% und Tencent Cloud mit ca. 15-16% (Stand Q2/Q3 2024). US-Anbieter wie AWS oder Azure spielen auf dem chinesischen Festlandmarkt nur eine untergeordnete Rolle. Diese Entwicklung wird durch strenge staatliche Regulierung, insbesondere das Cybersecurity Law (CSL) und das Personal Information Protection Law (PIPL), gefördert, die unter anderem Datenlokalisierungsanforderungen vorschreiben und den grenzüberschreitenden Datenfluss stark kontrollieren. China verfolgt zudem eine eigene ambitionierte Strategie im Bereich der künstlichen Intelligenz, die auf den Kapazitäten der heimischen Cloud-Anbieter aufbaut.
• Russland: Ähnlich wie in China, wenn auch aus anderen Gründen (insbesondere westliche Sanktionen und eine aktive staatliche Politik zur Förderung digitaler Souveränität), hat sich in Russland eine zunehmende Abkopplung von westlichen Technologieanbietern vollzogen. Der russische Cloud-Markt wird von lokalen Providern dominiert, allen voran Yandex Cloud, aber auch Anbieter wie SberCloud (mittlerweile möglicherweise unter anderem Namen firmierend, z.B. Cloud.ru), VK Cloud und der staatlich kontrollierte Telekommunikationskonzern Rostelecom spielen eine wichtige Rolle. Das russische Datenschutzgesetz (Föderales Gesetz Nr. 152) schreibt eine strikte Datenlokalisierung für personenbezogene Daten russischer Bürger vor, was die Nutzung ausländischer Cloud-Dienste erschwert und lokale Anbieter begünstigt. Yandex Cloud wirbt explizit mit der Einhaltung dieser lokalen Gesetze, um internationale Unternehmen anzuziehen, die auf dem russischen Markt tätig sein wollen. Staatliche Programme wie “Digitale Wirtschaft der Russischen Föderation” und die Plattform “GosTech” fördern zudem die Nutzung heimischer Cloud-Lösungen durch Behörden und Unternehmen.
• Europäische Union (Potenzial vs. Realität): Die EU befindet sich in einer besonderen Situation. Einerseits gibt es klare politische Bestrebungen, die Abhängigkeit von US-Providern zu verringern und eine eigene digitale Souveränität aufzubauen. Initiativen wie Gaia-X und Gesetzgebungsakte wie der Data Act zielen in diese Richtung. Es gibt auch eine Reihe von europäischen Cloud-Anbietern (z.B. OVHcloud, Deutsche Telekom/T-Systems, IONOS). Andererseits ist die tatsächliche Marktdurchdringung der US-Hyperscaler in Europa, wie oben gezeigt, extrem hoch. Die europäischen Alternativen konnten bisher keine vergleichbaren Marktanteile erreichen, was oft auf Skalennachteile und die technologische Reife der US-Angebote zurückgeführt wird. Die EU bleibt somit ein Feld hoher Abhängigkeit bei gleichzeitig starkem politischen Willen zur Veränderung.

Diese Beispiele zeigen, dass eine geringere Abhängigkeit von US-Hyperscalern möglich ist, diese aber meist auf einer Kombination aus starker staatlicher Regulierung, gezielter Förderung heimischer Industrien und teilweise auch politisch motivierter Marktabschottung beruht.

Xpert.Digital verfügt über tiefgehendes Wissen in verschiedenen Branchen. Dies erlaubt es uns, maßgeschneiderte Strategien zu entwickeln, die exakt auf die Anforderungen und Herausforderungen Ihres spezifischen Marktsegments zugeschnitten sind. Indem wir kontinuierlich Markttrends analysieren und Branchenentwicklungen verfolgen, können wir vorausschauend agieren und innovative Lösungen anbieten. Durch die Kombination aus Erfahrung und Wissen generieren wir einen Mehrwert und verschaffen unseren Kunden einen entscheidenden Wettbewerbsvorteil.

Mehr dazu hier:

• Nutzen Sie die 5fach Kompetenz von Xpert.Digital in einem Paket - schon ab 500 €/Monat

Nationale Strategien und Reaktionen auf den CLOUD Act

Angesichts der Herausforderungen, die der US CLOUD Act für Datenschutz, Souveränität und Rechtssicherheit mit sich bringt, haben Staaten weltweit unterschiedliche Strategien entwickelt, um die damit verbundenen Risiken zu managen und ihre Interessen zu wahren. Diese Strategien reichen von regulatorischen Maßnahmen über technologische Ansätze bis hin zu internationalen Verhandlungen.

Vergleich nationaler Ansätze

Mehrere grundlegende Ansätze lassen sich beobachten, die oft auch kombiniert werden:

• Datenlokalisierung: Eine der direktesten Reaktionen ist die Einführung von Gesetzen, die vorschreiben, dass bestimmte Arten von Daten – oft personenbezogene Daten oder als kritisch eingestufte Informationen – physisch innerhalb der Landesgrenzen gespeichert und verarbeitet werden müssen. Prominente Beispiele hierfür sind Russland mit dem Föderalen Gesetz Nr. 152, China mit Anforderungen unter dem Cybersecurity Law und PIPL sowie teilweise Indien (insbesondere für Zahlungsdaten). Auch Länder wie Vietnam und Indonesien verfolgen solche Ansätze. Die Motive sind vielfältig: Stärkung der nationalen Souveränität und Kontrolle über Daten, Verbesserung der nationalen Sicherheit durch erschwerten Zugriff ausländischer Mächte, aber auch wirtschaftlicher Protektionismus zur Förderung der heimischen IT-Industrie. Technologisch und wirtschaftlich ist strikte Datenlokalisierung jedoch oft ineffizient, da sie die Vorteile global verteilter Cloud-Architekturen (wie Skalierbarkeit, Redundanz, Kosteneffizienz) untergräbt und zu höheren Kosten für Unternehmen führt. Die Zahl der Länder mit solchen Restriktionen hat in den letzten Jahren deutlich zugenommen.
• Stärkung der eigenen Regulierung und internationaler Standards: Viele Länder setzen auf die Stärkung ihrer eigenen Datenschutzgesetzgebung, um hohe Schutzstandards zu etablieren und die Bedingungen für internationale Datentransfers klar zu regeln. Die EU mit der DSGVO ist hier Vorreiter. Andere Länder haben nachgezogen oder ihre Gesetze modernisiert, oft in Anlehnung an die DSGVO, wie die Schweiz (revFADP), Brasilien (LGPD), das Vereinigte Königreich (UK GDPR) oder Kanada (PIPEDA). Ziel ist es häufig, von der EU als Land mit “angemessenem Datenschutzniveau” anerkannt zu werden, um den Datenfluss mit Europa zu erleichtern. Gleichzeitig dienen diese Gesetze dazu, die Rechte der eigenen Bürger zu schützen und einen rechtlichen Rahmen zu schaffen, der potenziell im Konfliktfall mit Gesetzen wie dem CLOUD Act geltend gemacht werden kann.
• Förderung lokaler/regionaler Anbieter und Ökosysteme: Ein weiterer Ansatz ist die aktive industriepolitische Förderung heimischer oder regionaler Cloud-Anbieter und digitaler Ökosysteme, um Alternativen zu den dominanten US-Hyperscalern zu schaffen und die technologische Abhängigkeit zu verringern. Die EU-Initiative Gaia-X ist ein Beispiel hierfür, auch wenn ihr Erfolg bisher begrenzt ist. In China und Russland ist dieser Ansatz, kombiniert mit starker Regulierung, erfolgreicher und hat zu von lokalen Anbietern dominierten Märkten geführt. Die Herausforderung besteht darin, dass lokale Anbieter oft nicht die gleichen Skaleneffekte, das gleiche Investitionsvolumen oder die gleiche globale Reichweite wie die US-Giganten erzielen können.
• Nutzung internationaler Abkommen (Executive Agreements vs. MLATs): Staaten können versuchen, den Datenzugriff im Rahmen der Strafverfolgung durch internationale Vereinbarungen zu regeln. Der CLOUD Act selbst bietet hierfür den Mechanismus der Executive Agreements an. Länder wie das Vereinigte Königreich und Australien haben diesen Weg gewählt und bilaterale Abkommen mit den USA geschlossen, die einen beschleunigten, direkten Datenzugriff unter bestimmten Bedingungen ermöglichen sollen. Diese Abkommen versprechen Effizienzgewinne gegenüber den oft langsamen traditionellen Rechtshilfeverfahren (MLATs). Andere Länder oder Regionen, wie die EU, zögern jedoch, ein solches Abkommen abzuschließen, unter anderem wegen Bedenken hinsichtlich der Vereinbarkeit mit den eigenen hohen Datenschutzstandards (DSGVO, Schrems II). Sie setzen weiterhin primär auf den etablierten MLAT-Prozess, der eine stärkere Einbindung der Justizbehörden des ersuchten Staates vorsieht, auch wenn dieser als ineffizient gilt. Die Wahl zwischen diesen Wegen stellt einen Balanceakt zwischen Effizienz in der Strafverfolgung und dem Schutz von Grundrechten und Souveränität dar.
• Technische und Organisatorische Maßnahmen (TOMs) durch Unternehmen: Unabhängig von staatlichen Strategien ergreifen Unternehmen selbst Maßnahmen, um die Risiken des CLOUD Act zu mindern. Dazu gehören der Einsatz starker Verschlüsselungsmethoden, idealerweise unter alleiniger Kontrolle des Kunden über die kryptografischen Schlüssel (Bring Your Own Key – BYOK, Hold Your Own Key – HYOK), die sorgfältige Auswahl des Speicherorts (z.B. Rechenzentren innerhalb der EU), die Implementierung strikter Zugriffskontrollen, die Nutzung von Pseudonymisierungs- oder Anonymisierungstechniken, die Zusammenarbeit mit lokalen Partnern oder Systemintegratoren, die die Daten im Auftrag des Kunden verwalten, oder die Implementierung hybrider Cloud-Architekturen, bei denen besonders sensible Daten im eigenen Rechenzentrum (on-premise) verbleiben.

Fallbeispiele: EU, Schweiz, Brasilien, China, Russland

Die Anwendung dieser Strategien lässt sich an konkreten Länderbeispielen illustrieren:

• EU: Verfolgt einen mehrgleisigen Ansatz. Starke Regulierung (DSGVO, Data Act) bildet die Basis. Initiativen wie Gaia-X sollen die Souveränität stärken, haben aber mit Herausforderungen zu kämpfen. Gleichzeitig laufen Verhandlungen über ein CLOUD Act Agreement mit den USA, was die Ambivalenz zwischen Souveränitätsanspruch und Kooperationsbedarf zeigt. Die hohe Abhängigkeit von US-Providern bleibt bestehen.
• Schweiz: Hat ihr Datenschutzgesetz (revFADP) eng an die DSGVO angelehnt und nutzt ähnliche Mechanismen für internationale Transfers (Angemessenheitsbeschlüsse, SCCs). Als Reaktion auf Schrems II hat die Schweiz ein eigenes Abkommen mit den USA (Swiss-US Data Privacy Framework) implementiert. Dennoch bleibt das grundlegende Risiko durch den CLOUD Act bestehen, da Schweizer Unternehmen, die US-Dienste nutzen, potenziell betroffen sind.
• Brasilien: Hat mit der LGPD ein umfassendes Datenschutzgesetz mit extraterritorialer Wirkung geschaffen und eine unabhängige Datenschutzbehörde (ANPD) etabliert. Es gibt spezifische Regeln für internationale Transfers und die Nutzung von Cloud-Diensten, insbesondere im regulierten Finanzsektor. Die genaue Auslegung und Durchsetzung, auch im Hinblick auf Konflikte mit Gesetzen wie dem CLOUD Act, ist aber noch in Entwicklung.
• China: Setzt konsequent auf staatliche Kontrolle, strikte Datenlokalisierung und die Förderung eines abgeschotteten heimischen Marktes, der von nationalen Champions dominiert wird. Datenschutz (im Sinne von PIPL) dient hier auch der staatlichen Kontrolle und nationalen Sicherheit.
• Russland: Verfolgt eine ähnliche Strategie der digitalen Souveränität durch strikte Datenlokalisierung, Förderung heimischer Anbieter und zunehmende technologische Abkopplung vom Westen, verstärkt durch geopolitische Faktoren.

Technische und organisatorische Maßnahmen von Unternehmen

Für Unternehmen, die US-Cloud-Dienste nutzen oder global agieren, ist die Implementierung robuster technischer und organisatorischer Maßnahmen entscheidend zur Risikominimierung. Dazu zählen:

• Transparenz und Risikobewertung: Proaktive Kommunikation mit Kunden über Jurisdiktionsrisiken und Durchführung gründlicher Risikoanalysen (Data Transfer Impact Assessments – TIAs), um die Sensitivität der Daten und die potenziellen Auswirkungen eines Zugriffs zu bewerten.
• Sorgfältige Anbieterauswahl: Prüfung von Alternativen zu US-Providern, insbesondere von europäischen oder lokalen Anbietern, die nicht der US-Jurisdiktion unterliegen. Bewertung der Compliance-Zusagen und Sicherheitsarchitekturen der Anbieter.
• Verschlüsselung und Schlüsselmanagement: Einsatz starker Verschlüsselung für Daten “at rest” und “in transit”. Entscheidend ist dabei die Kontrolle über die kryptografischen Schlüssel. Nur wenn der Kunde die Schlüssel exklusiv verwaltet (HYOK), kann er den Zugriff durch den Provider (und damit potenziell durch US-Behörden) wirksam verhindern. Lösungen, bei denen der Provider die Schlüssel verwaltet (Bring Your Own Key – BYOK kann hier missverständlich sein), bieten keinen vollständigen Schutz. Zu beachten ist jedoch, dass Daten zur aktiven Verarbeitung in der Cloud oft entschlüsselt im Arbeitsspeicher vorliegen müssen, was ein potenzielles Zugriffsfenster darstellt.
• Zugriffskontrollen und Governance: Implementierung strikter Identity and Access Management (IAM)-Richtlinien, um den Zugriff auf Daten auf das absolut Notwendige zu beschränken. Prüfung, ob der Zugriff durch Personal aus bestimmten Jurisdiktionen (z.B. USA) auf Daten in anderen Regionen (z.B. EU) technisch und organisatorisch unterbunden werden kann.
• Hybride und Multi-Cloud-Strategien: Verlagerung besonders sensibler Daten und Workloads in eine Private Cloud oder auf On-Premise-Infrastruktur, während weniger kritische Anwendungen in der Public Cloud verbleiben. Dies ermöglicht eine differenzierte Risikosteuerung.
• Rechtliche Strukturierung: In manchen Fällen kann die Gründung rechtlich getrennter Tochtergesellschaften in verschiedenen Jurisdiktionen erwogen werden, um die “Kontrolle” der US-Muttergesellschaft über Daten in anderen Regionen zu durchbrechen. Dies ist jedoch komplex und erfordert eine sorgfältige rechtliche Gestaltung.
• Reaktion auf Anfragen: Entwicklung klarer interner Prozesse für den Umgang mit Behördenanfragen. Dazu gehört die Prüfung der Rechtmäßigkeit der Anfrage und die Bereitschaft, Anordnungen anzufechten, wenn sie im Konflikt mit lokalen Gesetzen stehen (z.B. DSGVO).

Es ist jedoch festzuhalten, dass technische und organisatorische Maßnahmen an ihre Grenzen stoßen. Solange ein Unternehmen, das der US-Jurisdiktion unterliegt, letztlich die “possession, custody, or control” über die Daten oder die zur Entschlüsselung notwendigen Schlüssel hat, bleibt das grundlegende rechtliche Risiko einer Herausgabepflicht nach dem CLOUD Act bestehen. Selbst starke Verschlüsselung kann umgangen werden, wenn der Provider zur Herausgabe der Schlüssel gezwungen werden kann oder Zugriff auf die Management-Ebene hat. Eine rein technische Lösung kann das juristische Problem der Hoheitsansprüche nicht vollständig eliminieren.

Die folgende Tabelle bietet einen vergleichenden Überblick über die verschiedenen nationalen Strategien:

Vergleich Nationaler Strategien zur Minderung von CLOUD Act-Risiken

Verschiedene Länder und Regionen weltweit haben unterschiedliche strategische Ansätze entwickelt, um mit den Risiken des US CLOUD Acts umzugehen. Die Datenlokalisierungsstrategie, wie sie in China, Russland, teilweise in Indien und Vietnam praktiziert wird, schreibt die strikte Speicherung von Daten im Inland vor. Dies erhöht zwar die nationale Kontrolle und Souveränität und fördert die lokale Industrie, erweist sich jedoch oft als ineffizient, kostspielig und innovationshemmend und schränkt den Zugang zu globalen Diensten ein.

Die EU mit der DSGVO, die Schweiz mit dem FADP, Brasilien mit dem LGPD und Großbritannien mit der UK GDPR setzen hingegen auf die Stärkung eigener Regulierungen mit hohen Datenschutzstandards, klaren Regeln für internationale Datentransfers und starken Aufsichtsbehörden. Diese Strategie schützt die Rechte der Bürger und schafft einen Rechtsrahmen für Konfliktfälle, löst jedoch den grundlegenden Jurisdiktionskonflikt nicht direkt und belastet Unternehmen mit hohen Compliance-Anforderungen.

Einige Regionen fördern aktiv lokale Anbieter und digitale Ökosysteme, wie die EU mit dem Gaia-X-Projekt oder China und Russland mit ihrer Industriepolitik. Diese Maßnahmen reduzieren die Abhängigkeit von ausländischen Anbietern und stärken die technologische Souveränität, sind jedoch oft mit begrenzter Wettbewerbsfähigkeit gegenüber großen internationalen Anbietern verbunden und erweisen sich als langwierig und kostenintensiv.

Großbritannien und Australien haben Executive Agreements im Rahmen des CLOUD Acts mit den USA geschlossen, während die EU sich noch in Verhandlungen befindet. Diese bilateralen Abkommen ermöglichen einen beschleunigten Datenzugriff für Strafverfolgungsbehörden und schaffen Rechtssicherheit für Anbieter, können jedoch nationale Schutzstandards umgehen und legitimieren den US-Zugriff auf Daten.

Viele Länder halten implizit am traditionellen MLAT-Prozess (Mutual Legal Assistance Treaty) fest, der etablierte Rechtshilfeverfahren mit stärkeren rechtsstaatlichen Garantien bietet, jedoch als langsam, bürokratisch und ineffektiv für digitale Beweismittel gilt.

Unternehmen weltweit implementieren zudem technische und organisatorische Maßnahmen wie Hold-Your-Own-Key-Verschlüsselung, strikte Zugriffskontrollen, Hybrid-Cloud-Lösungen und umfassende Risikoanalysen. Diese Maßnahmen können Risiken mindern und Compliance nachweisen, lösen jedoch das grundlegende Jurisdiktionsproblem oft nicht und sind komplex sowie potenziell kostspielig in der Umsetzung.

Passend dazu:

• KI-Integration einer unabhängigen und Datenquellen-übergreifenden KI-Plattform für alle Unternehmensbelange

Ein problematisches Gesetz mit weitreichenden Folgen

Die Analyse des US CLOUD Act und seiner globalen Auswirkungen offenbart ein komplexes Geflecht aus rechtlichen Konflikten, technologischen Abhängigkeiten, geopolitischen Spannungen und strategischen Reaktionen. Das Gesetz, obwohl mit dem nachvollziehbaren Ziel einer effizienteren Strafverfolgung im digitalen Zeitalter konzipiert, erweist sich in seiner aktuellen Form als hochproblematisch und birgt erhebliche Risiken für Individuen, Unternehmen und Staaten weltweit.

Zusammenfassung der Kernprobleme des CLOUD Act

Die zentralen Kritikpunkte und Problemfelder lassen sich wie folgt zusammenfassen:

• Kollision mit nationaler Souveränität und Rechtsordnungen: Der explizite extraterritoriale Anspruch des CLOUD Act, der US-Behörden Zugriff auf Daten unabhängig vom Speicherort gewährt, kollidiert fundamental mit dem Souveränitätsverständnis anderer Staaten und deren Rechtsordnungen. Besonders deutlich wird dies im Konflikt mit der EU-DSGVO, insbesondere Artikel 48, der die Anerkennung ausländischer Behördenanordnungen an internationale Abkommen knüpft.
• Rechtsunsicherheit und “Conflict of Laws”: Für global agierende Unternehmen, insbesondere Cloud-Provider, schafft das Gesetz eine erhebliche Rechtsunsicherheit. Sie sehen sich potenziell widersprüchlichen rechtlichen Verpflichtungen gegenüber – einerseits der US-Anordnung zur Herausgabe, andererseits den Datenschutz- oder Geheimhaltungsgesetzen des Landes, in dem die Daten gespeichert sind oder dessen Bürger betroffen sind. Dies führt zu einem Dilemma mit potenziellen Sanktionen auf beiden Seiten.
• Erosion des Vertrauens: Der CLOUD Act untergräbt das Vertrauen in US-Technologieanbieter erheblich. Die Möglichkeit eines Zugriffs durch US-Behörden unter Umgehung lokaler Verfahren oder ohne Wissen der Betroffenen schürt Misstrauen hinsichtlich der Sicherheit und Vertraulichkeit von Daten. Dies betrifft sowohl personenbezogene Daten als auch sensible Unternehmensinformationen und wird durch die parallelen Bedenken hinsichtlich US-Überwachungsgesetzen (Schrems II-Thematik) verstärkt.
• Risiken jenseits der Strafverfolgung: Obwohl der deklarierte Zweck die Bekämpfung schwerer Kriminalität ist, bestehen Sorgen vor Missbrauch der Zugriffsrechte für Zwecke der staatlichen Überwachung oder Wirtschaftsspionage. Diese Risiken sind schwer zu kontrollieren und tragen zum Vertrauensverlust bei.
• Förderung globaler Fragmentierung: Der unilaterale Ansatz des CLOUD Act wirkt als Katalysator für globale Fragmentierungstendenzen im digitalen Raum. Er provoziert Gegenreaktionen in Form von Datenlokalisierungsgesetzen und der Förderung nationaler digitaler Ökosysteme, was einer “Balkanisierung” des Internets Vorschub leistet und den freien globalen Datenfluss behindert.

Überblick über die globale Abhängigkeitslandschaft

Die Analyse der Marktanteile zeigt eine massive globale Abhängigkeit von den drei großen US-Cloud-Hyperscalern AWS, Microsoft Azure und GCP. Insbesondere in Nordamerika und Europa kontrollieren sie über zwei Drittel des Marktes für Cloud-Infrastrukturdienste. Diese hohe Konzentration schafft eine breite potenzielle Angriffsfläche für den CLOUD Act.

Demgegenüber stehen Länder wie China und Russland, die durch starke staatliche Regulierung, Förderung heimischer Anbieter und Marktabschottung weitgehend unabhängige digitale Ökosysteme etabliert haben. Sie demonstrieren, dass eine geringere Abhängigkeit möglich ist, wenn auch oft um den Preis eingeschränkter globaler Konnektivität und potenziell geringerer Wahlfreiheit.

Die Europäische Union befindet sich in einer ambivalenten Position: Einerseits besteht eine sehr hohe faktische Abhängigkeit von US-Anbietern, andererseits gibt es einen starken politischen Willen und konkrete Initiativen (Gaia-X, Data Act), um die digitale Souveränität zu stärken und Alternativen zu fördern. Der Erfolg dieser Bemühungen ist jedoch noch ungewiss.

Ausblick auf zukünftige Entwicklungen

Die durch den CLOUD Act und ähnliche Entwicklungen angestoßenen Trends dürften sich fortsetzen:

• Die Verbreitung von Datenlokalisierungsgesetzen wird wahrscheinlich zunehmen, da immer mehr Länder versuchen, die Kontrolle über Daten auf ihrem Territorium zu behalten.
• Die Bemühungen um den Aufbau regionaler oder nationaler Cloud-Alternativen werden weitergehen, auch wenn der Erfolg im Wettbewerb mit den etablierten Hyperscalern schwierig bleibt. Initiativen wie Gaia-X könnten sich eher zu Standardisierungsrahmen für Datenräume entwickeln.
• Die USA werden voraussichtlich versuchen, weitere Executive Agreements mit strategischen Partnern abzuschließen, um den Datenzugriff zu erleichtern. Die Verhandlungen mit der EU bleiben jedoch komplex.
• Die rechtlichen Auseinandersetzungen um internationale Datentransfers, insbesondere im Kontext von Schrems II und dessen Nachfolgeregelungen (wie dem EU-US Data Privacy Framework), werden andauern. Die Frage nach dem “adäquaten Schutzniveau” in den USA bleibt virulent.
• Für Unternehmen wird die Entwicklung und Implementierung robuster Compliance-Strategien und technischer Lösungen zur Risikominderung (Verschlüsselung, hybride Modelle etc.) immer wichtiger, um in diesem komplexen Umfeld agieren zu können.

Abschließend muss anerkannt werden, dass der CLOUD Act ein reales Problem adressiert: die Notwendigkeit für Strafverfolgungsbehörden, im digitalen Zeitalter zeitnah auf grenzüberschreitend gespeicherte Beweismittel zugreifen zu können. Die traditionellen MLAT-Verfahren sind oft zu langsam und ineffizient. Jede nachhaltige Lösung muss jedoch einen Weg finden, dieses legitime Bedürfnis der Strafverfolgung mit den fundamentalen Rechten auf Datenschutz und Privatsphäre sowie den Souveränitätsansprüchen der Staaten in Einklang zu bringen. Der CLOUD Act in seiner jetzigen Form wird diesem Balanceakt aus Sicht vieler internationaler Beobachter und Betroffener nicht gerecht. Er stellt eine US-zentrierte Lösung dar, die die Bedenken und Rechtsordnungen anderer Länder nicht ausreichend berücksichtigt und somit mehr Probleme schafft als löst. Eine international abgestimmte Lösung, die auf gegenseitigem Respekt der Rechtsordnungen und starken Grundrechtsgarantien basiert, bleibt eine dringende Aufgabe.

Handlungsempfehlungen

Aus der Analyse des CLOUD Act und seiner globalen Auswirkungen ergeben sich konkrete Handlungsempfehlungen für europäische Unternehmen und Organisationen sowie für politische Entscheidungsträger.

Für europäische Unternehmen und Organisationen:

• Durchführung umfassender Risikoanalysen: Unternehmen sollten ihre Abhängigkeit von US-Cloud-Providern systematisch bewerten. Dies beinhaltet eine Klassifizierung der verarbeiteten Daten nach Sensitivität und eine Analyse der potenziellen Risiken im Falle eines Datenzugriffs durch US-Behörden. Die Durchführung von Datentransfer-Folgenabschätzungen (TIAs), wie sie im Kontext von Schrems II gefordert werden, ist unerlässlich.
• Sorgfältige Auswahl von Cloud-Anbietern: Es ist ratsam, aktiv europäische oder andere nicht-US-amerikanische Cloud-Anbieter als Alternativen zu prüfen, die nicht oder weniger stark der US-Jurisdiktion unterliegen. Anbieter sollten anhand ihrer vertraglichen Zusagen bezüglich CLOUD Act-Anfragen, ihrer technischen Schutzmaßnahmen und ihrer Compliance-Zertifizierungen bewertet werden.
• Robuste Vertragsgestaltung: Verträge mit Cloud-Anbietern sollten klare Regelungen zur Datenverarbeitung, zu den Speicherorten, zu den Sicherheitsmaßnahmen und zum Umgang mit Behördenanfragen enthalten, im Einklang mit Artikel 28 DSGVO.
• Implementierung starker technischer Maßnahmen: Der Einsatz von Ende-zu-Ende-Verschlüsselung, bei der die kryptografischen Schlüssel ausschließlich unter der Kontrolle des Kunden verbleiben (Hold Your Own Key – HYOK), ist eine wichtige Schutzmaßnahme. Strenge Zugriffskontrollen (Identity and Access Management) und, wo sinnvoll, Pseudonymisierungs- oder Anonymisierungstechniken sollten implementiert werden.
• Nutzung hybrider oder Multi-Cloud-Strategien: Für besonders sensible Daten kann die Nutzung von Private Clouds oder On-Premise-Infrastrukturen sinnvoll sein, während weniger kritische Workloads in der Public Cloud verbleiben können. Dies ermöglicht eine differenzierte Risikosteuerung.
• Einholung spezifischer Rechtsberatung: Angesichts der komplexen und sich ständig weiterentwickelnden Rechtslage ist die Einholung spezialisierter Rechtsberatung zur Bewertung der spezifischen Risiken und zur Entwicklung einer tragfähigen Compliance-Strategie unerlässlich.

Für politische Entscheidungsträger (insbesondere in der EU):

• Stärkung der europäischen digitalen Souveränität: Die konsequente Förderung von Initiativen wie Gaia-X und die Unterstützung des Aufbaus wettbewerbsfähiger europäischer Cloud-Anbieter sind notwendig, um echte technologische Alternativen zu schaffen und die Abhängigkeit zu reduzieren. Der Data Act sollte genutzt werden, um faire Marktbedingungen und Kontrolle über Daten zu gewährleisten.
• Klare Haltung in internationalen Verhandlungen: Bei den Verhandlungen über ein mögliches EU-US CLOUD Act Executive Agreement muss sichergestellt werden, dass die hohen europäischen Datenschutzstandards (DSGVO, EU-Grundrechtecharta, Vorgaben aus Schrems II) uneingeschränkt gewahrt bleiben. Dies beinhaltet robuste Garantien für Rechtsstaatlichkeit, Verhältnismäßigkeit, Transparenz und wirksamen Rechtsschutz für Betroffene. Der Vorrang etablierter Rechtshilfeverfahren (MLATs) oder äquivalenter Schutzmechanismen sollte verankert werden.
• Förderung globaler Standards: Die EU sollte sich auf internationaler Ebene für die Entwicklung abgestimmter Regeln und Standards für den grenzüberschreitenden Datenzugriff durch Behörden einsetzen, die auf Rechtsstaatlichkeit, der Achtung der Grundrechte und gegenseitigem Respekt der nationalen Rechtsordnungen basieren.
• Aufklärung und Unterstützung für die Wirtschaft: Politische Entscheidungsträger und Aufsichtsbehörden sollten klare Leitlinien und praktische Unterstützung für Unternehmen bereitstellen, um ihnen bei der Bewertung der Risiken und der Umsetzung von Compliance-Maßnahmen im Umgang mit dem CLOUD Act und internationalen Datentransfers zu helfen.

☑️ KMU Support in der Strategie, Beratung, Planung und Umsetzung

☑️ Erstellung oder Neuausrichtung der KI-Strategie

☑️ Pioneer Business Development

 

Gerne stehe ich Ihnen als persönlicher Berater zur Verfügung.

Sie können mit mir Kontakt aufnehmen, indem Sie unten das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 89 89 674 804 (München) an.

Ich freue mich auf unser gemeinsames Projekt.

 

 

Xpert.Digital ist ein Hub für die Industrie mit den Schwerpunkten, Digitalisierung, Maschinenbau, Logistik/Intralogistik und Photovoltaik.

Mit unserer 360° Business Development Lösung unterstützen wir namhafte Unternehmen vom New Business bis After Sales.

Market Intelligence, Smarketing, Marketing Automation, Content Development, PR, Mail Campaigns, Personalized Social Media und Lead Nurturing sind ein Teil unserer digitalen Werkzeuge.

Mehr finden Sie unter: www.xpert.digital - www.xpert.solar - www.xpert.plus