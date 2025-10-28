300 Millionen US-Dollar kostet der Bau des neuen, pompösen Ballsaals, für den Donald Trump Teile des Weißen Hauses abreißen lässt. Bezahlt wird das nicht etwa von Trump selbst, sondern unter anderem von Tech-Konzernen wie Amazon, Microsoft oder Meta. Auf den ersten Blick eine kuriose Meldung. Auf den zweiten ein weiteres Beispiel dafür, wie Big Tech immer intensiver um die Gunst von Donald Trump buhlt und im Gegenzug zum Beispiel auf Deregulierung im Bereich KI hofft.

Durch diese Neuordnung des Verhältnisses zwischen großen Tech-Konzernen und der US-Regierung kommen auch Gesetze und Verordnungen wieder an die Oberfläche, die man schon längst wieder vergessen hat. So wie der 2018 unter der ersten Trump-Regierung verabschiedete Clarifying Lawful Overseas Use of Data Act, kurz Cloud Act. Damit bekommen US-Behörden ein Schlupfloch für das Abzapfen von Daten außerhalb der eigenen Landesgrenzen, das weit über vorherige Bestimmungen hinausgeht.

Aber was genau steht eigentlich im Cloud Act? Warum ist dieses Gesetz, gerade in der aktuellen politischen Lage, problematisch? Und welche Handlungsmöglichkeiten gibt es für Firmen und Einzelpersonen, um den Cloud Act zu umgehen?

Was ist der Cloud Act?

Laut der Library of Congress wird der Cloud Act offiziell primär deswegen verabschiedet, um die Bekämpfung von Kriminalität und Terrorismus durch Sicherheitsdienste wie das FBI fit für das Cloud-Zeitalter zu machen. Auf dem Papier ist er eine Erweiterung des Stored Communications Act (SCA). Danach dürfen US-Behörden bei Verdacht auf kriminelle Machenschaften schon länger auf innerhalb der USA bei US-Unternehmen gespeicherte Nutzer:innendaten zugreifen.

Durch die wachsende Bedeutung von Cloud-Diensten, bei denen es für die Verarbeitung und Speicherung von Daten prinzipiell egal ist, wo der Host-Server letzten Endes steht, sei eine Anpassung des SCA notwendig gewesen. Theoretisch ermöglicht das eine effizientere Strafverfolgung über Landesgrenzen hinweg. In der Praxis ist der Cloud Act aber aus Sicht zahlreicher Expert:innen eine Datenschutz-Katastrophe.

Denn seit 2018 müssen Cloud-Dienstleister wie Amazon, Google oder Microsoft laut offizieller Zusammenfassung „die geltenden Anforderungen zur Aufbewahrung, Sicherung oder Offenlegung des Inhalts einer elektronischen Kommunikation oder von nicht inhaltlichen Aufzeichnungen oder Informationen über einen Kunden oder Teilnehmer einhalten, unabhängig davon, ob sich die Kommunikation oder Aufzeichnung innerhalb oder außerhalb der Vereinigten Staaten befindet.“ Der letzte Halbsatz ist dabei der wichtigste Punkt. Wenn eine US-Behörde beispielsweise auf Daten, die ausschließlich auf einem Server der deutschen Dependance von Amazon liegen, zugreifen will, geht das theoretisch ohne die Zustimmung deutscher Behörden.

Warum ist der Cloud Act problematisch?

Dieses Umgehen bestehender Prozesse, die eingeführt wurden, um die Verhältnismäßigkeit solcher Anfragen zu prüfen, ist einer der problematischsten Punkte. Denn eigentlich gibt es seit 2010 ein Rechtshilfeabkommen zwischen der EU und den USA, das den gegenseitigen Austausch von Daten in Zusammenhang mit kriminalpolizeilichen Ermittlungen oder Gefährdung der nationalen Sicherheit regelt. Der Cloud Act ist dagegen eine Einbahnstraße.

Besonders kritisch wird das vor dem Hintergrund sogenannter „gag orders“. Das sind rechtliche Mittel, mit denen die anfragenden Behörden den entsprechenden Dienstleistern für bis zu 180 Tage untersagen können, die betroffenen Firmen über Cloud-Act-Anfragen zu informieren. Im Zweifelsfall bekommt ein US-Sicherheitsdienst also sensible Daten, ohne dass Amazon, Microsoft oder Google ihren Kund:innen davon berichten dürfen. Immerhin: In früheren Gesetzen waren diese „gag orders“ nicht nur auf 180 Tage beschränkt. Hier hat der Cloud Act faktisch nachgebessert.

Trotzdem: Firmen können keinen Einspruch einlegen, wenn sie nicht wissen, dass ihre Daten Gegenstand einer solchen Anfrage sind. Selbst dann nicht, wenn sie keinerlei personelle oder geschäftliche Verbindung zur US-Wirtschaft haben sollten. Denn erst durch den Cloud Act haben diese „gag orders“ überhaupt einen Einfluss auf Daten, die außerhalb der USA von US-Firmen gespeichert und verarbeitet werden.

Das stellt die Konzepte von Datensouveränität und -schutz grundsätzlich infrage. Solche Anfragen können im Kontext von Kriminalitäts- und Terrorismusbekämpfung einen theoretischen Nutzen haben. Aber Vorstöße wie das Einstufen der Antifa als Terrororganisation durch die USA zeigen, dass solche Kategorisierungen je nachdem, wer gerade an der Macht ist, sehr unterschiedlich ausfallen können.

Wie stehen Cloud-Anbieter zum Cloud Act?

Die betroffenen Dienstleister wie Amazon oder Google geben seit Jahren an, dass sich die internen Prozesse durch die Einführung des Cloud Acts nicht ändern würden. Man würde weiterhin jede Anfrage auf Verhältnismäßigkeit prüfen. Im äußersten Fall würde man diese auch vor Gericht bringen, um die Daten seiner Kund:innen zu schützen. Das dürfte weniger mit Altruismus als mit Selbstschutz zu tun haben. Denn verlieren gerade Geschäftskund:innen das Vertrauen in ihre Dienstleister, wechseln sie womöglich zur Konkurrenz.

Wie die Cloud-Dienstleister mit den Anfragen umgehen, zeigen sie auch regelmäßig in halbjährlichen Transparenzberichten. Zwischen Juli und Dezember 2024 gehen bei Microsoft insgesamt beispielsweise rund 30.000 Anfragen von Regierungsbehörden aus den USA und anderen Ländern ein. In 60 Prozent davon muss der Tech-Konzern Auskunft erteilen, bei insgesamt 22 Prozent explizit inhaltlich. Auch im Enterprise-Bereich sind es etwa 62 Prozent.

Bei Amazon landen im selben Zeitraum, explizit auf die Cloud-Sparte AWS bezogen, etwa 1.500 Auskunftsgesuche. Der Großteil davon stammt aus den USA und Indien. Eigenen Angaben zufolge waren darunter keine Fälle, in denen der Cloud Act gegriffen hat. Wichtig zu wissen: In beiden Berichten finden sich keine Erklärungen zu so genannten „gag orders“.

Wie können Firmen und Endkund:innen dem Cloud Act entgehen?

Die schlechte Nachricht zuerst: Normale Nutzer:innen haben keine Chance, ihre Daten vor einem Zugriff durch den Cloud Act zu schützen. Denn dieser zielt hauptsächlich auf Enterprise-Cloud-Dienste wie AWS, Microsoft Azure und Google Cloud ab. Mit denen haben User:innen im Alltag wenig direkt zu tun. Wer sich von den Consumer-Angeboten der dominanten US-Firmen, in Microsofts Fall zum Beispiel Onedrive, lösen möchte, findet in unserem Überblicksartikel eine Auflistung alternativer Dienste wie Browser, Mailprogramme oder Cloud-Speicher.

Für Firmen, die auf die Infrastruktur der großen Cloud-Anbieter setzen, bietet der EU Data Act eine bequeme Hintertür. Das Gesetz, das Mitte September 2025 in Kraft tritt, soll nicht nur Endverbraucher:innen mehr Kontrolle über das Teilen ihrer Daten geben. Auch Firmen sollen ihren Datenverarbeiter, etwa Anbieter wie AWS oder Google Cloud, schneller und einfacher wechseln können. Das soll den Wettbewerb und nationale sowie EU-basierte Anbieter stärken und Lock-in in die Systeme großer Cloud-Konzerne verhindern.

Außerdem soll laut Bundesnetzagentur der Zugriff auf von Staaten nicht-personenbezogene Daten – für alles andere gibt es schon die DSGVO – untersagt werden, „wenn dadurch gegen europäisches Recht verstoßen würde oder dadurch grundlegende Rechte des Einzelnen, die nationale Sicherheit oder die Verteidigungsinteressen der Union oder ihrer Mitgliedstaaten beeinträchtigt werden könnten“. Inwieweit der Cloud Act damit hinfällig werden könnte, bleibt allerdings Auslegungssache.

Im Hinblick auf digitale Souveränität und die Gefahr der Datenoffenlegung durch den Cloud Act kann es sich für Firmen also immer noch lohnen, den Cloud-Anbieter zu wechseln. Europäische Alternativen wie OVHcloud oder Nextcloud, die je nach Anwendungsfall Google Cloud, AWS oder Azure ersetzen können, gibt es schon jetzt.