US CLOUD Act und Datensouveränität:
warum europäische Rechenzentren

Was der CLOUD Act ist und warum er zählt

Der Clarifying Lawful Overseas Use of Data Act, am 23. März 2018 in den Vereinigten Staaten unterzeichnet, ist ein Bundesgesetz, das es US-Behörden (Department of Justice, FBI, Nachrichtendienste) erlaubt, von jedem der amerikanischen Gerichtsbarkeit unterliegenden Anbieter digitaler Dienste die Herausgabe der von ihm gehaltenen Nutzer- oder Unternehmensdaten zu verlangen, unabhängig davon, wo diese Daten weltweit physisch gespeichert sind.

Der US-Gesetzgeber wollte eine durch den Fall Microsoft Ireland aus dem Jahr 2013 aufgeworfene Rechtsfrage lösen, in dem Microsoft sich geweigert hatte, in Dublin gespeicherte E-Mails herauszugeben, weil der FBI-Beschluss keine ausländischen Gebiete abdeckte. Mit dem CLOUD Act entfällt dieses Hindernis: Entscheidend ist nicht mehr, wo die Daten sind, sondern welcher Gerichtsbarkeit der Anbieter unterliegt, der sie verwaltet.

Warum er auch italienische Unternehmen betrifft

Der Anteil des europäischen Cloud-Markts, der von US-Anbietern — Amazon Web Services, Microsoft Azure, Google Cloud — bedient wird, übersteigt inzwischen 70%. Auch wenn ein italienisches Unternehmen seine Daten in einem Rechenzentrum in Irland, den Niederlanden oder Deutschland speichert, ist der Vertragspartner fast immer ein nach US-Recht gegründetes Unternehmen oder eine seiner Tochtergesellschaften. Das bedeutet:

• Der CLOUD Act überwiegt den physischen Standort — ein Rechenzentrum in der EU schützt an sich nicht vor den Anforderungsbefugnissen der US-Behörden.
• Der europäische Kunde kann uninformiert bleiben — der US-Anbieter unterliegt häufig einer Geheimhaltungsanordnung (Gag Order), die es ihm verbietet, den Verantwortlichen über den Beschluss zu informieren.
• Es entsteht ein direkter Konflikt mit der DSGVO — Art. 48 der europäischen Verordnung verbietet die Übermittlung personenbezogener Daten an Behörden von Drittländern ohne internationales Abkommen. Der CLOUD Act umgeht diese Norm faktisch.
• Die Exposition beschränkt sich nicht auf personenbezogene Daten — auch Unternehmensdokumente, geistiges Eigentum, geschäftliche Kommunikation und laufende Projekte können Gegenstand einer Anforderung sein.

Schrems II und das Ende des Privacy Shield

Am 16. Juli 2020 erklärte der Gerichtshof der Europäischen Union (Rechtssache C-311/18, bekannt als Schrems II) den Privacy Shield für ungültig, das seit 2016 die Übermittlung personenbezogener Daten in die Vereinigten Staaten regelnde Abkommen. Begründung: Die US-Überwachungsgesetze — insbesondere der CLOUD Act und FISA 702 — bieten kein der DSGVO gleichwertiges Schutzniveau, und europäische Bürger haben keine wirksamen Rechtsmittel gegen den Zugriff der US-Regierung auf ihre Daten.

Seitdem können sich Unternehmen, die personenbezogene Daten in die USA übermitteln, nicht mehr ausschließlich auf Standardvertragsklauseln stützen: Sie müssen das Risiko im Einzelfall bewerten und gegebenenfalls zusätzliche Maßnahmen ergreifen, wie Verschlüsselung mit außerhalb der US-Gerichtsbarkeit verwalteten Schlüsseln, Pseudonymisierung oder verstärkte vertragliche Garantien zur Datenlokalisierung.

Data Privacy Framework: eine Teillösung

Im Juli 2023 verabschiedete die Europäische Kommission einen neuen Angemessenheitsbeschluss, das EU-US Data Privacy Framework (DPF), das die Übermittlung personenbezogener Daten an US-Unternehmen ermöglicht, die sich freiwillig zu einer Reihe von Datenschutzgrundsätzen verpflichten und der Aufsicht der Federal Trade Commission unterliegen.

Das DPF vereinfacht die bürokratische Compliance, hebt den CLOUD Act aber nicht auf: Die US-Behörden behalten die extraterritoriale Anforderungsbefugnis. Max Schrems hat bereits eine dritte Klage angekündigt (Schrems III) und viele Experten halten eine erneute Ungültigerklärung für wahrscheinlich. Eine Cloud-Strategie auf die unbefristete Gültigkeit des DPF zu bauen, ist ein Risiko, das vorsichtige Unternehmen zu vermeiden versuchen.

Microsoft EU Data Boundary: was sie wirklich garantiert

Microsoft kündigte 2022 an und schloss 2025 die EU Data Boundary für seine kommerziellen Cloud-Dienste (Microsoft 365, Azure, Dynamics 365, Power Platform) ab. Die vertragliche Verpflichtung lautet, dass Daten europäischer Kunden und Partner ausschließlich innerhalb der Europäischen Union gespeichert und verarbeitet werden, einschließlich Betriebsprotokollen und Telemetriedaten.

Das ist ein wichtiger Schritt, löst die CLOUD-Act-Frage aber nicht vollständig. Microsoft bleibt ein nach US-Recht gegründetes Unternehmen, das der US-Gerichtsbarkeit unterliegt: Die Data Boundary reduziert die Wahrscheinlichkeit amerikanischen Zugriffs, beseitigt sie jedoch nicht vollständig. Für die sensibelsten Branchen (öffentliche Verwaltung, Gesundheitswesen, Finanzwesen, Verteidigung) erfordert die vollständige Lösung einen nach EU-Recht gegründeten Cloud-Anbieter mit europäischem Kapital und einer Kontrollkette außerhalb der USA.

Fünf Kriterien zur Wahl einer souveränen Cloud

Digitale Souveränität ist kein binäres Attribut, sondern ein Gradient. Um einen Cloud-Anbieter aus Sicht der europäischen Datensouveränität konkret zu bewerten, lohnt es sich zu prüfen:

• 1Nach EU-Recht gegründetes Unternehmen — der Vertrag muss mit einer europäischen juristischen Person unterzeichnet werden, nicht mit einer Tochtergesellschaft einer US-Muttergesellschaft. Dies ist das entscheidende Kriterium gegenüber dem CLOUD Act.
• 2Vertraglich gebundene Datenlokalisierung — ein Versprechen reicht nicht, es braucht eine ausdrückliche Klausel, die die EU-Speicherregionen festlegt und die Replikation oder Migration außerhalb der europäischen Grenzen ohne Zustimmung verbietet.
• 3Zertifizierung ISO/IEC 27018 — der spezifische internationale Standard für den Schutz personenbezogener Daten in der Public Cloud. Er legt Anforderungen an Einwilligung, Transparenz, Bearbeitung von Zugriffsanfragen und Meldepflichten fest. Unsere Zertifizierungen.
• 4Verwaltung der Verschlüsselungsschlüssel — der Anbieter sollte Optionen für Customer-Managed Keys oder Bring Your Own Key bieten, sodass der Zugriff auf Klartextdaten von Schlüsseln abhängt, die vom Kunden oder einem unabhängigen europäischen Dritten kontrolliert werden.
• 5ACN-Qualifikation und Cloud-Katalog der öffentlichen Verwaltung — für Organisationen, die die italienische öffentliche Verwaltung bedienen, ist die Qualifikation der Italian National Cybersecurity Agency (ACN) ein objektiver Filter: QC1/QC2-qualifizierte Dienste müssen geprüfte Souveränitäts- und Sicherheitskriterien erfüllen.

Wo AtWorkStudio steht

AtWorkStudio ist seit dem Jahr 2000 von Piacenza aus als nach italienischem Recht gegründetes Unternehmen tätig. Unsere Cloud-Dienste werden in europäischen Microsoft-Azure-Regionen (Italy North und West Europe) mit drei Availability Zones pro Region gehostet oder in Partnerschaft mit italienischen Rechenzentren für Kunden, die vollständige Souveränität verlangen. Wir sind zertifiziert nach ISO/IEC 27001, 27017, 27018 und ISO 9001 und mit ACN QC1 für drei Dienste im italienischen Cloud-Katalog für die öffentliche Verwaltung qualifiziert (Secure Workspace, Email Security Gateway, Microsoft 365 Backup).

Wir sind Mitglieder des Clusit (Italian Association for Information Security) und assoziiert bei Confindustria Piacenza im RICT-Cluster. Für italienische Unternehmen, die Microsoft 365 einführen oder Cloud-Infrastrukturen aufbauen möchten, ohne auf Datensouveränität zu verzichten, bieten wir einen konkreten Weg: Analyse der aktuellen Datenflüsse, Bewertung des CLOUD-Act-Risikos, Entwurf einer DSGVO-konformen Cloud-Architektur und laufende Unterstützung bei der Verwaltung.