CLOUD Act

Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, wurde am 23. März 2018 als Bestandteil des Consolidated Appropriations Act 2018 vom US-Kongress verabschiedet und am gleichen Tag unterzeichnet. Das Gesetz ändert den Stored Communications Act und fügt dem US Code Title 18 die Section 2713 hinzu.

Direkter Anlass war der Rechtsstreit Microsoft Corp. v. United States. Im Dezember 2013 hatte das US-Justizministerium von Microsoft die Herausgabe von E-Mails verlangt, die in einem Rechenzentrum in Dublin gespeichert waren. Microsoft verweigerte mit Verweis auf die territoriale Begrenzung US-amerikanischer Durchsuchungsbeschlüsse. Mit dem CLOUD Act löste der Gesetzgeber diese Frage; der Supreme Court erklärte das Verfahren am 17. April 2018 für gegenstandslos.

Der CLOUD Act stellt klar, dass eine gerichtliche Anordnung, ein Subpoena oder ein Warrant US-Anbieter zur Herausgabe von Daten verpflichtet, unabhängig vom physischen Speicherort. Erfasst sind sowohl Inhalte wie E-Mails, Dateien und Nachrichten als auch Metadaten. Anbieter mit Sitz oder Tochterunternehmen in den USA fallen unter das Gesetz, dazu gehören Google, Microsoft, Amazon, Apple, Meta und Oracle.

Teil II des Gesetzes ermächtigt die US-Exekutive, bilaterale Executive Agreements mit Drittstaaten zu schließen, die einen wechselseitigen direkten Datenzugriff zwischen den Strafverfolgungsbehörden ermöglichen. Mit dem Vereinigten Königreich existiert ein solches Abkommen seit Oktober 2022. Verhandlungen mit der Europäischen Union laufen seit 2019 ohne Abschluss.

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben in einer gemeinsamen Stellungnahme vom 10. Juli 2019 festgestellt, dass der CLOUD Act mit Artikel 48 der DSGVO im Konflikt steht. Artikel 48 verlangt für die Herausgabe personenbezogener Daten an Drittstaatenbehörden grundsätzlich ein internationales Abkommen, etwa ein Rechtshilfeabkommen (MLAT). Eine direkte Herausgabe an US-Behörden ohne solche Rechtsgrundlage ist nach europäischem Datenschutzrecht unzulässig.

Die Folge ist eine Pflichtkollision: Ein US-Anbieter mit europäischer Niederlassung kann gleichzeitig zur Herausgabe nach US-Recht verpflichtet und zur Verweigerung nach EU-Recht angehalten sein. Im Schrems-II-Urteil von 2020 hat der EuGH die strukturelle Reichweite solcher US-Überwachungsgesetze als zentrale Begründung für die Aufhebung des EU-US Privacy Shield benannt.

US-Cloud-Anbieter wie Amazon Web Services, Microsoft Azure, Google Cloud und Dropbox unterliegen dem CLOUD Act, auch wenn sie europäische Tochtergesellschaften betreiben oder Daten in EU-Rechenzentren speichern. Behörden, Krankenhäuser und Unternehmen, die personenbezogene Daten verarbeiten, müssen daher prüfen, ob die Nutzung dieser Anbieter mit der DSGVO vereinbar ist. Das Schrems-II-Urteil hat diese Pflicht durch das Konzept des Transfer Impact Assessment konkretisiert.

Eine technische Maßnahme zur Eindämmung des Risikos ist Zero-Knowledge-Verschlüsselung. Wenn der Anbieter selbst die Inhalte nicht entschlüsseln kann, können US-Behörden auch im Falle einer Anordnung keine lesbaren Daten erhalten. Schweizer Anbieter wie Proton und Tresorit sowie spanische Anbieter wie Internxt setzen auf solche Architekturen.

EU-basierte Cloud-Infrastruktur ohne US-Eigentümerstruktur, etwa Hetzner, OVHcloud, Scaleway oder Infomaniak, fällt nicht unter den CLOUD Act, weil die Mutterunternehmen ausschließlich europäischer Jurisdiktion unterliegen. Damit entfällt die Pflichtkollision mit der DSGVO.

Im Juli 2023 trat das EU-US Data Privacy Framework als Nachfolger des Privacy Shield in Kraft. Es soll Datentransfers zwischen der EU und den USA wieder rechtssicher ermöglichen. Kritiker, darunter der Kläger Maximilian Schrems, halten den Rahmen für angreifbar; ein neuerliches Verfahren vor dem EuGH gilt als wahrscheinlich. Der CLOUD Act selbst bleibt unverändert; seine Reichweite ist Gegenstand der laufenden datenschutzrechtlichen Debatte.