Wissen

Der US Cloud Act und was er für deutsche Unternehmen bedeutet

Der [Clarifying Lawful Overseas Use of Data Act] (kurz: US Cloud Act) wurde 2018 in den USA verabschiedet. Er erlaubt US-Behörden den Zugriff auf Daten, die von US-Unternehmen gehalten werden — auch wenn die Daten physisch in anderen Ländern gespeichert sind. Was bedeutet das praktisch für ein deutsches Unternehmen, das US-Cloud-Dienste nutzt?

Die folgenden Inhalte sind eine Zusammenstellung öffentlich verfügbarer Informationen, ergänzt um eigene Erfahrungen aus dem Aufbau und Betrieb der Vertex Holding UG. Sie ersetzen keine Rechts-, Steuer- oder Finanzberatung. Für rechtsverbindliche Auskünfte wenden Sie sich an einen Notar, Steuerberater oder Rechtsanwalt.

Die Empfehlungen für Werkzeuge und Dienste sind unverbindliche Hinweise. Es bestehen keine Werbe- oder Provisionsverhältnisse zu den genannten Anbietern.

Stand: Mai 2026. Gesetze, Verfahren und Anbieter ändern sich. Wir bemühen uns um Aktualität, übernehmen aber keine Gewähr. Transparenz-Erklärung lesen

Sektion: Was der Cloud Act regelt

Der US Cloud Act gibt US-Behörden (FBI, DEA, Justizministerium) die Befugnis, von US-Unternehmen die Herausgabe von Daten zu verlangen, unabhängig davon, wo die Daten physisch gespeichert sind. Dies betrifft alle US-Anbieter — also auch ihre ausländischen Tochtergesellschaften.

Konkrete Beispiele für betroffene Anbieter:

  • Microsoft (Azure, Microsoft 365, Outlook, OneDrive)
  • Google (Google Workspace, Drive, Gmail, Cloud)
  • Amazon (AWS)
  • Meta (Facebook, Instagram, WhatsApp)
  • Apple (iCloud)
  • Dropbox
  • Slack
  • Salesforce
  • Adobe (Creative Cloud)
  • Zoom

Auch wenn diese Anbieter Server in Frankfurt, Dublin oder Amsterdam betreiben — die Mutter ist US-amerikanisch, der Cloud Act greift.

Sektion: Was das praktisch bedeutet

Theoretische Risiken:

— US-Behörden können Daten anfordern, ohne dass die betroffenen Personen oder das Unternehmen davon erfahren (Gag Order) — Anfragen können auf Verdachts-Basis erfolgen, deutsche Datenschutz-Standards greifen nicht — Das EU-US Data Privacy Framework (Nachfolger von Privacy Shield, eingeführt 2023) regelt zwar einen Teil der Datenübermittlung, beendet aber nicht die Möglichkeit von Cloud-Act-Anforderungen

Praktische Tragweite:

— Für die meisten kleinen Unternehmen mit überschaubaren Geschäftsdaten wahrscheinlich nicht akut relevant — Für Unternehmen mit besonders sensiblen Daten (Geschäfts- geheimnisse, Forschung, Gesundheitsdaten, Anwalts-Schriftverkehr) ein realer Faktor — Für Behörden, Forschungseinrichtungen, kritische Infrastruktur oft inkompatibel mit Geheimhaltungs-Anforderungen

Sektion: Was rechtlich gilt

Aus deutscher Sicht ist die Datenübermittlung in die USA problematisch. Der EuGH hat in Urteilen wie "Schrems II" (2020) festgestellt, dass das US-Datenschutz-Niveau nicht mit dem EU-Niveau vergleichbar ist.

Das EU-US Data Privacy Framework (2023) hat einen begrenzten Übermittlungs-Korridor wieder geöffnet — allerdings nur für zertifizierte US-Unternehmen und mit eingeschränkten Voraussetzungen.

Für bestimmte Daten-Kategorien gilt zusätzlich: Berufsgeheimnis- trägende (Anwälte, Ärzte, Steuerberater) dürfen ihre Mandanten- Daten ohnehin nicht ohne weiteres an US-Anbieter geben.

Praktische Konsequenz für UG/GmbH:

— Wer keine besonders sensiblen Daten hat, kann US-Anbieter nutzen — mit dem Wissen um die Risiken — Wer sensible Daten hat, sollte EU-Anbieter prüfen — Wer als Berufsgeheimnis-Träger arbeitet, muss EU-Anbieter nutzen

Sektion: Europäische Alternativen

Pro Bereich gibt es mittlerweile etablierte EU-Anbieter:

Cloud-Speicher: Nextcloud (selbst gehostet), Strato HiDrive (DE), pCloud (CH/EU) — Office-Suites: OnlyOffice, Collabora Online (selbst hosten oder bei EU-Anbieter) — E-Mail: Mailbox.org (DE), Posteo (DE), Tutanota (DE) — Messenger: Threema (CH), Wire (DE/CH), Element/Matrix — KI-Sprachmodelle: Mistral (FR), Aleph Alpha (DE), lokal gehostete Open-Source-Modelle — Hosting: Hetzner (DE), IONOS (DE), OVH (FR), Strato (DE) — CDN: Bunny.net (SI), KeyCDN (CH) — Analytics: Plausible (EE/EU, selbst hostbar), Matomo (DE/CH/USA, selbst hostbar)

Wichtig: "EU-Anbieter" bedeutet, dass das Mutterunternehmen in der EU sitzt UND keine relevanten Geschäfts- oder Eigentums-Verbindungen in die USA bestehen. Eine deutsche GmbH, die zu 100 % einer US-Mutter gehört, fällt im Zweifel auch unter den Cloud Act.

Sektion: Pragmatische Empfehlung

Für ein gewöhnliches deutsches Klein-Unternehmen lautet die realistische Empfehlung:

Bei sensiblen Daten (Personal, Kunden-Vertraulichkeit, Geschäftsgeheimnisse): EU-Anbieter wählen — Bei nicht-sensiblen operativen Daten (Kalender, allgemeine Korrespondenz, Marketing-Material): US-Anbieter okay, mit Wissen um Risiken — Bei Geheimhaltungs-trägenden Daten (Anwalts-Mandanten, Patient-Daten, Forschung): zwingend EU-Anbieter, bestenfalls selbst gehostet

Eine konsequente Umstellung auf rein europäische Anbieter ist in der Praxis aufwändig — Microsoft 365 oder Google Workspace sind in deutschen Unternehmen tief verankert. Eine schrittweise Migration mit klarer Priorisierung ist meist realistischer als eine radikale Umstellung.

Verweis

Konkrete EU-Anbieter pro Bereich: ERP, Cloud, Mail, KI

Allgemeine Abwägung Open-Source vs. proprietär: Open-Source vs. Proprietär

Stand: Mai 2026