Wissen

Der US Cloud Act und was er für deutsche Unternehmen bedeutet

Der US Cloud Act erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen — auch bei Speicherung außerhalb der USA. Die Folgen für deutsche Unternehmen.

Die folgenden Inhalte sind eine Zusammenstellung öffentlich verfügbarer Informationen, ergänzt um eigene Erfahrungen aus dem Aufbau und Betrieb der Vertex Holding UG. Sie ersetzen keine Rechts-, Steuer- oder Finanzberatung. Für rechtsverbindliche Auskünfte wenden Sie sich an einen Notar, Steuerberater oder Rechtsanwalt.

Die Empfehlungen für Werkzeuge und Dienste sind unverbindliche Hinweise. Es bestehen keine Werbe- oder Provisionsverhältnisse zu den genannten Anbietern.

Stand: Juni 2026. Gesetze, Verfahren und Anbieter ändern sich. Wir bemühen uns um Aktualität, übernehmen aber keine Gewähr. Transparenz-Erklärung lesen

Sektion: Was der Cloud Act regelt

Der US Cloud Act gibt US-Behörden (FBI, DEA, Justizministerium) die Befugnis, von US-Unternehmen die Herausgabe von Daten zu verlangen, unabhängig davon, wo die Daten physisch gespeichert sind. Dies betrifft alle US-Anbieter — also auch ihre ausländischen Tochtergesellschaften.

Konkrete Beispiele für betroffene Anbieter:

  • Microsoft (Azure, Microsoft 365, Outlook, OneDrive)
  • Google (Google Workspace, Drive, Gmail, Cloud)
  • Amazon (AWS)
  • Meta (Facebook, Instagram, WhatsApp)
  • Apple (iCloud)
  • Dropbox
  • Slack
  • Salesforce
  • Adobe (Creative Cloud)
  • Zoom

Auch wenn diese Anbieter Server in Frankfurt, Dublin oder Amsterdam betreiben — die Mutter ist US-amerikanisch, der Cloud Act greift.

Sektion: Was das praktisch bedeutet

Theoretische Risiken:

— US-Behörden können Daten anfordern, ohne dass die betroffenen Personen oder das Unternehmen davon erfahren (Gag Order) — Anfragen können auf Verdachts-Basis erfolgen, deutsche Datenschutz-Standards greifen nicht — Das EU-US Data Privacy Framework (Nachfolger von Privacy Shield, eingeführt 2023) regelt zwar einen Teil der Datenübermittlung, beendet aber nicht die Möglichkeit von Cloud-Act-Anforderungen

Praktische Tragweite:

— Für die meisten kleinen Unternehmen mit überschaubaren Geschäftsdaten wahrscheinlich nicht akut relevant — Für Unternehmen mit besonders sensiblen Daten (Geschäftsgeheimnisse, Forschung, Gesundheitsdaten, Anwalts-Schriftverkehr) ein realer Faktor — Für Behörden, Forschungseinrichtungen, kritische Infrastruktur oft inkompatibel mit Geheimhaltungs-Anforderungen

Sektion: Was rechtlich gilt

Aus deutscher Sicht ist die Datenübermittlung in die USA problematisch. Der EuGH hat in Urteilen wie "Schrems II" (2020) festgestellt, dass das US-Datenschutz-Niveau nicht mit dem EU-Niveau vergleichbar ist.

Das EU-US Data Privacy Framework (2023) hat einen begrenzten Übermittlungs-Korridor wieder geöffnet — allerdings nur für zertifizierte US-Unternehmen und mit eingeschränkten Voraussetzungen.

Für bestimmte Daten-Kategorien gilt zusätzlich: Berufsgeheimnisträger (Anwälte, Ärzte, Steuerberater) dürfen ihre Mandantendaten ohnehin nicht ohne weiteres an US-Anbieter geben.

Praktische Konsequenz für UG/GmbH:

— Wer keine besonders sensiblen Daten hat, kann US-Anbieter nutzen — mit dem Wissen um die Risiken — Wer sensible Daten hat, sollte EU-Anbieter prüfen — Wer als Berufsgeheimnisträger arbeitet, muss EU-Anbieter nutzen

Sektion: Europäische Alternativen

Pro Bereich gibt es mittlerweile etablierte EU-Anbieter:

Cloud-Speicher: Nextcloud (selbst gehostet), Strato HiDrive (DE), pCloud (CH/EU) — Office-Suites: OnlyOffice, Collabora Online (selbst hosten oder bei EU-Anbieter) — E-Mail: Mailbox.org (DE), Posteo (DE), Tuta (DE) — Messenger: Threema (CH), Wire (DE/CH), Element/Matrix — KI-Sprachmodelle: Mistral (FR), Aleph Alpha (DE), lokal gehostete Open-Source-Modelle — Hosting: Hetzner (DE), IONOS (DE), OVH (FR), Strato (DE) — CDN: Bunny.net (SI), KeyCDN (CH) — Analytics: Plausible (EE/EU, selbst hostbar), Matomo (DE/CH/USA, selbst hostbar)

Wichtig: "EU-Anbieter" bedeutet, dass das Mutterunternehmen in der EU sitzt UND keine relevanten Geschäfts- oder Eigentums-Verbindungen in die USA bestehen. Eine deutsche GmbH, die zu 100 % einer US-Mutter gehört, fällt im Zweifel auch unter den Cloud Act.

Sektion: Pragmatische Empfehlung

Für ein gewöhnliches deutsches Klein-Unternehmen lautet die realistische Empfehlung:

Bei sensiblen Daten (Personal, Kunden-Vertraulichkeit, Geschäftsgeheimnisse): EU-Anbieter wählen — Bei nicht-sensiblen operativen Daten (Kalender, allgemeine Korrespondenz, Marketing-Material): US-Anbieter okay, mit Wissen um Risiken — Bei Geheimhaltungs-trägenden Daten (Anwalts-Mandanten, Patient-Daten, Forschung): zwingend EU-Anbieter, bestenfalls selbst gehostet

Eine konsequente Umstellung auf rein europäische Anbieter ist in der Praxis aufwändig — Microsoft 365 oder Google Workspace sind in deutschen Unternehmen tief verankert. Eine schrittweise Migration mit klarer Priorisierung ist meist realistischer als eine radikale Umstellung.

Verweis

Konkrete EU-Anbieter pro Bereich: ERP, Cloud, Mail, KI

Allgemeine Abwägung Open-Source vs. proprietär: Open-Source vs. Proprietär

Stand: Juni 2026