Risiken der Datenspeicherung in US-Clouds: Datenschutz zwischen DSGVO und CLOUD Act

Überlassen Sie Ihre sensiblen Daten freiwillig den Servern von Microsoft, Google & Co. und damit dem Zugriff nach US-Recht? Viele Unternehmen und Privatpersonen setzen auf amerikanische Cloud-Anbieter, oft ohne zu hinterfragen, wo die Daten landen und wer darauf zugreifen kann. Die durch die DSGVO garantierte Sicherheit Ihrer personenbezogenen Daten in der EU wird durch die Speicherung bei US-Anbietern massiv untergraben.

Datenschutzverständnis: EU vs. USA

Im Gegensatz zu dem europäischen Verbotsgesetz mit Erlaubnisvorbehalt gilt in den USA ein Datenschutzprinzip, dass dem Modell eines Erlaubnis-Prinzips mit Verbotsvorbehalt befolgt. In den USA existieren verschiedene Gesetze mit weitreichenden Zugriffserlaubnissen für Behörden.

Ein besonders relevantes Gesetz ist der CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Er ermöglicht US-Behörden den Zugriff auf Daten, die von US-Anbietern gespeichert oder verarbeitet werden, selbst wenn diese Daten in Rechenzentren außerhalb der USA liegen, etwa in Europa.

Das steht im Konflikt mit der DSGVO und bringt europäische Unternehmen in eine schwierige Lage: Sie müssen einerseits die strengen Anforderungen der DSGVO erfüllen, sind aber zugleich auch den datenschutzrechtlichen Gesetzesvorgaben der USA, wie dem CLOUD-Act, unterworfen. Demzufolge ist damit zu rechnen, dass US-Aufsichtsbehörden auf die personenbezogenen Daten von EU-Bürgerinnen und EU-Bürgern zugreifen können.

Welche Rechtsgrundlage hat die Datenübermittlung zwischen der EU und den USA?

Um einen rechtssicheren Datentransfer zwischen der EU und den USA zu gewährleisten, wurde das EU-US Data Privacy Framework (DPF) geschaffen. Ziel ist es, den Schutz personenbezogener Daten trotz Übermittlung in die USA zu sichern.

Dieser Rechtsrahmen steht unter erheblichem Druck, insbesondere durch die aktuelle US-Regierung. Eine wesentliche Schwachstelle ist die mangelhafte Ausstattung des amerikanischen Kontrollorgans, des Privacy and Civil Liberties Oversight Board (PCLOB). Das Organ ist derzeit unterbesetzt und geschwächt, wodurch eine wichtige Kontrollinstanz für den Datenschutz auf US-Seite fehlt.

Auf europäischer Seite überwacht die EU-Kommission die Einhaltung des DPF. Sie kann die Anwendung des Rahmens anpassen oder aussetzen, sofern die Voraussetzungen nicht mehr gegeben sind. Allerdings steht die EU-Kommission selbst unter hohem politischem und wirtschaftlichem Druck, da transatlantische Datenverarbeitung nicht allein eine Datenschutzfrage ist, sondern auch strategische und wirtschaftliche Interessen tangiert. Die Zukunft des DPF ist ungewiss, aber noch hält es stand.

Interessenabwägung: Technische und organisatorische Risiken

US-Cloud-Anbieter wie Microsoft, Google oder Amazon bieten Unternehmen oft überzeugende Vorteile: hohe Verfügbarkeit, globale Skalierbarkeit, moderne Sicherheitsstrukturen, Effizienz bei Kosten und Wartung sowie eine schnelle Integration neuer Technologien (z. B. KI-Dienste). Diese Aspekte sind wirtschaftlich attraktiv. Dennoch bleibt die datenschutzrechtliche Bewertung kritisch. Wir als Datenschutzexpertinnen und Datenschutzexperten warnen davor, dass selbst bei modernster Technik die Anbieter keine echte Datensouveränität gewährleisten.

In der Interessenabwägung mit der DSGVO (insbesondere Art. 32) bedeutet das: Die Vorteile wie technische Exzellenz oder Kostenersparnis werden gegen die Schwere möglicher Eingriffe in die Rechte der betroffenen Personen abgewogen. Sobald ein Zugriff durch ausländische Behörden nicht ausgeschlossen werden kann, wiegt dieses Risiko besonders schwer, insbesondere bei sensiblen oder besonders schützenswerten Daten. Auch organisatorisch zeigt sich ein Unsicherheitsfaktor: Verträge sind oft komplex, Kontrollrechte eingeschränkt und Verantwortlichkeiten unklar.

Datenspeicherung in US-Clouds: Strategien und Vorsorge

Um Risiken zu minimieren und im Ernstfall handlungsfähig zu sein, sollten Unternehmen folgende Maßnahmen treffen:

• Exitstrategien von Anfang an mitplanen: Verträge so gestalten, dass ein Datenexport möglich ist, Datenformate standardisiert sind und ein reibungsloser Anbieterwechsel technisch und organisatorisch machbar wird. Regelmäßig testen, ob der Wechsel tatsächlich funktioniert.
• Vertragliche Sicherheiten vereinbaren: Auftragsverarbeitungsverträge sollten eindeutig sein hinsichtlich Serverstandort, Datenschutz und Zugriffspflichten, Audit und Kontrollrechte, Löschung und Rückgabe von Daten sowie Anpassungen bei sich ändernden Gesetzen.
• Technisch-organisatorische Maßnahmen stärken: Verschlüsselung, Zugriffskontrolle, Mehrfaktorauthentifizierung, Protokollierung und Monitoring, zuverlässige Backups, Wiederherstellungsverfahren und Notfallpläne einrichten.
• Interne Prozesse etablieren: Verantwortlichkeiten für Datenschutz und IT-Security festlegen, Mitarbeitende regelmäßig schulen, Datenschutz-Folgen-Abschätzungen bei Projekten mit hohem Risiko durchführen, Audits und Kontrollen systematisch umsetzen.

Schützen Sie Ihre Daten bei US-Anbietern

Indem Sie starke Verschlüsselung einsetzen, klare Verträge mit europäischen Rechenzentren abschließen, sensible Daten in US-Clouds gezielt minimieren und Exitstrategien vorbereiten, verbessern Sie den Schutz Ihrer Daten deutlich und erfüllen regulatorische Anforderungen zuverlässig. Das Ziel ist es, DSGVO-Konformität zu wahren und Risiken, die durch den CLOUD Act entstehen, bestmöglich zu begrenzen.

Veröffentlicht am 23. Oktober 2025