Was ist der CLOUD Act?
CLOUD Act steht für Clarifying Lawful Overseas Use of Data Act — ein US-amerikanisches Bundesgesetz, das US-Behörden weitreichende Befugnisse beim Zugriff auf digital gespeicherte Daten einräumt. Das Gesetz folgt dem Patriot Act von 2001, der viele Szenarien noch nicht konkret genug definiert hatte, und schließt diese Lücken gezielt.
Der CLOUD Act wurde 2018 verabschiedet und richtet sich an alle Cloud-Anbieter, die unter US-amerikanischem Recht operieren — unabhängig davon, wo auf der Welt die Daten physisch gespeichert sind. Das bedeutet: Auch wenn Ihre Daten auf einem Server in Deutschland liegen, kann ein US-amerikanischer Cloud-Anbieter verpflichtet werden, diese an US-Behörden herauszugeben.
Betroffen sind damit nicht nur kleine Unternehmen, die direkt bei einem US-Anbieter buchen — sondern potenziell jeder, dessen Daten bei einem Anbieter liegen, der einer US-amerikanischen Muttergesellschaft untersteht.
Was dürfen US-Behörden konkret?
Der CLOUD Act gibt US-Behörden das Recht, bei Cloud-Anbietern die Herausgabe aller gespeicherten Daten zu einer einzelnen Person oder zu einem Unternehmen zu verlangen — und zwar ausdrücklich auch dann, wenn diese Daten auf Servern im Ausland liegen.
Konkret bedeutet das:
- Zugriff auf ausländische Server: US-Behörden können Daten anfordern, die auf Servern außerhalb der USA gespeichert sind — sofern der Anbieter unter US-amerikanischem Recht operiert.
- Herausgabepflicht für den Anbieter: Der Cloud-Anbieter ist verpflichtet, der Aufforderung nachzukommen. Er kann Einspruch erheben — aber nur dann, wenn die betroffene Partei kein US-Bürger ist und die Herausgabe gegen das Recht des Landes verstößt, in dem die Daten liegen. In diesem Fall entscheidet ein amerikanisches Gericht.
- Schweigegebot: Es darf dem amerikanischen Anbieter ausdrücklich untersagt werden, seine Nutzer über die Datenanfrage zu informieren. Die betroffenen Personen oder Unternehmen müssen weder vom Anbieter noch von der US-Behörde informiert werden.
- Bilaterale Abkommen: Die US-Regierung kann mit anderen Staaten Abkommen schließen, die diesen dann direkte Datenanfragen an amerikanische Cloud-Anbieter ermöglichen.
Was bedeutet das für Ihr Unternehmen?
Für europäische und deutsche Unternehmen, die ihre Daten bei einem US-amerikanischen Cloud-Anbieter — oder einem Anbieter mit US-amerikanischer Muttergesellschaft — speichern, hat der CLOUD Act weitreichende Konsequenzen:
Kein Einspruchsrecht für Betroffene Als betroffenes Unternehmen haben Sie keinerlei Möglichkeit, sich gegen den Zugriff zur Wehr zu setzen. Einen Einspruch kann ausschließlich der Cloud-Anbieter selbst einreichen — nicht Sie als Kunde.
Keine Informationspflicht Sie müssen weder vom Cloud-Anbieter noch von der US-Behörde über eine laufende oder abgeschlossene Datenanfrage informiert werden. Der Zugriff kann vollständig im Verborgenen stattfinden.
Betroffen auch ohne direkten US-Vertrag Es reicht, dass Ihr Cloud-Anbieter einer US-amerikanischen Muttergesellschaft untersteht. Auch wenn Sie keinen direkten Vertrag mit einem US-Unternehmen haben, können Ihre Daten unter den CLOUD Act fallen.
Sensible Unternehmensdaten im Risiko Betroffen sein können Kundendaten, Verträge, E-Mails, Finanzdaten und alle weiteren in der Cloud gespeicherten Informationen — ohne dass Sie davon erfahren.
CLOUD Act & DSGVO — ein Widerspruch?
Ja — und das ist das eigentliche Problem für europäische Unternehmen.
Die DSGVO (Datenschutz-Grundverordnung) schreibt vor, dass personenbezogene Daten von EU-Bürgern nur unter strengen Voraussetzungen an Dritte — und insbesondere an Behörden außerhalb der EU — weitergegeben werden dürfen. Der CLOUD Act hingegen verpflichtet US-amerikanische Cloud-Anbieter zur Herausgabe von Daten an US-Behörden — unabhängig davon, wo diese Daten gespeichert sind und welches nationale Recht gilt.
Das bedeutet: Ein US-amerikanischer Cloud-Anbieter kann gleichzeitig unter dem CLOUD Act zur Herausgabe verpflichtet sein und unter der DSGVO zur Geheimhaltung. Diesen Widerspruch können weder der Anbieter noch Sie als Kunde einfach auflösen.
Was bedeutet das konkret?
- Speichern Sie personenbezogene Daten Ihrer Kunden bei einem US-Anbieter, riskieren Sie im Ernstfall einen DSGVO-Verstoß — ohne es zu wissen und ohne es verhindern zu können.
- Das Risiko betrifft nicht nur große Konzerne, sondern jedes Unternehmen, das Kundendaten, Mitarbeiterdaten oder vertrauliche Geschäftsinformationen in einer US-amerikanischen Cloud ablegt.
Die einzige zuverlässige Lösung: Daten bei einem Anbieter speichern, der ausschließlich europäischem Recht unterliegt — ohne US-amerikanische Muttergesellschaft, ohne US-amerikanische Infrastruktur.
Wie schützen Sie Ihr Unternehmen vor dem CLOUD Act?
Die Antwort ist einfacher als sie klingt: Wählen Sie einen Cloud-Anbieter, der ausschließlich europäischem Recht unterliegt — ohne US-amerikanische Muttergesellschaft, ohne US-amerikanische Infrastruktur, ohne Berührungspunkte mit dem CLOUD Act.
Die NMMN GmbH ist ein unabhängiges deutsches Unternehmen mit Sitz in Hamburg. Unsere Rechenzentren befinden sich ausschließlich in Deutschland — in Hamburg, Berlin und weiteren deutschen Standorten. Wir unterliegen ausschließlich deutschem und europäischem Recht. US-Behörden haben keinerlei rechtliche Handhabe, uns zur Herausgabe von Kundendaten zu verpflichten.
Was NMMN konkret anbietet:
- Hosted Private Cloud — eine dedizierte Private Cloud, die ausschließlich für Ihr Unternehmen betrieben wird, in deutschen Rechenzentren, unter deutschem Recht
- Managed Shared Cloud — eine hochverfügbare Virtualisierungsumgebung in unseren deutschen Rechenzentren, vollständig von NMMN gemanagt
- Colocation — Sie betreiben Ihre eigene Hardware in unseren deutschen Rechenzentren und behalten die vollständige Kontrolle über Ihre Daten
Datensouveränität ist für NMMN kein Marketing-Begriff — sie ist die Grundlage unseres Geschäftsmodells. Wir betreiben keine Infrastruktur außerhalb Deutschlands und sind an keine US-amerikanische Konzernstruktur gebunden.
→ Mehr zum Thema Datensouveränität bei NMMN finden Sie hier.
FAQ: Häufige Fragen zum CLOUD Act
Gilt der CLOUD Act auch für europäische Unternehmen? Der CLOUD Act gilt nicht direkt für europäische Unternehmen — aber indirekt. Wenn Sie Ihre Daten bei einem US-amerikanischen Cloud-Anbieter oder einem Anbieter mit US-amerikanischer Muttergesellschaft speichern, kann dieser zur Herausgabe Ihrer Daten an US-Behörden verpflichtet werden. Als europäisches Unternehmen haben Sie dabei kein Einspruchsrecht.
Muss mein Cloud-Anbieter mich informieren, wenn US-Behörden auf meine Daten zugreifen? Nein. US-amerikanischen Cloud-Anbietern kann ausdrücklich untersagt werden, ihre Kunden über eine laufende Datenanfrage zu informieren. Der Zugriff kann vollständig ohne Ihr Wissen stattfinden — weder der Anbieter noch die Behörde ist zur Information verpflichtet.
Sind meine Daten bei einem deutschen Anbieter sicher vor dem CLOUD Act? Ja — sofern der Anbieter ausschließlich deutschem und europäischem Recht unterliegt und keine US-amerikanische Muttergesellschaft hat. In diesem Fall haben US-Behörden keine rechtliche Grundlage, den Anbieter zur Herausgabe von Daten zu verpflichten. Die NMMN GmbH ist ein unabhängiges deutsches Unternehmen ohne US-amerikanische Konzernbindung.
Was ist der Unterschied zwischen CLOUD Act und Patriot Act? Der Patriot Act von 2001 war der Vorläufer des CLOUD Act, hatte jedoch viele Szenarien nicht konkret genug definiert. Der CLOUD Act von 2018 schließt diese Lücken — insbesondere in Bezug auf den Zugriff auf Daten, die auf Servern außerhalb der USA gespeichert sind.
Ihre Daten gehören Ihnen — nicht US-Behörden
Der CLOUD Act ist kein abstraktes Rechtsproblem — er ist ein konkretes Risiko für jedes Unternehmen, das sensible Daten bei einem US-amerikanischen Cloud-Anbieter speichert. Die gute Nachricht: Die Lösung ist einfach.
Mit NMMN speichern Sie Ihre Daten ausschließlich in deutschen Rechenzentren, bei einem unabhängigen deutschen Anbieter, der ausschließlich deutschem und europäischem Recht unterliegt. Kein US-Konzern im Hintergrund. Keine versteckten Zugriffsmöglichkeiten. Volle Datensouveränität.
Sprechen Sie uns an — wir beraten Sie gerne, welche Lösung am besten zu Ihrem Unternehmen passt.