Die Nutzung von Cloud-Diensten ist für Unternehmen aller Größen – von globalen Konzernen bis zu kleinen und mittleren Betrieben (KMU) – längst Standard. Doch wer sensible Daten in Clouds amerikanischer Anbieter wie Microsoft Azure, AWS oder Google Cloud speichert, setzt sich potenziell dem Zugriff US-amerikanischer Behörden aus. Ein aktuelles Rechtsgutachten der Universität zu Köln im Auftrag des Bundesinnenministeriums bestätigt: US-Nachrichtendienste und Strafverfolgungsbehörden verfügen über weitreichende Rechte, um auf in Clouds gespeicherte Daten zuzugreifen – selbst wenn diese auf Servern außerhalb der USA liegen oder von europäischen Tochtergesellschaften betrieben werden.
1. US-Rechtslage: Direktzugriff und Herausgabepflicht
a. Section 702 FISA und der CLOUD Act
Das Foreign Intelligence Surveillance Act (FISA) und der CLOUD Act bilden die zentrale Rechtsgrundlage für den Zugriff US-amerikanischer Behörden auf Cloud-Daten:
- Section 702 FISA ermöglicht es US-Nachrichtendiensten, Daten von Nicht-US-Personen außerhalb der USA zu erheben, wenn diese von US-Dienstleistern gespeichert oder verarbeitet werden. Einzelne richterliche Prüfungen sind nicht erforderlich – stattdessen erfolgt eine pauschale jährliche Zertifizierung durch den geheim tagenden Foreign Intelligence Surveillance Court (FISC).
- Der CLOUD Act (2018) stellt klar, dass US-Behörden auch dann Zugriff auf Daten verlangen können, wenn diese auf Servern außerhalb der USA gespeichert sind – etwa in deutschen Rechenzentren. Entscheidend ist nicht der Standort der Server, sondern die Kontrolle des US-Unternehmens über die Daten.
b. Executive Order 12.333: Zugriff ohne Mitwirkung der Anbieter
Die Executive Order 12.333 (1981) ermächtigt US-Geheimdienste, Daten auch ohne Kooperation der Cloud-Anbieter zu sammeln – etwa durch das Ausnutzen von IT-Sicherheitslücken. Dieser Zugriff erfolgt ohne gerichtliche Kontrolle und betrifft explizit Daten, die außerhalb der USA gespeichert sind.
c. Stored Communications Act (SCA): Herausgabepflicht für Anbieter
Der Stored Communications Act (SCA) verpflichtet Cloud-Anbieter, auf Anfrage von US-Behörden Daten herauszugeben. Dies umfasst:
- Inhalte elektronischer Kommunikation (z. B. E-Mails, Dokumente)
- Metadaten (z. B. Nutzerdaten, Verbindungsdaten)
National Security Letters (NSL) ermöglichen es dem FBI, Daten ohne richterliche Anordnung anzufordern. Betroffene Unternehmen dürfen die Anfrage oft nicht einmal offenlegen.
2. Risiken für deutsche Unternehmen – auch KMU
a. Kein Schutz durch europäische Tochtergesellschaften
Viele US-Cloud-Anbieter betreiben ihre Dienste in Deutschland über lokale Tochtergesellschaften (z. B. Microsoft Deutschland, AWS Germany). Doch selbst wenn die Server in Deutschland stehen und die Tochtergesellschaft nach deutschem Recht agiert:
- US-Behörden können die Herausgabe von Daten verlangen, wenn das US-Mutterunternehmen Kontrolle über die Daten hat.
- Rechtsschutz ist begrenzt: Deutsche Unternehmen können sich gegen solche Anordnungen kaum wehren, da es an völkerrechtlichen Abkommen fehlt (z. B. zwischen der EU und den USA).
b. Praktische Konsequenzen: Datenabfluss und Compliance-Risiken
- Sensible Unternehmensdaten (z. B. Kundeninformationen, Geschäftsgeheimnisse) können an US-Behörden übermittelt werden – ohne dass das betroffene Unternehmen davon erfährt.
- Verstoß gegen die DSGVO: Die unkontrollierte Weitergabe personenbezogener Daten an Drittländer wie die USA kann zu Bußgeldern von bis zu 4 % des weltweiten Umsatzes führen (Art. 83 DSGVO).
- Vertrauensverlust bei Kunden: Wenn bekannt wird, dass Daten an US-Behörden weitergegeben wurden, drohen Reputationsschäden und der Verlust von Geschäftspartnern.
c. Häufigkeit von Zugriffen: Azure, AWS und der US Cloud Act
- Microsoft Azure, Google Cloud und AWS sind als US-amerikanische Hyperscaler direkt von den Regelungen betroffen.
- Laut Transparenzberichten geben US-Cloud-Anbieter regelmäßig Daten an Behörden weiter – ohne dass die betroffenen Unternehmen oder Nutzer informiert werden.
- Der US Cloud Act wird von Anbietern oft als „unvermeidbar“ dargestellt, um die eigene Compliance zu rechtfertigen. Doch für deutsche Unternehmen bedeutet dies: Sie haben keine Kontrolle darüber, wer ihre Daten einsehen kann.
3. Handlungsaufforderung: Was deutsche Unternehmen jetzt tun müssen
a. Bewertung der eigenen Cloud-Nutzung
- Prüfen, welche Daten in US-Clouds gespeichert sind: Sensible Daten (z. B. personenbezogene Informationen, Geschäftsgeheimnisse) sollten nicht in US-amerikanischen Clouds liegen.
- Verträge mit Cloud-Anbietern analysieren: Enthalten diese Klauseln, die eine Datenherausgabe an US-Behörden ermöglichen?
b. Alternativen zu US-Hyperscalern
- Europäische Cloud-Anbieter nutzen: Dienstleister wie Sovereign Clouds (z. B. Gaia-X, T-Systems, IONOS) unterliegen nicht dem US-Recht und bieten höhere Datensouveränität.
- Lokale Hosting-Lösungen: Für besonders sensible Daten kann ein eigenes Rechenzentrum oder ein gehosteter Private-Cloud-Dienst in Deutschland die sicherste Lösung sein.
c. Technische Maßnahmen gegen Zugriff
- Verschlüsselung „Zero-Knowledge“: Daten sollten so verschlüsselt werden, dass nicht einmal der Cloud-Anbieter sie entschlüsseln kann (z. B. mit Client-seitiger Verschlüsselung).
- Multi-Cloud-Strategie: Durch die Verteilung von Daten auf verschiedene Anbieter (auch nicht-US-amerikanische) lässt sich das Risiko eines Totalzugriffs verringern.
d. Rechtliche Absicherung
- DSGVO-konforme Verträge: Cloud-Verträge müssen sicherstellen, dass Daten nicht an Drittländer weitergegeben werden.
- Regelmäßige Audits: Überprüfung, ob der Cloud-Anbieter tatsächlich keine Daten an US-Behörden übermittelt.
Fazit: Datensouveränität ist kein Luxus, sondern eine Notwendigkeit
Die Rechtslage ist klar: US-Behörden können auf Daten in US-Clouds zugreifen – unabhängig vom Standort der Server. Für deutsche Unternehmen, insbesondere KMU, bedeutet dies ein erhebliches Risiko für Datenschutz, Compliance und Reputation.
Die unausweichliche Handlungsaufforderung lautet:
- Sensible Daten aus US-Clouds abziehen und auf europäische oder lokale Alternativen umsteigen.
- Verschlüsselung und technische Schutzmaßnahmen implementieren, um den Zugriff Dritter zu verhindern.
- Verträge und Compliance-Prozesse anpassen, um rechtliche Risiken zu minimieren.
Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern den Verlust der Kontrolle über die eigenen Daten. Die Zeit für „Business as usual“ ist vorbei – Datensouveränität muss Chefsache werden.
Wir beraten Sie gerne zur Datensicherheit und Datensouveränität. Nehmen Sie dazu gerne mit uns Kontakt auf.