Cybervize – Cybersecurity Beratung
Alle Artikel

US Cloud Act & FISA 702: Warum US-Cloud-Anbieter problematisch sind

Alexander Busse·28. November 2025

Die unbequeme Wahrheit über US-Cloud-Anbieter

„Wenn deine Daten bei amerikanischen Cloud-Providern liegen, können US-Behörden jederzeit darauf zugreifen." Dieser Satz fällt oft hinter vorgehaltener Hand in Gesprächen mit IT-Verantwortlichen, CISOs und Geschäftsführern. Doch handelt es sich hierbei um ein Gerücht oder um eine juristische Tatsache?

Die Antwort ist eindeutig: Es ist eine juristische Realität. US-Anbieter wie Microsoft, Google oder Amazon unterliegen US-Recht, völlig unabhängig davon, ob die Daten physisch in Frankfurt, Amsterdam oder einem anderen europäischen Rechenzentrum gespeichert sind. Diese Tatsache hat weitreichende Konsequenzen für deutsche und europäische Unternehmen, die Cloud-Dienste nutzen.

Die rechtlichen Grundlagen: US CLOUD Act und FISA 702

Um die Tragweite dieser Problematik zu verstehen, müssen wir uns zwei zentrale US-Gesetzgebungen genauer ansehen, die den Zugriff amerikanischer Behörden auf Daten regeln.

Der US CLOUD Act: Zugriff für Strafverfolgungsbehörden

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde 2018 verabschiedet und gibt US-Strafverfolgungsbehörden weitreichende Befugnisse. Die wichtigsten Voraussetzungen für einen Datenzugriff sind:

  • Ein rechtmäßiger Gerichtsbeschluss liegt vor
  • Der Anbieter fällt unter US-Jurisdiktion (unabhängig vom Speicherort der Daten)
  • Es besteht ein strafrechtlich relevanter Zweck
  • Häufig gilt eine Geheimhaltungspflicht, sodass das betroffene Unternehmen nicht informiert werden darf

Das bedeutet konkret: Wenn Microsoft, Google oder Amazon von US-Behörden aufgefordert werden, Daten herauszugeben, müssen sie dieser Aufforderung nachkommen, selbst wenn die Daten auf Servern in der EU liegen. Der Speicherort ist aus rechtlicher Sicht irrelevant.

FISA 702: Die Nachrichtendienst-Perspektive

Noch weitreichender ist FISA Section 702 (Foreign Intelligence Surveillance Act). Diese Regelung ermöglicht US-Nachrichtendiensten den Zugriff auf Daten unter folgenden Bedingungen:

  • Es handelt sich um Nicht-US-Bürger außerhalb der USA
  • Der Zweck ist die Gewinnung von „Foreign Intelligence" (Auslandsaufklärung)
  • Der Cloud-Anbieter gilt als „Electronic Communication Service Provider"

FISA 702 erlaubt eine weitaus umfassendere Überwachung als der CLOUD Act und unterliegt weniger strengen richterlichen Kontrollen. Für europäische Unternehmen bedeutet dies: Ihre Kommunikation und Daten können potentiell ohne ihr Wissen abgegriffen werden.

Was bedeutet das für deutsche Unternehmen?

Die praktischen Konsequenzen dieser Rechtslage sind erheblich und betreffen nahezu jedes Unternehmen, das US-Cloud-Dienste nutzt.

Betroffene Dienste und Plattformen

Folgende häufig genutzte Dienste fallen unter die beschriebenen Regelungen:

  • Microsoft 365 (ehemals Office 365)
  • Google Workspace
  • Amazon Web Services (AWS)
  • Zahlreiche US-SaaS-Lösungen für CRM, Marketing, Projektmanagement und mehr

Selbst wenn in den Verträgen explizit auf EU-Rechenzentren verwiesen wird, ändert dies nichts an der grundsätzlichen Zugriffslegitimation amerikanischer Behörden.

Konflikt mit DSGVO und Schrems II

Hier entsteht ein fundamentaler Konflikt mit europäischem Datenschutzrecht. Das Schrems II-Urteil des Europäischen Gerichtshofs von 2020 hat deutlich gemacht, dass das US-Datenschutzniveau nicht dem der EU entspricht. Die DSGVO verlangt jedoch ein angemessenes Schutzniveau bei der Datenübermittlung in Drittländer.

Die Folgen eines Verstoßes können gravierend sein:

  • Bußgelder bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro
  • Reputationsschäden und Vertrauensverlust bei Kunden
  • Wettbewerbsnachteile gegenüber datenschutzkonformen Konkurrenten
  • Rechtliche Auseinandersetzungen mit Aufsichtsbehörden

Besonders kritische Bereiche

Für bestimmte Branchen und Datentypen ist die Problematik besonders akut:

KRITIS-Betreiber: Betreiber kritischer Infrastrukturen unterliegen strengen regulatorischen Anforderungen. Der Einsatz von US-Cloud-Diensten kann hier zu Compliance-Verstößen führen.

Stark regulierte Branchen: Finanzdienstleister, Gesundheitseinrichtungen und Versicherungen verarbeiten hochsensible Daten und müssen besonders strenge Datenschutzstandards einhalten.

Geistiges Eigentum: Unternehmen mit wertvollem IP-Portfolio riskieren, dass strategisch wichtige Informationen potenziell abgegriffen werden können.

Vertrauliche Geschäftsstrategien: M&A-Aktivitäten, Produktentwicklungen und strategische Planungen gehören nicht in die Cloud, wenn ein Zugriff durch Dritte nicht ausgeschlossen werden kann.

Der Mythos vom deutschen Rechenzentrum

Ein weit verbreiteter Irrglaube muss an dieser Stelle ausgeräumt werden: „Die Daten liegen in einem deutschen Rechenzentrum" reicht als Sicherheitsargument längst nicht mehr aus.

Der physische Standort der Server ist aus juristischer Perspektive irrelevant, wenn der Betreiber unter US-Jurisdiktion fällt. Entscheidend ist die Unternehmensstruktur und rechtliche Zuständigkeit des Anbieters, nicht der Serverstandort.

Marketing-Aussagen wie „Made in Germany Cloud" oder „EU-Rechenzentren" können irreführend sein, wenn sie suggerieren, dass damit automatisch ein Schutz vor US-Behördenzugriff besteht.

Erforderliche Maßnahmen: Was Unternehmen jetzt tun müssen

Angesichts dieser Rechtslage sind konkrete Handlungsschritte erforderlich. Untätigkeit ist keine Option mehr.

1. Ehrliche Risikoanalyse durchführen

Der erste Schritt ist eine transparente Bewertung der aktuellen Situation:

  • Datenschutz-Folgenabschätzung (DPIA): Welche personenbezogenen Daten werden in US-Clouds verarbeitet? Welche Risiken bestehen?
  • Transfer Impact Assessment (TIA): Wie hoch ist das Risiko eines Behördenzugriffs konkret? Welche Auswirkungen hätte dies?
  • Compliance-Check: Werden alle regulatorischen Anforderungen erfüllt?

Diese Analysen sollten dokumentiert werden und als Grundlage für strategische Entscheidungen dienen.

2. Technische Schutzmaßnahmen implementieren

Wo der Einsatz von US-Cloud-Diensten unvermeidbar oder wirtschaftlich sinnvoll ist, müssen zusätzliche technische Schutzmaßnahmen ergriffen werden:

End-to-End-Verschlüsselung: Daten sollten bereits vor dem Upload verschlüsselt werden, sodass der Cloud-Anbieter keinen Zugriff auf Klartext hat.

Customer Managed Keys: Die Verschlüsselungsschlüssel müssen im eigenen Besitz bleiben und dürfen nicht vom Cloud-Anbieter verwaltet werden.

Bring Your Own Key (BYOK): Viele Anbieter bieten mittlerweile BYOK-Lösungen an, die jedoch sorgfältig auf ihre tatsächliche Wirksamkeit geprüft werden müssen.

Hold Your Own Key (HYOK): Noch sicherer ist es, wenn die Schlüssel niemals das eigene Unternehmen verlassen.

3. Strategischer Einsatz von EU- und Non-US-Lösungen

Für besonders sensible Daten und kritische Anwendungen sollte der bewusste Einsatz europäischer Alternativen geprüft werden:

  • Europäische Cloud-Anbieter ohne US-Muttergesellschaft
  • Open-Source-Lösungen mit selbst gehosteter Infrastruktur
  • Hybride Ansätze: Unkritische Daten in der US-Cloud, sensible Daten bei EU-Anbietern

Dies erfordert oft ein Umdenken und möglicherweise höhere Investitionen, bietet aber echte rechtliche Sicherheit.

4. Vertragliche Absicherung und Transparenz

Auch wenn vertragliche Klauseln keinen vollständigen Schutz bieten, sollten sie dennoch Teil der Strategie sein:

  • Standardvertragsklauseln (SCCs) nach Schrems II
  • Transparenzklauseln bezüglich Behördenanfragen
  • Benachrichtigungspflichten (soweit rechtlich zulässig)

Die strategische Perspektive: Cloud-Souveränität als Wettbewerbsvorteil

Die beschriebene Problematik ist nicht nur ein Compliance-Thema, sondern eine strategische Frage mit erheblicher Tragweite.

Unternehmen, die frühzeitig auf datenschutzkonforme Cloud-Lösungen setzen, können dies als Wettbewerbsvorteil nutzen:

  • Vertrauensbildung bei datenschutzsensiblen Kunden
  • Vermeidung zukünftiger Regulierungsrisiken
  • Unabhängigkeit von außereuropäischen Rechtsräumen
  • Schutz von Geschäftsgeheimnissen und IP

Die Investition in europäische Cloud-Infrastruktur oder entsprechende Schutzmaßnahmen ist eine Investition in die digitale Souveränität des Unternehmens.

Fazit: Ehrlichkeit ist der erste Schritt

Die Frage ist nicht, ob US-Behörden auf Daten bei amerikanischen Cloud-Anbietern zugreifen können, sondern wie Unternehmen mit dieser Tatsache umgehen.

Viele Entscheidungsträger haben diese Problematik bisher eher ausgeblendet, aus Bequemlichkeit, Kostengründen oder mangelndem Bewusstsein. Doch die rechtlichen und reputativen Risiken sind real und steigen kontinuierlich.

Der erste Schritt ist Ehrlichkeit: Eine transparente Analyse der aktuellen Situation, ohne Schönfärberei. Erst dann können fundierte Entscheidungen getroffen werden, die sowohl rechtlich konform als auch wirtschaftlich tragfähig sind.

Die gute Nachricht: Es gibt Lösungen und Strategien, um die Risiken zu minimieren. Aber sie erfordern ein aktives Handeln und die Bereitschaft, sich mit unbequemen Wahrheiten auseinanderzusetzen.

Wie gehen Sie in Ihrem Unternehmen mit dieser Herausforderung um? Welche Erfahrungen haben Sie gemacht? Der offene Austausch über diese Themen ist entscheidend, um gemeinsam bessere Lösungen zu entwickeln.

Zurück zur Übersicht