Warum der CLOUD Act und der britische Datenschutz: Jurisdiktion ist entscheidend

Der Clarifying Lawful Overseas Use of Data Act (US CLOUD Act), verabschiedet vom US-Kongress im März 2018, verleiht amerikanischen Strafverfolgungsbehörden extraterritoriale Befugnisse, US-basierte Technologieunternehmen zur Herausgabe von Daten zu zwingen – unabhängig davon, wo diese Daten gespeichert sind. Für britische Organisationen, die US-Cloud-Anbieter wie AWS, Microsoft Azure oder Google Cloud nutzen, entstehen dadurch erhebliche Konflikte zwischen US-Rechtsvorgaben zur Offenlegung und britischen Datenschutzanforderungen, die unbefugten Zugriff verbieten. Wenn US-Behörden CLOUD-Act-Anfragen an amerikanische Cloud-Anbieter stellen, die britische Kundendaten speichern, geraten diese Anbieter in eine unlösbare Compliance-Situation: Sie können entweder den US-Gesetzen durch Offenlegung nachkommen oder ihre vertraglichen Zusagen gegenüber britischen Kunden einhalten – aber nicht beides gleichzeitig.

Jurisdiktion ist entscheidend, weil sie bestimmt, welches Rechtsregime letztlich den Datenzugriff kontrolliert, wenn Konflikte auftreten. Britische Organisationen, die innerhalb britischer Rechtsprechung agieren und Daten auf britisch kontrollierter Infrastruktur speichern, unterliegen ausschließlich britischem Recht. Organisationen, die US-Cloud-Anbieter nutzen – unabhängig von „UK-Regionen“ oder vertraglichen Datenschutzversprechen – geben die Kontrolle über die Jurisdiktion an amerikanische Unternehmen ab, die US-Recht unterliegen. Der CLOUD Act macht den geografischen Speicherort von Daten irrelevant, indem er US-Jurisdiktion auf die globalen Aktivitäten amerikanischer Unternehmen ausdehnt. Eine an das AWS-Headquarter in Virginia zugestellte Anordnung verlangt auch von AWS London die Einhaltung. Eine Anordnung an Microsoft in Washington gilt ebenso für Azure UK South. Googles US-Muttergesellschaft erhält Anfragen, die Google Cloud London erfüllen muss.

Die Anforderungen der UK DSGVO und des Data Protection Act 2018 verbieten Organisationen, unbefugten Zugriff auf personenbezogene Daten zu ermöglichen, verlangen die Umsetzung angemessener technischer Schutzmaßnahmen und etablieren Verantwortlichkeit für den Datenschutz. Wenn US-Behörden den CLOUD Act nutzen, um britische Kundendaten von amerikanischen Cloud-Anbietern herauszuverlangen, liegt dann ein unbefugter Zugriff vor? Die Position des ICO legt nahe: Ja – der Zugriff ausländischer Regierungen ohne britisches Rechtsverfahren oder Benachrichtigung der Kunden verletzt Datenschutzprinzipien, die britische Datenverantwortliche einhalten müssen. Vertragliche Klauseln lösen diesen Konflikt nicht, da US-Gesetze vertragliche Zusagen übersteuern. Die einzige architektonische Lösung, die CLOUD-Act-Risiken ausschließt, ist echte Datensouveränität: vom Kunden verwaltete Verschlüsselungsschlüssel, sodass eine erzwungene Offenlegung nur unverständlichen Chiffretext liefert, und eine britische, souveräne Bereitstellung, die US-Jurisdiktion vollständig ausschließt.

Executive Summary

Kernaussage: Der CLOUD Act gibt US-Behörden die Befugnis, amerikanische Cloud-Anbieter zur Offenlegung von Daten zu zwingen – unabhängig vom Speicherort – und schafft so direkte Konflikte mit den Anforderungen der britischen DSGVO. Britische Organisationen, die US-Cloud-Anbieter nutzen, stehen vor unlösbaren Jurisdiktionskonflikten, die nur durch Datensouveränität – mittels kundenseitig verwalteter Verschlüsselung und britischer, souveräner Bereitstellung – gelöst werden können.

Warum Sie das betrifft: Jurisdiktion entscheidet, welches Rechtsregime bei Konflikten den Datenzugriff kontrolliert. Organisationen, die US-Cloud-Anbieter nutzen – unabhängig von „UK-Regionen“ oder vertraglichen Datenschutzversprechen – geben die Kontrolle an amerikanische Unternehmen ab, die US-Recht unterliegen. Die einzige architektonische Lösung, die CLOUD-Act-Risiken ausschließt, ist echte Datensouveränität: kundenseitig verwaltete Verschlüsselungsschlüssel, sodass eine erzwungene Offenlegung nur unverständlichen Chiffretext liefert, und eine souveräne Bereitstellung, die US-Jurisdiktion vollständig ausschließt.

wichtige Erkenntnisse

1. Der CLOUD Act verleiht US-Strafverfolgungsbehörden extraterritoriale Befugnisse, US-Unternehmen zur Herausgabe weltweit gespeicherter Daten zu zwingen – lokale Gesetze werden übersteuert, und der geografische Speicherort in britischen Regionen ist rechtlich irrelevant, wenn US-Unternehmensjurisdiktion eine Offenlegung ermöglicht.
2. CLOUD-Act-Anfragen stehen in direktem Konflikt mit den Anforderungen der britischen DSGVO, insbesondere Artikel 5 (rechtmäßige Verarbeitung) und Artikel 32 (angemessene Sicherheitsmaßnahmen), da sie ausländischen Regierungszugriff ohne britisches Rechtsverfahren, Kundenbenachrichtigung oder Datenschutzmaßnahmen ermöglichen.
3. US-Cloud-Anbieter können sowohl CLOUD-Act-Verpflichtungen als auch vertragliche Zusagen gegenüber britischen Kunden nicht gleichzeitig erfüllen, wenn US-Behörden die Offenlegung verlangen – gesetzliche Verpflichtungen übersteuern vertragliche Zusagen, sodass Anbieter-Garantien im Jurisdiktionskonflikt rechtlich bedeutungslos werden.
4. Verschwiegenheitsklauseln in CLOUD-Act-Anordnungen verbieten Anbietern, britische Kunden über den Datenzugriff zu informieren, was die Transparenzanforderungen der britischen DSGVO verletzt und Organisationen daran hindert, unbefugte ausländische Überwachung zu erkennen, anzufechten oder zu begrenzen.
5. Das ICO erwartet von britischen Organisationen, technische Maßnahmen zu implementieren, die unbefugten Zugriff – auch durch ausländische Regierungen – verhindern. Architekturen, die CLOUD-Act-Offenlegung ermöglichen, schaffen potenzielle Verstöße gegen britische Datenschutzvorgaben – unabhängig vom US-Rechtszwang.
6. Kundenseitig verwaltete Verschlüsselungsschlüssel, die den Anbieterzugriff ausschließen, schaffen mathematische Garantien gegen CLOUD-Act-Risiken – eine erzwungene Offenlegung liefert nur unverständlichen Chiffretext, während eine souveräne britische Bereitstellung die US-Jurisdiktion vollständig ausschließt.

Was ist der CLOUD Act und wie funktioniert er?

Was ist der CLOUD Act? Der Clarifying Lawful Overseas Use of Data (CLOUD) Act, verabschiedet am 23. März 2018, ist ein US-Bundesgesetz, das amerikanischen Strafverfolgungsbehörden die Befugnis gibt, US-basierte Technologieunternehmen zur Herausgabe elektronischer Daten zu zwingen – unabhängig vom physischen Speicherort der Daten oder der Staatsangehörigkeit der betroffenen Personen.

Der CLOUD Act entstand aus dem Microsoft-Irland-Fall (United States v. Microsoft Corp.), in dem Microsoft einen US-Beschluss anfocht, der die Herausgabe von E-Mails aus einem Rechenzentrum in Dublin verlangte. Microsoft argumentierte, dass der Stored Communications Act keine extraterritoriale Geltung habe, also US-Beschlüsse keine im Ausland gespeicherten Daten erfassen. Das Berufungsgericht gab Microsoft recht und schuf so eine Lücke, durch die US-Behörden keinen Zugriff auf im Ausland gespeicherte Daten hatten – selbst bei Ermittlungen zu schweren Straftaten.

Der US-Kongress reagierte mit dem CLOUD Act, der US-Strafverfolgungsbehörden explizit weltweite Zugriffsbefugnisse für die globalen Aktivitäten amerikanischer Unternehmen einräumt. Das Gesetz ändert den Stored Communications Act dahingehend, dass US-Rechtsverfahren für Daten gelten, „die sich im Besitz, Gewahrsam oder unter Kontrolle des Anbieters befinden, unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder Information innerhalb oder außerhalb der Vereinigten Staaten befindet.“ Damit ist der geografische Speicherort unerheblich – kontrolliert ein amerikanisches Unternehmen die Daten, können US-Behörden sie verlangen.

Wie CLOUD-Act-Anordnungen funktionieren

US-Strafverfolgungsbehörden, die Daten von amerikanischen Cloud-Anbietern gemäß CLOUD Act anfordern, nutzen Verfahren ähnlich wie bei inländischen Durchsuchungsbeschlüssen – jedoch mit extraterritorialer Wirkung. Die Behörden erhalten gerichtliche Anordnungen, Durchsuchungsbeschlüsse oder Vorladungen von US-Gerichten, die Anbieter zur Herausgabe bestimmter Daten verpflichten. Diese Anordnungen gelten unabhängig vom Speicherort, Eigentümer der Daten oder Staatsangehörigkeit der Betroffenen.

Anbieter, die CLOUD-Act-Anfragen erhalten, müssen nach US-Recht die angeforderten Daten herausgeben. Eine Weigerung birgt das Risiko strafrechtlicher Sanktionen, erheblicher Geldstrafen und möglicher Haftstrafen für Unternehmensverantwortliche. Das Gesetz sieht keine Ausnahmen für Daten ausländischer Kunden, Daten in ausländischen Rechenzentren oder Daten, die ausländischem Datenschutzrecht unterliegen, vor. Die US-Unternehmensjurisdiktion schafft US-Rechtsverpflichtungen, die der geografische Speicherort nicht aushebeln kann.

Oft sind CLOUD-Act-Anordnungen mit Verschwiegenheitsklauseln verbunden, die es Anbietern verbieten, betroffene Kunden über den Zugriff zu informieren. Diese Gag Orders verhindern, dass Kunden die Rechtmäßigkeit des Zugriffs anfechten, zusätzliche Schutzmaßnahmen ergreifen oder ihren eigenen Transparenzpflichten nachkommen. Britische Organisationen erfahren möglicherweise nie, dass US-Behörden auf ihre Daten zugegriffen haben.

CLOUD Act vs. Mutual Legal Assistance Treaties

Vor dem CLOUD Act nutzten US-Behörden für den Zugriff auf im Ausland gespeicherte Daten in der Regel Mutual Legal Assistance Treaties (MLATs), die eine Zusammenarbeit zwischen Regierungen über formale Rechtswege verlangen. MLATs respektieren die Souveränität anderer Staaten, indem sie verlangen, dass das ersuchende Land Vertragsverfahren einhält, das ersuchte Land die Anforderungen prüft und Mechanismen zur Lösung von Jurisdiktionskonflikten bieten.

Der CLOUD Act umgeht MLAT-Verfahren, indem er amerikanischen Unternehmen direkt Zugriff abverlangt – unabhängig vom Speicherort der Daten. US-Behörden benötigen keine Kooperation der britischen Regierung mehr, um auf Daten in britischen Rechenzentren zuzugreifen – sie stellen einfach Anfragen an die US-Muttergesellschaften, die nach US-Recht handeln müssen. Dieser einseitige Ansatz beseitigt die Kontrolle durch ausländische Regierungen, entfernt Rechtsschutz ausländischer Staaten und schafft Jurisdiktionskonflikte, die MLATs eigentlich verhindern sollten.

Der CLOUD Act enthält zwar bilaterale Regelungen, die es ausländischen Regierungen ermöglichen, mit den USA Exekutivabkommen auszuhandeln. Diese Abkommen erlauben es ausländischen Behörden, direkt US-Anbieter zur Herausgabe von Daten zu zwingen – ohne MLAT-Verfahren –, während sie US-Behörden im Gegenzug Zugriff gewähren. Allerdings müssen solche Abkommen hohe Anforderungen erfüllen, darunter Menschenrechtsschutz und Zielbegrenzungen, die viele Länder nicht erfüllen können. Das Vereinigte Königreich hat ein solches Abkommen ausgehandelt, das US-Behörden weiterhin direkten Zugriff auf britische Daten gewährt, während britische Behörden begrenzten Gegenzugriff erhalten – das grundlegende Jurisdiktionsproblem bleibt jedoch bestehen.

Die extraterritoriale Reichweite des CLOUD Act und Auswirkungen für das Vereinigte Königreich

Extraterritoriale Wirkung: Die extraterritorialen Bestimmungen des CLOUD Act bedeuten, dass britische Organisationen, die US-Cloud-Anbieter nutzen, weiterhin US-Rechtsverfahren ausgesetzt sind – unabhängig von britischen Rechenzentrumsstandorten, vertraglichen Datenschutzverpflichtungen oder Anforderungen des britischen Datenschutzrechts.

Das Grundprinzip des CLOUD Act – dass US-Jurisdiktion US-Unternehmen weltweit folgt – hat unmittelbare Auswirkungen für britische Organisationen, die glauben, dass die Speicherung von Daten in AWS London, Azure UK South oder Google Cloud London Schutz vor US-Rechtsverfahren bietet. Der geografische Speicherort wird rechtlich bedeutungslos, wenn US-Unternehmenskontrolle britische Regionalbetriebe US-Recht unterwirft.

Warum britische Rechenzentren CLOUD-Act-Risiken nicht verhindern

US-Cloud-Anbieter vermarkten britische Regionen als Lösungen für Datenresidenz und DSGVO-Compliance. Regionale Bereitstellung beseitigt jedoch nicht die US-Jurisdiktion, da sich die CLOUD-Act-Befugnis auf Daten „im Besitz, Gewahrsam oder unter Kontrolle des Anbieters“ bezieht – unabhängig vom Standort. AWS, Microsoft und Google behalten die Kontrolle über Kundendaten in britischen Regionen durch:

Unternehmenskontrolle: US-Muttergesellschaften besitzen und betreiben britische Tochtergesellschaften. AWS London untersteht Amazon Web Services Inc., Delaware. Azure UK South gehört zu Microsoft Corporation, Washington. Google Cloud London ist Teil von Google LLC, Delaware. Diese Struktur unterwirft alle globalen Aktivitäten der US-Jurisdiktion.

Technischer Zugriff: Cloud-Anbieter betreiben technische Infrastrukturen, die den Zugriff auf Kundendaten in allen Regionen ermöglichen. Systeme zur Schlüsselverwaltung, administrative Zugriffskontrollen und operative Tools funktionieren global über anbieter-kontrollierte Infrastruktur. Wenn US-Behörden Daten verlangen, verfügen Anbieter über die technische Möglichkeit, darauf zuzugreifen – unabhängig vom physischen Speicherort.

Betriebliche Integration: Britische Regionalbetriebe sind in globale Systeme für Abrechnung, Identitätsmanagement, Sicherheitsüberwachung und Servicebereitstellung eingebunden. Diese Integration schafft technische und operative Beziehungen, die britische Daten für US-Muttergesellschaften zugänglich machen, die CLOUD-Act-Anfragen erfüllen müssen.

Britische Organisationen, die glauben, regionale Rechenzentren böten Jurisdiktionsschutz, missverstehen grundlegend die Funktionsweise des CLOUD Act. Das Gesetz interessiert sich nicht für den Speicherort – sondern für die Kontrolle. US-Unternehmenskontrolle bedeutet US-Jurisdiktion, unabhängig von der Datengeografie.

Geltungsbereich der CLOUD-Act-Befugnisse

Der US CLOUD Act verleiht US-Strafverfolgungs- und Nachrichtendiensten weitreichende Befugnisse. Anordnungen können verlangen:

Inhaltsdaten: E-Mail-Nachrichten, Dokumenteninhalte, Kommunikation und Dateien, die Anbieter im Auftrag von Kunden speichern. Britische Kundendaten bei US-Anbietern werden für US-Behörden zugänglich – bei Ermittlungen zu Straftaten, nationaler Sicherheit oder nachrichtendienstlichen Operationen.

Metadaten: Informationen über Kommunikation wie Absender, Empfänger, Zeitstempel, IP-Adressen und Gerätekennungen. Selbst wenn Inhalte verschlüsselt sind, können Metadaten sensible Muster zu Geschäftsbeziehungen, Kommunikation und Aktivitäten offenbaren.

Gespeicherte Kommunikation: Daten im ruhenden Zustand in Anbietersystemen, einschließlich Backups, Archiven und gelöschten, aber wiederherstellbaren Informationen. Britische Organisationen glauben vielleicht, gelöschte Daten seien nicht mehr vorhanden – aber Backup-Systeme der Anbieter können Informationen liefern, die als dauerhaft gelöscht galten.

Echtzeitzugriff: Prospektive Überwachung, bei der Anbieter laufenden Zugriff auf eingehende Kommunikation gewähren müssen, sodass US-Behörden Datenströme britischer Kunden in Echtzeit überwachen können.

Der Anwendungsbereich ist nicht auf Strafverfolgung beschränkt. Auch nationale Sicherheitsbehörden wie das FBI können den CLOUD Act für nachrichtendienstliche Zwecke nutzen. Britische Organisationen und Betroffene können Ziel von Überwachung werden – nicht wegen Verdachts auf Straftaten, sondern wegen nachrichtendienstlichen Interesses.

Wer kann CLOUD-Act-Anfragen stellen?

Mehrere US-Behörden können CLOUD-Act-Anfragen stellen:

Federal Bureau of Investigation (FBI): Strafrechtliche Ermittlungen und Gegenspionage gegen ausländische Staatsangehörige, einschließlich britischer Unternehmen und Personen mit US-Bezug.

Drug Enforcement Administration (DEA): Ermittlungen zu Drogenhandel mit internationalen Lieferketten, die auch britische Unternehmen mit unbeabsichtigten Verbindungen betreffen können.

Securities and Exchange Commission (SEC): Ermittlungen zu Wertpapierbetrug, Marktmanipulation oder Insiderhandel mit Beteiligung britischer Unternehmen oder Personen, die auf US-Märkten aktiv sind.

Department of Justice (DOJ): Umfassende Strafverfolgungsbefugnisse bei Bundesdelikten, die britische Personen oder Unternehmen durch internationale Geschäftsaktivitäten betreffen können.

Nachrichtendienste: Nationale Sicherheitsbehörden, die nach FISA-Befugnissen ausländische Informationen suchen – auch Kommunikation britischer Staatsangehöriger, die nicht verdächtigt werden, aber über Informationen zu Zielen verfügen könnten.

Die Vielzahl der Behörden mit CLOUD-Act-Befugnissen bedeutet, dass britische Organisationen bei Nutzung von US-Anbietern mehreren US-Regierungsstellen mit unterschiedlichen Standards, Kontrollen und Zwecken ausgesetzt sind.

Jurisdiktionskonflikte mit der britischen DSGVO

Zentraler Konflikt: Der CLOUD Act ermöglicht ausländischen Regierungen den Zugriff auf personenbezogene Daten ohne britisches Rechtsverfahren – im direkten Widerspruch zu den Anforderungen der britischen DSGVO an rechtmäßige Verarbeitung, angemessene Sicherheitsmaßnahmen und Verantwortlichkeit des Datenverantwortlichen.

Britische Organisationen, die US-Cloud-Anbieter nutzen, geraten in unlösbare Compliance-Situationen, wenn US-Behörden Daten verlangen. Die britische DSGVO stellt spezifische Anforderungen an den Datenschutz, die durch CLOUD-Act-Zugriffe verletzt werden – es entstehen Jurisdiktionskonflikte, bei denen die Erfüllung eines Rechtsrahmens die Verletzung des anderen bedeutet.

UK DSGVO Artikel 5: Grundsätze der rechtmäßigen Verarbeitung

Artikel 5 der britischen DSGVO legt grundlegende Prinzipien für die rechtmäßige Verarbeitung fest. Die Prinzipien, die durch CLOUD-Act-Zugriffe am stärksten verletzt werden, sind:

Rechtmäßigkeit, Fairness und Transparenz: Personenbezogene Daten müssen rechtmäßig, fair und transparent verarbeitet werden. Ist der Zugriff durch US-Behörden nach CLOUD Act auf britische personenbezogene Daten rechtmäßig? Die betroffene Person hat nicht zugestimmt, britisches Recht autorisiert diesen Zugriff nicht. Der CLOUD Act schafft US-Rechtsgrundlage – aber macht ausländisches Recht die Verarbeitung nach britischer DSGVO rechtmäßig? Die ICO-Leitlinien legen nahe, dass britisches Datenschutzrecht die Rechtmäßigkeit bestimmt – unbefugter Zugriff ausländischer Behörden verletzt dieses Prinzip, unabhängig von US-Rechtsgrundlagen.

Zweckbindung: Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Britische Organisationen erheben personenbezogene Daten für Geschäftszwecke – Kundenmanagement, Personalverwaltung, Servicebereitstellung. US-Behördenzugriff für Ermittlungen oder Nachrichtendienste ist kein legitimer Zweck der ursprünglichen Datenerhebung. CLOUD-Act-Zugriffe verletzen daher die Zweckbindung, indem sie Daten für inkompatible Zwecke nutzen.

Datenminimierung: Es dürfen nur Daten verarbeitet werden, die dem Zweck angemessen und auf das notwendige Maß beschränkt sind. CLOUD-Act-Anfragen verlangen oft weitreichenden Zugriff, insbesondere für nachrichtendienstliche Zwecke. Wenn US-Behörden ganze Datensätze, Kommunikationshistorien oder Metadaten verlangen, werden Prinzipien der Datenminimierung verletzt, da weit mehr Daten verarbeitet werden als für den ursprünglichen Zweck erforderlich.

Speicherbegrenzung: Daten dürfen nicht länger als nötig gespeichert werden. CLOUD-Act-Anordnungen können historische Daten, Backups und gelöschte, aber wiederherstellbare Informationen verlangen – so wird die Aufbewahrungsdauer durch ausländischen Zugriff und Kopien verlängert.

UK DSGVO Artikel 32: Sicherheit der Verarbeitung

Artikel 32 verlangt von Organisationen die Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit entsprechend dem Risiko. Verschlüsselung wird explizit als geeignete Maßnahme genannt. Doch wenn US-Cloud-Anbieter Zugriff auf Verschlüsselungsschlüssel behalten und so CLOUD-Act-Anfragen erfüllen können, bietet Verschlüsselung dann echten Schutz?

Der Artikel verlangt Maßnahmen, die „die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten“ sicherstellen. Durch den CLOUD Act erzwungener Zugriff ausländischer Regierungen untergräbt die Vertraulichkeit – Daten werden für Dritte zugänglich, denen der Datenverantwortliche keinen Zugriff gewährt hat. Die Integrität wird beeinträchtigt, da Kopien und Änderungen ohne Wissen des Verantwortlichen möglich sind. Die Belastbarkeit leidet, weil Zugriffspfade entstehen, die technische Schutzmaßnahmen nicht verhindern können.

ICO-Leitlinien zu Artikel 32 betonen, dass Maßnahmen gegen identifizierte Risiken – einschließlich „unrechtmäßigen oder unbefugten Zugriffs, Verarbeitung oder Offenlegung“ – wirksam sein müssen. Ist CLOUD-Act-Zugriff „unrechtmäßiger“ Zugriff im Sinne der britischen DSGVO? Die US-Regierung handelt nach US-Recht, aber britisches Datenschutzrecht bestimmt, ob der Zugriff rechtmäßig ist. Zugriff ausländischer Behörden ohne britisches Rechtsverfahren, Benachrichtigung oder Autorisierung durch den Datenverantwortlichen entspricht genau dem unbefugten Zugriff, den Artikel 32 verhindern soll.

UK DSGVO Artikel 44-48: Internationale Übermittlungen

Die Bestimmungen der britischen DSGVO zu internationalen Datenübermittlungen schaffen zusätzliche Konflikte mit CLOUD-Act-Zugriffen. Artikel 44 verbietet die Übermittlung personenbezogener Daten in Drittländer ohne angemessene Schutzmaßnahmen. Erfolgt durch den CLOUD Act eine Übermittlung in die USA?

Technisch findet keine „Übermittlung“ von UK in die USA statt – der Anbieter gibt die Daten an US-Behörden weiter. Praktisch werden personenbezogene Daten, die britischem Datenschutzrecht unterliegen, US-Behörden ohne angemessene Schutzmaßnahmen zugänglich. Das widerspricht dem Zweck der Übermittlungsbeschränkungen: personenbezogene Daten sollen nicht in Länder mit unzureichendem Schutz gelangen.

Artikel 48 bezieht sich explizit auf „Übermittlungen oder Offenlegungen, die nicht durch Unionsrecht autorisiert sind“. Demnach dürfen gerichtliche oder behördliche Anordnungen zur Offenlegung personenbezogener Daten nur anerkannt werden, wenn sie auf einem internationalen Abkommen wie einem MLAT beruhen. Der CLOUD Act umgeht MLAT-Verfahren, sodass Artikel 48 CLOUD-Act-Anordnungen nicht als legitime Grundlage für die Offenlegung anerkennen dürfte.

ICO-Durchsetzungsposition

Das Information Commissioner’s Office hat Leitlinien veröffentlicht, die klare Erwartungen an Cloud Computing und internationale Übermittlungen formulieren und zusätzlichen Compliance-Druck auf britische Organisationen ausüben, die US-Anbieter nutzen.

Die ICO-Leitlinien zu internationalen Datenübermittlungen betonen, dass Organisationen Transfer Impact Assessments (TIAs) durchführen müssen, die die praktische Datenschutzrealität im Zielland bewerten – nicht nur theoretische Rechtsrahmen. Bei Übermittlungen an US-Cloud-Anbieter (auch wenn sie als inländische Verarbeitung dargestellt werden), müssen TIAs berücksichtigen, dass US-Behörden durch den CLOUD Act ohne britisches Rechtsverfahren Zugriff erhalten können.

Das ICO erwartet, dass Organisationen ergänzende Maßnahmen zur Risikominimierung implementieren. Wenn TIAs zeigen, dass ausländische Regierungen Anbieterzugriff erzwingen können, welche ergänzenden Maßnahmen adressieren dieses Risiko? Vertragliche Klauseln können US-Gesetze nicht übersteuern. Organisatorische Maßnahmen können Regierungsanfragen nicht verhindern. Nur technische Maßnahmen, die den Anbieterzugriff auf verständliche Daten ausschließen – also kundenseitig verwaltete Verschlüsselungsschlüssel – bieten wirksamen ergänzenden Schutz.

Warum vertragliche Schutzmechanismen beim CLOUD Act versagen

Vertragliche Grenzen: Vertragliche Datenschutzverpflichtungen von Cloud-Anbietern können US-Gesetze wie den CLOUD Act nicht übersteuern – vertragliche Zusagen werden bei Jurisdiktionskonflikten zwischen US-Rechtsanfragen und britischen Datenschutzanforderungen rechtlich bedeutungslos.

Britische Organisationen verhandeln in Cloud-Service-Verträgen meist detaillierte Datenschutzklauseln: Verarbeitung nur nach Kundenanweisung, Verpflichtung zu angemessenen Sicherheitsmaßnahmen, Benachrichtigungspflicht bei Regierungsanfragen und vertragliche Beschränkungen der Offenlegung. Diese Klauseln vermitteln Sicherheit – versagen aber, wenn US-Behörden den CLOUD Act anwenden.

Gesetzliche Verpflichtungen übersteuern vertragliche Zusagen

Das Grundproblem: Private Verträge können öffentliches Recht nicht übersteuern. Wenn US-Bundesgesetze Anbieter zur Offenlegung verpflichten, werden vertragliche Zusagen zur Nicht-Offenlegung rechtlich nicht durchsetzbar. Anbieter stehen vor der Wahl: Bundesrecht verletzen, indem sie Kundenverträge einhalten, oder Kundenverträge verletzen, indem sie Bundesrecht befolgen. Die Rechtslage ist eindeutig – gesetzliche Verpflichtungen haben Vorrang.

Die Nutzungsbedingungen der Anbieter spiegeln dies wider, indem sie Offenlegung „wie gesetzlich vorgeschrieben“ oder „zur Erfüllung gesetzlicher Verpflichtungen“ vorsehen. Diese Klauseln sichern die Möglichkeit, CLOUD-Act-Anfragen zu erfüllen, auch wenn anderswo im Vertrag Datenschutz zugesichert wird. Britische Kunden akzeptieren mit Vertragsabschluss, dass US-Gesetze vertragliche Schutzmechanismen übersteuern können.

Sogar Verträge, die Offenlegung „unter keinen Umständen“ verbieten oder Anbieter verpflichten, „alle Regierungsanfragen anzufechten“, versagen unter dem Druck des CLOUD Act. Anbieter können rechtmäßige US-Gerichtsbeschlüsse nicht verweigern, unabhängig von vertraglichen Zusagen. Gerichte urteilen, dass vertragliche Verpflichtungen gegenüber ausländischen Kunden amerikanische Unternehmen nicht an der Einhaltung von US-Recht hindern – selbst stärkste Vertragsklauseln bieten keinen Schutz.

Anbieterversprechen und Marketingaussagen

Cloud-Anbieter bewerben ihre Dienste mit Datenschutz, Sicherheit und Kundenkontrolle. AWS verspricht „Kunden behalten die Kontrolle über ihre Daten“. Microsoft betont „Privacy by Design“. Google wirbt mit „branchenführender Sicherheit“. Diese Aussagen vermitteln den Eindruck, Kundendaten seien vor unbefugtem Zugriff geschützt – ein Eindruck, den die CLOUD-Act-Befugnisse widerlegen.

Die Aussagen sind nicht falsch – Anbieter setzen starke Sicherheitsmaßnahmen gegen externe Angreifer um. Doch Schutz vor Hackern bedeutet nicht Schutz vor Regierungsanfragen. Die Architektur, die Daten vor Kriminellen schützt, kann zur Offenlegung an Behörden gezwungen werden. „Kundenkontrolle“ schließt nicht aus, dass US-Recht Anbieterzugriff verlangt.

Britische Organisationen müssen zwischen technischer Sicherheit (Schutz vor Unbefugten) und rechtlicher Sicherheit (Schutz vor staatlichem Zwang) unterscheiden. US-Anbieter bieten ausgezeichnete technische Sicherheit, können aber keinen rechtlichen Schutz vor US-Regierungsanfragen bieten – ihre US-Jurisdiktion macht dies unmöglich.

Benachrichtigungsversagen

Viele Cloud-Service-Verträge sehen vor, dass Anbieter Kunden über Regierungsanfragen informieren, damit diese Anfragen anfechten oder zusätzliche Schutzmaßnahmen ergreifen können. US-Verschwiegenheitsanordnungen bei CLOUD-Act-Anfragen verbieten jedoch die Benachrichtigung der Kunden.

Wenn Gag Orders die Benachrichtigung verhindern, sind vertragliche Benachrichtigungspflichten nicht durchsetzbar. Anbieter können nicht gleichzeitig Gag Orders einhalten und Benachrichtigungspflichten erfüllen. Das gesetzliche Verbot hat Vorrang – Kunden erfahren nicht, dass auf ihre Daten zugegriffen wurde, und können keine Rechte zur Anfechtung der Offenlegung wahrnehmen.

Das schafft besonders problematische Situationen für britische Organisationen mit DSGVO-Transparenzpflichten gegenüber Betroffenen. Wenn Organisationen nicht wissen, dass auf ihre Daten zugegriffen wurde (weil Anbieter sie nicht informieren dürfen), können sie die DSGVO-Anforderungen zur Information der Betroffenen nicht erfüllen. Der Jurisdiktionskonflikt zwischen US-Verschwiegenheitsanordnungen und britischen Transparenzpflichten schafft Compliance-Unmöglichkeiten.

ICO-Erwartungen und britische Datenschutzpflichten

Regulatorische Erwartung: Das ICO erwartet von britischen Organisationen, technische und organisatorische Maßnahmen zu implementieren, die unbefugten Zugriff auf personenbezogene Daten – auch durch ausländische Regierungen – verhindern. Architekturen, die CLOUD-Act-Offenlegung ermöglichen, verletzen potenziell britische Datenschutzpflichten.

Das Information Commissioner’s Office hat umfangreiche Leitlinien zu Cloud Computing, internationalen Datenübermittlungen und Sicherheit der Verarbeitung veröffentlicht, die klare Erwartungen für CLOUD-Act-Risiken formulieren. Britische Organisationen, die US-Cloud-Anbieter nutzen, müssen prüfen, ob ihre Architektur den ICO-Erwartungen entspricht oder Compliance-Risiken schafft.

ICO-Leitlinien zu Cloud Computing

Die ICO-Leitlinien zu Cloud Computing betonen mehrere Prinzipien, die für CLOUD-Act-Fragen direkt relevant sind:

Kontrolle und Verantwortung: Organisationen bleiben Datenverantwortliche und für die Einhaltung des Datenschutzes verantwortlich – auch bei Nutzung von Cloud-Prozessoren. Das ICO lehnt die Argumentation ab, dass Prozessorverantwortung die Verantwortlichkeit des Controllers aufhebt. Britische Organisationen, die US-Cloud-Anbieter nutzen, bleiben für den Datenschutz verantwortlich – unabhängig von der technischen Architektur des Anbieters.

Kenntnis von Datenstandort und Zugriff: Das ICO erwartet, dass Organisationen genau wissen, wo ihre Daten gespeichert sind, wer darauf zugreifen kann und unter welchem Rechtsrahmen eine Offenlegung erfolgen könnte. Vage Aussagen über „globale Infrastruktur“ oder Vertrauen auf Anbieterzusagen genügen nicht. Organisationen müssen die CLOUD-Act-Auswirkungen auf ihre Daten konkret verstehen.

Angemessene Sicherheitsmaßnahmen: Das ICO betont, dass Sicherheitsmaßnahmen gegen identifizierte Bedrohungen – einschließlich ausländischer Regierungszugriffe – wirksam sein müssen. Wenn Transfer Impact Assessments Risiken durch US-Behördenzugriff identifizieren, müssen Organisationen technische Maßnahmen zur Risikominimierung implementieren. Organisatorische Maßnahmen allein – Richtlinien, Schulungen, Verträge – bieten keinen ausreichenden Schutz gegen gesetzliche Regierungszugriffe.

ICO-Durchsetzungsmaßnahmen

Auch wenn das ICO bislang keine größeren Durchsetzungsmaßnahmen speziell wegen CLOUD-Act-Risiken ergriffen hat, zeigt die Behörde Bereitschaft, Organisationen für unzureichende technische Maßnahmen gegen unbefugten Zugriff zur Verantwortung zu ziehen.

ICO-Durchsetzungsmaßnahmen bei Datenschutzverletzungen betonen regelmäßig, dass angemessene technische Maßnahmen – insbesondere Verschlüsselung – Schäden verhindert oder gemildert hätten. Dieses Muster legt nahe, dass Organisationen, die keine kundenseitig verwaltete Verschlüsselung implementieren und so Anbieterzugriff ausschließen, mit ICO-Maßnahmen rechnen müssen, wenn durch CLOUD-Act-Zugriffe Betroffenenschäden entstehen.

Der ICO-Ansatz betont zudem Verantwortlichkeit: Organisationen müssen nachweisen, dass sie Risiken bewertet und angemessene Maßnahmen umgesetzt haben. Wer keine Transfer Impact Assessments zu CLOUD-Act-Risiken durchführt oder keine ergänzenden Maßnahmen gegen identifizierte Schwachstellen umsetzt, kann bei ICO-Prüfungen zur Beziehung zu US-Cloud-Anbietern die Verantwortlichkeit nicht nachweisen.

Verantwortlichkeit und nachweisbare Compliance

Artikel 5(2) der britischen DSGVO etabliert das Prinzip der Verantwortlichkeit: Verantwortliche müssen die Einhaltung der Datenschutzprinzipien nachweisen können. Für Organisationen, die US-Cloud-Anbieter nutzen, bedeutet das, dass sie belegen müssen, wie ihre Architektur die DSGVO trotz CLOUD-Act-Risiken erfüllt.

Es reicht nicht, auf Anbieterzertifizierungen oder vertragliche Datenverarbeitungsvereinbarungen zu verweisen. Das ICO erwartet, dass Organisationen die praktische Datenschutzrealität bewerten – nicht nur theoretische Rechtsrahmen oder Vertragszusagen. Das erfordert die Bewertung folgender Fragen:

Ermöglicht der US CLOUD Act ausländischen Behörden den Zugriff auf personenbezogene Daten ohne britisches Rechtsverfahren oder Benachrichtigung der Betroffenen? Antwort: Ja.

Verhindern vertragliche Zusagen von US-Anbietern CLOUD-Act-Offenlegung? Antwort: Nein, gesetzliche Verpflichtungen übersteuern Verträge.

Eliminieren britische Rechenzentrumsstandorte die US-Jurisdiktion? Antwort: Nein, der CLOUD Act folgt der US-Unternehmenskontrolle – unabhängig vom Speicherort.

Welche technischen Maßnahmen machen Daten für US-Behörden auch bei CLOUD-Act-Zwang unverständlich? Antwort: Kundenseitig verwaltete Verschlüsselungsschlüssel, die den Anbieterzugriff ausschließen.

Organisationen, die eine ehrliche Verantwortlichkeitsbewertung durchführen, kommen meist zu unbequemen Ergebnissen: Die aktuelle Architektur genügt nicht, und nur grundlegende Änderungen, die den Anbieterzugriff auf verständliche Daten ausschließen, erfüllen die ICO-Erwartungen.

Wie Jurisdiktion die Datensouveränität bestimmt

Jurisdiktionale Kontrolle: Datensouveränität hängt letztlich davon ab, welche Rechtsordnung den Datenzugriff regelt. Organisationen, die ausschließlich britischer Jurisdiktion unterliegen, müssen nur britisches Recht beachten. Wer US-Anbieter nutzt, gibt die Kontrolle an amerikanische Rechtsordnung ab – unabhängig von vertraglichen Regelungen.

Jurisdiktion entscheidet, welche Regierung Datenoffenlegung erzwingen, welche Gerichte Zugriffsanordnungen erlassen und welche Rechtsrahmen im Konfliktfall letztlich gelten. Britische Organisationen müssen verstehen, dass die Jurisdiktion des Infrastruktur-Anbieters die Datensouveränität stärker bestimmt als der geografische Speicherort.

Britische Jurisdiktion: vollständige Kontrolle der Organisation

Organisationen, die Infrastruktur vollständig innerhalb britischer Jurisdiktion betreiben, behalten die volle Kontrolle über Datenzugriffe. Bei rechtmäßigen Anordnungen britischer Gerichte können sie kooperieren. Fordern ausländische Regierungen Zugriff, können sie dies mit Verweis auf britisches Recht und fehlende Befugnisse ausländischer Behörden ablehnen.

Eigene Infrastruktur im Besitz und Betrieb britischer Organisationen unterliegt ausschließlich britischem Recht. Britische Rechenzentren britischer Unternehmen bieten juristische Unabhängigkeit. Auch britische Private Clouds von Infrastruktur-Anbietern ohne US-Muttergesellschaften bleiben unter britischer Jurisdiktion.

Diese Unabhängigkeit ermöglicht echte Datensouveränität: Britische Organisationen bestimmen, wer Zugriff erhält – basierend auf britischem Recht, britischer Gerichtskontrolle und Datenschutzprinzipien. Ausländische Regierungsanfragen haben keine Rechtskraft gegenüber britischen Unternehmen, die ausschließlich unter britischer Jurisdiktion agieren.

US-Anbieter-Jurisdiktion: ausländische Unternehmenskontrolle

Organisationen, die US-Cloud-Anbieter nutzen, geben die Kontrolle an amerikanische Unternehmen ab – unabhängig vom Speicherort der Daten. AWS unterliegt dem Recht von Delaware und Washington State. Microsoft ist in Washington State registriert. Google agiert über Delaware. Diese US-Rechtsgrundlage unterwirft alle globalen Aktivitäten der US-Jurisdiktion.

Wenn US-Gerichte Anordnungen an AWS, Microsoft oder Google erlassen, müssen diese Unternehmen sie befolgen – unabhängig davon, ob sich die Daten in UK, der EU oder anderswo befinden. Der CLOUD Act dehnt die US-Jurisdiktion explizit auf global gespeicherte Daten aus – entscheidend ist die Unternehmensjurisdiktion, nicht der Speicherort.

Britische Organisationen, die glauben, sie hätten Kontrolle über bei US-Anbietern gespeicherte Daten, verkennen die juristische Realität. Sie kontrollieren die Zugriffsentscheidungen nicht – US-Anbieter kontrollieren den Zugriff, und die US-Regierung kontrolliert die Anbieter über amerikanisches Recht. Vertragliche Vereinbarungen zwischen britischen Kunden und US-Anbietern können diese Hierarchie nicht aufheben.

Jurisdiktionskonflikte und rechtliche Unmöglichkeit

Wenn britisches Recht ein Ergebnis verlangt und US-Recht ein anderes, stehen Organisationen im Jurisdiktionskonflikt vor rechtlicher Unmöglichkeit. Die britische DSGVO verbietet unbefugte Datenoffenlegung. CLOUD-Act-Anfragen verlangen Offenlegung. Beide Anforderungen können nicht gleichzeitig erfüllt werden.

US-Anbieter argumentieren, sie stünden im Konflikt, nicht die britischen Kunden – Anbieter müssten zwischen US- und britischem Recht wählen. Diese Analyse ignoriert jedoch die Verantwortlichkeit des britischen Datenverantwortlichen. Britische Organisationen, die US-Anbieter wählen, schaffen die Jurisdiktionskonflikte, die ausländischen Zugriff ermöglichen. ICO-Leitlinien legen nahe, dass die Wahl einer Architektur, die solche Konflikte schafft, selbst eine unzureichende Datenschutzmaßnahme darstellt.

Die einzige Lösung, die Jurisdiktionskonflikte ausschließt, ist die vollständige Eliminierung ausländischer Jurisdiktion durch souveräne Architektur: Nutzung britischer Infrastruktur-Anbieter, die ausschließlich unter britischer Jurisdiktion agieren, oder kundenseitig verwaltete Verschlüsselung, bei der die Jurisdiktion des Anbieters irrelevant wird, weil dieser keinen Zugriff auf verständliche Daten hat.

Architektur-Lösungen zur Eliminierung von CLOUD-Act-Risiken

Technische Souveränität: Die Eliminierung von CLOUD-Act-Risiken erfordert architektonische Lösungen, die die US-Jurisdiktion irrelevant machen: kundenseitig verwaltete Verschlüsselungsschlüssel, die eine erzwungene Offenlegung bedeutungslos machen, und britische, souveräne Bereitstellung, die US-Anbieter-Jurisdiktion vollständig ausschließt.

Britische Organisationen können CLOUD-Act-Befugnisse nicht durch Verträge, Compliance-Programme oder Richtlinien ausschließen. Das Gesetz ist US-Bundesrecht und gilt für amerikanische Unternehmen – unabhängig von Kundenwünschen oder vertraglichen Einschränkungen. Nur technische Architekturen, bei denen CLOUD-Act-Anfragen keine verständlichen Daten liefern oder US-Jurisdiktion nicht greift, eliminieren das Risiko wirklich.

Kundenseitig verwaltete Verschlüsselungsschlüssel: Offenlegung wird nutzlos

Die wirkungsvollste technische Maßnahme gegen CLOUD-Act-Risiken ist kundenseitig verwaltete Verschlüsselung, bei der Organisationen Verschlüsselungsschlüssel vollständig außerhalb der Cloud-Anbieter-Infrastruktur generieren, speichern und verwalten. Korrekt umgesetzt, stellt diese Architektur sicher, dass CLOUD-Act-Anfragen Anbieter nur zur Herausgabe verschlüsselter, für sie unverständlicher Daten zwingen.

Wichtige Anforderungen für effektive kundenseitige Verschlüsselung:

Schlüsselerzeugung in Kundeninfrastruktur: Schlüssel müssen in kundeneigenen Hardware-Sicherheitsmodulen oder Schlüsselmanagement-Servern generiert werden – niemals in der Infrastruktur des Anbieters. So gelangen die Schlüssel nie in den Besitz des Anbieters, auch nicht temporär.

Schlüsselspeicherung ausschließlich im Kundensystem: Schlüssel dürfen nur in kundeneigener Hardware gespeichert werden – niemals, auch nicht temporär, an den Anbieter übertragen. Anbieter dürfen keine Schlüssel im Speicher, in Protokollen oder Backups haben.

Verschlüsselung/Entschlüsselung unter Kundenkontrolle: Alle Verschlüsselungs- und Entschlüsselungsvorgänge müssen im Kundensystem erfolgen, nicht beim Anbieter. An den Anbieter übertragene Daten müssen bereits verschlüsselt sein – der Anbieter sieht nie Klartext.

Kein Anbieterzugriff: Die Architektur muss es technisch unmöglich machen, dass Anbieter Zugriff auf Schlüssel oder entschlüsselte Daten erhalten – selbst bei unbegrenzten Ressourcen, Mitarbeitermitwirkung oder staatlichem Zwang. Das ist keine Richtlinie, sondern eine mathematische Garantie durch Kryptografie.

Wenn US-Behörden CLOUD-Act-Anfragen an Anbieter stellen, erfüllen diese die Anfragen durch Herausgabe verschlüsselter Daten. Ohne kundenseitig verwaltete Schlüssel bleiben die Daten jedoch unverständlich. Der Anbieter kann nicht gezwungen werden, Schlüssel zu nutzen, die er nicht besitzt, kann Daten nicht entschlüsseln, auf die er keinen Zugriff hat, und kann keine verständlichen Informationen liefern, die sich nicht in seinem Besitz befinden.

Diese Architektur verhindert CLOUD-Act-Anordnungen nicht – sie macht sie irrelevant. Anbieter erfüllen US-Rechtsverpflichtungen durch Herausgabe der angeforderten Daten, während britische Kundendaten geschützt bleiben, weil mathematische Verschlüsselung deren Nutzung verhindert. Der Jurisdiktionskonflikt verschwindet, weil sowohl US-Gesetz als auch britischer Datenschutz eingehalten werden.

Britische, souveräne Bereitstellung: US-Jurisdiktion ausschließen

Kundenseitig verwaltete Verschlüsselung adressiert die Frage „Was passiert, wenn Anbieter gezwungen werden?“, während britische, souveräne Bereitstellung die Frage „Können Anbieter gezwungen werden?“ beantwortet. Durch vollständigen Ausschluss von US-Anbietern mittels britischer Infrastruktur eliminieren Organisationen CLOUD-Act-Risiken auf Jurisdiktionsebene.

Souveräne Bereitstellungsoptionen umfassen:

On-Premises-Infrastruktur: Organisationen, die eigene Rechenzentren, Server und Infrastruktur betreiben, behalten die volle Kontrolle – ohne Cloud-Anbieter. Es gilt ausschließlich britisches Recht, da keine US-Gesellschaft beteiligt ist. CLOUD-Act-Anfragen können britische Organisationen, die ausschließlich unter britischer Jurisdiktion agieren, nicht erreichen.

Britische Private Cloud: Britische Infrastruktur-Anbieter ohne US-Muttergesellschaften bieten Cloud-Vorteile bei voller britischer Jurisdiktion. Diese Anbieter unterliegen ausschließlich britischem Recht, können durch den CLOUD Act nicht erreicht werden und ermöglichen britischen Kunden juristische Unabhängigkeit.

Hybride Architektur: Organisationen können hybride Ansätze wählen – britische, souveräne Infrastruktur für sensible Daten mit CLOUD-Act-Risiken und US-Public-Cloud für weniger sensible Workloads. So lassen sich Souveränitätsanforderungen und Cloud-Vorteile kombinieren.

Umfassendes Geofencing

Auch mit kundenseitig verwalteter Verschlüsselung und britischer, souveräner Bereitstellung sollten Organisationen Geofencing einsetzen, das Authentifizierung aus US-Jurisdiktionen verhindert. So wird sichergestellt, dass selbst bei kompromittierten Zugangsdaten kein Zugriff aus den USA möglich ist.

Geofencing verhindert Logins von US-IP-Adressen, blockiert Datenübertragungen in die USA und stellt sicher, dass administrativer Zugriff nur aus Großbritannien erfolgt. Diese Kontrollen liefern Audit-Belege, dass Daten nie aus US-Jurisdiktion abgerufen wurden – als Nachweis, dass kein CLOUD-Act-Risiko besteht.

Praxisbeispiele: CLOUD-Act-Jurisdiktionskonflikte

Britische Anwaltskanzlei: Anwaltsgeheimnis vs. CLOUD-Act-Discovery

Eine Londoner Kanzlei vertritt britische Unternehmen in Handelsstreitigkeiten, oft mit US-Beteiligung oder US-Regulierungsinteresse. Sie nutzte Microsoft 365 und SharePoint für Dokumentenmanagement und glaubte, dass die Azure-Regionen in Großbritannien ausreichenden Schutz für vertrauliche Mandantenkommunikation bieten.

Bei der Vertretung eines britischen Pharmaunternehmens in einem Patentstreit gegen einen US-Konkurrenten speicherte die Kanzlei hochsensible juristische Strategiepapiere, technische Analysen und vertrauliche Mandantenkommunikation in Azure UK South. Der US-Konkurrent, in parallelen Verfahren mit US-Behörden, löste eine US-Ermittlung zur Patentgültigkeit aus, bei der Betrugsvorwürfe geprüft wurden.

US-Ermittler, die glaubten, die Kanzleidokumente könnten Beweise enthalten, erwirken einen CLOUD-Act-Beschluss, der Microsoft zur Herausgabe bestimmter SharePoint-Dokumente aus dem Mandanten-Tenant der Kanzlei verpflichtet. Microsoft erhielt den Beschluss samt Verschwiegenheitsanordnung, die eine Benachrichtigung der Kanzlei untersagte.

Microsoft stand vor einer unlösbaren Compliance-Situation: US-Gerichtsbeschluss verweigern (illegal nach US-Recht) oder vertrauliche britische Anwaltskommunikation ohne Wissen der Kanzlei offenlegen (Vertragsbruch und potenzieller Verstoß gegen britisches Berufsgeheimnis). Microsoft entschied sich für die Einhaltung des US-Rechts und lieferte die angeforderten Dokumente aus.

Die britische Kanzlei erfuhr nie, dass ihre vertraulichen Unterlagen abgerufen wurden. Die Prozessstrategie des Mandanten wurde der Gegenseite durch die US-Ermittlung bekannt – nicht durch das britische Verfahren. Mandantengeheimnis und Anwaltsprivileg – Grundpfeiler britischer Rechtspraxis – wurden durch eine Architektur kompromittiert, die US-Zugriff auf britische Mandantenkommunikation bei US-Anbietern ermöglichte.

Als der Vorfall später durch US-Prozessakten bekannt wurde, verklagte der Mandant die Kanzlei wegen Fahrlässigkeit – sie habe keine ausreichenden Schutzmaßnahmen für das Anwaltsgeheimnis getroffen. Die Verteidigung der Kanzlei – dass Azure-Verträge und britische Regionen ausreichenden Schutz böten – scheiterte, als Gerichte anerkannten, dass die Nutzung von US-Anbietern ein vorhersehbares CLOUD-Act-Risiko schuf. Die Kanzlei implementierte Kiteworks On-Premises mit kundenseitig verwalteter Verschlüsselung, um künftige Privilegienverletzungen zu verhindern.

Britische Finanzdienstleister: Kundendaten für US-Ermittlungen abgerufen

Ein Vermögensverwalter in Manchester betreut vermögende britische und internationale Kunden, darunter Unternehmer, Führungskräfte und Professionals. Das Unternehmen nutzte Salesforce CRM auf AWS UK-Regionen für das Kundenmanagement und glaubte, damit die Anforderungen der FCA zu erfüllen.

Ein Kunde, britisch-iranischer Doppelstaatler, geriet ins Visier einer US-Sanktionsuntersuchung, in der geprüft wurde, ob er über seine britische Handelsfirma US-Exportkontrollgesetze verletzt hatte. US-Ermittler vermuteten (fälschlicherweise), der Kunde habe Geschäftsbeziehungen für verbotene Transaktionen genutzt.

Die Ermittler erwirken einen CLOUD-Act-Beschluss, der AWS zur Herausgabe der Salesforce-Daten des Kunden verpflichtet – um Geschäftsbeziehungen, Transaktionsmuster und Kontakt-Netzwerke zu identifizieren. AWS, durch Verschwiegenheitsanordnung gebunden, erfüllte die Anfrage ohne Benachrichtigung des Vermögensverwalters.

Der Vermögensverwalter wusste nicht, dass auf die Finanzdaten seines Kunden zugegriffen wurde, konnte den Kunden nicht informieren, keine zusätzlichen Schutzmaßnahmen ergreifen und die Rechtmäßigkeit des Beschlusses nicht anfechten. Die DSGVO-Pflichten zur Information der Betroffenen über Datenverarbeitung wurden durch Umstände verletzt, die außerhalb des Einflussbereichs des Unternehmens lagen – US-Gag Order verhinderte die vertraglich geforderte Benachrichtigung.

Nach Abschluss der Sanktionsuntersuchung (es gab keine Verstöße) erhielten weder der Kunde noch das Unternehmen eine Benachrichtigung über den Datenzugriff. Erst als der Datenschutzbeauftragte des Unternehmens im Rahmen einer Compliance-Prüfung AWS gezielt nach CLOUD-Act-Offenlegungen fragte, wurde der Zugriff – Monate später – bekannt.

Das Unternehmen musste sich gegenüber der FCA zu Resilienz, Datenschutzmaßnahmen und Kundenschutz erklären. Zwar gab es keine Sanktionen, doch das Unternehmen erkannte, dass die US-Anbieterarchitektur für hochvermögende Kunden ein untragbares Risiko darstellte. Es implementierte Kiteworks mit britischer, souveräner Bereitstellung und kundenseitig verwalteter Verschlüsselung und eliminierte so künftige CLOUD-Act-Risiken.

Britisches Gesundheitswesen: Forschungsdaten für nachrichtendienstliche Zwecke

Eine britische medizinische Forschungseinrichtung arbeitet mit internationalen Partnern an Krebsstudien. Die Forschung umfasst Patientendaten, Behandlungsergebnisse und molekulare Analysen, gespeichert in Microsoft Teams und Azure zur Zusammenarbeit mit europäischen Forschungseinrichtungen.

Ein Forschungsteilnehmer – für die britischen Forscher nicht erkennbar – war für US-Nachrichtendienste von Interesse (Verdacht auf Terrorismusbezug). US-Behörden erwirken eine FISA-702-Anordnung, die Microsoft zur Herausgabe von Kommunikation und Daten über die Person verpflichtet – darunter britische Forschungsdaten zur Krebstherapie.

Die FISA-Anordnung enthielt eine Verschwiegenheitsklausel, die Microsoft die Benachrichtigung der Forschungseinrichtung untersagte. Die medizinischen Daten des Teilnehmers, geschützt nach DSGVO-Artikel 9 (besondere Kategorien) und besonders sensibel, wurden US-Behörden ohne britisches Rechtsverfahren, Wissen der Einrichtung oder Einwilligung des Patienten zugänglich.

Britische Ethikkommissionen kamen nach Bekanntwerden des Vorfalls zu dem Schluss, dass die Nutzung von US-Cloud-Infrastruktur unzumutbare Risiken für die Privatsphäre der Forschungsteilnehmer schafft. Wenn Nachrichtendienste Forschungsdaten ohne Einwilligung oder britisches Rechtsverfahren erhalten können, lassen sich gegenüber Forschungsteilnehmern keine glaubwürdigen Datenschutzversprechen abgeben.

Mehrere europäische Forschungseinrichtungen zogen sich aus britisch geführten Kooperationen zurück, da sie die EU-Ethikvorgaben bei Nutzung von US-Infrastruktur nicht erfüllen konnten. Die britische Einrichtung implementierte Kiteworks mit kundenseitig verwalteten Schlüsseln und britischer, souveräner Bereitstellung, sodass die Zusammenarbeit mit europäischen Partnern unter Einhaltung der Ethikvorgaben wieder aufgenommen werden konnte.

Britischer Regierungsauftragnehmer: Zugriff auf amtliche Informationen durch CLOUD Act

Ein britischer Rüstungsauftragnehmer erbringt Technologiedienstleistungen für das Verteidigungsministerium und verarbeitet Official-Sensitive-Informationen zu britischen Verteidigungsfähigkeiten, Beschaffungsplänen und operativen Anforderungen. Der Auftragnehmer nutzte AWS GovCloud UK und ging davon aus, dass die auf Behörden zugeschnittenen Cloud-Dienste ausreichenden Schutz für amtliche Informationen bieten.

Eine US-Ermittlung zu Betrugsvorwürfen gegen einen amerikanischen Rüstungsauftragnehmer verlangte Informationen über britische Beschaffungsvorgänge. US-Ermittler erwirken einen CLOUD-Act-Beschluss, der AWS zur Herausgabe von Dokumenten des britischen Auftragnehmers aus GovCloud UK verpflichtet – darunter Korrespondenz zu MoD-Beschaffungsprozessen.

AWS stand im Konflikt: Der britische Auftragnehmer hatte vertragliche Zusagen zum Schutz von Official-Sensitive-Informationen mit Offenlegungsverboten gegenüber ausländischen Regierungen. Doch der US-Gerichtsbeschluss verlangte die Offenlegung. Die US-Rechtsabteilung von AWS entschied, dass CLOUD-Act-Verpflichtungen die vertraglichen Zusagen gegenüber dem britischen Auftragnehmer übersteuern.

Als die Offenlegung später durch US-Prozessakten bekannt wurde, prüfte das britische Verteidigungsministerium, ob Auftragnehmer mit US-Cloud-Infrastruktur die Sicherheitsanforderungen für Official-Sensitive-Daten erfüllen können. Wenn US-Behörden durch CLOUD-Act-Anfragen Zugriff auf britische Regierungsdaten erhalten, stellt die Nutzung solcher Anbieter eine unzureichende Sicherheitsmaßnahme dar?

Der Auftragnehmer implementierte Kiteworks in einer Air-Gap-Umgebung nach britischen Regierungsstandards mit kundenseitig verwalteten Schlüsseln und physischer Isolation – so wurde jegliche ausländische Jurisdiktion ausgeschlossen. Diese Architektur ermöglichte die Fortsetzung der MoD-Aufträge unter Einhaltung verschärfter Sicherheitsanforderungen, die CLOUD-Act-Risiken anerkennen.

Vergleich: Kiteworks vs. US-Hyperscale-Cloud-Anbieter

Fazit: Jurisdiktion entscheidet über Datensouveränität

Der CLOUD Act hat die Rahmenbedingungen für britische Organisationen bei der Wahl von Cloud-Infrastruktur grundlegend verändert. Durch die Durchsetzung extraterritorialer US-Befugnisse über die globalen Aktivitäten amerikanischer Unternehmen wird die Kontrolle über die Jurisdiktion – nicht der geografische Speicherort – zum entscheidenden Faktor für den Datenschutz. Britische Organisationen, die US-Cloud-Anbieter nutzen, geben die Souveränität an die US-Rechtsordnung ab – unabhängig von britischen Rechenzentren, vertraglichen Datenschutzklauseln oder DSGVO-Programmen.

Jurisdiktionskonflikte zwischen CLOUD-Act-Verpflichtungen und britischen Datenschutzanforderungen schaffen unlösbare Compliance-Situationen. Die britische DSGVO verbietet unbefugten ausländischen Zugriff, verlangt angemessene Sicherheitsmaßnahmen und etabliert Verantwortlichkeit für den Datenschutz. CLOUD-Act-Anfragen ermöglichen genau den ausländischen Zugriff, den die DSGVO verbietet, umgehen Sicherheitsmaßnahmen durch gesetzlichen Zwang und verlagern die Kontrolle auf US-Anbieter, die US-Recht unterliegen. Vertragliche Lösungsversuche scheitern, weil private Vereinbarungen keine gesetzlichen Verpflichtungen übersteuern können.

Das Information Commissioner’s Office erwartet von britischen Organisationen, die praktische Datenschutzrealität zu bewerten und wirksame technische Maßnahmen gegen identifizierte Risiken – einschließlich ausländischer Regierungszugriffe – zu implementieren. Wer CLOUD-Act-Auswirkungen nicht prüft, keine kundenseitig verwaltete Verschlüsselung einsetzt oder keine souveränen Alternativen erwägt, kann die Verantwortlichkeit für Architekturen, die Jurisdiktionskonflikte und ausländischen Zugriff ermöglichen, nicht nachweisen.

Für britische Finanzdienstleister mit Vertraulichkeitspflichten, Kanzleien mit Anwaltsprivileg, Gesundheitsanbieter mit Patientendaten und Regierungsauftragnehmer mit amtlichen Informationen schafft CLOUD-Act-Risiko Geschäftsrisiken, die über Compliance hinausgehen. Kundentreue, Wettbewerbsfähigkeit, regulatorische Beziehungen und vertragliche Sicherheitszusagen hängen davon ab, glaubhaft nachzuweisen, dass Daten unter britischer Kontrolle bleiben – nicht US-Anbietern und ausländischem Zugriff ausgesetzt sind.

Architektonische Lösungen zur Eliminierung von CLOUD-Act-Risiken existieren: kundenseitig verwaltete Verschlüsselungsschlüssel, die mathematisch garantieren, dass eine erzwungene Offenlegung nur unverständlichen Chiffretext liefert, und britische, souveräne Bereitstellung, die US-Jurisdiktion vollständig ausschließt – durch britische Infrastruktur-Anbieter, die ausschließlich britischem Recht unterliegen. Diese Lösungen verhindern US-Anordnungen nicht – sie machen sie irrelevant, da kein US-Unternehmen über Daten oder Schlüssel verfügt, um US-Anfragen sinnvoll zu erfüllen.

Jurisdiktion entscheidet, wer im Konfliktfall letztlich den Zugriff auf Daten kontrolliert. Britische Organisationen, die echte Datensouveränität benötigen, müssen erkennen, dass die Jurisdiktion des Infrastruktur-Anbieters den Datenschutz stärker bestimmt als die Datengeografie – und dass nur architektonische Entscheidungen, die US-Jurisdiktion ausschließen, britische Datenschutzpflichten erfüllen und ausländische Zugriffe technisch und juristisch unmöglich machen. Daten bei US-Anbietern bleiben immer CLOUD-Act-Risiken ausgesetzt – Datensouveränität erfordert die Wahl britischer Jurisdiktion durch Architektur, die US-Rechtsmacht ausschließt.

Wie Kiteworks CLOUD-Act-Risiken für britische Organisationen eliminiert

Kiteworks bietet vollständige Immunität gegenüber CLOUD-Act-Risiken durch eine Architektur, die vollständig außerhalb der US-Jurisdiktion betrieben wird. Bei On-Premises-Betrieb in britischen Einrichtungen oder über britische, souveräne Cloud-Anbieter existiert Kiteworks als britische Infrastruktur, die ausschließlich britischem Recht unterliegt – US-CLOUD-Act-Anfragen können britische Rechtsträger ohne US-Unternehmenskontrolle nicht erreichen. Kundeneigene Verschlüsselungsschlüssel ohne Anbieterzugriff bieten zusätzliche mathematische Sicherheit: Selbst wenn ein Zwang möglich wäre, blieben offengelegte Daten ohne Kundenschlüssel unverständlich.

FIPS 140-3 Level 1-validierte Verschlüsselungsalgorithmen in Kombination mit S/MIME, OpenPGP und TLS 1.3 schützen Daten während ihres gesamten Lebenszyklus – mit einer Verschlüsselungsarchitektur, bei der Kiteworks nie Klartext oder Schlüssel besitzt. Flexible Bereitstellungsoptionen
– On-Premises im eigenen Rechenzentrum, britische Private Cloud oder Air-Gap-Umgebungen – verhindern Multi-Tenant-Vermischung und gewährleisten null US-Jurisdiktionsrisiko – unabhängig vom Modell. Granulares Geofencing blockiert Authentifizierung von US-IP-Adressen, während juristische Zugriffskontrollen sicherstellen, dass nur britisches Personal auf sensible Systeme zugreift.

Das einheitliche Private Data Network erweitert die CLOUD-Act-Immunität auf alle Kommunikationskanäle für Inhalte: Filesharing, SFTP, Managed File Transfer, E-Mail und Web-Formulare laufen über britisch-souveräne Architektur, auf die US-Recht keinen Zugriff erzwingen kann. Ein umfassendes CISO-Dashboard bietet Transparenz über alle Dateibewegungen mit Syslog-Integration in SIEM-Lösungen, während Compliance-Berichte DSGVO-Compliance und Erfüllung der ICO-Leitlinien durch Architektur nachweisen, die unbefugten ausländischen Zugriff verhindert.

Kiteworks ermöglicht britischen Organisationen die Erfüllung von Vertraulichkeitsanforderungen im Finanzwesen und Sicherheitsstandards für Regierungsauftragnehmer durch juristische Unabhängigkeit, die US-Cloud-Anbieter nicht bieten können. Wenn US-Behörden CLOUD-Act-Anfragen stellen, erreichen sie nur US-Anbieter – nicht britische Organisationen, die Kiteworks unter britischer Jurisdiktion betreiben, wo US-Recht keine Gültigkeit hat.

Erfahren Sie mehr über den Schutz britischer Daten vor CLOUD-Act-Risiken und vereinbaren Sie noch heute eine individuelle Demo.

Weitere Ressourcen

• Blogbeitrag  
  Datensouveränität: Best Practice oder regulatorische Pflicht?
• eBook  
  Datensouveränität und DSGVO
• Blogbeitrag  
  Diese Fallstricke bei der Datensouveränität vermeiden
• Blogbeitrag  
  Best Practices für Datensouveränität
• Blogbeitrag  
  Datensouveränität und DSGVO [Verständnis von Datensicherheit]