Der CLOUD Act und der britische Datenschutz: Warum der Gerichtsstand entscheidend ist

Der Clarifying Lawful Overseas Use of Data Act (US CLOUD Act), verabschiedet vom US-Kongress im März 2018, gewährt amerikanischen Strafverfolgungsbehörden extraterritoriale Befugnisse, US-basierte Technologieunternehmen zur Herausgabe von Daten zu zwingen – unabhängig davon, wo diese Daten gespeichert sind. Für britische Organisationen, die US-Cloud-Anbieter wie AWS, Microsoft Azure oder Google Cloud nutzen, entstehen daraus erhebliche juristische Konflikte zwischen US-Gesetzen, die eine Offenlegung verlangen, und britischen Datenschutzanforderungen, die unbefugten Zugriff untersagen. Wenn US-Behörden CLOUD-Act-Anfragen an amerikanische Cloud-Anbieter richten, die Daten britischer Kunden speichern, geraten diese Anbieter in eine unlösbare Compliance-Situation: Sie müssen entweder US-Gesetze durch Offenlegung einhalten oder vertragliche Zusagen gegenüber britischen Kunden durch Verweigerung einhalten – beides gleichzeitig ist unmöglich.

Jurisdiktion ist entscheidend, weil sie bestimmt, welches rechtliche Rahmenwerk im Konfliktfall letztlich den Datenzugriff kontrolliert. Britische Organisationen, die innerhalb britischer Jurisdiktion agieren und Daten auf britisch kontrollierter Infrastruktur speichern, unterliegen ausschließlich britischem Recht. Doch Organisationen, die US-Cloud-Anbieter nutzen – unabhängig von „UK-Regionen“ oder vertraglichen Datenschutzversprechen – geben die Kontrolle über die Jurisdiktion an amerikanische Unternehmen ab, die US-Recht unterliegen. Der CLOUD Act macht den geografischen Speicherort der Daten irrelevant, indem er US-Jurisdiktion auf die weltweiten Aktivitäten amerikanischer Unternehmen ausdehnt. Ein Durchsuchungsbefehl an das AWS-Headquarter in Virginia verlangt die Umsetzung durch AWS London. Eine Anordnung an Microsoft in Washington verlangt die Umsetzung durch Azure UK South. Die US-Muttergesellschaft von Google erhält Anforderungen, die Google Cloud London erfüllen muss.

Die Anforderungen der UK DSGVO und des Data Protection Act 2018 verbieten es Organisationen, unbefugten Zugriff auf personenbezogene Daten zu ermöglichen, verlangen die Umsetzung angemessener technischer Schutzmaßnahmen und etablieren Rechenschaftspflichten für den Datenschutz. Wenn US-Behörden den CLOUD Act nutzen, um die Offenlegung britischer Kundendaten von amerikanischen Cloud-Anbietern zu erzwingen, liegt dann ein unbefugter Zugriff vor? Die Position des ICO legt nahe: Ja – der Zugriff ausländischer Regierungen ohne britisches Rechtsverfahren oder Benachrichtigung des Kunden verstößt gegen Datenschutzprinzipien, die britische Datenverantwortliche einhalten müssen. Vertragliche Klauseln können diesen Konflikt nicht lösen, da US-Gesetze vertragliche Zusagen übersteuern. Die einzige architektonische Lösung, die das CLOUD-Act-Risiko eliminiert, ist echte Datensouveränität: Vom Kunden verwaltete Verschlüsselungsschlüssel führen dazu, dass erzwungene Offenlegung nur unverständlichen Chiffretext liefert, und eine ausschließlich britische Bereitstellung eliminiert die US-Jurisdiktion vollständig.

Executive Summary

Kernaussage: Der CLOUD Act gibt US-Behörden die Befugnis, amerikanische Cloud-Anbieter zur Offenlegung von Daten zu zwingen – unabhängig vom Speicherort. Dadurch entstehen direkte Konflikte mit den Anforderungen der britischen DSGVO. Britische Organisationen, die US-Cloud-Anbieter nutzen, stehen vor unlösbaren juristischen Konflikten, die nur durch Datensouveränität – mittels kundenseitig verwalteter Verschlüsselung und britischer Bereitstellung – gelöst werden können.

Warum das relevant ist: Jurisdiktion entscheidet, welches Rechtsregime im Konfliktfall den Zugriff auf Daten kontrolliert. Organisationen, die US-Cloud-Anbieter nutzen – unabhängig von „UK-Regionen“ oder vertraglichen Datenschutzversprechen – geben die Kontrolle über die Jurisdiktion an amerikanische Unternehmen ab, die US-Recht unterliegen. Die einzige architektonische Lösung, die das CLOUD-Act-Risiko eliminiert, ist echte Datensouveränität: kundenseitig verwaltete Verschlüsselungsschlüssel machen erzwungene Offenlegung nutzlos, und eine souveräne Bereitstellung eliminiert die US-Jurisdiktion vollständig.

wichtige Erkenntnisse

1. Der CLOUD Act gewährt US-Strafverfolgungsbehörden extraterritoriale Befugnisse, US-Unternehmen zur Herausgabe weltweit gespeicherter Daten zu zwingen und übersteuert lokale Gesetze. Der geografische Speicherort – etwa in britischen Regionen – ist rechtlich irrelevant, wenn amerikanische Unternehmensjurisdiktion eine Offenlegung ermöglicht.
2. CLOUD-Act-Anfragen stehen im direkten Konflikt mit den Anforderungen der britischen DSGVO (Artikel 5: rechtmäßige Verarbeitung, Artikel 32: angemessene Sicherheitsmaßnahmen), da sie ausländischen Regierungszugriff ohne britisches Rechtsverfahren, Kundenbenachrichtigung oder Datenschutzmaßnahmen ermöglichen.
3. US-Cloud-Anbieter können weder CLOUD-Act-Verpflichtungen noch vertragliche Zusagen gegenüber britischen Kunden gleichzeitig erfüllen, wenn US-Behörden eine Offenlegung verlangen – gesetzliche Verpflichtungen übersteuern vertragliche Zusagen, sodass Anbieter-Garantien im Jurisdiktionskonflikt rechtlich bedeutungslos werden.
4. Verschwiegenheitsklauseln in CLOUD-Act-Anordnungen untersagen Anbietern, britische Kunden über den Datenzugriff zu informieren. Das verletzt die Transparenzanforderungen der britischen DSGVO und verhindert, dass Organisationen unbefugte ausländische Überwachung erkennen, anfechten oder abmildern können.
5. Das ICO erwartet von britischen Organisationen die Umsetzung technischer Maßnahmen, die unbefugten Zugriff – auch durch ausländische Regierungen – verhindern. Architekturen, die CLOUD-Act-Offenlegung ermöglichen, führen potenziell zu Datenschutzverstößen, unabhängig vom US-Rechtszwang.
6. Kundenseitig verwaltete Verschlüsselungsschlüssel, die den Anbieterzugriff eliminieren, bieten mathematische Garantien gegen CLOUD-Act-Risiken – erzwungene Offenlegung liefert nur unverständlichen Chiffretext ohne Schlüssel, während eine souveräne britische Bereitstellung die US-Jurisdiktion vollständig ausschließt.

Den CLOUD Act verstehen: Was er ist und wie er funktioniert

Was ist der CLOUD Act? Der Clarifying Lawful Overseas Use of Data (CLOUD) Act, verabschiedet am 23. März 2018, ist ein US-Bundesgesetz, das amerikanischen Strafverfolgungsbehörden die Befugnis gibt, US-basierte Technologieunternehmen zur Herausgabe elektronischer Daten zu zwingen – unabhängig vom physischen Speicherort der Daten oder der Nationalität der betroffenen Personen.

Der CLOUD Act entstand aus dem Microsoft-Ireland-Fall (United States v. Microsoft Corp.), in dem Microsoft einen US-Durchsuchungsbefehl anfocht, der E-Mails aus dem Rechenzentrum in Dublin verlangte. Microsoft argumentierte, dass der Stored Communications Act keine extraterritoriale Befugnis gewähre, also US-Beschlüsse keine im Ausland gespeicherten Daten erreichen könnten. Das Berufungsgericht gab Microsoft recht und schuf eine Lücke, durch die US-Behörden selbst bei Ermittlungen zu schweren Straftaten keinen Zugriff auf im Ausland gespeicherte Daten hatten.

Der US-Kongress reagierte mit dem CLOUD Act, der US-Behörden ausdrücklich weltweite Zugriffsbefugnisse auf die Daten amerikanischer Unternehmen einräumt. Das Gesetz ändert den Stored Communications Act dahingehend, dass US-Rechtsverfahren für Daten gelten, „die sich im Besitz, Gewahrsam oder unter Kontrolle des Anbieters befinden, unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder Information innerhalb oder außerhalb der Vereinigten Staaten befindet“. Damit ist der geografische Speicherort irrelevant – wenn ein amerikanisches Unternehmen die Kontrolle über Daten hat, können US-Behörden diese anfordern.

Wie CLOUD-Act-Anordnungen funktionieren

US-Strafverfolgungsbehörden, die Daten von amerikanischen Cloud-Anbietern auf Basis des CLOUD Act anfordern, folgen Prozessen, die inländischen Durchsuchungsbefehlen ähneln, jedoch mit extraterritorialer Wirkung. Behörden erhalten gerichtliche Anordnungen, Durchsuchungsbefehle oder Vorladungen von US-Gerichten, die Anbieter zur Herausgabe bestimmter Daten verpflichten. Diese Anordnungen gelten unabhängig vom Speicherort der Daten, vom Eigentümer oder von der Nationalität der betroffenen Personen.

Anbieter, die CLOUD-Act-Anfragen erhalten, müssen nach US-Recht die angeforderten Daten herausgeben. Eine Verweigerung kann zu Strafandrohungen, erheblichen Geldbußen und möglicher Inhaftierung von Unternehmensverantwortlichen führen. Das Gesetz sieht keine Ausnahmen für Daten ausländischer Kunden, in ausländischen Rechenzentren oder unter ausländischem Datenschutzrecht vor. Die US-Unternehmensjurisdiktion schafft US-Rechtsverpflichtungen, die der geografische Speicherort nicht aufheben kann.

Oft sind CLOUD-Act-Anordnungen mit Verschwiegenheitsklauseln verbunden, die Anbietern untersagen, betroffene Kunden über den Zugriff zu informieren. Diese Gag Orders verhindern, dass Kunden die Rechtmäßigkeit anfechten, zusätzliche Schutzmaßnahmen ergreifen oder ihren eigenen Transparenzpflichten nachkommen. Britische Organisationen erfahren möglicherweise nie, dass US-Behörden auf ihre Daten im Rahmen des CLOUD Act zugegriffen haben.

CLOUD Act vs. Mutual Legal Assistance Treaties

Vor dem CLOUD Act nutzten US-Behörden für den Zugriff auf im Ausland gespeicherte Daten in der Regel Mutual Legal Assistance Treaties (MLATs), die eine Zusammenarbeit zwischen Regierungen über formale Rechtswege erfordern. MLATs respektieren die Souveränität anderer Staaten, indem sie verlangen, dass anfragende Länder Vertragsverfahren einhalten, das Empfängerland die Rechtmäßigkeit prüft und Mechanismen zur Lösung von Jurisdiktionskonflikten bieten.

Der CLOUD Act umgeht MLAT-Prozesse, indem er amerikanischen Unternehmen direkt Zugriffsbefugnisse auferlegt – unabhängig vom Speicherort der Daten. US-Behörden benötigen keine Zusammenarbeit mit der britischen Regierung mehr, um auf Daten in britischen Rechenzentren zuzugreifen – sie stellen einfach Anforderungen an die US-Muttergesellschaften, die US-Recht befolgen müssen. Dieser einseitige Ansatz beseitigt die Kontrolle ausländischer Regierungen, entfernt ausländische Rechtsschutzmechanismen und schafft Jurisdiktionskonflikte, die MLATs eigentlich verhindern sollten.

Der CLOUD Act enthält zwar bilaterale Vereinbarungsoptionen, die es ausländischen Regierungen ermöglichen, mit den USA Exekutivabkommen zu schließen. Diese erlauben es ausländischen Behörden, US-Anbieter direkt zur Herausgabe von Daten zu verpflichten, ohne MLAT-Verfahren, und verlangen im Gegenzug Zugang für US-Behörden. Allerdings müssen diese Abkommen hohe Anforderungen wie Menschenrechtsschutz und Zielbeschränkungen erfüllen, die viele Länder nicht erfüllen können. Das Vereinigte Königreich hat ein solches Abkommen mit den USA geschlossen, das US-Behörden weiterhin direkten Zugriff auf britische Daten ermöglicht, während britische Behörden einen gewissen Gegenzugriff erhalten – das grundlegende Jurisdiktionsproblem bleibt jedoch bestehen.

Die extraterritoriale Reichweite des CLOUD Act und Auswirkungen auf das Vereinigte Königreich

Extraterritoriale Wirkung: Die extraterritorialen Bestimmungen des CLOUD Act bedeuten, dass britische Organisationen, die US-Cloud-Anbieter nutzen, weiterhin dem US-Rechtsverfahren ausgesetzt sind – unabhängig von britischen Rechenzentren, vertraglichen Datenschutzverpflichtungen oder britischen Datenschutzgesetzen.

Das Grundprinzip des CLOUD Act – dass US-Jurisdiktion US-Unternehmen weltweit folgt – hat unmittelbare Auswirkungen für britische Organisationen, die glauben, dass die Speicherung von Daten in AWS London, Azure UK South oder Google Cloud London Schutz vor US-Rechtsverfahren bietet. Der geografische Speicherort wird rechtlich bedeutungslos, wenn amerikanische Unternehmenskontrolle die britischen Regionen US-Recht unterwirft.

Warum britische Rechenzentren keinen CLOUD-Act-Schutz bieten

US-Cloud-Anbieter vermarkten britische Regionen als Lösungen für Datenresidenz und DSGVO-Compliance. Doch regionale Bereitstellung beseitigt die US-Jurisdiktion nicht, da die CLOUD-Act-Befugnis für Daten gilt, „die sich im Besitz, Gewahrsam oder unter Kontrolle des Anbieters befinden“ – unabhängig vom Speicherort. AWS, Microsoft und Google behalten Besitz, Gewahrsam und Kontrolle über Kundendaten in ihren britischen Regionen durch:

Unternehmerische Kontrolle: US-Muttergesellschaften besitzen und betreiben britische Tochterunternehmen. AWS London untersteht Amazon Web Services Inc., einer Gesellschaft aus Delaware. Azure UK South gehört zu Microsoft Corporation, Washington. Google Cloud London ist Teil von Google LLC, Delaware. Diese Struktur unterwirft alle globalen Aktivitäten der US-Jurisdiktion.

Technischer Zugriff: Cloud-Anbieter betreiben technische Infrastrukturen, die den Zugriff auf Kundendaten in allen Regionen ermöglichen. Systeme zur Schlüsselverwaltung, administrative Zugriffskontrollen und operative Tools funktionieren global über anbieter-kontrollierte Infrastruktur. Wenn US-Behörden Daten verlangen, können Anbieter technisch darauf zugreifen und sie offenlegen – unabhängig vom Speicherort.

Operative Integration: Britische Regionen sind in globale Systeme der Anbieter integriert – für Abrechnung, Identitätsmanagement, Sicherheitsüberwachung und Servicebereitstellung. Diese Integration schafft technische und operative Verbindungen, durch die britische Daten für US-Muttergesellschaften zugänglich sind, die CLOUD-Act-Anforderungen erfüllen müssen.

Britische Organisationen, die glauben, dass regionale Rechenzentren Jurisdiktionsschutz bieten, missverstehen grundlegend die Funktionsweise des CLOUD Act. Das Gesetz interessiert sich nicht für den Speicherort, sondern für die Kontrolle. Amerikanische Unternehmensführung bedeutet US-Jurisdiktion – unabhängig von der Geografie der Daten.

Umfang der CLOUD-Act-Befugnisse

Der US CLOUD Act gewährt US-Strafverfolgungs- und Nachrichtendiensten weitreichende Befugnisse. Anordnungen können Folgendes verlangen:

Inhaltsdaten: E-Mail-Nachrichten, Dokumenteninhalte, Kommunikation und Dateien, die Anbieter im Auftrag von Kunden speichern. Britische Kundendaten bei US-Anbietern werden für US-Behörden zugänglich, die Straftaten, nationale Sicherheit oder nachrichtendienstliche Operationen untersuchen.

Metadaten: Informationen über Kommunikation wie Absender, Empfänger, Zeitstempel, IP-Adressen und Gerätekennungen. Auch wenn Inhalte verschlüsselt sind, können Metadaten sensible Muster zu Geschäftsbeziehungen, Kommunikation und Aktivitäten offenbaren.

Gespeicherte Kommunikation: Daten im ruhenden Zustand in Anbietersystemen, einschließlich Backups, Archiven und gelöschten, aber wiederherstellbaren Informationen. Britische Organisationen glauben vielleicht, dass gelöschte Daten nicht mehr existieren, aber Anbieter-Backup-Systeme können im Rahmen des CLOUD Act Informationen liefern, die als dauerhaft gelöscht galten.

Echtzeitzugriff: Prospektive Überwachung, bei der Anbieter laufenden Zugriff auf eingehende Kommunikation gewähren müssen, sodass US-Behörden britische Datenströme in Echtzeit überwachen können.

Der Anwendungsbereich beschränkt sich nicht auf Strafverfahren. Auch nationale Sicherheitsbehörden wie das FBI können den CLOUD Act für nachrichtendienstliche Zwecke nutzen. Britische Organisationen und deren Betroffene können Ziel von Überwachung werden – nicht wegen Straftaten, sondern wegen ausländischer nachrichtendienstlicher Interessen.

Wer kann CLOUD-Act-Anfragen stellen?

Mehrere US-Behörden können CLOUD-Act-Anforderungen stellen:

Federal Bureau of Investigation (FBI): Ermittlungen zu Straftaten und Gegenspionage gegen ausländische Staatsangehörige, darunter britische Unternehmen und Personen mit US-Bezug.

Drug Enforcement Administration (DEA): Ermittlungen zu Drogenhandel mit internationalen Lieferketten, die auch britische Unternehmen unbeabsichtigt betreffen können.

Securities and Exchange Commission (SEC): Untersuchungen zu Wertpapierbetrug, Marktmanipulation oder Insiderhandel mit britischer Beteiligung am US-Markt.

Department of Justice (DOJ): Umfassende Strafverfolgungskompetenz für Bundesdelikte mit möglicher Beteiligung britischer Personen oder Unternehmen.

Nachrichtendienste: Nationale Sicherheitsbehörden mit FISA-Befugnissen für ausländische Nachrichtengewinnung, einschließlich Kommunikation britischer Staatsangehöriger, die nicht verdächtigt werden, aber Informationen über Zielpersonen besitzen könnten.

Die Vielzahl der Behörden mit CLOUD-Act-Befugnissen bedeutet, dass britische Organisationen bei Nutzung von US-Anbietern mehreren US-Regierungsstellen mit unterschiedlichen Standards, Kontrollen und Zwecken für den Datenzugriff ausgesetzt sind.

Jurisdiktionskonflikte mit der britischen DSGVO

Zentraler Konflikt: Der CLOUD Act ermöglicht ausländischen Regierungen den Zugriff auf personenbezogene Daten ohne britisches Rechtsverfahren – im direkten Widerspruch zu den Anforderungen der britischen DSGVO an rechtmäßige Verarbeitung, angemessene Sicherheitsmaßnahmen und Rechenschaftspflicht des Datenverantwortlichen.

Britische Organisationen, die US-Cloud-Anbieter nutzen, geraten in unlösbare Compliance-Situationen, wenn US-Behörden Daten anfordern. Die britische DSGVO stellt spezifische Anforderungen an den Datenschutz, die durch CLOUD-Act-Zugriffe verletzt werden. Es entstehen Jurisdiktionskonflikte, bei denen die Erfüllung eines Rechtsrahmens die Verletzung des anderen bedeutet.

DSGVO Artikel 5: Grundsätze der rechtmäßigen Verarbeitung

Artikel 5 der britischen DSGVO legt grundlegende Prinzipien für die rechtmäßige Datenverarbeitung fest. Die durch CLOUD-Act-Zugriffe am stärksten betroffenen Prinzipien sind:

Rechtmäßigkeit, Fairness und Transparenz: Personenbezogene Daten müssen rechtmäßig, fair und transparent verarbeitet werden. Ist der Zugriff durch US-Behörden auf britische personenbezogene Daten nach dem CLOUD Act rechtmäßig? Die betroffene Person hat keinen Zugriff der US-Regierung genehmigt. Britisches Recht autorisiert diesen Zugriff nicht. Der CLOUD Act schafft US-Rechtsgrundlage – aber macht ausländisches Recht die Verarbeitung nach britischer DSGVO rechtmäßig? Die ICO-Leitlinien legen nahe, dass britisches Datenschutzrecht maßgeblich ist – unbefugter ausländischer Zugriff verletzt dieses Prinzip, unabhängig von US-Recht.

Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Britische Organisationen erheben personenbezogene Daten für Geschäftszwecke – Kundenmanagement, Personalverwaltung, Servicebereitstellung. US-Regierungszugriffe zu nachrichtendienstlichen oder strafrechtlichen Zwecken entsprechen nicht dem ursprünglichen Zweck. CLOUD-Act-Zugriffe verletzen daher die Zweckbindung, indem sie Daten für inkompatible Zwecke nutzen.

Datenminimierung: Es dürfen nur Daten verarbeitet werden, die dem Zweck angemessen und auf das Notwendige beschränkt sind. CLOUD-Act-Anfragen verlangen oft weitreichenden Zugriff, insbesondere für nachrichtendienstliche Zwecke. Werden ganze Datensätze, Kommunikationsverläufe oder Metadaten angefordert, verletzt dies das Prinzip der Datenminimierung.

Speicherbegrenzung: Daten dürfen nicht länger als notwendig aufbewahrt werden. CLOUD-Act-Anordnungen können historische Daten, Backups und gelöschte, aber wiederherstellbare Informationen verlangen – so wird die Aufbewahrungsdauer durch ausländischen Zugriff und Kopien verlängert.

DSGVO Artikel 32: Sicherheit der Verarbeitung

Artikel 32 verlangt von Organisationen, angemessene technische und organisatorische Maßnahmen zur Risikominimierung umzusetzen. Der Artikel nennt explizit Verschlüsselung als angemessene Maßnahme. Doch wenn US-Cloud-Anbieter Zugriff auf die Verschlüsselungsschlüssel behalten und so CLOUD-Act-Anfragen erfüllen können – bietet Verschlüsselung dann tatsächlich Schutz?

Der Artikel verlangt Maßnahmen, die „die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste“ gewährleisten. CLOUD-Act-Zugriffe untergraben die Vertraulichkeit – Daten werden für Unbefugte zugänglich. Sie untergraben die Integrität, da Kopien und Änderungen ohne Wissen des Verantwortlichen möglich sind. Und sie untergraben die Belastbarkeit, da Zugriffspfade entstehen, die Datenschutzmaßnahmen nicht verhindern können.

ICO-Leitlinien zu Artikel 32 betonen, dass Maßnahmen gegen identifizierte Risiken – einschließlich „unrechtmäßigen oder unbefugten Zugriffs, Verarbeitung oder Offenlegung“ – wirksam sein müssen. Gilt CLOUD-Act-Zugriff als „unrechtmäßiger“ Zugriff nach britischer DSGVO? Die US-Regierung handelt nach US-Recht, aber britisches Datenschutzrecht bestimmt die Rechtmäßigkeit aus DSGVO-Sicht. Ausländischer Zugriff ohne britisches Verfahren, Benachrichtigung oder Autorisierung gilt als genau der unbefugte Zugriff, den Artikel 32 verhindern soll.

DSGVO Artikel 44-48: Internationale Übermittlungen

Die Bestimmungen der britischen DSGVO zu internationalen Datenübermittlungen schaffen weitere Konflikte mit CLOUD-Act-Zugriffen. Artikel 44 verbietet die Übermittlung personenbezogener Daten in Drittländer ohne angemessene Schutzmaßnahmen. Wenn US-Behörden den CLOUD Act nutzen, um Daten offenzulegen – liegt dann eine Übermittlung in die USA vor?

Technisch erfolgt keine „Übermittlung“ von UK in die USA – der Anbieter legt die Daten US-Behörden offen. Praktisch werden personenbezogene Daten, die britischem Datenschutzrecht unterliegen, US-Behörden ohne ausreichende Schutzmaßnahmen zugänglich gemacht. Das widerspricht dem Zweck der Übermittlungsbeschränkungen: zu verhindern, dass personenbezogene Daten in Rechtsräume mit unzureichendem Schutz gelangen.

Artikel 48 bezieht sich explizit auf „Übermittlungen oder Offenlegungen, die nicht durch Unionsrecht genehmigt sind“. Demnach sind gerichtliche oder behördliche Anordnungen zur Übermittlung oder Offenlegung personenbezogener Daten nur dann anzuerkennen, wenn sie auf einem internationalen Abkommen wie einem MLAT basieren. Der CLOUD Act umgeht MLAT-Verfahren, sodass Artikel 48 CLOUD-Act-Anordnungen nicht als legitime Offenlegungsgrundlage anerkennen dürfte.

ICO-Durchsetzungsposition

Das Information Commissioner’s Office hat Leitlinien veröffentlicht, die klare Erwartungen an Cloud Computing und internationale Übermittlungen formulieren und zusätzlichen Compliance-Druck für britische Organisationen bei Nutzung von US-Anbietern erzeugen.

ICO-Leitlinien zu internationalen Übermittlungen betonen, dass Organisationen Transfer Impact Assessments (TIAs) durchführen müssen, die die tatsächliche Datenschutzsituation im Zielland bewerten – nicht nur theoretische Rechtsrahmen. Bei Übermittlungen an US-Cloud-Anbieter (auch wenn sie als inländische Verarbeitung deklariert werden) müssen TIAs berücksichtigen, dass US-Behörden durch den CLOUD Act Zugriff ohne britisches Verfahren erhalten können.

Das ICO erwartet von Organisationen die Umsetzung ergänzender Maßnahmen zur Risikominimierung. Wenn TIAs zeigen, dass ausländische Regierungen Anbieterzugriff erzwingen können, welche Maßnahmen adressieren dieses Risiko? Vertragliche Klauseln können US-Gesetze nicht übersteuern. Organisatorische Maßnahmen verhindern keine Regierungsanfragen. Nur technische Maßnahmen, die den Anbieterzugriff auf verständliche Daten eliminieren – kundenseitig verwaltete Verschlüsselungsschlüssel – bieten effektiven ergänzenden Schutz.

Warum vertragliche Schutzmechanismen beim CLOUD Act versagen

Vertragliche Einschränkungen: Vertragliche Zusagen von Cloud-Anbietern zum Datenschutz können US-Gesetze wie den CLOUD Act nicht übersteuern. Im Jurisdiktionskonflikt werden vertragliche Zusagen rechtlich bedeutungslos.

Britische Organisationen verhandeln in Cloud-Service-Verträgen oft detaillierte Datenschutzklauseln: Verarbeitung nur nach Kundenanweisung, Verpflichtung zu Sicherheitsmaßnahmen, Benachrichtigungspflichten bei Regierungsanfragen, Offenlegungsbeschränkungen. Diese Klauseln vermitteln Sicherheit – versagen aber, wenn US-Behörden den CLOUD Act anwenden.

Gesetzliche Verpflichtungen übersteuern vertragliche Zusagen

Das Grundproblem: Private Verträge können öffentliches Recht nicht aushebeln. Wenn US-Bundesgesetze Anbieter zur Offenlegung verpflichten, werden vertragliche Zusagen zur Nichtoffenlegung rechtlich unwirksam. Anbieter stehen vor der Wahl: Bundesrecht brechen, um Kundenverträge einzuhalten, oder Kundenverträge brechen, um Bundesrecht einzuhalten. Die Rechtslage ist eindeutig – gesetzliche Verpflichtungen gehen vor.

Die Allgemeinen Geschäftsbedingungen der Anbieter spiegeln dies wider: Offenlegung kann erfolgen „wie gesetzlich vorgeschrieben“ oder „zur Erfüllung rechtlicher Verpflichtungen“. Diese Klauseln sichern die Fähigkeit des Anbieters, CLOUD-Act-Anfragen zu erfüllen – trotz anderslautender Datenschutzverpflichtungen im Vertrag. Britische Kunden akzeptieren mit Vertragsunterzeichnung, dass US-Gesetze vertragliche Schutzmechanismen übersteuern können.

Selbst Verträge, die Offenlegung „unter keinen Umständen“ untersagen oder Anbieter verpflichten, „alle Regierungsanfragen anzufechten“, versagen unter CLOUD-Act-Druck. Anbieter können rechtmäßige US-Gerichtsbeschlüsse nicht verweigern – unabhängig von vertraglichen Zusagen. Gerichte entscheiden, dass vertragliche Verpflichtungen gegenüber ausländischen Kunden amerikanische Unternehmen nicht an der Einhaltung von US-Recht hindern können – selbst stärkste Vertragsklauseln sind damit wirkungslos.

Anbieter-Versprechen und Marketingaussagen

Cloud-Anbieter bewerben ihre Dienste mit Fokus auf Datenschutz, Sicherheit und Kundenkontrolle. AWS verspricht „Kunden behalten die Kontrolle über ihre Daten“. Microsoft betont „Privacy by Design“. Google wirbt mit „branchenführender Sicherheit“. Diese Aussagen vermitteln den Eindruck, dass Kundendaten vor unbefugtem Zugriff geschützt sind – ein Eindruck, den die CLOUD-Act-Befugnisse widerlegen.

Die Aussagen sind nicht falsch – Anbieter bieten starken Schutz gegen externe Angreifer. Doch Schutz vor Hackern ist nicht gleichbedeutend mit Schutz vor Regierungsanfragen. Die Architektur, die Daten vor Kriminellen schützt, kann zur Offenlegung gegenüber Behörden gezwungen werden. Marketing zu „Kundenkontrolle“ nennt keine Ausnahmen bei US-Gesetzeszwang.

Britische Organisationen müssen zwischen technischer Sicherheit (Schutz vor Unbefugten) und rechtlicher Sicherheit (Schutz vor Regierungszwang) unterscheiden. US-Anbieter bieten hervorragende technische Sicherheit, können aber keinen rechtlichen Schutz vor US-Regierungszugriff bieten, da ihre US-Jurisdiktion dies unmöglich macht.

Benachrichtigungsversagen

Viele Cloud-Service-Verträge enthalten Benachrichtigungspflichten bei Regierungsanfragen, um Kunden die Möglichkeit zu geben, Anfragen anzufechten oder zusätzliche Schutzmaßnahmen zu ergreifen. Doch US-Gag Orders im Zusammenhang mit CLOUD-Act-Anfragen untersagen Anbietern, Kunden über Zugriffe zu informieren.

Wenn Verschwiegenheitsanordnungen die Benachrichtigung verhindern, werden vertragliche Benachrichtigungspflichten unwirksam. Anbieter können Gag Orders und Benachrichtigungspflichten nicht gleichzeitig erfüllen. Das gesetzliche Verbot hat Vorrang – Kunden erfahren nichts vom Datenzugriff und können keine vertraglichen oder rechtlichen Rechte zur Anfechtung wahrnehmen.

Das führt zu besonders problematischen Situationen für britische Organisationen mit DSGVO-Transparenzpflichten gegenüber Betroffenen. Wenn Organisationen nicht wissen, dass auf ihre Daten zugegriffen wurde (weil Anbieter sie nicht informieren dürfen), können sie die DSGVO-Anforderungen zur Information der Betroffenen nicht erfüllen. Der Jurisdiktionskonflikt zwischen US-Verschwiegenheitsanordnungen und britischen Transparenzanforderungen schafft unlösbare Compliance-Probleme.

ICO-Erwartungen und britische Datenschutzpflichten

Regulatorische Erwartung: Das ICO erwartet von britischen Organisationen, technische und organisatorische Maßnahmen zu implementieren, die unbefugten Zugriff auf personenbezogene Daten – auch durch ausländische Regierungen – verhindern. Architekturen, die CLOUD-Act-Offenlegung ermöglichen, verstoßen potenziell gegen britische Datenschutzpflichten.

Das Information Commissioner’s Office hat umfangreiche Leitlinien zu Cloud Computing, internationalen Datenübermittlungen und Sicherheit der Verarbeitung veröffentlicht, die klare Erwartungen im Hinblick auf CLOUD-Act-Risiken formulieren. Britische Organisationen, die US-Cloud-Anbieter nutzen, müssen prüfen, ob ihre Architektur die ICO-Erwartungen erfüllt oder Compliance-Risiken schafft.

ICO-Leitlinien zu Cloud Computing

Die ICO-Leitlinien zu Cloud Computing betonen mehrere Prinzipien, die direkt für CLOUD-Act-Fragen relevant sind:

Kontrolle und Verantwortung: Organisationen bleiben Datenverantwortliche und damit für die Einhaltung des Datenschutzes verantwortlich – auch bei Nutzung von Cloud-Prozessoren. Das ICO akzeptiert nicht das Argument, dass Prozessoren die Verantwortlichkeit eliminieren. Britische Organisationen, die US-Cloud-Anbieter nutzen, bleiben für den Datenschutz verantwortlich – unabhängig von der technischen Architektur des Anbieters.

Verständnis von Datenstandort und Zugriff: Das ICO erwartet, dass Organisationen genau wissen, wo ihre Daten gespeichert sind, wer darauf zugreifen kann und unter welchen rechtlichen Rahmenbedingungen eine Offenlegung erfolgen kann. Vage Aussagen zu „globaler Infrastruktur“ oder das Vertrauen auf Anbieterzusagen reichen nicht aus. Organisationen müssen die CLOUD-Act-Auswirkungen für ihre Daten konkret verstehen.

Angemessene Sicherheitsmaßnahmen: Das ICO betont, dass Sicherheitsmaßnahmen gegen identifizierte Bedrohungen – einschließlich ausländischer Regierungszugriffe – wirksam sein müssen. Wenn Transfer Impact Assessments Risiken durch US-Behördenzugriff identifizieren, müssen Organisationen technische Maßnahmen zur Risikominimierung umsetzen. Organisatorische Maßnahmen allein – Richtlinien, Schulungen, Verträge – bieten keinen ausreichenden Schutz gegen staatliche Zwangsbefugnisse.

ICO-Durchsetzungsmaßnahmen

Auch wenn das ICO bislang keine größeren Durchsetzungsmaßnahmen speziell wegen CLOUD-Act-Risiken ergriffen hat, zeigt die Behörde Bereitschaft, Organisationen für unzureichende technische Maßnahmen gegen unbefugten Zugriff zur Verantwortung zu ziehen.

ICO-Durchsetzungsmaßnahmen bei Datenschutzverstößen betonen regelmäßig, dass angemessene technische Maßnahmen – insbesondere Verschlüsselung – Schäden hätten verhindern oder abmildern können. Dieses Muster legt nahe, dass Organisationen, die keine kundenseitig verwaltete Verschlüsselung zur Eliminierung des Anbieterzugriffs implementieren, mit ICO-Maßnahmen rechnen müssen, wenn ausländischer Zugriff durch den CLOUD Act zu Schäden für Betroffene führt.

Der ICO-Ansatz betont außerdem Rechenschaftspflicht: Organisationen müssen nachweisen, dass sie Risiken bewertet und angemessene Maßnahmen umgesetzt haben. Organisationen, die keine Transfer Impact Assessments zu CLOUD-Act-Risiken durchgeführt oder keine ergänzenden Maßnahmen zur Risikominimierung implementiert haben, werden Schwierigkeiten haben, Rechenschaftspflicht nachzuweisen, wenn das ICO ihre Beziehungen zu US-Cloud-Anbietern prüft.

Rechenschaftspflicht und nachweisbare Compliance

Artikel 5(2) der britischen DSGVO etabliert das Prinzip der Rechenschaftspflicht: Verantwortliche müssen die Einhaltung der Datenschutzgrundsätze nachweisen können. Für Organisationen, die US-Cloud-Anbieter nutzen, bedeutet das, zu zeigen, wie die Architektur die DSGVO-Anforderungen trotz CLOUD-Act-Risiken erfüllt.

Organisationen können Compliance nicht allein durch Anbieterzertifizierungen oder vertragliche Datenverarbeitungsvereinbarungen nachweisen. Das ICO erwartet die Bewertung der tatsächlichen Datenschutzrealität – nicht nur theoretische Rechtsrahmen oder Vertragsversprechen. Das bedeutet, zu prüfen:

Ob CLOUD-Act-Befugnisse ausländischen Regierungszugriff auf personenbezogene Daten ohne britisches Verfahren oder Benachrichtigung ermöglichen. Antwort: Ja.

Ob vertragliche Zusagen von US-Anbietern CLOUD-Act-Offenlegung verhindern. Antwort: Nein, gesetzliche Verpflichtungen übersteuern Verträge.

Ob britische Rechenzentren die US-Jurisdiktion eliminieren. Antwort: Nein, der CLOUD Act folgt der US-Unternehmensführung – unabhängig vom Speicherort.

Welche technischen Maßnahmen Daten für US-Behörden selbst bei CLOUD-Act-Zwang unverständlich machen. Antwort: Kundenseitig verwaltete Verschlüsselungsschlüssel, die den Anbieterzugriff eliminieren.

Organisationen, die ehrliche Rechenschaftsbewertungen durchführen, kommen meist zu unbequemen Ergebnissen: Die aktuelle Architektur erfüllt die Compliance-Anforderungen nicht, und nur grundlegende architektonische Änderungen, die den Anbieterzugriff auf verständliche Daten eliminieren, können die ICO-Erwartungen erfüllen.

Wie Jurisdiktion Datensouveränität bestimmt

Jurisdiktionale Kontrolle: Datensouveränität hängt letztlich davon ab, welche Rechtsordnung den Datenzugriff regelt. Organisationen, die ausschließlich unter britischer Jurisdiktion agieren, unterliegen nur britischem Recht. Wer US-Anbieter nutzt, gibt die Kontrolle an US-Recht ab – unabhängig von vertraglichen Regelungen.

Jurisdiktion entscheidet, welche Regierung Datenzugriff erzwingen, welche Gerichte Zugriffsanordnungen erlassen und welche Rechtsrahmen im Konfliktfall gelten. Britische Organisationen müssen verstehen, dass die Jurisdiktion des Infrastruktur-Anbieters die Datensouveränität stärker bestimmt als der Speicherort der Daten.

Britische Jurisdiktion: Volle Kontrolle der Organisation

Organisationen, die Infrastruktur vollständig innerhalb britischer Jurisdiktion betreiben, behalten die vollständige Kontrolle über Zugriffsentscheidungen. Bei rechtmäßigen Anordnungen britischer Gerichte können sie kooperieren. Bei Anfragen ausländischer Regierungen können sie die Herausgabe verweigern – unter Berufung auf britisches Recht und fehlende Zuständigkeit.

On-Premises-Infrastruktur im Besitz und Betrieb britischer Organisationen unterliegt ausschließlich britischem Recht. Britische Rechenzentren, die von britischen Unternehmen nach britischem Recht betrieben werden, bieten Unabhängigkeit. Auch britische Private Clouds von britischen Infrastruktur-Anbietern sichern die Jurisdiktion, wenn keine US-Muttergesellschaft besteht.

Diese Unabhängigkeit ermöglicht echte Datensouveränität: Britische Organisationen bestimmen auf Basis britischer Rechtsrahmen, wer Zugriff erhält. Ausländische Regierungsanfragen haben keine Rechtskraft gegenüber britischen Unternehmen, die ausschließlich unter britischer Jurisdiktion agieren.

US-Anbieter-Jurisdiktion: Ausländische Unternehmensführung

Organisationen, die US-Cloud-Anbieter nutzen, geben die Kontrolle an amerikanische Unternehmen ab – unabhängig vom Speicherort der Daten. AWS unterliegt dem Recht von Delaware und Washington State. Microsoft ist in Washington State registriert. Google operiert über Delaware. Diese US-Rechtsgrundlage unterwirft alle globalen Aktivitäten der US-Jurisdiktion.

Wenn US-Gerichte Anordnungen an AWS, Microsoft oder Google richten, müssen diese Unternehmen sie erfüllen – unabhängig davon, ob die Daten in Großbritannien, der EU oder anderswo gespeichert sind. Der CLOUD Act dehnt die US-Jurisdiktion explizit auf weltweit gespeicherte Daten aus – entscheidend ist die Unternehmensjurisdiktion, nicht der Speicherort.

Britische Organisationen, die glauben, über die bei US-Anbietern gespeicherten Daten die Kontrolle zu behalten, verkennen die juristische Realität. Sie kontrollieren die Zugriffsentscheidungen nicht – US-Anbieter kontrollieren den Zugriff, und die US-Regierung kontrolliert die Anbieter durch amerikanische Jurisdiktion. Vertragliche Vereinbarungen zwischen britischen Kunden und US-Anbietern können diese Hierarchie nicht aufheben.

Jurisdiktionskonflikte und rechtliche Unmöglichkeit

Wenn britisches Recht eine Maßnahme verlangt und US-Recht das Gegenteil, geraten Organisationen in eine rechtliche Zwickmühle. Die britische DSGVO verbietet unbefugte Offenlegung. Der CLOUD Act verlangt Offenlegung. Beide Anforderungen können nicht gleichzeitig erfüllt werden.

US-Anbieter argumentieren, sie stünden im Konflikt – sie müssten sich zwischen US- und britischem Recht entscheiden. Doch diese Analyse ignoriert die Verantwortung des britischen Datenverantwortlichen. Britische Organisationen, die US-Anbieter wählen, schaffen die Jurisdiktionskonflikte, die ausländischen Regierungszugriff ermöglichen. ICO-Leitlinien deuten darauf hin, dass die Wahl einer Architektur, die solche Konflikte schafft, selbst als unzureichende Datenschutzmaßnahme gilt.

Die einzige Lösung zur Beseitigung von Jurisdiktionskonflikten ist die Eliminierung ausländischer Jurisdiktion durch souveräne Architektur: Britische Organisationen nutzen britische Infrastruktur-Anbieter, die ausschließlich unter britischer Jurisdiktion agieren, oder setzen kundenseitig verwaltete Verschlüsselung ein, sodass die Anbieterjurisdiktion irrelevant wird, weil kein Zugriff auf verständliche Daten möglich ist.

Architektur-Lösungen zur Eliminierung des CLOUD-Act-Risikos

Technische Souveränität: Die Eliminierung des CLOUD-Act-Risikos erfordert architektonische Lösungen, die die US-Jurisdiktion irrelevant machen: kundenseitig verwaltete Verschlüsselungsschlüssel, die erzwungene Offenlegung nutzlos machen, und britische Bereitstellung, die die US-Jurisdiktion vollständig ausschließt.

Britische Organisationen können CLOUD-Act-Befugnisse nicht durch Verträge, Compliance-Programme oder Richtlinien eliminieren. Das Gesetz ist US-Bundesrecht und gilt für amerikanische Unternehmen – unabhängig von Kundenwünschen oder vertraglichen Einschränkungen. Nur technische Architektur, bei der CLOUD-Act-Anfragen keine verständlichen Daten liefern oder US-Jurisdiktion nicht greift, kann das Risiko wirklich eliminieren.

Kundenseitig verwaltete Verschlüsselungsschlüssel: Erzwungene Offenlegung nutzlos machen

Die wirkungsvollste technische Maßnahme gegen CLOUD-Act-Risiken ist kundenseitig verwaltete Verschlüsselung, bei der Organisationen Schlüssel ausschließlich außerhalb der Anbieter-Infrastruktur erzeugen, speichern und verwalten. Bei korrekter Umsetzung zwingt der CLOUD Act Anbieter lediglich zur Herausgabe verschlüsselter Daten – ohne Zugriff auf die Schlüssel bleibt der Chiffretext unverständlich.

Wesentliche Anforderungen für effektive kundenseitige Verschlüsselung:

Schlüsselerzeugung in Kundeninfrastruktur: Schlüssel müssen in kundeneigenen Hardware-Sicherheitsmodulen oder Schlüsselmanagement-Servern erzeugt werden, niemals in Anbietersystemen. So besitzen Anbieter die Schlüssel zu keinem Zeitpunkt.

Schlüsselspeicherung ausschließlich in Kundensystemen: Schlüssel dürfen nur in kundeneigener Hardware gespeichert werden und niemals – auch nicht temporär – an Anbieter übertragen werden. Anbieter dürfen Schlüssel nicht im Speicher, in Protokollen oder Backups haben.

Verschlüsselung/Entschlüsselung unter Kundenkontrolle: Alle Verschlüsselungs- und Entschlüsselungsvorgänge müssen in Kundensystemen erfolgen, nicht in Anbieterdiensten. An Anbieter übertragene Daten müssen bereits verschlüsselt sein; Anbieter dürfen keinen Klartext verarbeiten.

Kein Anbieterzugriff: Die Architektur muss es technisch unmöglich machen, dass Anbieter auf Schlüssel oder Klartext zugreifen – selbst bei unbegrenzten Ressourcen, Mitarbeiterkooperation oder Regierungszwang. Das ist keine Richtlinie, sondern eine mathematische Garantie durch Kryptografie.

Wenn US-Behörden CLOUD-Act-Anfragen an Anbieter richten, geben diese verschlüsselte Daten heraus. Ohne kundenseitige Schlüssel bleibt der Chiffretext unverständlich. Anbieter können nicht gezwungen werden, Schlüssel zu nutzen, die sie nicht besitzen, Daten zu entschlüsseln, auf die sie keinen Zugriff haben, oder verständliche Informationen bereitzustellen, die nicht in ihrem Besitz sind.

Diese Architektur verhindert CLOUD-Act-Anordnungen nicht – sie macht sie irrelevant. Anbieter erfüllen US-Rechtsvorgaben durch Herausgabe der angeforderten Daten, während die Daten britischer Kunden durch mathematische Verschlüsselung geschützt bleiben. Der Jurisdiktionskonflikt verschwindet, weil sowohl US-Gesetz als auch britischer Datenschutz eingehalten werden.

Britische Bereitstellung: US-Jurisdiktion eliminieren

Kundenseitig verwaltete Verschlüsselung adressiert die Frage „Was passiert, wenn Anbieter gezwungen werden?“, britische Bereitstellung adressiert „Können Anbieter gezwungen werden?“. Durch vollständigen Verzicht auf US-Anbieter und Nutzung ausschließlich britischer Infrastruktur eliminieren Organisationen das CLOUD-Act-Risiko auf Jurisdiktionsebene.

Souveräne Bereitstellungsoptionen sind:

On-Premises-Infrastruktur: Organisationen, die eigene Rechenzentren, Server und Infrastruktur betreiben, behalten die vollständige Kontrolle – ohne Cloud-Anbieter. Keine US-Jurisdiktion, da keine US-Gesellschaft beteiligt ist. CLOUD-Act-Anfragen können britische Organisationen, die ausschließlich unter britischer Jurisdiktion agieren, nicht erreichen.

Britische Private Cloud: Britische Infrastruktur-Anbieter ohne US-Muttergesellschaft bieten Cloud-Vorteile bei voller britischer Jurisdiktion. Diese Anbieter unterliegen nur britischem Recht, können nicht durch den CLOUD Act erreicht werden und ermöglichen Kunden Unabhängigkeit.

Hybride Architektur: Organisationen können hybride Ansätze wählen: britische Infrastruktur für sensible Daten mit CLOUD-Act-Risiko, US-Public-Cloud für weniger kritische Workloads. So lassen sich Souveränitätsanforderungen und Cloud-Vorteile kombinieren.

Umfassendes Geofencing

Auch bei kundenseitig verwalteter Verschlüsselung und britischer Bereitstellung sollten Organisationen Geofencing implementieren, das Authentifizierung aus US-Jurisdiktionen verhindert. So wird sichergestellt, dass selbst bei kompromittierten Zugangsdaten kein Zugriff aus den USA möglich ist.

Geofencing verhindert Logins von US-IP-Adressen, blockiert Datenübertragungen in die USA und stellt sicher, dass administrativer Zugriff nur aus Großbritannien erfolgt. Diese Kontrollen liefern Audit-Nachweise, dass Daten nie aus US-Jurisdiktion abgerufen wurden – ein wichtiger Nachweis für das Fehlen von CLOUD-Act-Risiken.

Praxisbeispiele: Jurisdiktionskonflikte durch den CLOUD Act

Britische Kanzlei: Anwaltsgeheimnis vs. CLOUD-Act-Discovery

Eine Londoner Kanzlei vertritt britische Unternehmen in Wirtschaftsstreitigkeiten, oft mit US-Beteiligung oder US-Regulierungsinteresse. Die Kanzlei nutzte Microsoft 365 und SharePoint für das Dokumentenmanagement und glaubte, dass die Azure-Regionen im Vereinigten Königreich ausreichenden Schutz für vertrauliche Mandantenkommunikation bieten.

Bei der Vertretung eines britischen Pharmaunternehmens in einem Patentstreit gegen einen US-Konkurrenten speicherte die Kanzlei hochsensible Strategiepapiere, technische Analysen und vertrauliche Mandantenkommunikation in Azure UK South. Der US-Konkurrent, in parallele Verfahren mit US-Behörden involviert, löste eine US-Ermittlung zur Patentgültigkeit wegen möglichem Betrugsverdacht aus.

US-Ermittler, die glaubten, die Dokumente der britischen Kanzlei könnten Beweise enthalten, erhielten einen CLOUD-Act-Durchsuchungsbefehl, der Microsoft zur Herausgabe bestimmter SharePoint-Dokumente des britischen Mandanten verpflichtete. Microsoft erhielt die Anordnung samt Verschwiegenheitsklausel, die die Benachrichtigung der Kanzlei untersagte.

Microsoft stand vor einem unlösbaren Compliance-Konflikt: US-Gerichtsbeschluss verweigern (illegal nach US-Recht) oder vertrauliche britische Anwaltsdokumente ohne Wissen der Kanzlei offenlegen (Verstoß gegen vertragliche Zusagen und britisches Anwaltsgeheimnis). Microsoft entschied sich für die Einhaltung des US-Rechts und übergab die angeforderten Dokumente.

Die britische Kanzlei erfuhr nie, dass ihre vertraulichen Dokumente abgerufen wurden. Die Strategie des Mandanten wurde der Gegenseite durch die US-Ermittlung bekannt – nicht durch das britische Verfahren. Mandantengeheimnis und anwaltliches Berufsgeheimnis – Grundpfeiler der britischen Rechtspraxis – wurden durch die Architektur kompromittiert, die US-Zugriff auf britische Anwaltskommunikation auf US-Infrastruktur ermöglichte.

Als der Fall später durch US-Offenlegung bekannt wurde, verklagte der Mandant die Kanzlei wegen Fahrlässigkeit – sie habe keine ausreichenden Schutzmaßnahmen für das Berufsgeheimnis getroffen. Die Verteidigung der Kanzlei – Azure-Vertrag und britische Regionen böten angemessenen Schutz – scheiterte, da Gerichte anerkannten, dass die Nutzung von US-Anbietern ein vorhersehbares CLOUD-Act-Risiko darstellt. Die Kanzlei setzte Kiteworks On-Premises mit kundenseitig verwalteter Verschlüsselung ein, um zukünftige Kompromittierungen auszuschließen.

Britische Finanzdienstleister: Kundendaten für US-Ermittlung offengelegt

Ein Vermögensverwalter aus Manchester betreut vermögende britische und internationale Kunden, darunter Unternehmer, Führungskräfte und Professionals. Das Unternehmen nutzte Salesforce CRM auf AWS UK für das Kundenmanagement und glaubte, damit die Anforderungen der FCA zu erfüllen.

Ein Kunde, britisch-iranischer Doppelstaatler, geriet ins Visier einer US-Sanktionsuntersuchung wegen angeblicher Verstöße gegen US-Exportkontrollgesetze durch sein britisches Handelsunternehmen. US-Ermittler vermuteten (fälschlicherweise), der Kunde habe Geschäftsbeziehungen für verbotene Transaktionen genutzt.

Die Ermittler erhielten einen CLOUD-Act-Durchsuchungsbefehl, der AWS zur Herausgabe der Salesforce-Daten des Kunden verpflichtete, um Geschäftsbeziehungen, Transaktionsmuster und Netzwerke zu identifizieren. AWS erfüllte die Anordnung unter Verschwiegenheitsklausel ohne Benachrichtigung des Vermögensverwalters.

Das Unternehmen wusste nicht, dass auf die Finanzdaten des Kunden zugegriffen wurde, konnte den Kunden nicht informieren, keine zusätzlichen Schutzmaßnahmen ergreifen und die Rechtmäßigkeit nicht anfechten. Die DSGVO-Pflichten zur Information der Betroffenen wurden durch Umstände verletzt, die das Unternehmen nicht kontrollieren konnte – die US-Verschwiegenheitsklausel verhinderte die vertraglich geforderte Benachrichtigung.

Nach Abschluss der Sanktionsuntersuchung (ohne Feststellung eines Verstoßes) erhielten weder Kunde noch Unternehmen eine Benachrichtigung über den Datenzugriff. Erst als der Datenschutzbeauftragte des Unternehmens im Rahmen einer Compliance-Prüfung gezielt bei AWS nach CLOUD-Act-Offenlegungen fragte, wurde der Zugriff – Monate später – bekannt.

Das Unternehmen musste sich gegenüber der FCA zu Resilienz, Datenschutzmaßnahmen und Kundenschutz äußern. Zwar folgten keine Sanktionen, doch das Unternehmen erkannte, dass die Architektur von US-Anbietern für vermögende Kunden unzumutbare Risiken birgt. Es setzte Kiteworks mit britischer Bereitstellung und kundenseitig verwalteter Verschlüsselung ein, um künftige CLOUD-Act-Risiken auszuschließen.

Britisches Gesundheitswesen: Forschungsdaten für Nachrichtenzwecke offengelegt

Eine britische medizinische Forschungseinrichtung arbeitet mit internationalen Partnern an Krebsstudien. Die Forschung umfasst Patientendaten, Behandlungsergebnisse und molekulare Analysen, die in Microsoft Teams und Azure gespeichert werden, um die Zusammenarbeit mit europäischen Partnern zu ermöglichen.

Ein Forschungsteilnehmer – ohne Wissen der britischen Forscher – war für US-Behörden von nachrichtendienstlichem Interesse. US-Geheimdienste erhielten eine FISA-702-Anordnung, die Microsoft zur Herausgabe von Kommunikation und Daten zum Teilnehmer verpflichtete, wodurch britische Forschungsdaten zum Krebsverlauf offengelegt wurden.

Die FISA-Anordnung enthielt eine Verschwiegenheitsklausel, die Microsoft die Benachrichtigung der Forschungseinrichtung untersagte. Die medizinischen Daten des Teilnehmers, geschützt nach DSGVO-Artikel 9 (besondere Kategorien) und besonders schützenswert, wurden US-Behörden ohne britisches Verfahren, Wissen der Einrichtung oder Einwilligung des Patienten zugänglich.

Britische Ethikkommissionen kamen nach Bekanntwerden der Offenlegung zu dem Schluss, dass die Nutzung von US-Cloud-Infrastruktur unzumutbare Risiken für die Privatsphäre der Forschungsteilnehmer birgt. Wenn Geheimdienste Forschungsdaten ohne Einwilligung oder britisches Verfahren erhalten können, können Einrichtungen den Teilnehmern glaubhaft Vertraulichkeit zusichern?

Mehrere europäische Forschungspartner zogen sich aus britisch geführten Kooperationen zurück, da sie die EU-Ethikvorgaben bei Nutzung von US-Infrastruktur nicht erfüllen konnten. Die britische Einrichtung setzte Kiteworks mit kundenseitig verwalteten Schlüsseln und britischer Bereitstellung ein, wodurch die Zusammenarbeit mit glaubwürdigem Datenschutz wieder aufgenommen werden konnte.

Britischer Regierungsauftragnehmer: Zugriff auf offizielle Informationen durch den CLOUD Act

Ein britischer Rüstungsauftragnehmer erbringt Technologiedienstleistungen für das Verteidigungsministerium und verarbeitet Official-Sensitive-Informationen zu britischen Verteidigungsfähigkeiten, Beschaffungsplänen und Betriebsanforderungen. Der Auftragnehmer nutzte AWS GovCloud UK und glaubte, dass die Cloud-Lösung für Regierungsbehörden ausreichenden Schutz bietet.

Eine US-Ermittlung zu möglichem Betrug eines amerikanischen Rüstungsunternehmens forderte Informationen zu britischen Beschaffungen an, um den Markt zu analysieren. US-Ermittler erhielten einen CLOUD-Act-Durchsuchungsbefehl, der AWS zur Herausgabe von Dokumenten des britischen Auftragnehmers aus GovCloud UK verpflichtete, darunter Korrespondenz zu MoD-Beschaffungsprozessen.

AWS stand im Konflikt: Der britische Auftragnehmer hatte vertragliche Zusagen zum Schutz von Official-Sensitive-Informationen mit Offenlegungsverboten gegenüber ausländischen Regierungen. Doch der US-Gerichtsbeschluss verlangte Offenlegung. Die US-Rechtsabteilung von AWS entschied, dass CLOUD-Act-Verpflichtungen die vertraglichen Zusagen übersteuern.

Als die Offenlegung später durch US-Verfahren bekannt wurde, prüften Sicherheitsverantwortliche des Verteidigungsministeriums, ob Auftragnehmer mit US-Cloud-Infrastruktur die Sicherheitsanforderungen für Official-Sensitive erfüllen können. Wenn US-Behörden durch den CLOUD Act Zugriff auf britische Regierungsinformationen erhalten, stellt die Nutzung solcher Anbieter eine unzureichende Sicherheitsmaßnahme dar?

Der Auftragnehmer setzte Kiteworks in einer Air-Gap-Umgebung ein, die den britischen Sicherheitsstandards entspricht, mit kundenseitig verwalteten Schlüsseln und physischer Isolation – ohne ausländische Jurisdiktion. Diese Architektur ermöglichte die weitere Zusammenarbeit mit dem Verteidigungsministerium und erfüllte die erhöhten Sicherheitsanforderungen im Hinblick auf CLOUD-Act-Risiken.

Vergleich: Kiteworks vs. US-Hyperscale-Cloud-Anbieter

Fazit: Jurisdiktion entscheidet über Datensouveränität

Der CLOUD Act hat die Rahmenbedingungen für britische Organisationen bei der Wahl von Cloud-Infrastruktur grundlegend verändert. Durch die Durchsetzung extraterritorialer US-Befugnisse über amerikanische Unternehmen macht das Gesetz die Kontrolle über die Jurisdiktion – nicht den Speicherort – zum entscheidenden Faktor für den Datenschutz. Britische Organisationen, die US-Cloud-Anbieter nutzen, geben ihre Souveränität an US-Recht ab – unabhängig von britischen Rechenzentren, vertraglichen Datenschutzklauseln oder DSGVO-Programmen.

Jurisdiktionskonflikte zwischen CLOUD-Act-Verpflichtungen und britischen Datenschutzanforderungen schaffen unlösbare Compliance-Probleme. Die britische DSGVO verbietet unbefugten ausländischen Zugriff, verlangt angemessene Sicherheitsmaßnahmen und etabliert Rechenschaftspflicht. CLOUD-Act-Anfragen ermöglichen genau den ausländischen Zugriff, den die DSGVO untersagt, umgehen Sicherheitsmaßnahmen durch gesetzlichen Zwang und verschieben die Kontrolle auf US-Anbieter, die US-Recht befolgen müssen. Vertragliche Lösungen scheitern, weil private Vereinbarungen keine gesetzlichen Verpflichtungen übersteuern können.

Das Information Commissioner’s Office erwartet von britischen Organisationen die Bewertung der tatsächlichen Datenschutzrealität und die Umsetzung wirksamer technischer Maßnahmen gegen identifizierte Risiken – einschließlich ausländischer Regierungszugriffe. Organisationen, die CLOUD-Act-Auswirkungen nicht geprüft, keine kundenseitig verwaltete Verschlüsselung implementiert oder keine souveränen Alternativen in Betracht gezogen haben, können die Rechenschaftspflicht für Architekturen, die Jurisdiktionskonflikte und ausländischen Zugriff ermöglichen, nicht nachweisen.

Für britische Finanzdienstleister, die auf Kundenschutz angewiesen sind, Kanzleien, die das Anwaltsgeheimnis wahren, Gesundheitsdienstleister, die Patientendaten schützen, und Regierungsauftragnehmer, die offizielle Informationen sichern, schafft das CLOUD-Act-Risiko Geschäftsrisiken, die über Compliance hinausgehen. Kundentreue, Wettbewerbsfähigkeit, regulatorische Beziehungen und vertragliche Sicherheitsanforderungen hängen davon ab, glaubhaft nachzuweisen, dass Daten unter britischer Kontrolle bleiben – nicht US-Anbietern und deren Infrastruktur unterliegen.

Architektur-Lösungen zur Eliminierung des CLOUD-Act-Risikos existieren: Kundenseitig verwaltete Verschlüsselungsschlüssel bieten mathematische Garantien, dass erzwungene Offenlegung nur Chiffretext liefert, und britische Bereitstellung eliminiert die US-Jurisdiktion vollständig durch Infrastruktur-Anbieter, die ausschließlich britischem Recht unterliegen. Diese Lösungen verhindern US-Anordnungen nicht – sie machen sie irrelevant, da keine US-Partei über Daten oder Schlüssel verfügt, die eine sinnvolle Umsetzung ermöglichen.

Jurisdiktion entscheidet, wer im Konfliktfall letztlich den Datenzugriff kontrolliert. Britische Organisationen, die echte Datensouveränität verlangen, müssen erkennen, dass die Jurisdiktion des Infrastruktur-Anbieters den Datenschutz stärker bestimmt als die Geografie der Daten – und dass nur architektonische Entscheidungen, die die US-Jurisdiktion eliminieren, britische Datenschutzpflichten erfüllen und ausländische Regierungsanforderungen an mathematischer und juristischer Unmöglichkeit scheitern lassen. Daten bei US-Anbietern bleiben immer dem CLOUD Act unterworfen – Datensouveränität erfordert die Wahl britischer Jurisdiktion durch Architektur, die US-Recht inapplicabel macht.

Wie Kiteworks das CLOUD-Act-Risiko für britische Organisationen eliminiert

Kiteworks bietet durch architektonisches Design vollständige Immunität gegenüber dem CLOUD Act, indem es vollständig außerhalb der US-Jurisdiktion betrieben wird. Bei On-Premises-Betrieb in britischen Einrichtungen oder über britische Cloud-Anbieter existiert Kiteworks als britische Infrastruktur, die ausschließlich britischem Recht unterliegt – CLOUD-Act-Anfragen können britische Rechtsträger ohne US-Unternehmensbindung nicht erreichen. Kundeneigene Verschlüsselungsschlüssel ohne Anbieterzugriff bieten zusätzliche mathematische Sicherheit: Selbst wenn ein Zwang möglich wäre, blieben die offengelegten Daten ohne kundenseitige Schlüssel unverständlich.

FIPS 140-3 Level 1-validierte Verschlüsselungsalgorithmen kombiniert mit S/MIME, OpenPGP und TLS 1.3 schützen Daten während ihres gesamten Lebenszyklus durch eine Verschlüsselungsarchitektur, bei der Kiteworks niemals Klartext oder Schlüssel besitzt. Flexible Bereitstellungsoptionen
– On-Premises im eigenen Rechenzentrum, britische Private Cloud oder Air-Gap-Umgebung – verhindern Multi-Tenant-Vermischung und sichern vollständige Freiheit von US-Jurisdiktion – unabhängig vom Bereitstellungsmodell. Granulares Geofencing blockiert Authentifizierung aus US-IP-Adressen, während juristische Zugriffskontrollen sicherstellen, dass nur britisches Personal auf sensible Systeme zugreifen kann.

Das einheitliche Private Data Network erweitert den CLOUD-Act-Schutz auf alle Kommunikationskanäle: Filesharing, SFTP, Managed File Transfer, E-Mail und Web-Formulare laufen über britische Architektur, auf die US-Recht keinen Zugriff hat. Ein umfassendes CISO-Dashboard bietet Transparenz über alle Dateibewegungen mit SysLog-Integration in SIEM-Lösungen, während Compliance-Berichte DSGVO-Compliance und Erfüllung der ICO-Leitlinien durch Architektur ohne ausländischen Zugriff nachweisen.

Kiteworks ermöglicht britischen Organisationen die Erfüllung von Vertraulichkeitsanforderungen im Finanzsektor und Sicherheitsstandards für Regierungsauftragnehmer durch juristische Unabhängigkeit, die US-Cloud-Anbieter nicht bieten können. Wenn US-Behörden CLOUD-Act-Anfragen stellen, erreichen sie nur US-Anbieter – nicht britische Organisationen, die Kiteworks innerhalb britischer Jurisdiktion betreiben, wo US-Recht keine Gültigkeit hat.

Erfahren Sie mehr über den Schutz britischer Daten vor CLOUD-Act-Risiken und vereinbaren Sie eine individuelle Demo.

Weitere Ressourcen

• Blogbeitrag  
  Datensouveränität: Best Practice oder regulatorische Pflicht?
• eBook  
  Datensouveränität und DSGVO
• Blogbeitrag  
  Diese Fallstricke der Datensouveränität vermeiden
• Blogbeitrag  
  Best Practices für Datensouveränität
• Blogbeitrag  
  Datensouveränität und DSGVO [Verstehen von Datensicherheit]