Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie der EU Data Act und die DSGVO mit den Datenzugriffsanforderungen des US CLOUD Act kollidieren – und was das für die Datensouveränität bedeutet

Wie der EU Data Act und die DSGVO mit den Datenzugriffsanforderungen des US CLOUD Act kollidieren – und was das für die Datensouveränität bedeutet

von Robert Dougherty updated März 9, 2026 DSGVO-Compliance
Lesezeit: 10 Minuten

Wenn Sie nach „EU Cloud Act“ suchen, finden Sie Hunderte von Treffern – Artikel, Compliance-Leitfäden und Anbieter-Erklärungen, die sich alle auf ein Gesetz beziehen, das es in dieser Form gar nicht gibt. Die Europäische Union hat kein Gesetz mit diesem Namen. Was sie jedoch hat, ist eine Rechtsarchitektur, die dem US-amerikanischen CLOUD Act in der Frage, wer Zugriff auf in Europa gespeicherte Daten kontrolliert, direkt und bewusst widerspricht: den EU Data Act (in Kraft seit Januar 2024, anwendbar ab September 2025), der explizite Regelungen zur Blockierung unrechtmäßigen Zugriffs von Drittstaaten-Regierungen auf nicht-personenbezogene Daten enthält; und die DSGVO, die seit 2018 dieselbe Frage für personenbezogene Daten regelt.

Die Verwirrung um die Begrifflichkeiten ist relevant, weil sie eine wichtigere Wahrheit verschleiert: Der Rechtskonflikt zwischen europäischen und amerikanischen Datenzugriffsregimen ist real, strukturell und ungelöst – mit direkten Konsequenzen für jedes Unternehmen, das Daten in Europa auf US-kontrollierter Infrastruktur speichert oder verarbeitet. Das Verständnis der tatsächlich relevanten Instrumente ist der Ausgangspunkt, um zu verstehen, was echte Compliance bei Datensouveränität erfordert.

Executive Summary

Kernaussage: Der US-amerikanische CLOUD Act (2018) verpflichtet US-Unternehmen, auf Anforderung der US-Regierung alle von ihnen kontrollierten Daten herauszugeben – unabhängig davon, wo diese gespeichert sind. Der EU Data Act (anwendbar ab September 2025) verlangt von Cloud-Anbietern in der EU, technische und organisatorische Maßnahmen zu implementieren, die unrechtmäßigen Zugriff von Nicht-EU-Regierungen auf in Europa gespeicherte nicht-personenbezogene Daten verhindern – und Zugriffsanfragen, die gegen EU-Recht verstoßen, aktiv anzufechten. Kapitel V der DSGVO und die Anforderungen nach Schrems II übertragen diese Logik auf personenbezogene Daten. Diese Regelwerke erzeugen nicht nur Compliance-Spannungen – sie verpflichten US-Cloud-Anbieter in Europa zu diametral entgegengesetzten Handlungen. Die Lösung ist architektonisch: Kundengesteuerte Verschlüsselung mit Schlüsseln außerhalb der US-Infrastruktur macht den Anbieter technisch unfähig, einer Entschlüsselungsanforderung nachzukommen – und erfüllt so beide Rechtssysteme gleichzeitig.

Warum das relevant ist: Der EU Data Act gilt für jedes Unternehmen, das Cloud- oder Datenverarbeitungsdienste in der EU anbietet – unabhängig vom Hauptsitz – und ist ab September 2025 anwendbar. US-Cloud-Anbieter mit EU-Kunden sind nun gesetzlich verpflichtet, Maßnahmen zu ergreifen, die unrechtmäßigen US-Zugriff auf in der EU gespeicherte Daten verhindern. Organisationen, die für EU-Daten auf US-basierte Cloud-Infrastruktur ohne architektonische Souveränitätskontrollen setzen, verstoßen gleichzeitig gegen US-Recht (wenn sie legitime CLOUD Act-Anforderungen blockieren) oder gegen EU-Recht (wenn sie diesen nachkommen). Nur die Architektur löst dieses Dilemma.

wichtige Erkenntnisse

  1. Es gibt keinen „EU Cloud Act“ – die relevanten Instrumente sind der EU Data Act und die DSGVO. Kapitel VII des EU Data Act regelt den unrechtmäßigen Zugriff von Drittstaaten-Regierungen auf in der EU gespeicherte nicht-personenbezogene Daten. Kapitel V der DSGVO und die Leitlinien nach Schrems II betreffen personenbezogene Daten. Zusammen bilden sie die rechtliche Antwort der EU auf den US CLOUD Act – sind aber eigenständige Instrumente mit unterschiedlichen Anwendungsbereichen, Datenkategorien und Durchsetzungsmechanismen.
  2. Der US CLOUD Act und der EU Data Act verpflichten US-Anbieter zu entgegengesetzten Handlungen. Der CLOUD Act verlangt die Herausgabe von Daten auf Anforderung der US-Regierung – unabhängig vom Speicherort. Der EU Data Act verlangt von denselben Anbietern, solchen Zugriff zu verhindern, wenn er nach EU-Recht unzulässig ist, und entsprechende Anforderungen aktiv anzufechten. Ein Anbieter kann nicht beiden gleichzeitig nachkommen, wenn US-Recht die Offenlegung verlangt, die nach EU-Recht verboten ist.
  3. Der Konflikt betrifft unterschiedliche Datenkategorien unter verschiedenen Regelwerken. Kapitel VII des EU Data Act betrifft nicht-personenbezogene Daten. Kapitel V der DSGVO und Schrems II betreffen personenbezogene Daten. Für jedes Unternehmen mit beiden Datentypen in EU-Infrastruktur – also praktisch jedes Unternehmen – gelten beide Instrumente gleichzeitig für den gesamten Datenbestand.
  4. Kundengesteuerte Verschlüsselung ist die architektonische Lösung für beide Konflikte. Wenn ein US-Anbieter keinen Zugriff auf die Verschlüsselungsschlüssel für in der EU gespeicherte Daten hat, kann er bei einer CLOUD Act-Anforderung keine lesbaren Inhalte liefern – erfüllt damit den Standard der technischen Unmöglichkeit – und zugleich die Vorgabe des EU Data Act, effektiven ausländischen Zugriff technisch zu verhindern.
  5. Die Cloud-Switching-Regeln des EU Data Act senken die Kosten für souveräne Migration. Da Anbieter verpflichtet werden, einen Wechsel mit zweimonatiger Kündigungsfrist zu ermöglichen und Wechselgebühren bis Januar 2027 abzuschaffen, senkt der EU Data Act gezielt die wirtschaftlichen Hürden für die Migration von US-kontrollierter Cloud-Infrastruktur zu souveränen europäischen Alternativen.

Was der US CLOUD Act tatsächlich verlangt

Der Clarifying Lawful Overseas Use of Data Act (2018) legt fest, dass US-Unternehmen Daten, die sie kontrollieren, unabhängig vom Speicherort auf rechtmäßige Anforderung der US-Regierung herausgeben müssen – auch wenn diese in europäischen Rechenzentren liegen. Entscheidend ist die Unternehmenszugehörigkeit, nicht der Standort. Eine Anforderung an den US-Hauptsitz eines Anbieters verpflichtet zur Herausgabe von Daten aus Frankfurt, Amsterdam oder Dublin. Der Speicherort ist irrelevant; entscheidend ist, dass der Anbieter als US-Unternehmen US-Recht unterliegt.

Der CLOUD Act enthält einen Mechanismus für Anbieter, Anforderungen anzufechten: US-Anbieter können versuchen, eine Anforderung abzuändern oder aufzuheben, wenn der Kunde keine US-Person ist und die Erfüllung gegen das Recht eines qualifizierten ausländischen Staates verstoßen würde. In der Praxis ist dieser Mechanismus jedoch begrenzt – er gilt nur in engen Fällen, erfordert aktives juristisches Handeln des Anbieters und setzt die Pflicht zur Herausgabe während des Verfahrens nicht aus. Er bietet keinen wirksamen Schutz für EU-Datensouveränität. Europäische Rechenzentrumsadressen ändern die Geografie, aber nicht die Gerichtsbarkeit.

Was der EU Data Act verlangt – und wo der Konflikt liegt

Der EU Data Act (Verordnung (EU) 2023/2854), der im Januar 2024 in Kraft trat und ab September 2025 anwendbar ist, ist in erster Linie eine Regulierung für Datenaustausch und Cloud-Wechsel – aber Kapitel VII enthält die für Souveränität wichtigsten Regelungen. Kapitel VII verpflichtet Cloud- und Datenverarbeitungsdienste in der EU, „technische, rechtliche und organisatorische Maßnahmen“ zu ergreifen, um unrechtmäßigen Zugriff von Nicht-EU-Regierungen auf in der EU gespeicherte nicht-personenbezogene Daten zu verhindern, sofern dieser nach EU- oder nationalem Recht unzulässig wäre.

Erhält ein Anbieter eine Zugriffsanfrage einer Drittstaaten-Regierung – einschließlich einer CLOUD Act-Anforderung – muss er prüfen, ob die Anfrage begründet, spezifisch und verhältnismäßig ist und ob sie mit EU-Recht oder internationalen Abkommen kollidiert. Bei einem Konflikt muss der Anbieter die Anforderung anfechten oder abändern lassen. Ist eine Offenlegung unvermeidbar, darf nur das absolut notwendige Minimum an Daten mit Schutzmaßnahmen übermittelt werden. Anbieter müssen zudem öffentlich machen, welche technischen Maßnahmen sie zum Schutz vor unrechtmäßigem Zugriff ergriffen haben und wo sich ihre IKT-Infrastruktur befindet – das schafft Transparenz: EU-Kunden und Aufsichtsbehörden können überprüfen, ob die Souveränitätsarchitektur eines Anbieters echt ist oder nur behauptet wird.

Der Konflikt mit dem CLOUD Act ist unmittelbar. Eine CLOUD Act-Anforderung für nicht-personenbezogene Daten in der EU ist genau das Szenario, das Kapitel VII zur Anfechtung verpflichtet. Der Anbieter kann nicht beiden nachkommen: Die Erfüllung der CLOUD Act-Anforderung kann gegen den EU Data Act verstoßen; eine Anfechtung zur Einhaltung des EU Data Act kann den Anbieter US-rechtlichen Konsequenzen aussetzen.

Die Rolle der DSGVO: Die Dimension personenbezogener Daten

Während Kapitel VII des EU Data Act nicht-personenbezogene Daten betrifft, regelt Kapitel V der DSGVO seit 2018 den entsprechenden Konflikt für personenbezogene Daten. Das Schrems II-Urteil (2020) hat diese Regelung zu einer direkten Konfrontation mit dem US-Überwachungsrecht verschärft: Standardvertragsklauseln für Übermittlungen an US-Anbieter sind nur dann zulässig, wenn die Daten tatsächlich vor US-Zugriff geschützt sind – das erfordert Transfer Impact Assessments, die CLOUD Act- und FISA 702-Risiken ehrlich bewerten, und technische Zusatzmaßnahmen bei identifiziertem Risiko. Die Empfehlungen 01/2020 des EDPB nennen kundengesteuerte Verschlüsselung mit Schlüsseln außerhalb der Anbieterinfrastruktur als primäre technische Maßnahme. Österreichische, französische und italienische Aufsichtsbehörden haben entschieden, dass bestimmte US-Cloud-Modelle gegen die DSGVO verstoßen – und damit faktisch festgestellt, dass CLOUD Act-Exponierung ohne ausreichende technische Absicherung einen DSGVO-Verstoß darstellt.

Die kombinierte Wirkung ist umfassend: Personenbezogene Daten in EU-Infrastruktur sind durch DSGVO und Schrems II geschützt; nicht-personenbezogene Daten durch Kapitel VII des EU Data Act. Für Unternehmen mit beiden Datentypen – also praktisch jedes Unternehmen – gelten beide Instrumente gleichzeitig für den gesamten Datenbestand.

Warum sich der Konflikt nicht allein vertraglich lösen lässt

Die Standardreaktion auf diesen Konflikt war bislang vertraglich: US-Anbieter schließen Datenverarbeitungsverträge, in denen sie zusichern, EU-Daten nicht ohne rechtliche Verpflichtung offenzulegen, sich verpflichten, überzogene Anforderungen anzufechten, und Benachrichtigungsprozesse anbieten, sofern zulässig. Diese Zusagen sind nicht bedeutungslos – sie schaffen rechtliche und reputationsbezogene Verpflichtungen. Sie lösen jedoch nicht den Grundkonflikt, denn Verträge binden die Parteien untereinander; sie setzen aber nicht die gesetzlichen Pflichten außer Kraft, die jede Partei gegenüber souveränen Staaten hat.

Geht eine gültige CLOUD Act-Anforderung ein, ändert die vertragliche Zusage des US-Anbieters an den EU-Kunden nichts an seiner gesetzlichen Pflicht gegenüber der US-Regierung. Der Anbieter muss nachkommen – oder US-rechtliche Konsequenzen riskieren. Die zuständige Aufsichtsbehörde des EU-Kunden kann dann feststellen, dass der vertragliche Schutz nach Schrems II oder EU Data Act nicht ausreichte. Das Problem ist nicht vertraglich – es ist juristisch-territorial.

Der EU Data Act verbessert mit seinem Anfechtungsmechanismus den Status quo, indem Anbieter verpflichtet werden, unrechtmäßige Anforderungen aktiv anzufechten – aber die Spannung bleibt bestehen. Anfechtungen kosten Zeit, haben ungewissen Ausgang und setzen die Offenlegungspflicht währenddessen nicht aus. Die strukturelle Lösung ist architektonisch: Kundengesteuerte Verschlüsselung, bei der der EU-Kunde die Schlüssel in eigener europäischer Infrastruktur hält und der US-Anbieter niemals Entschlüsselungsmöglichkeiten besitzt. Eine CLOUD Act-Anforderung liefert nur Chiffretext – Daten, die der Anbieter rechtlich herausgibt, aber nicht sinnvoll offenlegen kann. Die technische Maßgabe des EU Data Act ist erfüllt. Die Zusatzmaßnahmen der DSGVO nach Schrems II sind erfüllt. Die CLOUD Act-Anforderung ist technisch erfüllt. Alles gleichzeitig – durch Architektur.

Was das für Datensouveränität in der Praxis bedeutet

Der Konflikt EU Data Act/DSGVO versus CLOUD Act macht Datensouveränität zu einer architektonischen Eigenschaft statt zu einem Compliance-Checkbox. Souveränität wird nicht erreicht, indem man einem Anbieter vertraut, der Schutz verspricht – sondern indem man eine Architektur nutzt, bei der der Anbieter technisch gar nicht in der Lage ist, dieses Versprechen zu brechen, weil er nie Zugriff hatte.

Für Unternehmen, die ihre EU-Dateninfrastruktur bewerten, ergeben sich daraus vier praktische Maßnahmen. Single-Tenant-Bereitstellung in Europa – dedizierte Infrastruktur in einem EU-Rechenzentrum über einen europäischen Cloud-Anbieter oder eigene Infrastruktur, nicht über die EU-Region eines US-Hyperscalers – trennt EU-Daten von US-Kontrolle. Kundengesteuerte Verschlüsselung mit Schlüsseln im eigenen HSM des EU-Kunden schließt die CLOUD Act-Lücke. Richtlinienbasierte Geofencing stellt sicher, dass Datenresidenz technisch durchgesetzt wird – die Transparenzanforderungen des EU Data Act entlarven nicht durchsetzbare Geofencing-Versprechen. Und unveränderbare Audit-Trails liefern die Nachweise, die sowohl der EU Data Act als auch die DSGVO für die Rechenschaftspflicht verlangen.

Die Cloud-Switching-Regeln des EU Data Act fügen eine wirtschaftliche Dimension hinzu: Kündigungsrechte mit zweimonatiger Frist und die Abschaffung von Wechselgebühren bis Januar 2027 senken gezielt die Kosten für die Migration von US-kontrollierter Infrastruktur zu souveränen Alternativen – und machen die architektonische Souveränitätsoption zugänglicher, gerade wenn die rechtlichen Konsequenzen akuter werden.

Wie Kiteworks den Rechtskonflikt architektonisch löst

Den „EU Cloud Act“ gibt es nicht – aber der Rechtskonflikt, den er beschreibt, ist real und nun voll wirksam. Kapitel VII des EU Data Act und Kapitel V der DSGVO stellen gemeinsam sicher, dass in der EU gespeicherte Daten – personenbezogen und nicht-personenbezogen – durch Instrumente geschützt sind, die den Offenlegungspflichten des US CLOUD Act direkt widersprechen. US-Cloud-Anbieter stehen vor gegensätzlichen rechtlichen Verpflichtungen, die sich vertraglich nicht auflösen lassen und durch Anfechtungsverfahren nur teilweise abgemildert werden können.

Die Lösung ist architektonische Souveränität: Kundengesteuerte Verschlüsselungsschlüssel in europäischer Infrastruktur, Single-Tenant-Bereitstellung in der EU außerhalb US-Kontrolle und technisches Geofencing, das Datenresidenz nachweisbar macht. Kiteworks liefert diese Architektur – Ihre Daten, Ihre Gerichtsbarkeit, Ihre Schlüssel – und macht den Rechtskonflikt für Anbieter technisch obsolet und für die betroffenen Organisationen tatsächlich schützend.

Kiteworks bietet die architektonische Lösung, die der EU Data Act und die DSGVO-Anforderungen nach Schrems II verlangen – und die das CLOUD Act-Paradoxon notwendig macht.

Das Kiteworks Private Data Network wird als dedizierte Single-Tenant-Instanz am vom EU-Kunden gewählten europäischen Standort bereitgestellt – On-Premises, über einen europäischen Cloud-Anbieter oder Kiteworks-gehostete EU-Infrastruktur. Keine Verarbeitung von EU-Kundendaten in den USA. Kundengesteuerte Verschlüsselung (BYOK/BYOE) mit FIPS 140-3 Level 1-validierter Verschlüsselung und AES-256 im ruhenden Zustand bedeutet, dass Kiteworks niemals Kundenschlüssel hält. Eine CLOUD Act-Anforderung an Kiteworks liefert nur Chiffretext – technisch konforme Offenlegung, die nichts Lesbares preisgibt. Die technische Maßgabe des EU Data Act ist erfüllt. Die Zusatzmaßnahmen der DSGVO nach Schrems II sind erfüllt. Die CLOUD Act-Verpflichtung ist erfüllt. Alles gleichzeitig – durch Architektur.

Richtlinienbasiertes Geofencing hält Inhalte auf Infrastrukturebene innerhalb definierter EU-Regionen. Zero trust-Sicherheitskontrollen steuern jeden Zugriff, jede Interaktion wird im unveränderbaren Audit-Trail über das CISO Dashboard dokumentiert. Vorgefertigte Compliance-Berichte für DSGVO, NIS 2, DORA und ISO 27001 liefern den regulatorischen Nachweis, wenn Aufsichtsbehörden oder Kunden fragen, wie der CLOUD Act-Konflikt gelöst wurde. Alle Kanäle – E-Mail, Filesharing, Managed File Transfer, Web-Formulare, APIs – werden auf einer Plattform mit konsistenten Souveränitätskontrollen verwaltet.

Erfahren Sie, wie Kiteworks den Konflikt zwischen EU Data Act und DSGVO mit CLOUD Act-Anforderungen aus den USA löst – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Es gibt kein EU-Gesetz mit dem Namen „Cloud Act“. Der Begriff wird zwar häufig verwendet, bezieht sich aber auf zwei unterschiedliche Instrumente: den EU Data Act (anwendbar ab September 2025), dessen Kapitel VII Cloud-Anbieter in der EU verpflichtet, unrechtmäßigen Zugriff von Nicht-EU-Regierungen auf nicht-personenbezogene Daten zu verhindern und widersprechende Zugriffsanfragen anzufechten; sowie Kapitel V der DSGVO mit dem Transfer Impact Assessment nach Schrems II, das dies für personenbezogene Daten regelt. Zusammen bilden sie die rechtliche Antwort der EU auf den US CLOUD Act – aber beide haben unterschiedliche Anwendungsbereiche, Durchsetzungsmechanismen und Datenkategorien, was für die Compliance entscheidend ist.

Der US CLOUD Act verpflichtet US-Unternehmen, alle von ihnen kontrollierten Daten auf rechtmäßige Anforderung der US-Regierung herauszugeben – unabhängig vom Speicherort. Kapitel VII des EU Data Act verpflichtet Cloud-Anbieter in der EU, unrechtmäßigen Zugriff von Nicht-EU-Regierungen auf in der EU gespeicherte nicht-personenbezogene Daten zu verhindern – und solche Anforderungen anzufechten, statt ihnen nachzukommen. Eine gültige CLOUD Act-Anforderung für nicht-personenbezogene EU-Daten ist genau das Szenario, das Kapitel VII zur Anfechtung verpflichtet. Der Anbieter kann nicht beiden gleichzeitig nachkommen: Die Erfüllung der CLOUD Act-Anforderung kann gegen den EU Data Act verstoßen; eine Anfechtung zur Einhaltung des EU Data Act kann US-rechtliche Konsequenzen nach sich ziehen.

Nein – Kapitel VII betrifft ausdrücklich nur nicht-personenbezogene Daten. Für personenbezogene Daten gilt die DSGVO, deren Schrems II-Folgen funktional gleichwertig sind: Kapitel V-Übermittlungsbeschränkungen, Transfer Impact Assessments und die Empfehlungen 01/2020 des EDPB gelten für Übermittlungen an US-kontrollierte Infrastruktur und verlangen kundengesteuerte Verschlüsselung als primäre technische Maßnahme. Für Unternehmen mit personenbezogenen und nicht-personenbezogenen Daten in EU-Infrastruktur – also praktisch jedes Unternehmen – gelten EU Data Act und DSGVO parallel für den gesamten Datenbestand.

Nach Kapitel VII muss der Anbieter prüfen, ob die Anforderung begründet, spezifisch und verhältnismäßig ist – und ob sie mit EU-Recht oder internationalen Abkommen wie Rechtshilfeverträgen kollidiert. Bei einem Konflikt muss er die Anforderung anfechten oder abändern lassen. Ist eine Offenlegung letztlich unvermeidbar, darf nur das absolut notwendige Minimum an Daten mit Schutzmaßnahmen übermittelt werden und betroffene Kunden müssen informiert werden, sofern rechtlich zulässig. Anbieter müssen zudem technische Maßnahmen – einschließlich Verschlüsselung und Zugriffskontrollen – implementieren, um unrechtmäßigen Zugriff zu verhindern, und diese Maßnahmen sowie die Standorte ihrer IKT-Infrastruktur öffentlich machen.

Wenn der EU-Kunde die Verschlüsselungsschlüssel in eigener europäischer Infrastruktur hält und der US-Anbieter sie niemals besitzt, wird der Rechtskonflikt technisch obsolet. Eine CLOUD Act-Anforderung liefert nur Chiffretext – technisch konform (der Anbieter gibt heraus, was er hat), während zugleich die technische Maßgabe des EU Data Act (die Daten sind ohne Schlüssel unlesbar) und die Zusatzmaßnahmen der DSGVO nach Schrems II erfüllt sind. Die von Kiteworks bereitgestellte kundengesteuerte Verschlüsselung mit FIPS 140-3 Level 1-validierter Verschlüsselung liefert diese Architektur für alle Kanäle der Kommunikation sensibler Inhalte – die technische Lösung für einen Rechtskonflikt, den kein Vertrag auflösen kann.

Weitere Ressourcen

Blogbeitrag

  • eBook
    Datensouveränität und DSGVO
  • Blogbeitrag
    Vermeiden Sie diese Fallstricke bei der Datensouveränität
  • Blogbeitrag
    Best Practices für Datensouveränität
  • Blogbeitrag
    Datensouveränität und DSGVO [Verstehen Sie Datensicherheit]

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks