US-Cloudanbieter und Datenschutz:

Was FISA 702, EO 12333 und der CLOUD Act für Ihr

Unternehmen bedeuten

Hintergrund

Viele Unternehmen setzen auf Dienste wie Microsoft 365, US-Cloudspeicher oder US-Kommunikationsdienste. Die Frage ist immer gleich, ob US‑Behörden auf diese Daten zugreifen können, auch wenn die Server in Europa stehen. Die aktuelle Rechtslage in den USA zeigt, dass verschiedene Gesetze weitreichende Zugriffe erlauben. Für europäische Unternehmen ist das wichtig, weil es direkte Folgen für Datentransfers, Standardvertragsklauseln und technische Sicherheitsmaßnahmen hat.

Welche Gesetze werden angewendet?

Die zentralen US‑Gesetze betreffen Überwachung und Herausgabepflichten. FISA 702 erlaubt Überwachungsmaßnahmen gegenüber Personen außerhalb der USA, wenn die Daten bei US Dienstleistern liegen und ein Bezug zur nationalen Sicherheit besteht. Die Anordnung erfolgt nicht pro Person, sondern über eine generelle Zertifizierung.

• Executive Order 12333 erlaubt Geheimdiensten wie der NSA, Daten im Ausland zu sammeln. Die Überwachung kann auch an technischen Schnittstellen stattfinden, zum Beispiel in Kommunikationsnetzen.
• Der Stored Communications Act regelt Herausgabepflichten für Anbieter elektronischer Kommunikationsdienste und Cloudspeicher, sowohl für Inhaltsdaten als auch für Metadaten.
• Der CLOUD Act stellt klar, dass US‑Anbieter Daten herausgeben müssen, auch wenn diese auf Servern außerhalb der USA liegen. Die Konzernstruktur entscheidet, nicht der physische Speicherort.

Bedeutung für Unternehmen

Für Ihr Unternehmen heißt das, dass der Standort der Server allein keinen Schutz bietet. Entscheidend ist, ob der Anbieter einem US-Konzern gehört oder selbst US-Recht unterliegt.
Unternehmen in Deutschland können gegen viele dieser Maßnahmen keinen wirksamen Rechtsbehelf einlegen. Ein Widerspruch ist nur für Staaten möglich, die ein besonderes Abkommen mit den USA geschlossen haben. Deutschland gehört nicht dazu.

Praktische Folgen:

• US-Anbieter unterliegen Überwachungsrechten und Herausgabepflichten
• diese gelten teils extraterritorial, also auch für Daten in der EU
• Unternehmen müssen damit rechnen, dass Behördenzugriffe nicht vollständig ausgeschlossen werden können

Das wirkt sich direkt auf Transfer-Impact-Assessments aus. Auch Standardvertragsklauseln reichen nicht, wenn der Anbieter technisch oder rechtlich nicht verhindern kann, dass US‑Behörden auf Daten zugreifen.

So reagieren Unternehmen richtig

Wichtig ist eine klare Analyse der eigenen Systeme und Dienste.

Beispielsituationen

• Ein Unternehmen nutzt einen US-Cloudspeicher für Kundenakten. Dann greifen FISA 702 und der Stored Communications Act als mögliche Rechtsgrundlagen für Zugriffe.
• Eine SaaS-Anwendung läuft in einem deutschen Rechenzentrum, gehört aber zu einem US-Konzern. Dann kann der CLOUD Act trotz EU-Standort zur Anwendung kommen.

Sinnvolle Schritte

• Bestandsaufnahme aller US-Dienstleister für Hosting, Support und Kommunikation
• Prüfung, ob der Dienst als elektronischer Kommunikationsdienst oder Remote-Computing-Dienst einzuordnen ist
• Transfer-Impact-Assessment mit Bewertung von FISA 702, EO 12333, SCA und CLOUD Act
• starke Verschlüsselung mit Schlüsselhoheit im eigenen Unternehmen oder bei einem europäischen Treuhänder
• Trennung sensibler Daten von US-Diensten
• Auswahl europäischer Anbieter für besonders kritische Datenverarbeitungen

Für Fachbereiche sollte klar sein, dass ein EU-Server nicht automatisch Datenschutzrisiken beseitigt. Die Konzernstruktur und die Anwendbarkeit von US-Recht sind oft entscheidender als der Speicherort.

Unsere Empfehlung

Unternehmen sollten den Einsatz von US-Cloudanbietern gründlich prüfen und die US-Rechtslage ausdrücklich in ihre Risikoanalyse einbeziehen. Wenn möglich, sollten europäische Alternativen genutzt werden, vor allem für sensible Daten. Eine saubere Dokumentation der Maßnahmen und Entscheidungen hilft bei Rückfragen von Aufsichtsbehörden und stärkt die eigene Position.

Sind Sie sich sicher, ob Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks