← Blog

CLOUD Act und EU-Daten erklärt: die rechtliche Hintertür, die US-Anbieter nicht schließen können

CLOUD Act und EU-Daten erklärt: die rechtliche Hintertür, die US-Anbieter nicht schließen können

US-KI-Unternehmen reden viel über EU-Rechenzentren, GDPR-Konformität und wasserdichte Auftragsverarbeitungsverträge. Was sie selten erwähnen: den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) – ein US-Gesetz, das eine rechtliche Hintertür schafft, die kein Vertrag und kein Rechenzentrumstandort schließen kann.

Die Beziehung zwischen CLOUD Act und EU-Daten ist grundlegend kaputt. Wenn Sie KI-Tools für Ihr europäisches Unternehmen evaluieren (wobei wir Unternehmen bei Dentro unterstützen), müssen Sie verstehen, warum „in Europa gehostet“ nicht dasselbe ist wie „durch europäisches Recht geschützt“.

Was der CLOUD Act tatsächlich bewirkt

Der CLOUD Act wurde im März 2018 zu US-Recht. Kurz gesagt: Wenn Sie ein US-Unternehmen sind, müssen Sie Daten herausgeben, wenn die Regierung danach fragt. Es spielt keine Rolle, wo die Daten physisch liegen. Ihre Server könnten auf dem Mond stehen. Kontrolliert ein US-Unternehmen die Daten, kann die US-Strafverfolgung sie verlangen.

2013 sagte Microsoft den Behörden „Nein“, als diese E-Mails auf Servern in Irland wollten. Microsoft argumentierte, US-Durchsuchungsbefehle enden an der Grenze. Der Fall zog sich jahrelang hin und landete schließlich vor dem Supreme Court. Bevor das Gericht entscheiden konnte, änderte der Kongress einfach das Gesetz. Der CLOUD Act machte es glasklar: US-Gerichtsbarkeit folgt dem Unternehmen, nicht dem Standort der Server.

In der Praxis: Microsoft Azure mit Rechenzentren in Deutschland —> CLOUD Act gilt. Amazon Web Services in Stockholm —> CLOUD Act gilt. Google Cloud in Belgien —> dasselbe Spiel. OpenAI verarbeitet Ihre Prompts irgendwo in der EU —> gleiche Regel. Der physische Standort der Server bietet Ihnen rechtlich null Schutz.

Und der Anwendungsbereich ist ziemlich weit. Gespeicherte Kommunikation, Metadaten, Dokumente, Fotos – im Grunde jeder digitale Datensatz. Schlimmer noch: Anders als bei GDPR-Anfragen, bei denen Sie zumindest wissen, was passiert, kommen CLOUD-Act-Befehle oft mit sogenannten Gag Orders. Der Anbieter darf Ihnen dann buchstäblich nicht mitteilen, dass auf Ihre Daten zugegriffen wurde. Ernsthaft.

Warum „EU-Rechenzentrum“-Versprechen irreführen sind

„Ihre Daten verlassen nie die EU“, „Vollständig GDPR-konform“, „Europäische Datenresidenz garantiert“. Solche Claims sehen Sie überall. Prüfen Sie es selbst mit unserem Privacy Policy Analyzer für jedes KI-Tool, das Sie in Betracht ziehen. Sie können technisch wahr und zugleich über Ihr tatsächliches Risiko tief irreführend sein.

Datenresidenz heißt: Ihre Daten liegen an einem bestimmten Ort. Mehr nicht. Es sagt nichts darüber, wer rechtlich auf diese Daten zugreifen darf. Ein US-Unternehmen mit EU-Rechenzentren bleibt ein US-Unternehmen. Die Server stehen vielleicht in Frankfurt, aber die rechtlichen Pflichten folgen der Delaware-Eintragung.

GDPR-Konformität ist ein völlig separates Thema. Wenn ein US-Anbieter sagt, er sei GDPR-konform, meint er: Er hält europäische Regeln für die Verarbeitung Ihrer Daten ein. Er meint nicht, dass Ihre Daten vor Zugriff durch die US-Regierung geschützt sind. Das sind verschiedene Fragen – und das Marketing vermischt sie absichtlich.

Diese Vermischung ist kein Zufall. US-Cloud-Anbieter haben jahrelang europäische Rechenzentrums-Infrastruktur aufgebaut, um „Datensouveränität“-Bedenken zu adressieren. Marketingkampagnen betonen lokale Speicherung und lokale Teams. Alles soll Sie geschützt fühlen lassen – und den Elefanten im Raum ausblenden: Die amerikanische Eintragung bedeutet, dass amerikanisches Recht weiter gilt.

Verträge helfen auch nicht. Ein Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen und einem US-Anbieter kann Bundesrecht nicht außer Kraft setzen. Kommt ein Bundesbefehl, muss der Anbieter nachkommen oder drohen Strafen wegen Missachtung. Ihr Vertrag ist irrelevant. Standardvertragsklauseln und andere Rechtsrahmen scheitern am selben Grundproblem: Es sind private Vereinbarungen, die staatliche Autorität nicht überstimmen können.

Der unlösbare Rechtskonflikt

US-Unternehmen mit europäischen Kunden stecken in einem echten rechtlichen Albtraum. Die GDPR verbietet die Übermittlung personenbezogener Daten in Drittländer ohne angemessenen Schutz. Der CLOUD Act verlangt die Herausgabe an US-Behörden auf Anordnung. Beide Gesetze haben empfindliche Strafen bei Verstößen. Es gibt keine Lösung, die beides erfüllt.

Ein konkretes Szenario: Ein US-KI-Anbieter speichert Kundendaten in seinem Frankfurter Rechenzentrum. Das FBI stellt einen Befehl im Zusammenhang mit einem Ihrer Kunden aus. Der Anbieter hat zwei schlechte Optionen: dem Befehl nachkommen und wahrscheinlich die GDPR verletzen (Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes – je nachdem, was höher ist) – oder ablehnen und wegen Missachtung vor einem US-Bundesgericht landen.

US-Unternehmen bleiben US-Unternehmen. Zwischen europäischen Vorschriften und US-Bundesrecht wählen sie den Befehl. Vielleicht informieren sie Sie danach – vielleicht auch nicht, weil eine Gag Order das verbietet. So oder so: Die Daten sind weg.

Manche Anbieter haben kreative Lösungen versucht. Microsoft testete „Data Trustee“-Modelle in Deutschland, bei denen ein lokaler Partner technisch den Zugriff kontrollierte. Kompliziert, teuer – und irgendwann eingestellt. Andere experimentierten mit Verschlüsselung, bei der der Kunde die Schlüssel hält. Mehr Reibung, weniger Funktion – und oft leise aufgegeben, wenn Nutzer über die Usability meckern.

Was CLOUD-Act-Risiken für EU-Daten für Ihr Unternehmen bedeuten

Denken Sie an alles, was durch Ihre KI-Systeme und die übrige Software fließt:

  • Kundensupport-Gespräche mit persönlichen Details
  • Interne Dokumente zu Strategie und Finanzen
  • Vertragsprüfungen mit vertraulichen Konditionen
  • HR-Daten zu Mitarbeitenden
  • Forschungs- und Entwicklungsinformationen
  • Wettbewerbsrelevante Erkenntnisse

All das und mehr kann im Rahmen einer CLOUD-Act-Anfrage zugänglich werden.

Und falls Sie jetzt denken: „Ok, aber das FBI kommt doch nicht wegen mir“ – die Anfragen richten sich nicht immer direkt an Sie. Ihre Daten können in einer Ermittlung gegen jemand ganz anderen mitgerissen werden. Ein Kunde unter Beobachtung, ein ehemaliger Mitarbeiter, ein Geschäftspartner. Der Befehl kann „alle Kommunikation mit Person X“ verlangen – und plötzlich liegen Ihre vertraulichen Geschäftsdaten bei den Bundesbehörden.

Unter der GDPR bleiben Sie Verantwortlicher für das Schicksal der personenbezogenen Daten, die Sie erheben. Gibt Ihr US-Anbieter Kundendaten ohne gültige EU-Rechtsgrundlage an US-Behörden weiter, drohen Beschwerden und Bußgelder. Die Verteidigung „wir nutzten einen GDPR-konformen Anbieter“ trägt nicht. Sie kannten den CLOUD Act. Sie wählten trotzdem einen Anbieter mit widersprüchlichen Pflichten.

In regulierten Branchen ist das Risiko noch größer. Gesundheitsdaten, Finanzunterlagen, anwaltliche Kommunikation – alles mit spezifischen Schutzanforderungen nach europäischem Recht. US-Anbieter für KI-Verarbeitung solcher Daten bedeuten: Diese Schutzmechanismen können über einen Prozess umgangen werden, den Sie nie sehen und nicht anfechten können. Ihr Compliance-Team sollte hier harte Fragen stellen.

Die einzige echte Lösung

Es gibt genau einen Weg, Schutz vor CLOUD-Act-Anfragen zu garantieren: Anbieter nutzen, die gar nicht der US-Gerichtsbarkeit unterliegen. Keine EU-Rechenzentren eines US-Konzerns. Keine europäischen Tochtergesellschaften amerikanischer Tech-Giganten. Wirklich europäisches Eigentum und Infrastruktur von Anfang bis Ende.

Ein in Europa eingetragenes Unternehmen, im Besitz europäischer Anteilseigner, ohne US-Muttergesellschaft und ohne kontrollierende US-Investoren, kann schlicht keine CLOUD-Act-Anfrage erhalten. Das Gesetz gilt nicht. Es gibt keinen Konflikt – weil keine US-Gerichtsbarkeit, die einen schafft.

Verschlüsselung, Zugriffskontrollen und übliche Sicherheitsmaßnahmen schützen vor Hackern und Insidern. Gegen eine rechtliche Anordnung mit Bundesgewalt helfen sie nicht. Der Anbieter hat die Schlüssel – und wenn das Gesetz es verlangt, nutzt er sie. Der Schutz, der wirklich hält, ist strukturell: außerhalb der Gerichtsbarkeit zu stehen, die die Anfrage stellt.

Genau deshalb haben wir DentroChat gebaut. Wir wollten bieten, was US-Alternativen nicht können: echten europäischen Datenschutz ohne Marketingversprechen oder vertragliche Workarounds. Unsere Server stehen in Deutschland. Unsere Cloud-Anbieter sind europäische Unternehmen ohne US-Gerichtsbarkeit. Keine amerikanische Muttergesellschaft, keine US-Investoren mit Kontrollrechten, kein rechtlicher Haken, der uns in den CLOUD Act zieht.

Mit DentroChat gilt der CLOUD Act schlicht nicht. Solche Anfragen können an uns rechtlich gar nicht erst gerichtet werden. Europäische KI-Anbieter können Rechtssicherheit bieten, die US-Anbieter strukturell nicht erreichen.

Das grundlegende CLOUD-Act-EU-Daten-Problem lässt sich nicht mit besseren Datenschutzerklärungen oder stärkeren Verträgen lösen. Nur mit Anbietern, die vollständig außerhalb der US-Gerichtsbarkeit liegen. Das ist die einzige Antwort, die wirklich funktioniert.