meetergo

CLOUD Act: Was er für deutsche Unternehmen bedeutet

|5 Min. Lesezeit
Dominik Rapacki
Dominik Rapacki
Dominik Rapacki ist CEO und Gründer von meetergo.com und treibt Innovationen im DSGVO-konformen Terminmanagement voran. Als Experte für SaaS, Vertrieb und Digitalisierung ist er regelmäßig in Podcasts zu Gast.

Viele Unternehmen glauben, ein Server in Frankfurt schütze ihre Daten zuverlässig vor US-Zugriff. Der CLOUD Act zeigt, warum das nicht stimmt: Entscheidend ist nicht, wo die Server stehen, sondern wer den Anbieter kontrolliert. Wer das versteht, trifft bei der Tool-Wahl bessere Entscheidungen.

Das Wichtigste in Kürze

  • Der CLOUD Act ist ein US-Gesetz von 2018, das US-Anbieter zur Herausgabe von Daten an US-Behörden verpflichtet, weltweit.
  • Er greift unabhängig vom Serverstandort. Ein Rechenzentrum in der EU schützt nicht, wenn der Anbieter ein US-Mutterunternehmen hat.
  • Der CLOUD Act steht im Konflikt mit der DSGVO und ist einer der Gründe für das Schrems-II-Urteil.
  • Deutsche Unternehmen senken ihr Risiko, indem sie Anbieter ohne US-Bezug wählen, mit EU-Hosting und Sitz in der EU.
  • Je weniger US-Dienste im Stack, desto kleiner die Angriffsfläche.

Was ist der CLOUD Act?

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Gesetz aus dem Jahr 2018. Es verpflichtet US-amerikanische Anbieter, gespeicherte Daten auf Anordnung an US-Behörden herauszugeben, auch wenn diese Daten außerhalb der USA liegen.

Das Gesetz entstand als Reaktion auf einen Rechtsstreit zwischen Microsoft und der US-Regierung über Daten, die in Irland gespeichert waren. Vor dem CLOUD Act war unklar, ob US-Behörden auf Daten im Ausland zugreifen dürfen. Seither ist die Antwort eindeutig: Ja, wenn der Anbieter US-Recht unterliegt. Details zum Gesetz fasst der Eintrag zum CLOUD Act zusammen.

Wichtig ist die Reichweite: Der CLOUD Act knüpft an den Anbieter an, nicht an den Speicherort. Damit fällt jedes Unternehmen mit US-Bezug darunter, vom Konzern bis zur US-Tochter.

Wen betrifft der CLOUD Act?

Betroffen ist jeder Anbieter, der US-Recht unterliegt, also US-Unternehmen und ihre Töchter weltweit. Für deine Daten heißt das: Sobald du einen Dienst nutzt, dessen Mutterkonzern in den USA sitzt, kann der CLOUD Act greifen, selbst wenn der Vertrag mit einer europäischen Niederlassung läuft und die Server in Europa stehen.

Das betrifft die meisten großen Cloud- und Software-Anbieter. Eine europäische Niederlassung oder ein EU-Rechenzentrum ändert daran nichts, solange die Konzernmutter US-Recht unterliegt. Genau diese Konstellation macht den Serverstandort als alleiniges Kriterium wertlos.

Nicht betroffen sind Anbieter ohne US-Bezug: ein Unternehmen mit Sitz in der EU, ohne US-Mutter und ohne US-Tochter, kann vom CLOUD Act nicht zur Herausgabe gezwungen werden.

CLOUD Act, DSGVO und Schrems II: wo ist der Konflikt?

Der CLOUD Act kollidiert direkt mit der DSGVO. Die DSGVO verbietet die Weitergabe personenbezogener Daten an Drittländer ohne angemessenes Schutzniveau. Der CLOUD Act verlangt aber genau diese Weitergabe, sobald eine US-Behörde sie anordnet. Ein Anbieter unter US-Recht kann also in eine Lage geraten, in der er entweder gegen die DSGVO oder gegen US-Recht verstößt.

Dieser Konflikt ist kein Randthema. Mit dem Schrems-II-Urteil hat der Europäische Gerichtshof 2020 den Datentransfer in die USA stark eingeschränkt, gerade weil US-Gesetze wie der CLOUD Act keinen gleichwertigen Schutz garantieren. Für Unternehmen entsteht daraus ein konkretes Haftungs- und Dokumentationsrisiko.

Was bedeutet der CLOUD Act für deutsche Unternehmen?

Für deutsche Unternehmen heißt der CLOUD Act: Daten bei US-Diensten sind nie vollständig der eigenen Kontrolle unterstellt. Das ist besonders relevant für Branchen mit hohen Anforderungen, etwa Gesundheitswesen, Kanzleien, Behörden und Finanzdienstleister, wo Datenzugriff durch Dritte ein Ausschlusskriterium sein kann.

In der Praxis taucht das Thema längst in Ausschreibungen, Audits und Lieferantenfragebögen auf. Wer hier „US-Anbieter ohne Einschränkung" angibt, riskiert, aus Vergaben zu fallen. Initiativen wie Gaia-X und Erhebungen des Bitkom zeigen, dass der Wunsch nach europäischen Alternativen breit angekommen ist. Wie du das strategisch angehst, beschreibt unser Leitfaden zur digitalen Souveränität.

Wie reduziere ich das CLOUD-Act-Risiko?

Indem du Anbieter nach ihrer Rechts- und Konzernstruktur auswählst, nicht nur nach dem Serverstandort. Die wichtigsten Prüfpunkte:

PrüfpunktKonzernstruktur
Souveräne AntwortAnbieter ohne US-Mutter oder US-Tochter?
PrüfpunktServerstandort
Souveräne AntwortDaten nachweislich in der EU?
PrüfpunktAuftragsverarbeitung
Souveräne AntwortDSGVO-konformer AVV vorhanden?
PrüfpunktSubprozessoren
Souveräne AntwortSind US-Dienste im Hintergrund eingebunden?
PrüfpunktAnzahl der Tools
Souveräne AntwortLässt sich der Stack konsolidieren?

Ein praktischer Hebel ist die Zahl der eingesetzten Dienste. Jedes zusätzliche US-Tool ist ein weiterer Weg, auf dem Daten unter den CLOUD Act fallen. Wer Funktionen bündelt, verkleinert diese Angriffsfläche. Wie ein gebündelter, DSGVO-konformer Software-Stack aus einer Hand aussieht, zeigt unser Überblick. Wie sich verbreitete US-Tools ersetzen lassen, zeigen unsere Übersichten zu DSGVO-konformen Alternativen für Zoom, Microsoft Teams und Calendly.

CLOUD Act in der Praxis: das Beispiel meetergo

Wie ein Anbieter ohne CLOUD-Act-Bezug aussieht, zeigen wir an der eigenen Plattform. Bei meetergo haben wir die Struktur bewusst so gewählt, dass der CLOUD Act nicht greift.

meetergo ist eine GmbH mit Sitz in Deutschland, ohne US-Mutter und ohne US-Tochter, und unterliegt damit nicht dem CLOUD Act. Wir hosten ausschließlich bei Hetzner in Deutschland, mit Servern in Frankfurt und Nürnberg, und schließen mit jedem Kunden einen Auftragsverarbeitungsvertrag. Weil Terminbuchung, E-Signaturen und ein CRM in einer Plattform laufen, müssen wir keine zusätzlichen externen Dienste anbinden, die das Risiko zurückbringen würden. Der Einstieg ist mit einem kostenlosen Basis-Tarif möglich, bezahlte Tarife beginnen bei 7 € pro Monat (Preise).

Server in Frankfurt

Schluss mit US-Datenzugriff — buche EU-konform.

DSGVO by design.AVV & DPA inklusive.ISO 27001 Infrastruktur.
DSGVO-konform starten

Häufig gestellte Fragen

Was ist der CLOUD Act einfach erklärt?

Der CLOUD Act ist ein US-Gesetz von 2018, das US-Anbieter verpflichtet, gespeicherte Daten an US-Behörden herauszugeben, auch wenn die Daten im Ausland liegen. Maßgeblich ist der Anbieter, nicht der Speicherort.

Schützt ein Server in Deutschland vor dem CLOUD Act?

Nein, nicht allein. Steht der deutsche Server bei einem Anbieter mit US-Mutterkonzern, kann der CLOUD Act trotzdem greifen. Entscheidend ist zusätzlich, wer den Anbieter rechtlich kontrolliert.

Steht der CLOUD Act im Widerspruch zur DSGVO?

Ja. Die DSGVO untersagt die Weitergabe ohne angemessenes Schutzniveau, der CLOUD Act kann genau diese Weitergabe erzwingen. Dieser Konflikt war ein zentraler Punkt im Schrems-II-Urteil.

Wie finde ich Anbieter, die nicht unter den CLOUD Act fallen?

Achte auf den Unternehmenssitz und die Konzernstruktur: ein Anbieter mit Sitz in der EU, ohne US-Mutter und US-Tochter, plus EU-Hosting und einen AVV.

Den eigenen Stack prüfen

Geh deine wichtigsten Tools durch und notiere je Anbieter Konzernsitz, Serverstandort und Subprozessoren. Wo der CLOUD Act greift, lohnt der Blick auf eine europäische Alternative. Wie ein in Deutschland gehosteter Stack aussieht, kannst du mit dem kostenlosen Basis-Tarif von meetergo direkt ausprobieren.

Ähnliche Artikel

Weiterlesen zu diesem Thema

8 Tools in einer Plattform

Ersetze 8 Tools durch eine Plattform.

Schließe dich 40.000+ Profis an, die Terminbuchung, Video, Formulare, E-Signaturen und CRM in einem Tool bündeln.

CalendlyZoomTypeformDocuSignDocSendFirefliesPipedriveWhatsAppmeetergo
Ein Login statt acht
Eine Rechnung statt acht Abos
Ein DSGVO-Vertrag, EU-Server, keine US-Zugriffe

Keine Kreditkarte nötig. Jederzeit kündbar.