Gutachten: US-Zugriff auf EU-Cloud-Daten

2 months ago 5

Stop - Pixabay Inhalte, die auf Cloud-Inhalten von US-Firmen liegen, sind vor dem Zugriff durch US-Behörden nicht geschützt. Das ist allen, die es wissen wollen, bekannt. Aber auch Cloud-Instanzen, die von rein europäischen Anbietern gehostet werden, sind vor dem Zugriff durch US-Behörden nicht geschützt – jedenfalls dann nicht, wenn der europäische Anbieter signifikante Geschäftsaktivitäten in den USA unterhält. Das wurde jetzt mit einem Rechtsgutachten nochmals belegt.

Microsoft & Co. werden nicht müde, für ihre Cloud-Angebote zu werben. Diese werden auf europäischen Servern gehostet und verlassen die EU nicht, heißt es. Zudem gibt es den Angemessenheitsbeschluss der EU hinsichtlich das EU-US Transatlantic Data Transfer Abkommens, dass den Datenflug persönlicher Daten von EU-Bürgern rechtlich absichern soll (siehe EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework). Der Angemessenheitsbeschluss besagt, dass EU-Bürger in den USA das gleiche Datenschutzniveau wie in Europa "genießen". Im September 2025 wurde eine Klage eines französischen Abgeordneten vom europäischen Gericht abgewiesen (siehe EuG weist Nichtigkeitsklage gegen EU-US-Datentransferabkommen (TADPF) ab). Aber das Verfahren geht nun vor den Europäischen Gerichtshof (EuGH), der bereits die beiden vorherigen Abkommen gekippt hat.

Blog-Leser kennen das Märchen der souveränen Cloud

Blog-Leser wissen, dass das Versprechen, dass "Daten in der Cloud, die auf europäischen Rechnern liegen" nicht vor Zugriffen durch US-Behörden geschützt werden können. Der US Cloud Act verpflichtet US-Firmen den US-Behörden die Daten stillschweigend herauszugeben und die Besitzer der Daten nicht zu informieren. Microsoft musste dies bei einer offiziellen Anhörung in Frankreich bestätigen (siehe meinen Blog-Beitrag Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern).

Aber es geht noch weiter. In Kanada hat ein Gericht den französischen Cloud-Anbieter OVH verpflichtet, Daten eines Kunden, die auf europäischen Cloud-Rechnern liegen, an die kanadische Justiz bzw. Polizei zu übergeben. Aber das französische Recht verbietet diese Herausgabe. Der offizielle Weg wäre, dass Kanada die Datenherausgabe über einen diplomatisch/juristischen Kanal beantragt und ein europäischer Richter über die Herausgabe entscheidet. Ich hatte diesen Sachverhalt im Blog-Beitrag Keine digitale Souveränität: Französischer Richter Nicolas Guillou gerät nach US-Sanktionen in Digitaler Steinzeit; OVH soll Daten eines Kunden an Kanada liefern angesprochen.

Neues Gutachten bestätigt fehlenden Schutz der Cloud-Daten

Es gibt eine Analyse bzw. ein Gutachten, angefertigt für das deutsche Innenministerium, welches sich mit der Frage befasst, wie US-Gesetze sich auf Cloud-Inhalte auswirken, die auf europäischen Servern liegen. Frag den Staat hat das Rechtsgutachten zur US-Rechtslage zum weltweiten Datenzugriff durch US-Behörden bei der Nutzung von Cloud-Diensten der Rechtswissenschaftlichen Fakultät der Universität zu Köln in geschwärzter Form erhalten und veröffentlicht.

heise hat das Thema zum 10. Dezember 2025 in diesem Artikel aufgegriffen und die Quintessenz herausgezogen. Diese bestätigt meine oben skizzierten Aussagen: Das Gutachten zieht den Schluss, dass US-Behörden weitreichenden Zugriff auch auf Daten haben, die in europäischen Rechenzentren gespeichert sind.

Der US Stored Communications Act (SCA), später durch den US Cloud Act erweitert, sowie Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) verpflichtet Cloud-Anbieter zur Herausgabe von Daten an US-Behörden. Diese US-Rechtsvorschriften adressieren die Firmen und machen keine Unterscheidung, wo die Daten liegen. Sprich: Auch Daten auf Cloud-Instanzen, die in Europa gespeichert sind, müssen herausgegeben werden, wenn die US-Firma die Kontrolle besitzt.

Das gilt auch für deutsche oder europäische Tochtergesellschaften von US-Firmen, wenn die US-Muttergesellschaft die Kontrolle besitzt.
Und es gilt für europäische Unternehmen, wenn diese signifikante Geschäftsaktivitäten in den USA unterhalten.

Frag den Staat schreibt hier zum 15. Oktober 2025, dass gegenwärtig viel über das Thema digitale Souveränität im Zusammenhang mit Digitalisierungsvorhaben in Europa diskutiert wird. Dabei werden regelmäßig auch die Zugriffsbefugnisse von US-Behörden auf in Europa gespeicherte Daten, etwa in Rechenzentren europäischer Tochtergesellschaften amerikanischer Unternehmen, thematisiert.

In einer Ausgabe der "Zeitschrift für Datenschutzrecht – ZD" wurde ein Beitrag zu diesem Thema veröffentlicht, der auf einem Gutachten im Auftrag eines Bundesministeriums beruht. Frag den Staat hat dann die Herausgabe des Gutachtens beauftragt, da die entsprechenden Einschätzungen von erheblichem öffentlichen Interesse sind. heise beleuchtet die Aussagen aus dem Gutachten im diesem Artikel, und kommt zu den gleichen Schlüssen, wie oben angerissen.