Stiller Zugriff: Deine Daten können durch US CLOUD Act durch Dritte ausgewertet werden

Stell dir vor: Deine gesamte Kundendatenbank, jede Sales-Konversation, jede vertrauliche Notiz aus dem letzten Kundengespräch – gespeichert in einem Tool, dessen Server offiziell in Frankfurt am Main oder Amsterdam stehen. Du fühlst dich sicher. DSGVO-konform. Europäisch gehostet.

Und trotzdem könnte eine US-Behörde theoretisch Zugriff auf genau diese Daten verlangen – ohne dass du es je erfährst.

Das ist kein Hollywood-Szenario. Das ist die reale Rechtslage, die seit 2018 gilt und die gerade durch aktuelle Entwicklungen in den USA noch fragiler wird, als sie ohnehin schon war.

Die Rechtslage, kurz und unbequem

Der US CLOUD Act (2018) verpflichtet jedes US-amerikanische Unternehmen – auch dessen europäische Tochtergesellschaften – auf Anordnung amerikanischer Behörden Daten herauszugeben. Unabhängig davon, wo diese Daten physisch gespeichert sind. Der Serverstandort in der EU ist dabei rechtlich fast irrelevant: Entscheidend ist die Staatsangehörigkeit des Unternehmens, nicht die des Rechenzentrums.

Ergänzend erlaubt FISA Section 702 US-Geheimdiensten eine weitreichende, oft anlasslose Überwachung von Daten nicht-amerikanischer Personen, sofern diese über amerikanische Anbieter laufen. Bekannt wurde diese Praxis 2013 durch die Enthüllungen von Edward Snowden – das zugrunde liegende Gesetz existiert bis heute, wenn auch aktuell in einem rechtlich unruhigen Zustand: Die 2024 beschlossene Verlängerung ist am 12. Juni 2026 turnusmäßig ausgelaufen, die erste Aussetzung seit Einführung der Norm 2008. Praktisch geändert hat sich dadurch bisher wenig – laufende Überwachungsmaßnahmen bleiben über bereits gerichtlich genehmigte Zertifizierungen bis März 2027 in Kraft, während der US-Kongress über eine Neuregelung verhandelt. Das Gesetz ist also nicht „weg“, aber auch nicht mehr auf stabilem Boden.

Zur Einordnung: Der oft zitierte Patriot Act ist in seinen zentralen Befugnissen seit 2015 abgelöst (durch den USA Freedom Act). Was heute wirklich greift, ist neuer, direkter und für Cloud-Dienste noch umfassender.

Was das im schlimmsten Fall bedeuten kann

  1. Zugriff ohne Benachrichtigung. Es gibt keine generelle Pflicht für US-Behörden, betroffene Unternehmen oder Personen über eine Datenanfrage zu informieren. Im ungünstigsten Fall erfährst du nie, dass auf deine Kundendaten zugegriffen wurde.
  2. Wirtschaftsspionage-Risiko. Technisches Know-how, strategische Planungen, Preisstrukturen, Kundenlisten – all das kann theoretisch über denselben Mechanismus abfließen. Datenschutzexperten weisen wiederholt darauf hin, dass dieses Risiko nicht mehr als rein abstrakt gilt, sondern als konkret einzuschätzen ist, insbesondere für Unternehmen mit sensiblen Geschäftsgeheimnissen.
  3. Der Vertragsbruch, den du nicht verhindern kannst. Auch wenn dein US-Anbieter vertraglich zusichert, eine behördliche Anfrage anzufechten oder dich zu informieren – diese Zusage steht rechtlich hinter der US-Herausgabepflicht zurück. Im Zweifel muss der Anbieter liefern, ganz gleich, was vertraglich vereinbart wurde.
  4. Die DSGVO-Bußgeld-Falle – für dich, nicht für den US-Anbieter. Wenn dein Unternehmen personenbezogene Daten ohne ausreichende Rechtsgrundlage in die USA überträgt (etwa weil die zugrunde liegende Rechtsgrundlage wegfällt), drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO) – nicht dem Tool-Anbieter, sondern dir als Daten verarbeitendem Unternehmen.
  5. Der Boden, auf dem das alles steht, wackelt gerade akut. Die aktuelle Rechtsgrundlage für Datentransfers in die USA, das EU-US Data Privacy Framework, basiert auf der Unabhängigkeit der US-Handelsaufsicht FTC. Am 29. Juni 2026 hat der US Supreme Court im Verfahren Trump v. Slaughter entschieden, dass genau diese Unabhängigkeit verfassungswidrig eingeschränkt werden darf – FTC-Kommissare können künftig ohne Grund vom Präsidenten entlassen werden. Max Schrems und noyb haben der EU-Kommission bereits einen Tag später, am 30. Juni 2026, offiziell einen geordneten Rückzug des Angemessenheitsbeschlusses nahegelegt und eine gerichtliche Überprüfung („Schrems III“) angekündigt. Sollte das Abkommen fallen – wie bereits zweimal zuvor (Safe Harbor 2015, Privacy Shield 2020) –, bedeutet das nicht zwingend einen sofortigen Totalausfall jeder Rechtsgrundlage: Standard Contractual Clauses (SCCs) bleiben als alternativer Transfermechanismus bestehen. Aber sie verlangen von dir eine eigene, aktuelle Risikobewertung (Transfer Impact Assessment) – und genau die stützt sich bislang oft auf die jetzt weggefallene FTC-Unabhängigkeit als positives Argument. Wer sich bisher allein auf das Data Privacy Framework verlassen hat, muss also ohnehin nacharbeiten, auch wenn das Sicherheitsnetz der SCCs theoretisch greift.

Warum das keine Panikmache ist

Diese Punkte sind keine Spekulation, sondern direkt aus der bestehenden Gesetzeslage und aktuellen Gerichtsentscheidungen abgeleitet. Der Europäische Gerichtshof hat mit dem Schrems-II-Urteil bereits einmal höchstrichterlich bestätigt, dass US-Überwachungsgesetze mit europäischem Datenschutzrecht kollidieren – und ein Datenschutzabkommen deshalb für ungültig erklärt. Die aktuelle Entwicklung rund um die FTC-Unabhängigkeit ist der nächste Baustein in derselben Geschichte, nicht ein neues, unabhängiges Gerücht.

Das heißt nicht, dass jedes Unternehmen, das ein US-Tool nutzt, morgen betroffen ist. Es heißt: Das Risiko ist real, rechtlich hergeleitet, und es kann sich – wie die Vergangenheit zeigt – sehr plötzlich konkretisieren. Ob und wann das Data Privacy Framework tatsächlich fällt, ist offen; die Vorbereitung darauf ist es nicht.

Was du konkret tun kannst

  • Prüfe den Unternehmenssitz deiner Marketing- und CRM-Anbieter, nicht nur den Serverstandort.
  • Frag aktiv nach, ob im Hintergrund US-Hyperscaler wie AWS, Google Cloud oder Azure eingesetzt werden, auch bei vermeintlich europäischen Anbietern.
  • Prüfe, ob dein Anbieter neben dem Data Privacy Framework auch SCCs mit aktuellem Transfer Impact Assessment vorhält – als Rückfallebene, falls der Angemessenheitsbeschluss fällt.
  • Baue keine unternehmenskritischen Prozesse ausschließlich auf Anbieter, deren Rechtsgrundlage gerade zur Disposition steht, ohne einen Plan B zu haben.
  • Ziehe europäische Alternativen in Betracht, insbesondere für sensible Kunden- und Geschäftsdaten. PinkBridge etwa hat seinen Unternehmenssitz in Deutschland und läuft vollständig auf europäischer Infrastruktur, ohne Beteiligung US-amerikanischer Konzerne – und ist damit von diesem gesamten Themenkomplex unabhängig.

Fazit

Der CLOUD Act ist kein neues Gesetz und keine Verschwörungstheorie – aber seine Tragweite wird regelmäßig unterschätzt, weil „europäisch gehostet“ fälschlich mit „europäisch geschützt“ gleichgesetzt wird. Die aktuelle Entwicklung rund um das Data Privacy Framework zeigt: Wer sich allein auf die aktuelle Rechtslage verlässt, baut auf einem Fundament, das sich in der Vergangenheit bereits zweimal unter den Füßen verschoben hat. Für deutsche Unternehmen, die auf Nummer sicher gehen wollen, ist die Frage nach der Jurisdiktion des Anbieters längst keine Nebensache mehr.

Hinweis: Dieser Artikel beschreibt rechtliche Risiken und mögliche Szenarien auf Basis der aktuellen Gesetzeslage und Gerichtsentscheidungen (Stand: Juli 2026). Er ersetzt keine individuelle Rechtsberatung. Für eine verbindliche Einschätzung der eigenen Situation empfiehlt sich der Rat einer auf Datenschutzrecht spezialisierten Kanzlei.

Willst du wissen, wie PinkBridge deine Daten vollständig in Europa hält? Sichere dir ein Early-Access-Gespräch.