Kann der neue Angemessenheitsbeschluss der EU-Kommission die Sicherheitsbedenken rund um den Cloud Act und anderen US-Sicherheitsgesetzen ausräumen? Fachanwalt Sven Schlotzhauer kennt die Details und Fallstricke.
Die einschlägigen US-Vorschriften zur Datenübermittlung stehen vordergründig in Konflikt mit der DSGVO.
(Bild: fotomek - stock.adobe.com)
Im Rahmen der Diskussionen um transatlantische Datentransfers taucht immer wieder ein Argument auf: Der US-amerikanische Cloud Act verhindere einen DSGVO-konformen Datenaustausch. Nun schiebt die EU-Kommission den Angemessenheitsbeschluss nach, der die mit dem Cloud Act und anderen US-Sicherheitsgesetze begründeten Sicherheitsbedenken ausräumen soll.
Das Problem
Damit personenbezogene Daten von Unternehmen in Nicht-EU-Länder übermittelt werden können, verlangt die DSGVO bekanntlich zusätzliche Garantien in Form von z.B. vertraglichen Absicherungen, damit im Empfängerland ein angemessenes Datenschutzniveau festgestellt werden kann. Im Fokus des öffentlichen Interesses und von Datenschutz-Aktivisten stand in den vergangenen Jahren der Datenverkehr mit den USA, nicht zuletzt wegen des „NSA-Abhörskandals“ und des 2018 erlassenen Cloud Act. Doch was besagen die Bestimmungen des Cloud Act genau?
Zugriff auf Daten in der EU
Bestimmungen des sogenannten Cloud Act („Clarifying Lawful Overseas Use of Data Act“) können Anbieter von Kommunikations- und Cloud-Dienstleistungen unter bestimmten Umständen zur Preisgabe von personenbezogenen Daten der Kunden an US-Behörden zwingen, unabhängig davon, wo die Daten gespeichert werden.
Der Cloud Act wurde bereits Anfang 2018 verabschiedet. Im hier interessierenden Kontext ist vor allem die mit dem Cloud Act eingeführte Vorschrift 18 U.S.C. § 2713 relevant. Sie besagt, dass ein „Anbieter von elektronischen Kommunikationsdiensten (…) den Verpflichtungen dieses Kapitels nachkommen [muss], den Inhalt einer drahtgebundenen oder elektronischen Kommunikation und alle Aufzeichnungen oder sonstigen Informationen über einen Kunden oder Teilnehmer, die sich im Besitz, Gewahrsam oder unter der Kontrolle dieses Anbieters befinden, aufzubewahren, zu sichern oder offenzulegen, unabhängig davon, ob sich diese Kommunikation, Aufzeichnungen oder sonstigen Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden“. Die Vorschrift richtet sich also an alle Anbieter elektronischer Kommunikationsdienstleistungen mit Sitz in den USA, die Daten (auch über eine andere juristische Person) im Ausland verarbeiten und auf diese Verarbeitung im Ausland Einfluss haben.
Das bedeutet, dass z.B. Tochtergesellschaften von US-Unternehmen ungeachtet ihres Sitzes in der EU Aufforderungen zur Offenlegung ihrer Muttergesellschaft oder auch von US-Behörden direkt nachkommen müssen. Im Ergebnis, so die Aufsichtsbehörden, besteht also die Gefahr, dass die EU-Tochtergesellschaft eine Datenübermittlung in die USA vornehmen muss, die nicht den Anforderungen der Art. 44 ff. DSGVO entspricht.
Allerdings haben betroffene Unternehmen auch die Möglichkeit, gegen einen Beschluss, der eine Offenlegung anordnet, vorzugehen. Als der Cloud Act 2018 verabschiedet wurde, ging gerade Microsoft bis vor den US Supreme Court, um sich gegen eine Anordnung einer Sicherheitsbehörde zur Wehr zu setzen.
Vordergründiger Konflikt mit der DSGVO
Tatsächlich also befinden sich die einschlägigen US-Vorschriften vordergründig in Konflikt mit der DSGVO, da Art 48 DSGVO eine Herausgabe von personenbezogene Daten an ausländische Sicherheitsbehörden nur gestattet, wenn eine entsprechende internationale Übereinkunft wie etwa ein Rechtshilfeabkommen existiert. Vordergründig deshalb, weil eine tiefergehende Analyse des Cloud Act z.B. zeigen würde, dass sich der Cloud Act auf die Beweiserlangung bei schweren und schwersten Verbrechen bezieht. Deshalb gab es bereits früh Stimmen in der juristischen Literatur, die meinten, es sollte auch bei Einhaltung der DSGVO gelingen, eine Vereinbarkeit der US-amerikanischen und der europäischen Interessenlagen herzustellen.
Kritik des EuGH („Schrems-Urteile“)
Der EuGH hat dessen ungeachtet insbesondere in der „Schrems II“-Entscheidung kritisiert, dass die US-Sicherheitsgesetze weit über das hinausgingen, was zur Wahrung nationaler Sicherheitsinteressen erforderlich ist und dass EU-Betroffene kaum Möglichkeiten hätten, gegen eine Verletzung ihrer Rechte gerichtlich vorzugehen. Er hat dementsprechend die sog. Standard Contractual Clauses als alleinige Grundlage für eine Datenübermittlung in die USA verworfen.
Angemessenheitsbeschluss der EU
Vor dem Hintergrund der Ausbalancierung der Interessenlagen ist nun der Angemessenheitsbeschluss der EU-Kommission zu sehen. Die EU-Kommission ist der Auffassung, dass damit „der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist“. Daneben wurden verschiedene Rechtsbehelfe geschaffen. Dies sollen kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle sein. Ferner sollen Einzelpersonen in der EU auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das von einem neu geschaffenen Gericht zur Datenschutzüberprüfung durchgeführt wird. Dieses Gericht soll Beschwerden von EU-Bürgern unabhängig untersuchen und beilegen. Es soll auch verbindliche Abhilfemaßnahmen anordnen können. Damit die neuen Regelungen anwendbar sind, muss das betreffende Unternehmen wie beim vormaligen Privacy Shield Abkommen zertifiziert sein.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ausblick
Ob mit den oben genannten Maßnahmen die Bedenken des EuGH wirksam ausgeräumt sind, darf bezweifelt werden. Schon laufen sich die Datenschutzaktivisten wieder warm, um auch dieses Regelwerk zu Fall zu bringen. Der EuGH aber wird sich kaum mit seinen vorangegangenen, vollkommen realitätsfernen Urteilen in Widerspruch setzen. Dementsprechend werden in der Beraterbranche schon Stimmen laut, die empfehlen, mehrgleisig zu fahren und sich trotz Angemessenheitsbeschluss auf die Standardvertragsklausen zu stützen. Dies aber macht oft zusätzliche technische und vertragliche Maßnahmen erforderlich sowie in Einzelfällen auch eine sog. Datenschutzfolgenabschätzung, was von KMU oft organisatorisch nicht zu leisten ist oder finanziell das ganze Cloud Projekt unwirtschaftlich macht. Solange der Angemessenheitsbeschluss in Kraft ist, besteht tatsächlich hierfür kein Anlass.
Über den Autor Sven Schlotzhauer ist Fachanwalt für IT-Recht und Partner der Sozietät von BOETTICHER in München. Er berät regelmäßig US-amerikanische Cloud-Computing-Anbieter oder Plattform-Betreiber und ist auf Fragen des IT-Rechts, des E-Commerce und des Datenschutzrechts spezialisiert.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/ac/67ac72eb8ec04/stackit-logo-rgb-regular-petrol-mz-big.png "stackit-logo-rgb-regular-petrol-mz-big (STACKIT)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5a/86/5a8619b8c5407e629696184ed1ab52dd/0113095933.jpeg "Unternehmen und Organisationen haben bei der MS-365-Nutzung nur zwei Optionen: Umsetzung der datenschutzrechtlichen Anforderungen oder Bußgeldrisiko mit Untersagung der Anwendung. (Bild: Grispb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/de/4cdef7888a47c05612088c57c7123c7c/0113657280.jpeg "Es ist und bleibt schwierig: Datentransfer in Drittländer außerhalb der EU – trotz Data Privacy Framework bzw. der Einrichtung von europäischen bzw. deutschen Cloud-Regionen durch US-Anbieter. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/96/dc9635a4071b12c59da7c31844d06c85/0127835154v2.jpeg "Neue EU-Grundsatzurteile definieren den Umgang mit personenbezogenen Daten und grenzüberschreitigen Datentransfers neu. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e8/5e/e85e1929e7f3c5f238e139626c891ec5/0125431620v1.jpeg "Unternehmen verlagern Datenflüsse: Strategisch vom US-amerikanischen zum europäischen Cloud-Dienst. (Bild: © artwiyanastudio - stock.adobe.com)")