US Cloud Act
US-Gesetz, das US-Konzerne weltweit zur Datenherausgabe verpflichten kann.
Hintergrund und Definition
Der Clarifying Lawful Overseas Use of Data Act wurde 2018 vom US-Kongress verabschiedet. Er erlaubt US-Behörden, von Unternehmen mit US-Bezug die Herausgabe von Daten zu verlangen — auch wenn die Daten physisch außerhalb der USA gespeichert sind, etwa in einem Frankfurter Rechenzentrum. Betroffen sind US-Konzerne und Tochtergesellschaften, unabhängig davon, wo die Daten liegen. Der Konzern darf den Betroffenen oft nicht informieren (gag order). Der Cloud Act steht in Spannung zur DSGVO, weil eine direkte Behördenanfrage aus den USA in der EU grundsätzlich keine Rechtsgrundlage für die Datenherausgabe darstellt. Der Europäische Datenschutzausschuss hat mehrfach Position bezogen, der Konflikt ist juristisch nicht gelöst. Das EU-US Data Privacy Framework von 2023 mildert einige Aspekte, schließt den Cloud Act aber nicht aus. Für Gesundheitsdaten ist die Lage besonders heikel, weil Art. 9 DSGVO und § 203 StGB hinzukommen.
Was das für die Praxis bedeutet
Praxen, die Cloud-KI oder Cloud-Backups nutzen, sollten prüfen, ob im Hintergrund US-Konzerne stehen — auch indirekt als Sub-Auftragnehmer einer europäischen Tochter. "Server in Deutschland" alleine reicht nicht aus, wenn die Muttergesellschaft US-amerikanisch ist. Viele beliebte Tools (Microsoft 365, Google Workspace, AWS, OpenAI) fallen unter den Cloud Act. Wer auf Nummer sicher gehen will, wählt EU-betriebene Anbieter ohne US-Konzernbindung oder lokale Verarbeitung in der Praxis. Bei Audits oder Datenschutz-Folgenabschätzungen ist der Cloud Act ein Standard-Prüfpunkt. Eine Transfer-Folgenabschätzung nach Schrems II ist faktisch Pflicht, sobald US-Bezug besteht.
Beispiele aus dem Praxisalltag
- Microsoft Azure mit Standort Frankfurt — Mutter Microsoft Corp. unterliegt dem Cloud Act.
- OpenAI API mit Datenverarbeitung in der EU — US-Mutter bleibt zugriffsverpflichtet.
- Hetzner, IONOS, Open Telekom Cloud — keine US-Konzernbindung, daher kein Cloud Act.
- Schrems-II-Urteil 2020 hat das Vorgängerabkommen Privacy Shield gekippt.
Typische Stolperfallen
- Annahme, dass eine deutsche GmbH-Tochter eines US-Konzerns "sicher" sei.
- Verzicht auf Transfer-Folgenabschätzung trotz US-Bezug.
- Verlassen auf Anbieter-Aussagen ohne vertragliche Garantien zur Datenherausgabe.
- Glaube, das Data Privacy Framework lege den Cloud Act außer Kraft.
Verwandte Begriffe
- AVV — Auftragsverarbeitungsvertrag: Pflicht-Vertrag nach Art. 28 DSGVO mit jedem Software-Anbieter, der Patientendaten verarbeitet.
- § 203 StGB — Verletzung von Privatgeheimnissen: Strafbarkeit der Verletzung der ärztlichen Schweigepflicht.
- DSGVO — Datenschutz-Grundverordnung: EU-Verordnung zum Datenschutz, seit Mai 2018 anwendbar.
Quellen und weiterführende Hinweise
- congress.gov — Originaltext des Cloud Act
- edpb.europa.eu — Stellungnahmen zum Drittlandtransfer
- bfdi.bund.de — Positionspapiere zu US-Datenzugriffen
Hinweis: Dieser Lexikon-Eintrag dient der Orientierung und ersetzt keine rechtliche oder medizinische Beratung im Einzelfall.
Praxis-Dokumentation ohne Cloud. otium.doc auf otium.arx.
14 Tage testen, vortrainiert auf GOÄ und ICD-10. Hardware in Ihrer Praxis.