Microsoft unter Eid: Was wirklich hinter dem CLOUD Act steckt
In einer Anhörung des französischen Senats sorgte kürzlich eine Aussage eines Microsoft-Managers für Aufsehen: Er könne nicht unter Eid garantieren, dass Daten niemals ohne Zustimmung der französischen Behörden an die US-Regierung weitergegeben würden. Diese Aussage wird derzeit in den Medien breit diskutiert – leider oft ohne juristischen Tiefgang und mit einer gehörigen Portion Microsoft-Bashing.
Was steckt wirklich hinter dem CLOUD Act?
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wird häufig als Argument gegen US-Cloudanbieter ins Feld geführt. Dabei wird oft übersehen, dass der CLOUD Act nicht die territoriale Zuständigkeit der US-Behörden erweitert. Vielmehr regelt er, dass US-Unternehmen verpflichtet werden können, Daten herauszugeben – auch wenn diese bei Tochtergesellschaften im Ausland gespeichert sind.
Wichtig: Europäische Tochterunternehmen sind nicht verpflichtet, dieser Aufforderung nachzukommen, wenn sie gegen lokales Recht verstoßen würde. Eine Herausgabe von Daten ohne rechtliche Grundlage wäre nach europäischem und deutschem Datenschutzrecht unzulässig – und kann sogar strafrechtliche Konsequenzen nach sich ziehen.
Auch europäische Anbieter sind nicht immun
Was in der Diskussion oft untergeht: Auch europäische Anbieter ohne US-Muttergesellschaft können zur Herausgabe von Daten gezwungen werden – und dürfen ihre Kunden darüber nicht informieren. Beispiele dafür sind:
• § 174 Abs. 6 TKG: Verpflichtung zur Auskunft gegenüber Ermittlungsbehörden.
• § 8d BVerfSchG: Datenübermittlung an den Verfassungsschutz bei Gefährdung der freiheitlich-demokratischen Grundordnung.
Diese Verfahren erfolgen ohne öffentliche Transparenz und unterliegen strengen Geheimhaltungspflichten – ganz ähnlich wie bei US-amerikanischen Ermittlungsverfahren.
Differenzierte Risikobewertung statt Pauschalkritik
Die aktuelle Debatte zeigt: Wer den CLOUD Act als pauschales Argument gegen US-Cloudanbieter nutzt, sollte sein Verständnis von internationalem Datenschutzrecht und Strafverfahrensrecht überdenken. Denn:
• Rechtswidrige Datenweitergaben sind auch für US-Unternehmen nicht erlaubt.
• Technische und vertragliche Schutzmaßnahmen wie Verschlüsselung, Datenlokalisierung und spezielle Vertragsklauseln (z. B. Standardvertragsklauseln, EU-Addenda) bieten zusätzliche Sicherheit.
• Transparenzberichte und Audits helfen, Vertrauen aufzubauen und Risiken realistisch zu bewerten.
Fazit
Anstelle von blindem Microsoft-Bashing und Anti-Amerikanismus braucht es eine sachliche, differenzierte Diskussion. Die Wahl eines Cloudanbieters sollte auf Basis von technischen, rechtlichen und organisatorischen Kriterien erfolgen – nicht auf Basis von Schlagzeilen.