Launch Q3 2026
BearGuard®
BearGuard®
Governance & AI Guardrails
DE EN
US-Regulierung

CLOUD Act — Gesetz zur Klärung der rechtmässigen Nutzung von Daten im Ausland

Der CLOUD Act (2018) ermöglicht US-Behörden den Zugriff auf Daten von US-Technologieunternehmen unabhängig vom Speicherort und schafft bilaterale Datenabkommen.

LinkedIn X WhatsApp

Zusammenfassung

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-Bundesgesetz, das am 23. März 2018 als Teil des Consolidated Appropriations Act 2018 verabschiedet wurde. Es regelt den grenzüberschreitenden Zugriff auf elektronische Daten und stellt klar, dass US-Technologieunternehmen verpflichtet sind, auf Anforderung von US-Behörden gespeicherte Daten herauszugeben — unabhängig davon, ob diese Daten in den USA oder im Ausland gespeichert sind.

Das Gesetz entstand als direkte Reaktion auf den Fall United States v. Microsoft Corp. (auch bekannt als «Microsoft Ireland Case»), in dem Microsoft die Herausgabe von auf irischen Servern gespeicherten E-Mail-Daten verweigerte. Der CLOUD Act schuf zudem einen Rahmen für Executive Agreements (bilaterale Abkommen) zwischen den USA und verbündeten Staaten, die den gegenseitigen Datenzugriff der Strafverfolgungsbehörden ohne den traditionellen Weg der Rechtshilfe (MLAT) ermöglichen.

Der CLOUD Act hat erhebliche Auswirkungen auf den internationalen Datenschutz und steht teilweise im Spannungsfeld mit der europäischen DSGVO, da er den Zugriff auf Daten von EU-Bürgern durch US-Behörden ermöglicht.

Geschichte

Der Hintergrund des CLOUD Act reicht bis 2013 zurück, als das DOJ im Rahmen einer Drogenermittlung einen Durchsuchungsbefehl an Microsoft richtete, um E-Mail-Daten herauszugeben, die auf Servern in Dublin, Irland, gespeichert waren. Microsoft widersetzte sich und argumentierte, dass der Stored Communications Act von 1986 keinen extraterritorialen Zugriff erlaube. Der Fall ging bis zum Supreme Court.

Noch bevor der Supreme Court eine Entscheidung traf, führten Senatoren Orrin Hatch, Chris Coons, Lindsey Graham und Sheldon Whitehouse am 6. Februar 2018 den CLOUD Act als eigenständigen Gesetzentwurf (S. 2383) ein. Das Gesetz wurde schliesslich als Division V des Consolidated Appropriations Act 2018 (H.R. 1625, Public Law 115-141) verabschiedet und am 23. März 2018 von Präsident Trump unterzeichnet. Der Supreme Court erklärte den Microsoft-Fall daraufhin am 17. April 2018 für erledigt (moot). Das erste Executive Agreement wurde am 3. Oktober 2019 zwischen den USA und dem Vereinigten Königreich unterzeichnet und trat am 8. Oktober 2022 in Kraft.

Geltungsbereich

Der CLOUD Act betrifft verschiedene Akteure im Bereich der elektronischen Kommunikation und Datenspeicherung:

  • US-Technologieunternehmen (Provider): Alle Anbieter elektronischer Kommunikationsdienste und Remote-Computing-Dienste, die der US-Jurisdiktion unterliegen — einschliesslich Cloud-Anbietern, E-Mail-Diensten, Social-Media-Plattformen und Messaging-Diensten.
  • US-Strafverfolgungsbehörden: Bundesbehörden (DOJ, FBI) und staatliche Behörden, die auf Grundlage von Warrants, Subpoenas oder Court Orders Daten anfordern können.
  • Ausländische Regierungen: Staaten, die Executive Agreements mit den USA abschliessen, können direkt Daten von US-Providern anfordern — unter Einhaltung festgelegter Menschenrechts- und Rechtsstaatlichkeitsstandards.
  • Betroffene Personen: Nutzer der genannten Dienste weltweit, deren Daten unabhängig vom Speicherort offengelegt werden können.
  • EU-Unternehmen: Indirekt betroffen, sofern sie Dienste von US-Providern nutzen oder unter die Executive Agreements fallen — das EU-US Data Privacy Framework adressiert Teile der Spannungen.

Kernanforderungen

  • Extraterritoriale Datenherausgabe: US-Provider müssen auf rechtmässige Anordnungen (Warrants, Subpoenas, Court Orders) gespeicherte Daten herausgeben, unabhängig davon, ob die Daten innerhalb oder ausserhalb der USA gespeichert sind.
  • Comity-Analyse (Rechtskollisionsprüfung): Provider können bei einem Gericht Einspruch erheben, wenn die Herausgabe gegen das Recht eines qualifizierenden ausländischen Staates verstossen würde — das Gericht wägt dann die Interessen beider Staaten ab.
  • Executive Agreements: Bilaterale Abkommen, die es qualifizierenden ausländischen Staaten ermöglichen, direkt Daten von US-Providern anzufordern, ohne den MLAT-Prozess zu durchlaufen.
  • Qualifizierungskriterien für Partnerstaaten: Ausländische Staaten müssen substanzielle Verfahrensgarantien und den Schutz der Privatsphäre und bürgerlichen Freiheiten nachweisen, bevor ein Executive Agreement abgeschlossen werden kann.
  • Schutzbestimmungen: Executive Agreements dürfen nicht gezielt Daten von US-Personen anfordern, müssen Minimierungsverfahren einhalten und unterliegen einer Überprüfung durch den US-Kongress.
  • Gegenseitigkeit: Im Rahmen der Executive Agreements können auch US-Behörden Daten von Providern in Partnerstaaten anfordern.

Verwandte Frameworks

Dodd-Frank

Korrekturen & Errata

2026-QA-260 Aktualisierung 29. Mai 2026
US-Australien-Abkommen seit 31. Januar 2024 in Kraft — Inkrafttreten fehlt

Die key_dates listen nur die Unterzeichnung des US-Australien Executive Agreement (15.12.2021), nicht dessen Inkrafttreten am 31. Januar 2024.

Alle Details auf der Errata-Seite →
2026-QA-259 Korrektur 29. Mai 2026
Falsche Fundstelle: CLOUD Act ist Division V, nicht Section 105

Der Text gibt an, der CLOUD Act sei 'als Section 105 des Consolidated Appropriations Act 2018' verabschiedet worden. Tatsächlich wurde er als eigenständige Division V des Consolidated Appropriations Act 2018 (Public Law 115-141) erlassen; sein Kurztitel steht in Sec. 101 dieser Division.

Alle Details auf der Errata-Seite →
2026-QA-231 Präzisierung 20. März 2026
Verwaistes Framework verbunden: CLOUD Act → dodd-frank

CLOUD Act hatte keine Verbindungen. Als US-Regulierung mit Dodd-Frank verknuepft.

Alle Details auf der Errata-Seite →
2026-QA-170 Korrektur 18. März 2026
US-Australien Datum korrigiert (2023→2021)

key_dates: 2023-12-18 korrigiert zu 2021-12-15

Alle Details auf der Errata-Seite →
2026-QA-169 Korrektur 18. März 2026
US-UK Agreement Datum korrigiert (08.→03. Okt)

key_dates: 2022-10-08 korrigiert zu 2022-10-03

Alle Details auf der Errata-Seite →

Inhalt zuletzt geprüft: 29. Mai 2026. Fehler gefunden oder Aktualisierung nötig? [email protected]