Was ist der US CLOUD Act?

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde im März 2018 in den USA verabschiedet und ist in 18 U.S.C. §2713 kodifiziert. Er verpflichtet US-eingetragene Technologieunternehmen, auf Anordnung von US-Strafverfolgungsbehörden Daten herauszugeben, die auf ihren Servern gespeichert sind — ausdrücklich unabhängig davon, ob die Daten in den USA oder im Ausland liegen. Auslöser war der Rechtsstreit Microsoft vs. United States, in dem Microsoft die Herausgabe von E-Mails aus einem irischen Rechenzentrum verweigerte. Der CLOUD Act stellte daraufhin klar: Die US-Jurisdiktion folgt dem Unternehmen, nicht dem Standort des Rechenzentrums. Für dich als Kunde eines US-Monitoring-Anbieters bedeutet das, dass deine Daten greifbar sind — egal wo sie liegen.

Gilt der CLOUD Act auch bei EU-Hosting?

Ja, und genau das ist der Kern des Problems. Der CLOUD Act knüpft an die Rechtsform des Unternehmens an, nicht an den physischen Speicherort der Daten. Ein US-Anbieter, der eine "EU-Region" in Frankfurt, Dublin oder Amsterdam anbietet, bleibt vollständig dem CLOUD Act unterworfen — US-Behörden können die Herausgabe der dort gespeicherten Daten verlangen, und der Anbieter ist rechtlich zur Kooperation verpflichtet. In vielen Fällen darf er dich wegen einer begleitenden Geheimhaltungsanordnung (Gag Order) nicht einmal über die Anfrage informieren. "EU-Rechenzentrum" und EU-Datenhoheit sind deshalb zwei grundverschiedene Dinge: Echte Datenhoheit gibt es nur bei einem EU-eingetragenen Betreiber.

Welche Monitoring-Tools sind vom CLOUD Act betroffen?

Jedes Monitoring-Tool, das von einer US-eingetragenen Gesellschaft betrieben wird — unabhängig vom Serverstandort. Dazu zählen unter anderem Pingdom (gehört zu SolarWinds, US), BetterStack (US-Unternehmen), Datadog, PagerDuty und New Relic. UptimeRobot ist der Sonderfall: seit 2019 in EU-Besitz (UptimeRobot s.r.o., Slowakei), aber laut eigener Datenschutzerklärung auf US-Infrastruktur (AWS, Limestone Networks) betrieben — das Datenstandort-Problem bleibt. Auch wenn diese Anbieter "EU Data Residency" bewerben, ändert das nichts an der rechtlichen Lage: Der CLOUD Act greift beim Unternehmen, nicht beim Rechenzentrum. Wer das Risiko strukturell ausschließen will, braucht einen Anbieter, der in einem EU-Mitgliedstaat eingetragen ist und ausschließlich EU-Recht unterliegt — etwa Anbieter aus Deutschland, Belgien oder Frankreich, für die der CLOUD Act schlicht nicht gilt.

Wie vermeide ich das CLOUD-Act-Risiko beim Monitoring?

Der einfachste Weg ist ein EU-eingetragener Monitoring-Anbieter: Eine deutsche, belgische oder französische Gesellschaft kann vom CLOUD Act nicht verpflichtet werden. Alternativ kannst du mit Tools wie Uptime Kuma selbst hosten — kein Drittanbieter, kein CLOUD-Act-Risiko, dafür eigener Betriebsaufwand. Prüfe bei der Anbieterauswahl vier Fragen: Wo ist das Unternehmen eingetragen? Unterliegt es dem CLOUD Act? Kann es garantieren, dass keine Daten an Nicht-EU-Behörden offengelegt werden? Steht der AVV zum Sofort-Download bereit? Wenn ein Anbieter diese Fragen nicht klar beantworten kann, ist das bereits eine Antwort. Besonders relevant ist das für regulierte Branchen, öffentliche Auftraggeber und NIS2-pflichtige Einrichtungen.

US CLOUD Act & SaaS-Monitoring: Risiken für deutsche Teams

Q: Sind SCCs nach Schrems II ausreichend?

Nein, nicht für sich allein. Der Europäische Gerichtshof hat im Schrems-II-Urteil (Rs. C-311/18, 16. Juli 2020) das EU-US Privacy Shield gekippt und ausdrücklich festgehalten, dass Standardvertragsklauseln (SCCs) US-Überwachungsgesetze wie FISA Section 702 nicht aushebeln können. Der Europäische Datenschutzausschuss (EDPB) hat das in seinen Empfehlungen 01/2020 zu ergänzenden Maßnahmen operationalisiert: SCCs müssen durch zusätzliche technische Schutzmaßnahmen flankiert werden, die den Behördenzugriff tatsächlich verhindern. SCCs sind ein Vertrag zwischen dir und dem Anbieter — der CLOUD Act ist ein Gesetz, das unabhängig von Verträgen gilt. Im Konflikt zwischen Vertrag und Gesetz gewinnt das Gesetz.

Wenn du als deutscher Founder oder EU-Team ein US-Monitoring-Tool nutzt, gibt es ein Gesetz, das du kennen solltest. Es heißt CLOUD Act — und es verändert fundamental, was “deine Daten liegen in der EU” tatsächlich bedeutet.

Was ist der CLOUD Act?

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde im März 2018 in den USA verabschiedet und ist in 18 U.S.C. §2713 kodifiziert. Er legt fest, dass US-Strafverfolgungsbehörden US-Technologieunternehmen zur Herausgabe von Daten verpflichten können, die auf deren Servern gespeichert sind — unabhängig davon, ob die Daten in den USA oder im Ausland liegen.

Im Klartext: Ist dein Monitoring-Anbieter ein US-Unternehmen, kann die US-Regierung deine Daten anfordern — auch wenn die Server in Frankfurt, Dublin oder Amsterdam stehen.

Wie das in der Praxis abläuft

Ein vereinfachtes Szenario:

Szenario: CLOUD-Act-Anfrage für Monitoring-Daten

Du bist ein EU-Startup und nutzt ein US-Monitoring-Tool

Deine Monitoring-Daten liegen in einem Rechenzentrum der “EU-Region”

Eine US-Strafverfolgungsbehörde stellt dem Anbieter einen Durchsuchungsbeschluss oder eine Subpoena zu

Der Anbieter ist gesetzlich verpflichtet, deine Daten herauszugeben — egal wo sie gespeichert sind

Der Anbieter darf dich über die Anfrage möglicherweise nicht einmal informieren (Gag Order)

Deine Monitoring-Daten — URLs, Uptime-Muster, Incident-Historie, Alert-Konfigurationen — liegen jetzt bei einer ausländischen Regierung

Das ist kein hypothetisches Szenario. Der CLOUD Act wurde gezielt geschaffen, um einen Rechtsstreit (Microsoft vs. United States) zu beenden, in dem Microsoft sich weigerte, in Irland gespeicherte E-Mails herauszugeben. Der CLOUD Act stellte unmissverständlich klar: Die US-Jurisdiktion folgt dem Unternehmen, nicht dem Rechenzentrum.

Welche Daten betroffen sind

Trifft eine CLOUD-Act-Anfrage deinen Monitoring-Anbieter, können folgende Daten offengelegt werden:

Alle überwachten URLs — deine komplette Service-Landkarte
Check-Ergebnisse — Uptime- und Downtime-Muster über die Zeit
Response-Zeiten — Performance-Daten aller Endpoints
Incident-Historie — was kaputt war, wann und wie oft
Alert-Konfigurationen — wer benachrichtigt wird, über welche Kanäle
Account-Informationen — deine E-Mail, Teammitglieder, Rechnungsdaten
API-Keys und Webhook-URLs — deine Integrations-Endpoints

Das sind nicht bloß Metadaten. Das ist ein vollständiges Profil deiner Infrastruktur.

CLOUD Act vs. DSGVO — der Rechtskonflikt

CLOUD Act und DSGVO stehen in einem fundamentalen Widerspruch:

Die DSGVO sagt: Personenbezogene Daten von EU-Bürgern dürfen nicht ohne angemessenes Schutzniveau in ein Drittland übermittelt werden. US-Überwachungsgesetze — allen voran FISA Section 702 — bedeuten, dass die USA kein angemessenes Schutzniveau bieten (Schrems II, EuGH Rs. C-311/18).

Der CLOUD Act sagt: US-Unternehmen müssen Daten auf Anforderung herausgeben — egal wo sie gespeichert sind und was lokale Gesetze dazu sagen.

US-Unternehmen, die zwischen beiden Rechtsordnungen stehen, entscheiden sich in der Regel so:

Sie befolgen den CLOUD Act (weil Verweigerung in den USA Missachtung des Gerichts bedeutet)
Sie hoffen, dass die DSGVO-Durchsetzung sie nicht einholt (weil DSGVO-Bußgelder das geringere unmittelbare Risiko sind)

Für dich als EU-Kunde heißt das: Die DSGVO-Versprechen deines Monitoring-Anbieters sind nur so belastbar wie seine Bereitschaft, US-Rechtsfolgen zu riskieren. Die wenigsten gehen dieses Risiko ein. Auch die Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden hat seit Schrems II mehrfach klargestellt, dass der strukturelle Behördenzugriff in den USA vertraglich nicht neutralisiert werden kann.

“Aber die haben doch SCCs…”

Standardvertragsklauseln (SCCs) sind der rechtliche Mechanismus, mit dem US-Unternehmen die Verarbeitung von EU-Daten rechtfertigen, seit Schrems II das Privacy Shield gekippt hat. Der Europäische Gerichtshof hat jedoch ausdrücklich festgehalten, dass SCCs US-Überwachungsgesetze nicht aushebeln — eine Position, die der EDPB anschließend in seinen Empfehlungen 01/2020 zu ergänzenden Maßnahmen operationalisiert hat.

SCCs sind ein vertragliches Versprechen zwischen dir und dem Anbieter. Der CLOUD Act ist ein Gesetz, das unabhängig von Verträgen gilt. Im Konflikt zwischen Vertrag und Gesetz gewinnt das Gesetz.

Welche Monitoring-Tools betroffen sind

Jedes Monitoring-Tool, das von einer US-eingetragenen Gesellschaft betrieben wird, unterliegt dem CLOUD Act. Dazu gehören:

Pingdom — gehört zu SolarWinds (US)
BetterStack — US-Unternehmen
Datadog — US-Unternehmen
PagerDuty — US-Unternehmen
New Relic — US-Unternehmen

Auch wenn diese Anbieter “EU Data Residency” anbieten: Der CLOUD Act greift beim Unternehmen, nicht beim Rechenzentrum.

UptimeRobot ist der bemerkenswerte Sonderfall: seit 2019 in EU-Besitz (UptimeRobot s.r.o., Bratislava, Slowakei) — der CLOUD Act greift hier also nicht qua Firmensitz. Aber die eigene Datenschutzerklärung nennt US-Infrastruktur-Anbieter (AWS, Limestone Networks, DigitalOcean) und erlaubt Speicherung und Zugriff außerhalb des EWR. Das Datenstandort-Problem bleibt — nur über die Sub-Prozessor-Schiene statt über den Firmensitz.

Was du tun kannst

1. Einen EU-eingetragenen Monitoring-Anbieter wählen

Die einfachste Lösung: ein Anbieter, der US-Recht gar nicht unterliegt. Eine deutsche, französische, belgische oder andere EU-eingetragene Gesellschaft kann vom CLOUD Act nicht verpflichtet werden.

Unser Guide zu DSGVO-konformen Monitoring-Tools zeigt dir die relevanten EU-Optionen.

2. Monitoring selbst hosten

Tools wie Uptime Kuma lassen sich auf eigener Infrastruktur betreiben. Kein Drittanbieter, kein CLOUD-Act-Risiko — dafür trägst du den Betriebsaufwand selbst.

3. Dein tatsächliches Risiko bewerten

Nicht jedes Unternehmen muss sich gleich stark mit dem CLOUD Act beschäftigen. Aber wenn du:

Daten von EU-Bürgern verarbeitest
In einer regulierten Branche arbeitest (Finanzen, Gesundheit, Recht)
Kunden hast, die nach Datenhoheit fragen
Ein vertrauensbasiertes Produkt aufbaust
Unter das NIS2-Umsetzungsgesetz (NIS2UmsuCG) fällst und deine Dienstleisterauswahl dokumentieren musst

…dann gehört der CLOUD Act in deine Vendor-Bewertung.

4. Die richtigen Fragen stellen

Wenn du ein Monitoring-Tool evaluierst, frag konkret:

Wo ist das Unternehmen eingetragen?
Unterliegt das Unternehmen dem CLOUD Act?
Könnt ihr garantieren, dass keine Daten an Nicht-EU-Behörden offengelegt werden?
Steht der AVV zum Sofort-Download bereit?

Wenn der Anbieter darauf keine klare Antwort hat, ist das bereits eine Antwort.

Das Fazit

Der CLOUD Act bedeutet: “EU-Rechenzentrum” und “EU-Datenhoheit” sind nicht dasselbe. Wo die Server stehen, ist weniger entscheidend als die Frage, wo das Unternehmen eingetragen ist.

Für deutsche Founder und Teams, die Datenhoheit ernst nehmen, ist der sicherste Weg ein Monitoring-Tool eines EU-Unternehmens — eines, auf das der CLOUD Act schlicht keine Anwendung findet.

Lies weiter, warum gerade Monitoring-Daten die EU nicht verlassen sollten, oder sieh dir europäische Alternativen zu US-Monitoring-Tools im Überblick an.