Warum deutsche Jurisdiktion für Cloud-Daten zählt
Server in Deutschland schützen nicht, solange der Anbieter unter US-Jurisdiktion steht. Was CLOUD-Act, FISA-702 und UK IPA tatsächlich erzwingen können, und woran man einen Anbieter erkennt, der sich dem entzieht.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Tiefgang
- Der CLOUD-Act greift am Unternehmen an
- FISA 702 ist der Breitband-Vektor
- UK IPA: technical capability notices
- Was deutsche Jurisdiktion konkret bedeutet
- Praktische Erkennungsmerkmale
- Abgelehnte Alternativen und Mythen
- Was Sie jetzt tun sollten
- Wie Dernium hier hilft
- Verifikation
- Offene Punkte
- Häufige Fragen
- Schützt ein deutsches Rechenzentrum meine Daten vor dem US CLOUD Act?
- Reicht eine deutsche GmbH als Tochter eines US-Konzerns?
- Wie erkenne ich, ob ein Anbieter wirklich deutscher Jurisdiktion unterliegt?
- Löst Ende-zu-Ende-Verschlüsselung das Problem nicht ohnehin?
- Was ändert ein neues EU-US Data Privacy Framework daran?
- Aktualisierungen
Problem
"Unsere Daten liegen in einem deutschen Rechenzentrum" ist eine der am häufigsten gemachten und am schwächsten gedachten Vertraulichkeitsversprechen im deutschen Cloud-Markt. Der Satz sagt etwas über Hardware-Standorte aus und nichts über die Rechtsmacht, die dem Anbieter von außen auf den Schreibtisch gelegt werden kann.
Drei Gesetze prägen die Lage:
- US CLOUD Act (2018): Verpflichtet US-amerikanische Dienstleister, Daten an US-Strafverfolgungsbehörden herauszugeben, unabhängig davon, wo die Daten physisch gespeichert sind.
- FISA Section 702 (FISA = Foreign Intelligence Surveillance Act, US-Gesetz zur Auslandsaufklärung; 50 U.S.C. 1881a): Ermöglicht der US-Nachrichtengemeinde massenhafte Anordnungen gegen US-Anbieter für "Auslands-Ziele" mit deutlich reduzierter richterlicher Kontrolle.
- UK Investigatory Powers Act 2016: Technische Bereitstellungsanordnungen ("technical capability notices", Auflagen zum Einbau von Abhörfähigkeiten) gegen britische Kommunikationsanbieter, mit Gag-Klausel (gesetzliches Schweigegebot).
Allen gemeinsam: Sie setzen am Anbieter an, nicht am Server. Ein deutsches Rechenzentrum eines US-Konzerns ist rechtlich nicht geschützter als ein Serverrack in Kalifornien.
Für wen ist das? Für Verantwortliche, die wissen wollen, welches Recht auf ihre Cloud-Daten zugreifen kann.
Kurze Antwort
Wer Datenabfluss in die genannten Jurisdiktionen ausschließen will, fragt nicht nach dem Server-Standort, sondern nach der Rechtsmacht über den Anbieter. Kurz:
- Eigentümerstruktur schlägt Standort: Ein Anbieter unterliegt dem CLOUD Act dann nicht, wenn er weder selbst US-amerikanisch ist noch in einem Konzernverbund unter US-Recht steht.
- Server-Standort ist nur notwendig, nicht hinreichend: Ein deutsches Rechenzentrum allein schützt nicht, wenn die Muttergesellschaft im US-Rechtsraum sitzt.
- Vier Erkennungsmerkmale: deutscher Gesellschaftssitz, EU-Gesellschafterstruktur ohne US-/UK-/CN-Beteiligungskette, EU-Rechenzentren und -Subunternehmer, Transparenzbericht zu Auskunftsersuchen.
- Verschlüsselung hilft nur ohne Schlüssel beim Anbieter: Erst eine Zero-Knowledge-Architektur (Anbieter hat die Schlüssel nachweislich nicht) entzieht den Zugriff der Wirkung.
Tiefgang
Der CLOUD-Act greift am Unternehmen an
Section 103 des CLOUD Act ergänzt 18 U.S.C. Paragraf 2713 um den Satz "A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose ... regardless of whether such communication, record, or other information is located within or outside of the United States". Wer als Anbieter der US-Jurisdiktion unterliegt, schuldet die Herausgabe. Der Ort der Speicherung spielt keine Rolle.
Der Microsoft-Ireland-Fall (Microsoft Corp. v. United States, 584 U.S. ___ (2018)) war vor der Verabschiedung des CLOUD Acts die letzte juristische Hoffnung, dass der Standort zählt. Er wurde durch das Gesetz gegenstandslos, bevor der Supreme Court entschied.
FISA 702 ist der Breitband-Vektor
Section 702 ist keine Einzelfall-Anordnung. Sie erlaubt der NSA (National Security Agency, US-Auslandsnachrichtendienst), "selectors" (Auswahlmerkmale wie E-Mail-Adressen, Telefonnummern, andere Identifikatoren) gegen nicht-amerikanische Zielpersonen mit einer einzigen jährlichen Generalbewilligung durch das Foreign Intelligence Surveillance Court (FISC, das zuständige US-Geheimgericht) zu betreiben. Der Anbieter muss technisch kooperieren; die Kooperation ist geheim, und der Anbieter darf seine Kundschaft darüber nicht informieren.
Die Datenschutz-Entscheidungen des EuGH (Europäischer Gerichtshof; Schrems I 2015, Schrems II 2020) haben FISA 702 ausdrücklich als Grund genannt, warum US-Rechtssphäre und EU-Datenschutzrecht nicht vereinbar sind. Ein Nachfolger-Beschluss wird derzeit unter dem Arbeitstitel "EU-US Data Privacy Framework" verhandelt; er wird die zugrundeliegende US-Rechtslage nicht ändern, sondern eine zusätzliche US-interne Beschwerdemöglichkeit ergänzen - ob das vor dem EuGH standhält, bleibt offen.
UK IPA: technical capability notices
Der britische Investigatory Powers Act 2016 erlaubt dem Innenministerium, Anbietern aufzuerlegen, Abhörfähigkeiten in ihre Systeme einzubauen, inklusive der Schwächung von Verschlüsselung. Die Auseinandersetzung zwischen Apple und dem FBI um iPhone-Entsperrung sowie die laufende Debatte um Ende-zu-Ende-Verschlüsselung im Rahmen des Online Safety Bill zeigen, welchen Druck Anbieter unter britischem und US-Recht aushalten müssen.
Was deutsche Jurisdiktion konkret bedeutet
Ein Zugriff auf einen Anbieter mit Sitz und alleinigem Gesellschafter in Deutschland erfordert:
- Richterliche Anordnung nach deutschem Recht (z.B. Paragraf 100a StPO, Strafprozessordnung), mit konkretem Tatverdacht und konkreten Personen.
- Rechtshilfeweg für ausländische Strafverfolgung: das Rechtshilfeersuchen läuft über das Bundesamt für Justiz und erfordert eine Prüfung nach RiVASt (Richtlinien für den Verkehr mit dem Ausland in strafrechtlichen Angelegenheiten).
- Keine Gag-Order mit voraussehbar jahrelanger Geheimhaltung: In Deutschland ist die nachträgliche Benachrichtigung der Betroffenen nach Paragraf 101 StPO Regel, nicht Ausnahme.
Praktische Erkennungsmerkmale
Ein Anbieter verdient das Label "deutsche Jurisdiktion" nur, wenn alle vier Kriterien zutreffen:
- Gesellschaftssitz in Deutschland, Handelsregister-Eintrag prüfbar.
- Alleinige oder mehrheitliche Gesellschafter in Deutschland oder der EU, keine Beteiligungskette in US-/UK-/CN-Konzerne (CN = China).
- Rechenzentren und Subunternehmer ebenfalls im EU-Rechtsraum, schriftlich zugesichert im AVV (Auftragsverarbeitungsvertrag) nach Art. 28 DSGVO.
- Transparenzbericht zu staatlichen Auskunftsersuchen: Anzahl, Anteil ausgeführt, Anteil zurückgewiesen.
Punkt 1 und 3 sind häufig; Punkt 2 und 4 sind die unterscheidenden Kriterien.
Abgelehnte Alternativen und Mythen
"Wir haben Server in Deutschland." Wenn die Muttergesellschaft US-amerikanisch ist, ist das irrelevant für den CLOUD-Act. Microsoft, Google, AWS, Apple, Oracle, Salesforce: alle deutsche Regionen inklusive.
"Wir haben ein EU-Tochter-Unternehmen." Eine deutsche GmbH als Tochter eines US-Konzerns steht im Konzernverbund; eine Weisung der Mutter, an die Behörde zu liefern, ist konzernintern durchsetzbar.
"Schrems-II-konformer Standardvertrag (SCC) genügt." SCCs (Standard Contractual Clauses, Standard-Datenschutzklauseln) sind Zivilrechts-Verträge. Sie binden den Empfänger, aber sie hebeln nicht das Hoheitsrecht eines Drittstaats aus. Der EuGH hat in Schrems II (C-311/18) klargestellt, dass SCCs nur dann wirken, wenn der Drittstaat ein gleichwertiges Schutzniveau bietet. Bei FISA 702 ist das nicht der Fall.
"Ende-zu-Ende-Verschlüsselung löst das Problem." Nur, wenn der Anbieter die Schlüssel wirklich nicht hat. In vielen "E2E"-Produkten liegt der Schlüssel in einem HSM (Hardware Security Module, ein gehärteter Schlüsselspeicher) beim Anbieter, und eine technische Anordnung kann ihn erzwingen. Zero-Knowledge-Architektur (der Anbieter kann die Daten technisch nicht entschlüsseln) ist die Antwort, nicht E2E als Label.
Was Sie jetzt tun sollten
- Eigentümerkette aufdecken: Lassen Sie sich für jeden kritischen Anbieter das Gesellschafterverzeichnis zeigen und prüfen Sie es gegen das Handelsregister - bis hinauf zur letzten Muttergesellschaft.
- Beteiligungen jenseits der EU markieren: Notieren Sie jede US-, UK- oder China-Beteiligung in der Kette. Schon eine beherrschende ausländische Mutter genügt, um die fremde Jurisdiktion ins Spiel zu bringen.
- Subunternehmer und Rechenzentren im AVV festschreiben: Verlangen Sie eine schriftliche Zusicherung, dass auch Subunternehmer im EU-Rechtsraum sitzen, und prüfen Sie die Liste der Sub-Verarbeiter.
- Transparenzbericht einfordern: Fragen Sie nach Anzahl und Ergebnis staatlicher Auskunftsersuchen. Ein Anbieter ganz ohne Bericht ist nicht sicherer, nur leiser.
- Schlüsselhoheit klären: Lassen Sie sich erklären, wer die Verschlüsselungsschlüssel hält. Nur wenn der Anbieter sie technisch nicht besitzt, schützt die Verschlüsselung auch gegen eine Anordnung.
Wie Dernium hier hilft
Dernium ist eine in Deutschland ansässiges und geführtes Unternehmen (Dernium GmbH in Gründung) mit ausschließlich deutscher Gesellschafterstruktur; die gesamte Produktpalette (Clean, Note, Scan, Desk und weitere) läuft in Rechenzentren innerhalb des EU-Rechtsraums. Rechtsgrundlage für Datenzugriffe ist deutsches Recht nach StPO; CLOUD Act, FISA 702 und der UK IPA setzen an der Anbieter-Gesellschaft an und erreichen die Dernium GmbH strukturell nicht. Über staatliche Auskunftsersuchen werden wir einen jährlichen Transparenzbericht veröffentlichen (Anzahl und Ergebnis).
Verifikation
- CLOUD Act: 18 U.S.C. Paragraf 2713.
- FISA Section 702: 50 U.S.C. Paragraf 1881a.
- UK IPA 2016: Investigatory Powers Act 2016.
- Schrems II: EuGH, Urteil vom 16.07.2020, C-311/18.
- Transparenzberichte als Gegenprüfung: Öffentliche Berichte großer Anbieter zeigen, wie oft und wie weitgehend Anfragen ausgeführt werden; ein Anbieter ohne eigenen Bericht ist kein besserer Anbieter, sondern nur ein leiserer.
Offene Punkte
Data Privacy Framework. Ein Nachfolgebeschluss zum Privacy Shield ("EU-US DPF") wird im Moment verhandelt; eine erneute Schrems-Prüfung vor dem EuGH ist absehbar. Organisationen mit Rechtssicherheitsbedarf sollten nicht darauf wetten, dass ein solcher Beschluss im ersten Anlauf hält.
Trans-atlantische Konzernstrukturen sind oft undurchsichtig. Wer wirklich sicher sein will, lässt sich das Gesellschafterverzeichnis zeigen und prüft es gegen das Handelsregister.
Häufige Fragen
Schützt ein deutsches Rechenzentrum meine Daten vor dem US CLOUD Act?
Allein nicht. Der CLOUD Act setzt am Anbieter an, nicht am Speicherort: Unterliegt das Unternehmen oder seine Muttergesellschaft US-Recht, muss es die Daten herausgeben, auch wenn die Server in Deutschland stehen. Ein deutsches Rechenzentrum ist eine notwendige, aber keine hinreichende Bedingung. Entscheidend ist, wer das Unternehmen rechtlich beherrscht.
Reicht eine deutsche GmbH als Tochter eines US-Konzerns?
Nein. Eine deutsche Tochtergesellschaft steht im Konzernverbund mit ihrer Mutter. Eine Weisung der US-Mutter, Daten an eine Behörde zu liefern, ist konzernintern durchsetzbar. Damit greift die fremde Jurisdiktion mittelbar durch. Geschützt sind Sie nur bei einem Anbieter, dessen Eigentümerkette komplett im EU-Rechtsraum bleibt.
Wie erkenne ich, ob ein Anbieter wirklich deutscher Jurisdiktion unterliegt?
Prüfen Sie vier Punkte: deutscher Gesellschaftssitz mit Handelsregister-Eintrag, eine Gesellschafterstruktur ohne US-, UK- oder China-Beteiligungskette, Rechenzentren und Subunternehmer im EU-Rechtsraum (schriftlich im Auftragsverarbeitungsvertrag zugesichert) und ein veröffentlichter Transparenzbericht zu staatlichen Auskunftsersuchen. Sitz und Rechenzentrum sind leicht zu erfüllen; die Eigentümerstruktur und der Transparenzbericht sind die wirklich unterscheidenden Merkmale.
Löst Ende-zu-Ende-Verschlüsselung das Problem nicht ohnehin?
Nur, wenn der Anbieter die Schlüssel nachweislich nicht besitzt. Liegt der Schlüssel - etwa in einem Hardware Security Module - beim Anbieter, kann eine staatliche Anordnung dessen Herausgabe oder Nutzung erzwingen. Das Etikett "E2E" allein sagt nichts darüber aus, wer den Schlüssel hält. Erst eine Zero-Knowledge-Architektur, bei der der Anbieter technisch nicht entschlüsseln kann, entzieht den Zugriff seiner Wirkung.
Was ändert ein neues EU-US Data Privacy Framework daran?
Wenig an der eigentlichen Rechtslage. Ein solcher Angemessenheitsbeschluss erleichtert Datenübermittlungen formal, ändert aber nicht die US-Gesetze (CLOUD Act, FISA 702), die den Zugriff ermöglichen. Frühere Beschlüsse (Safe Harbor, Privacy Shield) wurden vom EuGH gekippt, und eine erneute Prüfung des Nachfolgers gilt als wahrscheinlich. Wer Rechtssicherheit braucht, sollte sich nicht darauf verlassen, dass ein solcher Beschluss dauerhaft Bestand hat.