LegacyShield
Back to blog
·5 min read·LegacyShield Team

Der CLOUD Act: Warum 'EU-Region' bei AWS Ihre Daten nicht schützt

Der US CLOUD Act erlaubt es der US-Regierung, Daten von amerikanischen Unternehmen zu verlangen — auch wenn sie in Europa gespeichert sind. Was das für Ihre wichtigsten Dokumente bedeutet.

CLOUD Act EU DatenUS Server DSGVODatensouveränität Europa

Ihre Daten Liegen in Frankfurt. Aber Sie Gehorchen Washington.

Sie haben alles richtig gemacht. Einen Cloud-Anbieter mit "EU-Region" gewählt. Ihre Dateien liegen auf einem Server in Frankfurt, Dublin oder Amsterdam. Europäischer Boden, europäischer Strom, europäisches Rechenzentrumspersonal.

Aber das Unternehmen, das diesen Server betreibt? Amerikanisch. Und diese eine Tatsache macht alles zunichte.

Was der CLOUD Act Tatsächlich Besagt

Im März 2018 verabschiedeten die Vereinigten Staaten den Clarifying Lawful Overseas Use of Data Act — den CLOUD Act. Er wurde in einem 2.232 Seiten langen Haushaltsgesetz versteckt und praktisch ohne öffentliche Debatte unterzeichnet.

In einfachem Deutsch bedeutet das: Jedes US-Unternehmen muss Kundendaten an US-Strafverfolgungsbehörden übergeben — unabhängig davon, wo diese Daten physisch gespeichert sind.

Nicht "in den USA gespeicherte Daten." Alle Daten. Überall auf der Welt.

Speichern Sie Ihr Testament, Ihre Versicherungspolice oder Ihre Finanzunterlagen bei AWS, Google Cloud, Microsoft Azure oder Dropbox — und die US-Regierung erlässt einen Beschluss — dann ist dieses Unternehmen gesetzlich verpflichtet, die Daten herauszugeben. Auch wenn der Server in der EU steht. Auch wenn Sie EU-Bürger sind. Auch wenn Sie nie in Amerika waren.

"Aber die DSGVO Schützt Mich"

Die DSGVO sagt: Personenbezogene Daten von EU-Einwohnern dürfen nicht ohne angemessenen Schutz außerhalb der EU übertragen werden. Der CLOUD Act sagt: US-Unternehmen müssen Daten übergeben, egal wo sie liegen.

Diese beiden Gesetze widersprechen sich direkt.

In der Praxis gehorchen US-Unternehmen zuerst dem US-Recht. Microsoft hat diesen Kampf tatsächlich vor Gericht geführt. In United States v. Microsoft Corp. (2018) argumentierten sie, dass sie nicht verpflichtet sein sollten, in Irland gespeicherte E-Mails herauszugeben. Der Fall ging bis zum Supreme Court — und dann verabschiedete der Kongress den CLOUD Act. Problem gelöst. Für die US-Regierung jedenfalls.

Der "EU-Region" Marketing-Trick

Jeder große US-Cloud-Anbieter bietet jetzt "EU-Regionen" an. AWS hat Rechenzentren in Frankfurt, Dublin, Paris. Sie vermarkten das als Datenschutzfunktion: "Ihre Daten bleiben in Europa."

Technisch wahr. Funktional bedeutungslos.

Eine Analogie: Sie mieten ein Schließfach bei einer Bank in Frankfurt. Das Fach ist hier. Der Schlüssel ist hier. Aber die Bank gehört einem US-Konzern mit Sitz in Seattle. Wenn die US-Regierung anklopft, geht sie nicht nach Frankfurt. Sie geht nach Seattle und sagt: "Aufmachen."

Was "Europäische Infrastruktur in Europäischem Besitz" Bedeutet

Es gibt einen entscheidenden Unterschied zwischen "in Europa gehostet" und "im Besitz eines europäischen Unternehmens."

  • AWS Frankfurt → Amerikanisches Unternehmen, US-Jurisdiktion, CLOUD Act gilt
  • Hetzner (Deutschland) → Deutsches Unternehmen, EU-Jurisdiktion, CLOUD Act gilt nicht

Gleicher Kontinent. Gleiche Stadt sogar. Völlig andere rechtliche Realität.

Wenn Ihre Daten auf Servern liegen, die einem in Deutschland gegründeten, in Deutschland ansässigen Unternehmen ohne US-Muttergesellschaft gehören, hat der CLOUD Act schlicht keine Anwendung.

Wer Sich Sorgen Machen Sollte

Expats in Deutschland mit Dokumenten in mehreren Ländern. Ihr Testament folgt dem Recht eines Landes. Ihre Bankkonten sind in einem anderen. Ihre Renteninformationen, Versicherungspolicen und Patientenverfügungen verteilen sich auf drei Cloud-Dienste — alle amerikanisch.

Freiberufler und Selbstständige. Speichern Sie Kundenverträge auf Google Drive? Dann verstoßen Sie möglicherweise gegen die DSGVO, ohne es zu wissen.

Das Bundesverfassungsgericht hat das Recht auf informationelle Selbstbestimmung bereits 1983 als Grundrecht anerkannt. Deutschland hat eine besondere Geschichte mit Überwachung — Stasi-Akten sind keine abstrakte Warnung. Datensouveränität ist hier kein Modewort, sondern gelebte Lehre.

Der LegacyShield-Ansatz

LegacyShield läuft vollständig auf europäischer Infrastruktur in europäischem Besitz — Hetzner, mit Hauptsitz in Deutschland. Kein US-Mutterunternehmen. Keine US-Investoren. Keine CLOUD-Act-Jurisdiktion.

Ihre Dokumente werden mit AES-256-GCM verschlüsselt, bevor sie Ihren Browser verlassen. Wir besitzen die Schlüssel nicht. Wir können Ihre Dateien nicht lesen — und keine Regierung kann uns zwingen, Schlüssel herauszugeben, die wir nicht haben.

Was Sie Heute Tun Sollten

Schritt 1: Prüfen Sie, wo Ihre wichtigen Dokumente wirklich liegen. Google Drive? Dropbox? iCloud? Alles amerikanische Unternehmen. Alle dem CLOUD Act unterworfen.

Schritt 2: Fragen Sie sich — ist es für Sie akzeptabel, dass die US-Regierung einen rechtlichen Zugangsweg zu Ihrem Testament hat? Ihrer Patientenverfügung? Ihren Finanzunterlagen?

Schritt 3: Wenn nicht, verlagern Sie Ihre sensibelsten Dokumente auf Infrastruktur, die strukturell außerhalb dieser Reichweite liegt.

Bereit, die Kontrolle über Ihre Dokumente zu übernehmen? Erstellen Sie Ihr kostenloses LegacyShield-Konto — europäisches Eigentum, Zero-Knowledge-Verschlüsselung, gebaut für die Dokumente, die am wichtigsten sind.

Secure your documents for free

Start with LegacyShield today. Zero-knowledge encryption, emergency access for your loved ones, and always free to use.

Get Started Free