Fünf Fakten darüber, wie der CLOUD Act tatsächlich funktioniert
Wir bieten unseren Kunden weltweit branchenführenden Datenschutz und erstklassige Sicherheit bei der Nutzung der AWS Cloud. In den letzten Monaten haben wir ein zunehmendes Interesse am Umgang mit staatlichen Datenanfragen festgestellt. Viele dieser Fragen beziehen sich auf ein US-amerikanisches Gesetz aus dem Jahr 2018, den Clarifying Lawful Overseas Use of Data Act (CLOUD Act).
Tatsächlich hat der CLOUD Act der US-Regierung keine neuen Befugnisse zur Anforderung von Daten bei Anbietern eingeräumt, sondern vielmehr wichtige rechtliche Leitplanken geschaffen, um Inhalte zu schützen. Um dieses Thema einzuordnen: Seit wir im Jahr 2020 mit der statistischen Erfassung begonnen haben, gab es keine einzige Datenanfrage an AWS, die zur Offenlegung von Kundeninhalten von Unternehmens- oder Regierungsdaten geführt hätte, die außerhalb der USA gespeichert waren.
Unser Engagement für den Schutz von Kundendaten basiert auf mehreren Ebenen rechtlicher, technischer und operativer Schutzmaßnahmen. So hat AWS seine Kernprodukte und -services so konzipiert, dass ausschließlich Kunden selbst und von ihnen autorisierte Personen Zugriff auf Kundeninhalte haben. In solchen Fällen müsste jede Regierung, die Zugriff auf Kundeninhalte wünscht, diese Daten direkt beim Kunden anfordern. Darüber hinaus bietet das US-Recht selbst zahlreiche rechtliche Schutzmechanismen, die das Risiko einer Offenlegung von Unternehmens- oder Regierungsdaten erheblich reduzieren. Das US-Justizministerium (Department of Justice, DOJ) hat in den letzten acht Jahren zusätzliche operative Schutzmaßnahmen eingeführt.
Vor diesem Hintergrund möchten wir einige gängige Missverständnisse zum CLOUD Act aufklären und erläutern, wie er sich auf AWS-Kunden weltweit auswirkt – oder eben nicht. Zudem erweitern wir unsere CLOUD-Act-FAQ, um unseren Kunden und Partnern den Umgang mit diesem Thema zu erleichtern.
Fakt 1: Der CLOUD Act gewährt der US-Regierung keinen uneingeschränkten oder automatischen Zugriff auf in der Cloud gespeicherte Daten
Der CLOUD Act wurde verabschiedet, um Herausforderungen für Strafverfolgungsbehörden bei der Beschaffung von im Ausland gespeicherten Daten im Rahmen grenzüberschreitender Ermittlungen zu schweren Straftaten zu adressieren. Dazu zählen Terrorismus, Gewaltverbrechen, sexuelle Ausbeutung von Kindern und Cyberkriminalität. Der CLOUD Act ermöglicht es den USA in erster Linie, gegenseitige Durchsetzungsabkommen mit vertrauenswürdigen ausländischen Partnern abzuschließen, um Zugang zu elektronischen Beweismitteln für Ermittlungen zu schweren Straftaten zu erhalten – unabhängig davon, wo diese Beweise gespeichert sind. Gleichzeitig hebt er unter US-Recht bestehende Blockierungsgesetze auf.
Viele Staaten stützen sich auf nationale Gesetze, um Anbieter in ihrem Hoheitsgebiet zur Herausgabe elektronischer Daten zu verpflichten, die sich unter der Kontrolle der Unternehmen befinden – unabhängig vom Speicherort. In ähnlicher Weise hat der CLOUD Act klargestellt, dass US-Strafverfolgungsbehörden bestehende Befugnisse, wie etwa gerichtlich genehmigte Durchsuchungsbeschlüsse, nutzen können, um Daten unter der Kontrolle eines Anbieters anzufordern – ebenfalls unabhängig vom Speicherort. Die Durchsetzungsabkommen sorgen dabei für die Wirksamkeit dieser gegenseitigen Regelungen, unterstützt durch strenge verfahrensrechtliche und materielle Schutzmaßnahmen.
Der Datenzugriff nach US-Recht ist weder uneingeschränkt noch automatisch. Strafverfolgungsbehörden müssen strenge rechtliche Anforderungen erfüllen. Anbieter dürfen Daten ohne eine gesetzliche Ausnahme nicht an die US-Regierung weitergeben. Um die Offenlegung von Inhaltsdaten zu erzwingen, muss eine Strafverfolgungsbehörde einen unabhängigen Bundesrichter davon überzeugen, dass ein begründeter Verdacht für eine konkrete Straftat besteht und dass Beweise an dem zu durchsuchenden Ort zu finden sind (z. B. in einem bestimmten elektronischen Konto). Dieser Maßstab muss durch konkrete und glaubwürdige Fakten gestützt werden.
Jeder Durchsuchungsbeschluss unterliegt einer strengen Prüfung hinsichtlich Verdachtsgrad, Tatsachengrundlage, Spezifität, Rechtmäßigkeit, Umfang und Zuständigkeit und muss von einem unabhängigen Richter genehmigt werden. Im Mai 2023 hat das DOJ zudem eine Richtlinie erlassen, nach der Staatsanwälte vor der Anforderung im Ausland gespeicherter Beweise die Genehmigung des Office of International Affairs (OIA) einholen müssen. Diese Richtlinie berücksichtigt die Souveränität anderer Staaten und unterstützt Staatsanwälte bei der Wahl geeigneter Mechanismen zur Beweissicherung.
Fakt 2: AWS hat seit Beginn der statistischen Erfassung keine Kundeninhalte von Unternehmens- oder Regierungskunden unter dem CLOUD Act offengelegt
AWS verfügt über strenge Verfahren zur Prüfung von Anfragen von Strafverfolgungsbehörden weltweit, um deren Rechtmäßigkeit und Übereinstimmung mit geltendem Recht sicherzustellen. Wir erkennen die legitimen Bedürfnisse von Strafverfolgungsbehörden an, bestehen jedoch auf der Einhaltung aller rechtlichen Schutzmaßnahmen.
AWS gibt Kundendaten nur dann heraus, wenn wir dazu durch einen rechtsgültigen und verbindlichen Beschluss verpflichtet sind. Dies haben wir öffentlich in unseren rechtlichen Bedingungen zugesichert. Darüber hinaus fechten wir behördliche Anfragen an, die rechtswidrig, unverhältnismäßig oder unangemessen sind – etwa wenn sie Grundrechte verletzen würden.
Erhalten wir Inhaltsanfragen zu Unternehmenskunden, verweisen wir Strafverfolgungsbehörden nach Möglichkeit direkt an den Kunden und informieren diesen, sofern gesetzlich zulässig. Sollte eine Offenlegung dennoch erforderlich sein, informieren wir Kunden vorab, damit sie rechtliche Schritte einleiten können, sofern dies nicht gesetzlich untersagt ist. Selbst dann legen wir ausschließlich die Daten offen, die zur Erfüllung des rechtlichen Verfahrens zwingend erforderlich sind.
Diese Praxis wird auch durch Leitlinien der Computer Crime and Intellectual Property Section des DOJ gestützt, die Staatsanwälte anweisen, Daten direkt bei den betroffenen Unternehmen und nicht bei Cloud-Anbietern anzufordern.
Ein klarer Beleg für die Wirksamkeit dieser Maßnahmen ist, dass AWS seit Beginn der statistischen Erfassung im Jahr 2020 keinerlei Kundeninhalte von außerhalb der USA gespeicherten Unternehmens- oder Regierungsdaten an die US-Regierung weitergegeben hat.
Fakt 3: Der CLOUD Act gilt nicht nur für US-Unternehmen, sondern für alle Anbieter mit Geschäftstätigkeit in den USA
Der CLOUD Act gilt für alle Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste, die in den USA tätig sind oder dort eine rechtliche Präsenz haben – unabhängig vom Sitz des Unternehmens. Auch europäische Cloud-Anbieter mit Geschäftstätigkeit in den USA unterliegen diesen Regelungen.
So weist etwa der französische Cloud-Anbieter OVHcloud in seinen CLOUD-Act-FAQ darauf hin, dass auch Daten außerhalb der USA betroffen sein können. Gleiches gilt für weitere Anbieter mit Hauptsitz in der EU oder anderen Regionen, die in den USA tätig sind.
Fakt 4: Die Grundsätze des CLOUD Act stehen im Einklang mit internationalem Recht und den Gesetzen anderer Staaten
Der CLOUD Act hat keine neue Rechtsposition zur Offenlegung elektronischer Daten im Rahmen legitimer strafrechtlicher Ermittlungen geschaffen. Viele Länder verlangen die Herausgabe von Kundendaten unabhängig vom Speicherort, wenn es um schwere Straftaten geht.
So erlaubt etwa der britische Crime (Overseas Production Orders) Act den Zugriff auf außerhalb des Vereinigten Königreichs gespeicherte Daten. Laut einer DOJ-Einreichung aus dem Jahr 2024 verfügen auch mehrere EU-Mitgliedstaaten – darunter Belgien, Dänemark, Frankreich, Irland und Spanien – über vergleichbare Regelungen. Tatsächlich stammt der Großteil der an AWS gerichteten Strafverfolgungsanfragen mittlerweile von Behörden außerhalb der USA.
Dieses Prinzip ist auch in der Budapester Konvention über Cyberkriminalität verankert. Zudem erlaubt die EU-Verordnung e-Evidence (2023/1543), dass Mitgliedstaaten Dienstanbieter anweisen können, elektronische Beweise unabhängig vom Speicherort zu sichern oder herauszugeben. Auch die DSGVO gestattet Datenübermittlungen aufgrund verpflichtender Offenlegungsanordnungen aus Drittstaaten, sofern eine geeignete Rechtsgrundlage besteht.
AWS unterstützt den Abschluss gegenseitiger Durchsetzungsabkommen unter dem CLOUD Act, etwa zwischen den USA und der EU oder Kanada, um Rechtskonflikte zu vermeiden und die wirksame Verfolgung schwerer Straftaten zu ermöglichen.
Fakt 5: Der CLOUD Act schränkt die technischen und operativen Schutzmaßnahmen von AWS nicht ein
AWS kann nur dann auf rechtmäßige Datenanfragen reagieren, wenn dies technisch möglich ist. Viele AWS-Services sind so konzipiert, dass selbst AWS-Mitarbeiter keinen Zugriff auf Kundeninhalte haben. Zahlreiche Kernsysteme arbeiten mit dem Prinzip des Zero-Operator-Access.
Das AWS Nitro System, Grundlage der AWS-Compute-Services, nutzt spezialisierte Hard- und Software, um Daten während der Verarbeitung vor externem Zugriff zu schützen. Weder externe Dritte noch AWS-Mitarbeiter können auf Kunden-Workloads zugreifen. Dieses Design wurde von der unabhängigen Sicherheitsfirma NCC Group validiert und ist vertraglich in den AWS-Nutzungsbedingungen verankert.
Zusätzlich stellt AWS umfassende Verschlüsselungsfunktionen bereit – für Daten während der Übertragung, im Ruhezustand und im Arbeitsspeicher. Viele Services unterstützen kundenseitig verwaltete Schlüssel, auf die AWS keinen Zugriff hat. Der AWS Key Management Service (AWS KMS) ist das erste hochskalierbare, cloud-native Schlüsselmanagementsystem mit FIPS-140-3-Level-3-Zertifizierung.
Fortsetzung unserer Kundenorientierung
Bei AWS steht der Kunde im Mittelpunkt unseres Handelns – von der Entwicklung unserer Services bis zum Schutz Ihrer Daten. Vertrauen entsteht durch Transparenz, starke technische Kontrollen und konsequentes Engagement für Ihre Interessen. Deshalb informieren wir offen über den Umgang mit staatlichen Datenanfragen, die Auswirkungen des CLOUD Act und die mehrschichtigen rechtlichen, operativen und technischen Schutzmaßnahmen.
Wir laden Sie ein, sich in unseren erweiterten CLOUD-Act-FAQs weiter zu informieren. AWS wird auch künftig in Ihrem Sinne innovieren, neue Funktionen entwickeln, die Ihnen die Kontrolle über Ihre Daten geben, und unser Engagement für höchste Standards in Datenschutz und Sicherheit fortsetzen.