pdf2okf·

Wiki

Der CLOUD Act: warum EU-Daten in US-Clouds nicht sicher sind

Was der CLOUD Act tatsächlich ist

Der CLOUD Act (der US-amerikanische „Clarifying Lawful Overseas Use of Data Act" von 2018) gibt US-Behörden eine klare Befugnis: Sie können einen US-ansässigen oder US-eigenen Anbieter zwingen, Daten in seinem Besitz, seiner Obhut oder seiner Kontrolle herauszugeben, ganz gleich, wo auf der Welt diese Daten physisch liegen. Maßstab ist die Kontrolle, nicht der Ort. Kann ein Anbieter die Daten erreichen, kann eine rechtmäßige US-Anordnung sie über den Anbieter erreichen.

Das Gesetz entstand direkt aus dem Streit Microsoft Irland, in dem Microsoft argumentierte, ein US-Durchsuchungsbeschluss könne keine E-Mails erreichen, die in seinem Dubliner Rechenzentrum lagen. Der CLOUD Act entschied die Frage zugunsten der Regierung: Daten im Ausland zu speichern entzieht sie dem US-Recht nicht, wenn das verwahrende Unternehmen der US-Rechtshoheit untersteht.

Warum eine Frankfurt-Region dich nicht rettet

Das ist der Teil, der Leute überrascht, die „EU-Datenresidenz" gekauft und die Sache für erledigt hielten. Residenz sagt, wo die Bytes liegen. Beim CLOUD Act geht es darum, wer sie kontrolliert. Die deutsche Region eines US-Hyperscalers, seine EU-Tochter, seine Zusage „Daten bleiben in Europa": Nichts davon ändert die Nationalität der kontrollierenden Firma. Ist die Muttergesellschaft US-amerikanisch, stehen die in Deutschland gespeicherten Daten weiterhin unter ihrer Kontrolle und damit weiterhin in Reichweite einer US-Anordnung.

„In Frankfurt gehostet" und „vor US-Zugriff sicher" sind also zwei verschiedene Aussagen, und die erste impliziert die zweite nicht. Für personenbezogene EU-Daten ist genau diese Lücke das ganze Problem, die Kernfrage jeder US-Cloud-DSGVO-Bewertung: Du kannst ein Residenz-Häkchen erfüllen und trotzdem einer fremden Rechtshoheit ausgesetzt sein, die du nie gewählt hast.

Der Schrems-Hintergrund: heute gültig, nicht dauerhaft sicher

Das ist keine Randsorge, sondern der Kern von über einem Jahrzehnt transatlantischen Rechtsstreits. Zwei frühere Rahmen für EU-US-Datenübermittlungen wurden vom höchsten EU-Gericht nach Klagen von Max Schrems gekippt: Safe Harbor 2015 und sein Nachfolger Privacy Shield 2020, beide großteils wegen des Zugriffs der US-Regierung auf Daten.

Die aktuelle Regelung ist das EU-US Data Privacy Framework (DPF), in Kraft seit 2023. Es hat seine erste rechtliche Anfechtung überstanden, kann aber noch vor dem Gerichtshof der EU angefochten werden, und da seine beiden Vorgänger beide für ungültig erklärt wurden, lautet die ehrliche Beschreibung: heute gültig, nicht dauerhaft sicher. Eine Compliance-Haltung auf der Annahme zu bauen, das DPF bestehe für immer, ist eine Wette gegen einen fünfzehnjährigen Trend. Das DPF ist gerade jetzt eine echte Rechtsgrundlage; es ist keine Garantie.

Warum Self-Hosting das Ganze umgeht

Jedes Problem oben hängt an einer Zutat: einem Anbieter in der Schleife, den man zwingen kann. Nimm den Anbieter weg, und du nimmst den Mechanismus weg. Läuft das Modell auf deiner eigenen Hardware und gehen die Daten nie an Dritte, gibt es kein US-eigenes Unternehmen, das deine Daten hält, keine Anordnung, die sie über ein solches erreichen kann, und keinen Übermittlungsrahmen, dessen Fortbestand du verfolgen musst. Es gibt nichts vorzuladen, weil niemand in der Mitte steht.

Das ist der Unterschied zwischen dem Abmildern der CLOUD-Act-Aussetzung mit Verträgen und dem Nicht-Haben dieser Aussetzung. Self-Hosting lässt den CLOUD Act nicht verschwinden. Es macht dich für ihn irrelevant. Das ist Datenhoheit gegenüber dem CLOUD Act im wörtlichen Sinn.

Wo pdf2okf ins Bild kommt

pdf2okf verwandelt deine PDFs in OKF-kompatible Wissens-Bundles auf deiner eigenen Hardware oder gegen deinen eigenen Schlüssel. Keine Seite wird an einen US-Anbieter hochgeladen, also steht niemand in der Schleife, den eine US-Anordnung zwingen könnte, und es gibt keine Frankfurt-gegen-Seattle-Frage zu prozessieren. Die Daten bleiben, wo du sie hinlegst, unter der einzigen Rechtshoheit, die du gewählt hast. Zur rechtlichen Mechanik auf EU-Seite siehe DSGVO-konforme KI; wie die drei Souveränitäts-Begriffe zusammenpassen, steht in Datenhoheit für KI.

pdf2okf.com

Sei dabei, wenn es aufgeht.

pdf2okf entsteht gerade im Privaten, self-hosted, souverän. Hinterlass eine Mail, du bist als Erstes drin.