Startseite
Über uns
Open Source Mobile Apps Häufig gestellte Fragen Migration von Google Fotos Über PixelUnion
Preise Blog
Hilfecenter
Konto Immich Migration Sonstiges Support kontaktieren
Get Started
Privacy

Der US CLOUD Act erklärt: Was er für Ihre Fotos und Ihren Datenschutz bedeutet

PixelUnion Team
6 min read
#CLOUD Act #Digital Sovereignty #Europe #Big Tech #Privacy #Data Protection #GDPR
Der US CLOUD Act erklärt: Was er für Ihre Fotos und Ihren Datenschutz bedeutet

Ihre Fotos sind in der “Cloud”. Aber wessen Cloud? Und welche Gesetze gelten?

Wenn Sie Bilder auf Google Fotos, iCloud, OneDrive oder Dropbox speichern, gehen Sie wahrscheinlich davon aus, dass Ihre Daten durch die Datenschutzgesetze des Landes geschützt sind, in dem sich diese Server befinden. Wenn Ihre Fotos in Europa gespeichert sind, könnten Sie denken, dass europäische Datenschutzregeln - wie die GDPR - Sie schützen. Aber es gibt ein US-amerikanisches Gesetz, von dem Sie wahrscheinlich nie gehört haben, das all das außer Kraft setzen kann. Es heißt CLOUD Act, und es ist wichtiger, als Sie vielleicht denken.

Was ist der CLOUD Act?

Der CLOUD Act ist ein kurzes, komplexes US-Gesetz aus dem Jahr 2018. Der Name steht für “Clarifying Lawful Overseas Use of Data” - was ehrlich gesagt verwirrender klingt als das Gesetz selbst. Den tatsächlichen Text können Sie hier lesen, aber wir übersetzen ihn in einfaches Deutsch.

Die Kernidee ist diese: Wenn ein US-Unternehmen Ihre Daten speichert - selbst wenn diese Server physisch in Europa stehen - kann die US-amerikanische Strafverfolgung von diesem Unternehmen verlangen, Ihre Daten herauszugeben, ohne vorher europäische Behörden um Genehmigung zu bitten.

Stellen Sie sich das so vor: Sie mieten eine Wohnung in Paris. Der Vermieter ist Amerikaner. Nach normalen Regeln müsste die Polizei, wenn sie Ihre Wohnung durchsuchen möchte, einen französischen Gerichtshof anrufen und französische Genehmigung einholen. Aber was, wenn es eine Regel gibt, die besagt, dass amerikanische Vermieter amerikanischen Polizisten ihre Türen öffnen müssen, wann immer diese darum bitten? Das ist im Grunde das, was der CLOUD Act macht - er lässt die US-amerikanische Strafverfolgung europäische Rechtsverfahren umgehen und direkt zum Unternehmen gehen, das Ihre Daten speichert.

Der CLOUD Act ermöglicht es US-Behörden, Daten von US-Unternehmen anzufordern, selbst wenn diese Daten auf europäischen Servern gespeichert sind und europäischen Bürgern gehören - was möglicherweise europäische Datenschutzbestimmungen außer Kraft setzt.

Warum das wichtig ist (auch wenn Ihre Daten in Europa sind)

Sie könnten denken: “Meine Fotos werden in einem deutschen Rechenzentrum gespeichert, geschützt durch deutsches Recht.” Das klingt sicher. Aber es ist nicht das Recht, das das Gebäude schützt, das zählt - es ist das Recht, das das Unternehmen schützt, das das Gebäude betreibt.

Wenn Sie Fotos auf Google Fotos hochladen, ist Google (ein US-Unternehmen) dafür verantwortlich. Der Hauptsitz von Google ist in Kalifornien. Google muss sich an US-amerikanische Gesetze halten. Wenn US-amerikanische Strafverfolgung mit einer rechtlichen Anordnung auftaucht, muss Google sich an US-amerikanisches Recht halten - selbst wenn Ihre Fotos auf Servern in Frankfurt, Amsterdam oder Dublin stehen.

Der CLOUD Act wurde eigentlich entworfen, um ein anderes Problem zu lösen: Er sollte US-Unternehmen helfen, sich widersprüchlichen Rechtsanforderungen mehrerer Länder zu entziehen. Aber die Nebenwirkung ist, dass er einen rechtlichen Weg für US-Behörden schuf, um überall auf der Welt auf Daten zuzugreifen, solange ein US-Unternehmen diese hält.

Die GDPR schützt Sie nicht vor dem CLOUD Act

Hier wird es wichtig: Die GDPR (Datenschutz-Grundverordnung der EU) ist großartig. Sie gibt Ihnen Rechte, sie begrenzt das, was Unternehmen mit Ihren Daten tun können, und sie erzwingt Transparenz. Aber die GDPR geht darum, was Unternehmen freiwillig mit Ihren Daten tun können. Sie ist kein Schutz gegen Regierungsanforderungen.

Der CLOUD Act geht um Regierungszugriff. Die GDPR kann US-amerikanische Strafverfolgung nicht daran hindern, eine rechtliche Anforderung unter CLOUD Act-Regeln zu stellen. Das sind zwei verschiedene Dinge:

  • GDPR kontrolliert, was Unternehmen im normalen, alltäglichen Geschäft mit Ihren Daten tun
  • CLOUD Act kontrolliert, was Regierungen von diesen Unternehmen verlangen können

Selbst ein Unternehmen, das die GDPR perfekt einhält, muss sich einer CLOUD Act-Anforderung von US-Behörden unterwerfen. Es ist wie die strengsten Vermietungsregeln der Welt zu haben - aber die Polizei kann trotzdem eindringen, wenn sie einen Durchsuchungsbefehl hat.

Wer ist tatsächlich betroffen?

Eigentlich: jeder, der große Cloud-Speicher- oder Fotodienste nutzt. Das umfasst:

  • Google Fotos und Google Drive
  • Apple iCloud
  • Microsoft OneDrive und Outlook
  • Dropbox
  • Amazon Fotos
  • Facebook und Instagram (die auch Ihre Fotos hosten)
  • Jedes andere US-amerikanische Cloud-Unternehmen

Wenn ein US-Unternehmen Ihre Daten speichert, könnte der CLOUD Act gelten. Das ist nicht theoretisch - US-amerikanische Strafverfolgung hat bereits CLOUD Act-Befugnisse genutzt, um Daten von Technologieunternehmen anzufordern, und Unternehmen befolgen dies normalerweise.

Reale Konsequenzen

Lassen Sie uns das konkret machen. Stellen Sie sich vor:

  • Ein Journalist in Polen nutzt Google Drive, um Forschungsdaten und Dokumente zu speichern. US-Behörden, die die Quellen des Journalisten untersuchen, könnten Google zwingen, alles auszuhändigen - obwohl die Daten in Europa gespeichert sind und der Journalist Europäer ist.

  • Ein Fotograf in Deutschland nutzt Dropbox, um Kundenfoto und Verträge zu sichern. Falls aus irgendeinem Grund unter Ermittlungen, könnten US-Behörden auf diese Dateien zugreifen, ohne deutsche Gerichte zu durchlaufen.

  • Ein Aktivist in Ungarn nutzt Gmail und Google Fotos. US-Behörden könnten auf seine E-Mails und Fotos zugreifen, wenn sie eine rechtliche Grundlage hätten.

Das sind keine paranoid Szenarien. Das ist, wie das Gesetz tatsächlich funktioniert.

Wie der CLOUD Act sich von anderen Gesetzen unterscheidet

Sie könnten von Gesetzen wie GDPR, SCHREMS II oder Angemessenheitsbeschlüssen hören. Diese sind wichtig, funktionieren aber anders:

  • GDPR teilt Unternehmen mit, wie sie Ihre Daten handhaben sollen. Sie stoppt Regierungen nicht.
  • Angemessenheitsbeschlüsse (wie zwischen der EU und den USA) versuchen, Vertrauen zwischen Regionen aufzubauen. Aber sie setzen CLOUD Act nicht außer Kraft.
  • SCHREMS II machte es schwieriger, Daten zwischen Kontinenten zu verschieben. Aber es verhindert CLOUD Act-Anforderungen nicht, sobald Daten bei einem US-Unternehmen sind.

Der CLOUD Act steht über dem meisten davon - er ist ein direkter rechtlicher Weg für US-Behörden, auf Daten zuzugreifen.

Was können Sie tatsächlich tun?

Sie können sich nicht vom CLOUD Act abmelden. Aber Sie haben Wahlmöglichkeiten:

1. Nutzen Sie europäische Alternativen. Dienste wie Nextcloud, Proton (Sitz in der Schweiz) oder kleinere europäische Anbieter unterliegen nicht dem CLOUD Act, weil sie keine US-Unternehmen sind. Dies gibt Ihnen echten Schutz unter europäischem Recht.

2. Verschlüsseln Sie vor dem Hochladen. Wenn Ihre Daten end-to-end verschlüsselt sind (Sie halten die Schlüssel, das Unternehmen nicht), können Unternehmen keine lesbaren Daten herausgeben, selbst wenn Behörden dies verlangen. Suchen Sie nach Diensten mit Zero-Knowledge-Architektur.

3. Verstehen Sie das Risiko. Für zufällige Familienfotos? Vielleicht ist das Risiko akzeptabel. Für sensible Dokumente, medizinische Unterlagen oder etwas, das Sie privat halten müssen? Es lohnt sich, Alternativen zu erwägen.

4. Unterstützen Sie Datenschutzgesetze. Treten Sie für stärkere europäische Datenschutzgesetze und Regelungen ein, die begrenzen, wie US-Behörden auf Daten von EU-Bürgern zugreifen können.

Warum PixelUnion existiert

Wir haben PixelUnion genau wegen solcher Bedenken gegründet. PixelUnion ist ein europäischer, datenschutzfokussierter verwalteter Foto- und Video-Speicherdienst. Ihre Daten bleiben in Europa, unter europäischem Rechtsschutz. Wir verkaufen Ihre Daten nicht, wir erstellen keine Profile über Sie, und wir unterliegen nicht dem CLOUD Act, weil wir kein US-Unternehmen sind.

Wir glauben, dass Sie Ihre Fotos und Erinnerungen speichern können sollten, ohne sich zu fragen, ob eine ausländische Regierung ohne Ihr Wissen oder Ihre Zustimmung darauf zugreifen kann.

Der CLOUD Act ist kein geheimes Komplott. Es ist ein echtes Gesetz mit echten Konsequenzen. Sie müssen nicht in Panik geraten, aber Sie sollten es verstehen - besonders wenn Ihnen Ihre Privatsphäre wichtig ist. Ihre Fotos erzählen Ihre Geschichte. Sie verdienen es zu wissen, welche Gesetze diese Geschichte schützen.

Entdecken Sie datenschutzfokussierten Fotospeicher ohne CLOUD Act-Bedenken. Erfahren Sie mehr über PixelUnion.