Für österreichische Unternehmen, die US-Clouds nutzen, ist der US CLOUD Act ein zentrales Thema. Dieser Leitfaden erklärt, was er bedeutet — und wie sich das Risiko senken lässt. Dies ist keine Rechtsberatung.
Zuständigkeit folgt dem Unternehmen
Der US CLOUD Act (2018) erlaubt US-Behörden, US-kontrollierte Anbieter zur Datenherausgabe zu zwingen — egal, wo die Daten liegen. Die Zuständigkeit knüpft an den Rechtsträger, nicht an den Standort (Analyse). Ein Azure-, AWS- oder Google-Rechenzentrum in der EU ändert daran grundsätzlich nichts.
FISA 702 und der DSGVO-Konflikt
FISA Section 702 erlaubt die Massenerhebung von Kommunikationsdaten von Nicht-US-Personen bei US-Anbietern — der zentrale Streitpunkt der Schrems-Verfahren. US-Herausgabeanordnungen kollidieren zudem mit Art. 48 DSGVO, der solche Transfers ohne völkerrechtliche Grundlage untersagt.
Das DPF gilt — bleibt aber fragil
Das EU–US Data Privacy Framework wurde am 3. September 2025 vom EU-Gericht (Latombe) bestätigt (IAPP), ein EuGH-Rechtsmittel ist anhängig. Die Geschichte (Safe Harbor → Privacy Shield → DPF, jeweils gekippt oder angegriffen) ist genau der Grund, warum viele Datensouveränität wollen.
Die Architektur-Antwort
Wer den US-Anbieter als Zugriffspunkt ausschließt, reduziert die Exposition am stärksten: Self-Hosting in der EU, EU-Modelle via BYOK oder lokale Inferenz. osFoundry unterstützt all diese Pfade. dgm ist ein unabhängiger Integrationspartner (nicht mit osFoundry/OS LLC verbunden) und hat bisher keine abgeschlossenen Kundenintegrationen.
Fazit
Der CLOUD Act folgt dem Unternehmen, nicht dem Standort. Kontaktieren Sie dgm, um eine Architektur mit minimaler US-Exposition zu planen.