Die 10 wichtigsten Rechtsfragen zu Cloud Act, DSGVO & KI – beantwortet

1. Gilt der Cloud Act auch für Server in Deutschland?

Ja. Der Serverstandort ist rechtlich irrelevant.

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) aus dem Jahr 2018 verpflichtet US-Unternehmen, auf Anforderung amerikanischer Behörden Zugang zu Daten zu gewähren – unabhängig vom physischen Speicherort. Entscheidend ist die „legal presence“ des Anbieters in den USA.

Microsoft dokumentierte zwischen 2020 und 2024 über 12.000 solcher Behördenanfragen. Die Herausgabe erfolgt ohne deutschen Gerichtsbeschluss, ohne Information an den betroffenen Kunden.

Die EU-Datenschutzbehörden (EDPB/EDPS) stellten in ihrer Stellungnahme vom Juli 2019 fest: Cloud-Act-Anordnungen stehen regelmäßig im Widerspruch zu Art. 48 DSGVO, der unmittelbare Anordnungen ausländischer Behörden ohne völkerrechtliche Grundlage untersagt.

Rechtliche Konsequenz: Nutzen Sie US-Cloud-Dienste, verstoßen Sie potentiell gegen Art. 48 DSGVO – unabhängig vom Serverstandort Frankfurt, Dublin oder München.

2. Reichen Standard Contractual Clauses (SCCs) zur rechtlichen Absicherung?

Nein. Der EuGH hat das 2020 klargestellt.

Im „Schrems II“-Urteil (C-311/18, Juli 2020) entschied der Europäische Gerichtshof: SCCs sind nur gültig, wenn tatsächlich ein angemessenes Schutzniveau besteht. Bei US-Anbietern unter dem Cloud Act ist das fraglich.

Die rechtliche Pflicht: Sie müssen zusätzlich ein Transfer Impact Assessment (TIA) durchführen und dokumentieren:

• Welche Daten werden übermittelt?
• Welchen Zugriffsmöglichkeiten unterliegt der Anbieter?
• Welche zusätzlichen Schutzmaßnahmen ergreifen Sie?
• Warum sind diese Maßnahmen ausreichend?

Das Landesamt für Datenschutz Baden-Württemberg verhängte 2024 ein Bußgeld von 40.000 Euro gegen ein Unternehmen, das SCCs abgeschlossen, aber keine ausreichenden zusätzlichen Maßnahmen implementiert hatte. Die Behörde: „SCCs allein genügen nicht.“

Rechtliche Unsicherheit: Selbst mit SCCs + TIA + technischen Maßnahmen bleibt ein Restrisiko. Keine Datenschutzbehörde garantiert Ihnen vorab, dass Ihre Maßnahmen ausreichen.

3. Wer haftet für DSGVO-Verstöße – Unternehmen oder Geschäftsführer persönlich?

Primär das Unternehmen. Aber die persönliche Haftung nimmt zu.

Nach Art. 83 DSGVO werden Bußgelder gegen das Unternehmen verhängt – maximal 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, was höher ist. Deutschland verhängte seit 2018 Bußgelder von 89,1 Millionen Euro (DLA Piper Studie, Januar 2025).

Aber: Geschäftsführer haben eine Organisationspflicht (§ 43 GmbHG, § 93 AktG). Bei Pflichtverletzungen droht zivilrechtliche Haftung gegenüber dem Unternehmen. Bei Vorsatz oder grober Fahrlässigkeit kann auch strafrechtliche Haftung entstehen (§ 42 BDSG).

Neu ab 2024/2025: Die niederländische Datenschutzbehörde prüft, ob Geschäftsführer persönlich für DSGVO-Verstöße belangt werden können. Verena Grentzenberg, Partnerin bei DLA Piper: „Die zunehmende Fokussierung auf die persönliche Haftung von Führungskräften markiert eine neue Phase in der DSGVO-Durchsetzung.“

Rechtspraxis: Bisher sind persönliche Haftungen selten, aber die Tendenz zeigt nach oben. Dokumentieren Sie Ihre Sorgfaltspflicht, um sich zu schützen.

4. Was sagt Art. 48 DSGVO konkret zum Cloud Act?

Art. 48 DSGVO verbietet die direkte Herausgabe von Daten an Drittstaaten-Behörden.

Der vollständige Wortlaut: „Ein von einem Gericht oder einer Verwaltungsbehörde eines Drittlands erlassenes Urteil oder eine Entscheidung […], mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung […] nur dann anerkannt oder vollstreckbar sein, wenn ein internationales Übereinkommen […] zwischen dem ersuchenden Drittland und der Union […] besteht.“

Klartext: Ohne Rechtshilfeabkommen zwischen EU und USA ist die Herausgabe nach Art. 48 DSGVO verboten. Ein solches Abkommen existiert für den Cloud Act nicht.

Das Dilemma: US-Unternehmen müssen nach US-Recht Daten herausgeben (Cloud Act). Gleichzeitig verbietet EU-Recht die Herausgabe (Art. 48 DSGVO). Rechtsexperten nennen das einen „Normenkonflikt“. Wer verliert? Der Kunde – er haftet für die DSGVO-Verletzung.

5. Gilt die DSGVO auch für KI-generierte Inhalte?

Ja, sobald personenbezogene Daten verarbeitet werden.

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten – egal ob durch Menschen, Datenbanken oder KI. „Verarbeitung“ ist weit definiert (Art. 4 Nr. 2 DSGVO): Erhebung, Speicherung, Verwendung, Übermittlung, Löschung.

Beispiele:

• Chatbot mit Kundendaten: Name, E-Mail, Anfrage werden verarbeitet → DSGVO gilt
• HR-Screening: Bewerberdaten werden analysiert → DSGVO gilt
• Marketing-Content ohne Personenbezug: Allgemeine Produkttexte → DSGVO gilt nicht

Kritisch: Viele unterschätzen, was „personenbezogene Daten“ sind. Auch IP-Adressen, Cookies, Device-IDs gelten als personenbezogen. Nutzen Sie einen Chatbot auf Ihrer Website, der IP-Adressen verarbeitet, greift die DSGVO.

Rechtsfolge: Verstöße können nach Art. 83 Abs. 5 DSGVO mit bis zu 20 Millionen Euro Bußgeld geahndet werden. Die Höhe hängt ab von Art, Schwere und Dauer des Verstoßes sowie Vorsatz oder Fahrlässigkeit.

6. Was bedeutet der EU AI Act rechtlich für Unternehmen?

Ab August 2026 gelten strikte Dokumentations- und Aufsichtspflichten für Hochrisiko-KI.

Der EU AI Act (Verordnung (EU) 2024/1689) tritt stufenweise in Kraft:

• Februar 2025: Verbote für bestimmte KI-Praktiken (Art. 5)
• August 2026: Pflichten für Hochrisiko-KI-Systeme (Art. 6-51)
• August 2027: Vollständige Anwendung

Hochrisiko-KI (Anhang III) umfasst:

• HR & Recruiting: Bewerbungsscreening, Leistungsbewertung, Beförderungsentscheidungen
• Kreditwürdigkeit: Scoring, Kreditvergabe
• Strafverfolgung: Risikobeurteilung, Beweisbewertung
• Kritische Infrastruktur: Energie, Verkehr, Wasser

Rechtliche Pflichten (Art. 9-15 AI Act):

• Risikomanagementsystem einrichten
• Datenqualität sicherstellen
• Technische Dokumentation erstellen und pflegen
• Aufzeichnungen führen (Logging)
• Menschliche Aufsicht gewährleisten
• Transparenzpflichten erfüllen

Sanktionen (Art. 99 AI Act):

• Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei schweren Verstößen
• Bis zu 15 Millionen Euro oder 3% bei Verstößen gegen Datenpflichten
• Bis zu 7,5 Millionen Euro oder 1,5% bei falschen Angaben gegenüber Behörden

Wichtig: Der AI Act gilt unmittelbar – keine Umsetzung durch nationale Gesetze nötig. Ab August 2026 müssen Sie compliant sein.

7. Können Datenschutzbehörden persönliche Haftung durchsetzen?

In Deutschland bisher nicht direkt, aber über Umwege.

Die DSGVO selbst sieht keine persönliche Haftung natürlicher Personen vor – Bußgelder richten sich gegen Unternehmen (Art. 83 DSGVO). Aber: Nationale Gesetze können persönliche Haftung vorsehen.

In Deutschland:

• § 42 BDSG: Strafbarkeit bei vorsätzlichen DSGVO-Verstößen (bis 3 Jahre Freiheitsstrafe)
• § 43 GmbHG: Geschäftsführer haften bei Pflichtverletzung gegenüber der Gesellschaft
• OWiG: Ordnungswidrigkeiten können auch gegen Geschäftsführer persönlich verhängt werden

In den Niederlanden (Vorreiter): Die niederländische Datenschutzbehörde prüft aktiv persönliche Haftung. Beispiel Clearview AI: Nach einem Bußgeld von 30,5 Millionen Euro gegen das Unternehmen wird jetzt geprüft, ob die Geschäftsführer persönlich belangt werden können.

Tendenz: Datenschutzbehörden EU-weit bewegen sich in Richtung persönliche Haftung. Jan Pohle (DLA Piper): „Die Durchsetzung hat sich weiterentwickelt, mit wachsender Regulierung auch auf persönlicher Ebene.“

8. Was gilt rechtlich für hybride Cloud-Modelle (EU + US)?

Jede Datenverarbeitung in den USA unterliegt dem Cloud Act – auch in Hybrid-Szenarien.

Viele Unternehmen nutzen „hybride“ Architekturen: Kundendaten in EU-Cloud, interne Daten in US-Cloud. Rechtlich ändert das nichts am Grundproblem.

Die Regel: Sobald personenbezogene Daten US-Server erreichen oder von US-Unternehmen verarbeitet werden, greift:

• Der Cloud Act (US-Behörden können zugreifen)
• Die DSGVO-Pflicht zur Rechtfertigung des Drittlandtransfers (Kap. V DSGVO)

Keine Lösung sind:

• „Technische Trennung“ der Systeme (Cloud Act gilt trotzdem)
• „Nur Meta-Daten in den USA“ (auch Meta-Daten können personenbezogen sein)
• „Vertragliche Zusicherung“ des Anbieters (US-Recht sticht Vertrag)

Einzige rechtssichere Lösung: Personenbezogene Daten ausschließlich bei EU-Anbietern verarbeiten. Für nicht-personenbezogene Daten (anonymisierte Analytics, öffentliche Daten) können US-Tools genutzt werden.

9. Welche Rechtsgrundlage erlaubt KI-Datenverarbeitung?

Art. 6 DSGVO nennt sechs mögliche Rechtsgrundlagen – keine ist automatisch anwendbar.

Die Rechtsgrundlagen:

1. Einwilligung (Art. 6 Abs. 1 lit. a): Betroffene Person stimmt zu – freiwillig, informiert, widerrufbar
2. Vertragserfüllung (Art. 6 Abs. 1 lit. b): Erforderlich zur Erfüllung eines Vertrags
3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Gesetzlich vorgeschrieben
4. Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d): Selten relevant
5. Öffentliche Aufgabe (Art. 6 Abs. 1 lit. e): Nur für Behörden
6. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Abwägung erforderlich

Für KI-Anwendungen problematisch:

Einwilligung: Oft unpraktisch (Widerruf jederzeit möglich, KI-System müsste Daten sofort löschen)

Vertragserfüllung: Nur wenn KI wirklich zur Vertragserfüllung nötig ist. Beispiel: Online-Shop nutzt KI für Produktempfehlungen – nicht erforderlich für Kaufvertrag, daher keine Rechtsgrundlage.

Berechtigtes Interesse: Erfordert Abwägung. Ihre Interessen vs. Rechte der Betroffenen. Bei US-Cloud-Nutzung schwierig zu argumentieren (Cloud Act = erhöhtes Risiko für Betroffene).

Rechtspraxis: Viele Unternehmen stützen sich auf „berechtigtes Interesse“ – die Datenschutzbehörden sehen das zunehmend kritisch, besonders bei US-Tools.

10. Was bedeutet „Privacy by Design“ im AI Act konkret?

Art. 25 DSGVO und Art. 10 AI Act verpflichten zu Datenschutz ab Konzeptionsphase.

„Privacy by Design“ (Art. 25 DSGVO) bedeutet: Datenschutz muss bereits bei der Entwicklung von KI-Systemen berücksichtigt werden, nicht erst nachträglich.

Konkrete Anforderungen:

• Datenminimierung: Nur notwendige Daten verarbeiten
• Pseudonymisierung: Wo möglich, personenbezogene Daten verschleiern
• Verschlüsselung: Technisch höchstmöglicher Schutz
• Zugriffskontrollen: Wer darf was sehen?
• Löschkonzepte: Automatische Löschung nach Zweckerreichung

Im AI Act (Art. 10): Zusätzlich Pflicht zu Datenqualität, Repräsentativität und Fehlerfreiheit der Trainingsdaten.

Rechtliche Konsequenz: Kaufen Sie ein KI-Tool „von der Stange“, das Privacy by Design nicht erfüllt, haften Sie trotzdem. Sie können sich nicht auf den Anbieter herausreden.

Europäische vs. US-Anbieter: Europäische Anbieter (Aleph Alpha, Mistral AI) entwickeln nach DSGVO/AI Act – Privacy by Design ist eingebaut. US-Anbieter entwickeln nach US-Standards – Sie müssen nachträglich Schutzmaßnahmen ergänzen.

Beweislastumkehr: Bei Datenpannen müssen Sie nachweisen, dass Sie Privacy by Design umgesetzt haben. Ohne Dokumentation → Bußgeld.

Fazit: Die rechtliche Realität

Die Rechtslage ist eindeutig: US-Cloud-Dienste für personenbezogene Daten sind hochriskant. Der Cloud Act kollidiert mit Art. 48 DSGVO. SCCs allein reichen nicht (Schrems II). Zusätzliche Maßnahmen sind aufwändig – und bieten keine Garantie.

Der EU AI Act verschärft ab 2026 die Lage: Dokumentationspflichten, Aufsichtspflichten, drastische Bußgelder. Europäische Anbieter sind compliant, US-Anbieter müssen nachziehen.

Die Behörden verschärfen ihre Praxis: 89,1 Millionen Euro Bußgelder in Deutschland seit 2018. Persönliche Haftung von Geschäftsführern nimmt zu. Die Frage ist nicht mehr, ob das Risiko real ist. Die Frage ist, ob Sie es sich leisten können.