Clarifying Lawful Overseas Use of Data (CLOUD) Act

Wir glauben, dass Kunden die Kontrolle über ihre eigenen Daten behalten sollten. AWS ist als sicherste globale Cloud-Infrastruktur konzipiert, auf der Anwendungen und Workloads erstellt, migriert und verwaltet werden können. Wir verpflichten uns, unseren Kunden bei der Nutzung unserer Services branchenführende Datenschutz- und Sicherheitsvorkehrungen zu bieten.

AWS hat Produkte und Services entwickelt, die sicherstellen, dass niemand – nicht einmal AWS-Betreiber – auf Kundeninhalte zugreifen kann. Wir können nur auf rechtliche Anfragen nach Daten antworten, wenn wir dazu technisch in der Lage sind. AWS-Kunden verfügen über eine Reihe von technischen Maßnahmen und Betriebskontrollen, um den Zugriff auf Daten zu verhindern. Beispielsweise sind viele der AWS-Kernsysteme und -Services ohne Betreiberzugriff konzipiert. Das bedeutet, dass die Services über keine technischen Mittel verfügen, mit denen AWS-Betreiber auf Kundendaten zugreifen können.

Das AWS Nitro System, das die Grundlage der AWS-Datenverarbeitungsservices bildet, verwendet spezielle Hardware und Software, um Daten während der Verarbeitung auf Amazon Elastic Compute Cloud (Amazon EC2) vor externen Zugriffen zu schützen. Durch die Bereitstellung einer starken physischen und logischen Sicherheitsgrenze ist Nitro so konzipiert, dass keine unbefugte Person – nicht einmal AWS-Betreiber – auf Kundenworkloads auf EC2 zugreifen kann. Das Design des Nitro Systems wurde von der NCC Group validiert, einem unabhängigen Cybersicherheitsunternehmen. Die Kontrollen, die dazu beitragen, Betreiberzugriff zu verhindern, sind für das Nitro System so grundlegend, dass wir sie in unsere AWS-Servicebedingungen aufgenommen haben, um allen unseren Kunden eine zusätzliche vertragliche Sicherheit zu bieten.

Wir bieten unseren Kunden auch Features und Steuerelemente zum Verschlüsseln von Daten – egal ob während der Übertragung, im Ruhezustand und im Arbeitsspeicher. Alle AWS-Services unterstützen bereits Verschlüsselung, wobei die meisten auch die Verschlüsselung mit vom Kunden verwalteten Schlüsseln unterstützen, auf die AWS nicht zugreifen kann. Verschlüsselte Inhalte sind ohne passende Entschlüsselungsschlüssel nutzlos.

Weitere Informationen zu unseren Services, die ohne Betreiberzugriff funktionieren, finden Sie unter Betreiberzugriff in AWS.

Der CLOUD Act wurde im März 2018 verabschiedet, damit Strafverfolgungsbehörden bei der Ermittlung schwerer Verbrechen, die von Terrorismus und Gewaltverbrechen bis hin zur sexuellen Ausbeutung von Kindern und Cyberkriminalität reichen, schneller an elektronische Informationen gelangen, die von Serviceanbietern gespeichert sind. (Siehe Ressourcen zum CLOUD Act auf der Website des US- Justizministeriums.) Die von Beamten des US- Justizministeriums (DOJ) abgegebenen Aussagen, die sich für die Gesetzgebung aussprachen, legten den Schwerpunkt des CLOUD Act auf die Fähigkeit der Strafverfolgungsbehörden weltweit, Daten bei grenzüberschreitenden Ermittlungen im Zusammenhang mit schweren Verbrechen zu erzwingen. (Siehe Aussage von Richard Downing, DOJ, Deputy Assistant Attorney General, vor dem Justizausschuss des Repräsentantenhauses am 15. Juni 2017.)

US-Strafverfolgungsbehörden können Inhaltsdaten von Serviceanbietern nur mit einem Durchsuchungsbefehl verlangen, der von einem unabhängigen Bundesrichter gemäß den US-Strafverfahrensvorschriften genehmigt wurde. Damit ein Durchsuchungsbefehl nach US-amerikanischem Recht ausgestellt werden kann, muss ein US-Richter davon überzeugt sein, dass ein hinreichender Tatverdacht besteht, dass ein Verbrechen begangen wurde, und dass Beweismittel für dieses Verbrechen an dem im Durchsuchungsbefehl angegebenen Ort gefunden werden (d. h. Daten in einem bestimmten elektronischen Konto wie einem E-Mail-Konto). Dieser Rechtsstandard muss durch spezifische und vertrauenswürdige Fakten festgelegt werden. Jeder einzelne Durchsuchungsbefehl muss diese strenge Prüfung auf hinreichenden Tatverdacht hinsichtlich glaubwürdiger Fakten, Spezifität und Rechtmäßigkeit bestehen, von einem unabhängigen Richter genehmigt werden und Anforderungen hinsichtlich Umfang und Gerichtsbarkeit erfüllen.

Ausländische Regierungen, die Daten im Rahmen eines Exekutivabkommens mit den USA gemäß dem CLOUD Act anfordern, müssen ähnliche Anforderungen erfüllen. Das DOJ hat erklärt, dass „[A]nordnungen, die Daten gemäß dem CLOUD Act anfordern, rechtmäßig nach dem nationalen Rechtssystem des Landes, in dem die Daten angefordert werden, eingeholt worden sein müssen; sich auf bestimmte Personen oder Konten beziehen müssen; eine angemessene Begründung auf der Grundlage nachvollziehbarer und glaubwürdiger Fakten, Spezifität, Rechtmäßigkeit und Schwere des Verstoßes haben müssen; und der Überprüfung oder Aufsicht durch eine unabhängige Behörde, wie beispielsweise einen Richter oder Magistrat, unterliegen müssen. Die Erfassung von Massendaten ist nicht zulässig.“

Das DOJ erließ im Mai 2023 außerdem eine Richtlinie, wonach Staatsanwälte sich an das Büro für internationale Angelegenheiten (OIA) des Ministeriums wenden sollten, sobald sie feststellen, dass sie Beweismittel benötigen, die sich in einem anderen Land befinden. Demnach müssen Staatsanwälte, die Beweismittel im Ausland anfordern, vor der Beantragung einer Anordnung zur Herausgabe dieser Beweismittel von einem Anbieter in den USA die Genehmigung des OIA einholen. Die DOJ-Richtlinie zu Beweismitteln aus dem Ausland stellt fest, dass jede Nation Gesetze zum Schutz ihrer Souveränität erlässt. Das OIA arbeitet daran, diese Probleme anzugehen und Staatsanwälte bei der Auswahl eines geeigneten Mechanismus zur Sicherung von Beweismitteln zu unterstützen.

Stand Juni 2025 gab es keine Datenanfragen an AWS, die zur Offenlegung von Unternehmens- oder Regierungsinhaltsdaten, die außerhalb der USA gespeichert wurden, an die US-Regierung geführt haben, seit wir mit der Berichterstattung dieser Statistik begonnen haben. Dieses Ergebnis spiegelt den umfassenden Rechtsschutz in den USA wider, der durch Gesetze und Richtlinien des US- Justizministeriums sowie durch die technischen Sicherheitsvorkehrungen von AWS gewährleistet wird.

Die Abteilung für Computerkriminalität und geistiges Eigentum des DOJ veröffentlichte 2017 Leitlinien, in der Staatsanwälten empfohlen wurde, Daten von einem Unternehmen einzuholen, z. B. von einem Unternehmen, das Daten bei einem Cloud-Anbieter speichert, anstatt vom Anbieter, sofern keine besonderen Umstände vorliegen. Dies bietet Staatsanwälten wichtige Hinweise, um Daten direkt von Unternehmen einzuholen. Wenn wir solche Anfragen nach Inhalten von Unternehmenskunden erhalten, unternehmen wir alle angemessenen Bemühungen, um die Strafverfolgungsbehörden an den Kunden weiterzuleiten und den Kunden zu benachrichtigen, sofern dies rechtlich zulässig ist.

Nein. Der CLOUD Act gilt für alle Anbieter von in den USA betriebenen elektronischen Kommunikations- oder Remote-Computing-Services, die in den USA tätig sind oder eine legale Präsenz haben. Beispielsweise gilt der CLOUD Act auch für einen Cloud-Dienstanbieter, der seinen Hauptsitz in der EU hat und in den Vereinigten Staaten tätig ist. OVHcloud, ein in den USA tätiger Cloud-Serviceanbieter mit Hauptsitz in Frankreich, merkt auf seiner Seite mit häufig gestellten Fragen zum CLOUD Act an, dass „OVHcloud rechtmäßigen Anfragen von Behörden nachkommen wird. Gemäß dem CLOUD Act kann dies Daten umfassen, die außerhalb der Vereinigten Staaten gespeichert sind.“

Nach US-amerikanischem Recht können Exekutivmaßnahmen keine neuen Gesetze schaffen oder bestehenden, vom Kongress verabschiedeten Gesetzen, wie dem CLOUD Act, widersprechen.

Nein. Viele Länder verlangen die Offenlegung von Kundendaten unabhängig vom Speicherort im Rahmen von Gerichtsverfahren wegen schwerer Straftaten. Dieses Konzept ist in der Budapester Konvention über Cyberkriminalität verankert, dem ersten internationalen Vertrag zur Verbesserung der Zusammenarbeit bei der Untersuchung von Cyberkriminalität. Beispielsweise erlaubt der Crime (Overseas Production Orders) Act des Vereinigten Königreichs den Strafverfolgungsbehörden des Vereinigten Königreichs, im Zusammenhang mit einer strafrechtlichen Untersuchung auf außerhalb des Vereinigten Königreichs gespeicherte elektronische Daten zuzugreifen. Laut einer 2024 vom US- DOJ eingereichten Erklärung enthalten die Gesetze mehrerer europäischer Mitgliedstaaten, darunter Belgien, Dänemark, Frankreich, Irland und Spanien, ähnliche Anforderungen.

Wir haben sehr detaillierte Verfahren für die Bearbeitung von Anfragen von Strafverfolgungsbehörden aus allen Ländern. Wir geben keine Kundendaten als Antwort auf Anfragen von Strafverfolgungsbehörden weiter, es sei denn, wir sind durch eine rechtsgültige und verbindliche Anordnung dazu verpflichtet, wie wir es im Supplementary Addendum zum AWS Data Processing Addendum öffentlich zugesagt haben. Jede an uns gerichtete Anfrage einer Strafverfolgungsbehörde wird sorgfältig untersucht, um deren Legitimität und Gesetzmäßigkeit zu überprüfen. Wenn AWS eine rechtsgültige und verbindliche Anfrage nach Inhalten für Unternehmenskunden erhält, unternimmt AWS alle zumutbaren Anstrengungen, um die Strafverfolgungsbehörden an den Kunden weiterzuleiten, und benachrichtigt den Kunden, sofern gesetzlich zulässig. AWS wird Anfragen ablehnen, die gegen geltendes Recht verstoßen, zu weit gefasst oder anderweitig unangemessen sind, wie wir es im Supplementary Addendum zum AWS Data Processing Addendum öffentlich bestätigt haben. Wenn AWS nach Abschluss dieser Schritte weiterhin gezwungen ist, Kundendaten offenzulegen, und wir über die technischen Möglichkeiten dazu verfügen, geben wir nur das Minimum weiter, das zur Erfüllung der Anfrage erforderlich ist. Weitere Informationen zu unserer Vorgehensweise bei Anfragen von Strafverfolgungsbehörden finden Sie auf unserer Seite Informationsanfragen durch Strafverfolgungsbehörden.

Nein. Mit dem CLOUD Act wird den Strafverfolgungsbehörden keine neue Befugnis übertragen, um Serviceanbieter zur Entschlüsselung der Kommunikation zu zwingen.

AWS bietet Kunden Features und Steuerelemente zum Verschlüsseln von Daten – egal ob während der Übertragung, im Ruhezustand und im Arbeitsspeicher. Alle AWS-Services unterstützen bereits Verschlüsselung, wobei die meisten auch die Verschlüsselung mit vom Kunden verwalteten Schlüsseln unterstützen, auf die AWS nicht zugreifen kann. Verschlüsselte Inhalte sind ohne passende Entschlüsselungsschlüssel nutzlos.

AWS verpflichtet sich vertraglich zur Einhaltung der geltenden Datenschutzgesetze. Wir verpflichten uns außerdem, gegen jede übermäßig weit gefasste oder unangemessene Anfrage einer Regierungsbehörde vorzugehen (auch wenn eine solche Anfrage gegen geltende Gesetze der Europäischen Union oder eines Mitgliedstaats verstößt).

Nein. Der CLOUD Act setzt keine Gesetze anderer Länder außer Kraft. Tatsächlich erkannte der CLOUD Act das Recht von Serviceanbietern an, Anfragen abzulehnen, die in Konflikt mit den Gesetzen oder nationalen Interessen anderer Länder stehen.