· 2 Min. Lesezeit
CLOUD Act und KI: Warum der Serverstandort allein nicht reicht
Viele US-Cloud-Anbieter werben mit EU-Rechenzentren. Für KI-Projekte mit sensiblen Unternehmensdaten greift das zu kurz — entscheidend ist, wessen Recht für den Anbieter gilt.
Wer heute KI im Unternehmen einführt, bekommt vom Datenschutzbeauftragten meist als Erstes eine Frage gestellt: Wo werden unsere Daten verarbeitet? Die Standardantwort vieler Anbieter lautet: „In einem EU-Rechenzentrum." Das klingt beruhigend — beantwortet aber die falsche Frage.
Was der CLOUD Act regelt
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz aus dem Jahr 2018. Sein Kern: US-Behörden können Anbieter, die der US-Jurisdiktion unterliegen, verpflichten, gespeicherte Daten herauszugeben — unabhängig davon, wo auf der Welt diese Daten liegen.
Das bedeutet konkret: Betreibt ein US-Cloud-Anbieter ein Rechenzentrum in Frankfurt, ändert der Standort nichts an der Reichweite des Gesetzes. Die Herausgabepflicht knüpft an das Unternehmen an, nicht an den Serverstandort.
Das Spannungsfeld zur DSGVO
Die DSGVO sieht in Artikel 48 vor, dass Herausgabeanordnungen aus Drittländern grundsätzlich nur auf Basis internationaler Übereinkommen (etwa Rechtshilfeabkommen) anerkannt werden. Ein US-Anbieter mit EU-Rechenzentrum kann also in die Lage kommen, dass US-Recht die Herausgabe verlangt und EU-Recht sie untersagt.
Auch mit dem EU-US Data Privacy Framework, das den kommerziellen Datentransfer regelt, bleibt dieser Grundkonflikt bestehen: Er ist eine Frage der Jurisdiktion über den Anbieter, nicht des Speicherorts oder eines Zertifikats. Wie einzelne Fälle ausgehen, ist Gegenstand juristischer Debatten — für Unternehmen bleibt eine strukturelle Rechtsunsicherheit, die sie nicht selbst auflösen können.
(Hinweis: Dieser Artikel ist keine Rechtsberatung. Für verbindliche Einschätzungen sprechen Sie mit Ihrer Datenschutzberatung.)
Warum das bei KI besonders wiegt
Bei klassischen SaaS-Tools liegen oft nur Metadaten oder einzelne Dokumente beim Anbieter. Eine KI-Arbeitsplattform ist anders: Hier fließen Prompts, interne Dokumente, Verträge, Kundendaten und das gesammelte Unternehmenswissen durch die Systeme des Anbieters — genau die Daten, die am schutzwürdigsten sind.
Je tiefer KI in die tägliche Arbeit integriert wird, desto größer wird also der Unterschied zwischen „Rechenzentrum in der EU" und „Anbieter unter EU-Recht".
Worauf Unternehmen achten sollten
Eine kurze Checkliste für die Anbieterauswahl:
- Jurisdiktion des Anbieters: Ist die Betreibergesellschaft (und ihre Konzernmutter) eine EU-Gesellschaft — oder unterliegt sie US-Recht?
- Modell-Hosting: Laufen auch die KI-Modelle selbst in der EU bei EU-Anbietern? Oder gehen Prompts per API an US-Dienste?
- Subprozessoren: Ist die Liste vollständig, aktuell und öffentlich? Tauchen darin verdeckt US-Dienste im Datenpfad auf?
- Mitbestimmung: Kann der Anbieter belegen, dass Vorgesetzte und Administratoren keine Einsicht in Inhalte der Beschäftigten haben? (Für Betriebsräte oft der entscheidende Punkt.)
- Löschkonzept: Ist Löschen ein echtes Hard-Delete — oder ein Soft-Delete-Friedhof?
- Exit-Fähigkeit: Gibt es eine Self-Hosting-Option oder zumindest einen vollständigen Datenexport?
Wie FutureWay AI das löst
Wir haben FutureWay AI von Anfang an so gebaut, dass diese Checkliste kurz ausfällt: Die Plattform läuft auf europäischer Infrastruktur, alle KI-Modelle werden in Frankreich gehostet und betrieben, die Subprozessoren-Liste ist vollständig und öffentlich — KI-Verarbeitung zu 100 % in der EU. Administratoren sehen niemals Chat-Inhalte ihrer Mitglieder, Löschen ist ein sofortiges Hard-Delete, und auf Wunsch betreiben Sie die gesamte Plattform per Self-Hosting in Ihrer eigenen Infrastruktur.
Wenn Sie KI einführen wollen, ohne die Jurisdiktionsfrage mitzukaufen: Testen Sie FutureWay AI 14 Tage kostenlos — ohne Kreditkarte.
