- US-Überwachungsrecht (Section 702) erlaubt massenhaften Zugriff auf Cloud-Daten ohne klassischen Durchsuchungsbeschluss.
- CLOUD Act und SCA zwingen Anbieter zur Herausgabe auch extraterritorialer Daten; Rechtsschutz für Ausländer bleibt eingeschränkt.
- RISAA 2024 erweitert Definition von verpflichteten Dienstleistern massiv, wodurch viele nicht-traditionelle Anbieter erfasst werden.
- Entscheidend ist Kontrolle über Daten, nicht Serverstandort; technische Abschottung bietet kaum verlässlichen Schutz vor Herausgabepflicht.
Dürfen Behörden, Unternehmen und Berufsgeheimnisträger Cloud-Dienste von US-Anbietern, indirekt US-beherrschten Anbietern und anderen Anbietern mit Auslandsbezug einsetzen? Diese Frage beschäftigt nicht nur, aber auch die Schweiz, seit Jahren – letztlich seit Edward Snowden. Für öffentliche Organe stehen die Einhaltung der Grundrechte und des Amtsgeheimnisses im Vordergrund, für Private das private Datenschutzrecht und die Frage, unter welchen Voraussetzungen eine Auslagerung an einen Cloud-Provider mit Berufsgeheimnissen vereinbar ist. Eine Chronologie der entsprechenden Diskussion haben wir auf datenrecht veröffentlicht.
Die Diskussion dreht sich bekanntlich vor allem um die Frage, welche Risiken eines Behördenzugriffs im Ausland akzeptiert werden dürfen, ob sich ein „Akzept“ des Risikos solcher Zugriffe überhaupt verbietet oder ob solche Zugriffe vielmehr in Kauf genommen werden müssen, weil sich durch den Einsatz entsprechender Cloud-Lösungen andere Risiken für betroffene Personen reduzieren lassen. Diese Diskussion ist eine des schweizerischen Rechts des Bundes und der Kantone. Als Risikofaktor spielt aber das Recht der betroffenen ausländischen Staaten und insbesondere der USA eine wesentliche Rolle.
In diesem Kontext ist ein im Dezember 2025 durch eine Informationsfreiheitsanfrage öffentlich gewordenes Gutachten interessant zu lesen und Anlass für eine entsprechende Darstellung. Eine Person der Universität Köln hatte im Auftrag des deutschen Bundesinnenministeriums (BMI) im März 2025 ein Rechtsgutachten zur US-Rechtslage verfasst. Das Gutachten ist bisher nur in geschwärzter Fassung verfügbar.
Gutachtensauftrag
Das BMI stellte drei Fragen:
- Wie ist die aktuelle Rechtslage in den USA? Haben amerikanische Nachrichtendienste ein Direktzugriffsrecht auf Cloud-Informationen und ein Herausgaberecht gegenüber Cloud-Anbietern?
- Unterliegen auch ausländische Provider der amerikanischen Jurisdiktion?
- Besteht ein solches Zugriffsrecht auch dann, wenn ein US-Unternehmen eine deutsche Tochter nach deutschem Recht gründet und die Cloud auf deutschem Hoheitsgebiet betreibt?
Das Gutachten analysiert dazu das einschlägige US-Überwachungsrecht, im Wesentlichen mit den folgenden Erkenntnissen, die wir teilweise durch weitere Informationen oder weiterführende Hinweise angereichert haben:
FISA
Section 702
Section 702 FISA (Title VII) ist die zentrale Vorschrift für die Überwachung von „Non-US Persons“ ausserhalb der USA. Sie ermächtigt US-Geheimdienste, Kommunikationsdaten von „Electronic Communication Service Providers“ (ECSPs) zu erheben. Der Foreign Intelligence Surveillance Court (FISC) genehmigt lediglich jährlich die Überwachungsparameter, nicht einzelne Zielpersonen.
Section 702 findet sachlich auf alle Cloud-Dienstleister und Rechenzentren Anwendung. Das Verfahren erfolgt weitgehend ohne nachvollziehbare gerichtliche Überprüfung; zur Anordnung ist grundsätzlich kein richterlicher Durchsuchungsbeschluss erforderlich.
Section 501/502
Section 501/502 FISA (Title V), auch Section 215 des USA PATRIOT Act, ermächtigte das FBI, beim FISC Anordnungen zur Herausgabe von „tangible things“ (u.a. Geschäftsunterlagen und Dokumente) zu beantragen. Diese Bestimmung war Grundlage für die NSA-Massenerhebung von Telefon-Metadaten. Le site USA FREEDOM Act 2015 schränkte diese „Bulk Collection“ ein und verlängerte gleichzeitig die Laufzeit der Bestimmung bis März 2020.
Section 501/502 ist aber im März 2020 ausgelaufen und wurde seither nicht erneuert. Das Gutachten stellt entsprechend fest, dass Section 502 FISA nicht mehr anwendbar ist.
Title IV FISA
Title IV FISA (Sections 401 – 406) regelt den Einsatz von Pen Registers et Trap-and-Trace Devices für nachrichtendienstliche Zwecke. Ein Pen Register erfasst „dialing, routing, addressing, or signaling information“ ausgehender Kommunikation, ein Trap-and-Trace Device die entsprechenden Daten eingehender Kommunikation (18 U.S.C. § 3127). Beide Instrumente erfassen ausdrücklich keine Kommunikationsinhalte, sondern nur Metadaten.
Le site USA FREEDOM Act 2015 verbot auch hier die bulk collection und verlangt seither einen specific selection term, also einen konkreten Anknüpfungspunkt wie eine bestimmte Person, ein Konto oder ein Gerät. Die Hürde für eine FISC-Anordnung nach Title IV ist niedriger als für eine Überwachung nach Title I (elektronische Überwachung mit Inhalten): Es genügt die Zertifizierung, dass die Informationen voraussichtlich relevant für eine laufende Untersuchung zum Schutz vor internationalem Terrorismus oder klandestinen Geheimdienstaktivitäten sind.
Stored Communications Act & CLOUD Act
Le site Stored Communications Act (SCA) verpflichtet Anbieter elektronischer Kommunikationsdienste und Remote-Computing-Dienste zur Herausgabe von Kommunikationsinhalten, in Clouds gespeicherten Dokumenten sowie Metadaten. Der SCA präzisiert mit der Änderung des Loi sur la CLOUD von 2018, dass diese Pflicht auch für Daten gilt, die ausserhalb der USA gespeichert sind (Hintergrund war der Fall United States v. Microsoft Corp., in dem Microsoft sich weigerte, in Irland gespeicherte E‑Mails herauszugeben).
Protection juridique
Rechtsschutz gegen SCA-Anordnungen besteht nach dem CLOUD Act nur eingeschränkt. Erfasste Dienstleister können eine Anordnung anfechten („motion to quash or modify“, 18 U.S.C. § 2703(h)), wenn
- die betroffene Person keine US Person ist und nicht in den USA wohnt,
- die Herausgabe das Recht eines qualifying foreign government verletzen würde, und
- das Gericht nach einer Comity-Analyse (d.h. einer Abwägung der widerstreitenden Interessen) zum Schluss kommt, dass die Anordnung aufzuheben ist.
En tant que qualifying foreign government gilt dabei nur ein Staat, der mit den USA ein Accord exécutif selon 18 U.S.C. § 2523 abgeschlossen hat. Solche Executive Agreements erlauben zunächst den vereinfachten gegenseitigen Datenzugriff zwischen Strafverfolgungsbehörden und heben die sonst ggf. geltenden Statuts de blocage (also Datenherausgabeverbote) auf. Bislang bestehen solche Abkommen nur mit dem Vereinigten Königreich (in Kraft seit Oktober 2022) und mit Australien (in Kraft seit Januar 2024). Verhandlungen mit der EU und Kanada laufen (BSA TechPost).
Für schweizerische Unternehmen besteht damit kein besonderer Rechtsschutz gegen Anordnungen nach dem SCA. Ein Dienstleister kann zwar auch ohne Executive Agreement eine Comity-Einrede auf common law-Basis erheben (CLOUD Act § 103(c)), aber ob Rechtsschutz gewährt wird, liegt hier im weiten Ermessen des zuständigen US-Gerichts. Die Schweiz würde aber auch akzeptieren müssen, dass US-Behörden Herausgabeverfügungen direkt an Schweizer CSPs zustellen können, ausserhalb der Rechtshilfe. Insbesondere die Schweizerische Bankiervereinigung steht einem solchen Abkommen skeptisch gegenüber.
EO 12333
Le site Ordre exécutif 12333 ermächtigt US-Geheimdienste sodann, geheimdienstrelevante Informationen im Ausland zu sammeln. Dabei ist die Mitwirkung der Serverbetreiber grundsätzlich nicht erforderlich, es werden Sicherheitslücken in der IT-Infrastruktur ausgenutzt. Die Voraussetzungen für solche Zugriffe sind nicht öffentlich bekannt.
EO 14086 und Data Privacy Framework
Das Gutachten sagt nichts zur Executive Order 14086 – wohl weil es stark geschwärzt ist und/oder weil es sich primär auf Überwachungsbefugnisse und nicht auf Schutzmechanismen konzentriert. Für das Gesamtbild ist die EO 14086 aber relevant.
Im Oktober 2022 hatte Präsident Biden die Ordre exécutif 14086 erlassen („Enhancing Safeguards for United States Signals Intelligence Activities“; siehe ici). Sie bildet zusammen mit einer Verordnung des Attorney General die Grundlage für den Angemessenheitsbeschluss der EU-Kommission vom Juli 2023, das EU-US Data Privacy Framework. EO 14086 sieht Einschränkungen für die nachrichtendienstliche Überwachung von Non-US Persons vor:
- Signals Intelligence darf nur zur Verfolgung definierter legitimer Ziele eingesetzt werden (etwa Terrorismusbekämpfung, Spionageabwehr, Schutz der nationalen Sicherheit).
- Die Überwachung muss notwendig und verhältnismässig sein.
- Ein neuer Rechtsbehelfsmechanismus wurde geschaffen: Betroffene aus „qualifying states“ können Beschwerden beim Civil Liberties Protection Officer (CLPO) einreichen, dessen Entscheidungen durch einen neu geschaffenen Data Protection Review Court überprüft werden können.
Der Bundesrat hat im August 2024 die USA auf die Liste der Staaten mit angemessenem Datenschutzniveau gesetzt, soweit Empfänger nach dem Data Privacy Framework zertifiziert sind. Die Eintragung gilt aber nur für Datenempfänger, die dem Framework unterstehen, also US-Unternehmen, die sich gegenüber dem US-Handelsministerium zertifiziert haben.
Ob EO 14086 in der Praxis wirksamen Schutz bietet, ist strittig. noyb hat im November 2024 eine Beschwerde gegen die irische Datenschutzbehörde eingelegt, weil diese trotz der bekannten Überwachungspraxis keine Massnahmen gegen Meta ergreife. Die Organisation argumentiert, das Framework sei wie seine Vorgänger Safe Harbor und Privacy Shield rechtlich unhaltbar.
Reforming Intelligence and Securing America Act (RISAA) 2024
Das Gutachten geht auch auf den Reforming Intelligence and Securing America Act (RISAA) ein, der am 20. April 2024 in Kraft trat und Section 702 FISA bis zum 20. April 2026 verlängerte (dazu unseren contribution antérieure). 2022 hatte sich ein Cloud-Rechenzentrum gegen eine Herausgabeanordnung vor dem FISC gewehrt, weil es kein „Electronic Communication Service Provider“ sei. Der FISC gab dem Unternehmen recht und blockierte die Anordnung. Die FISC-Entscheidung von 2022 und die bestätigende FISCR-Entscheidung von 2023 sind stark geschwärzt. RISAA war die legislative Reaktion.
Vor allem wurde in Section 25 die Definition des „Electronic Communication Service Provider“ erheblich ausgeweitet. Diese Definition in 50 U.S.C. § 1881(b)(4) bestimmt, welche Unternehmen zur Mitwirkung bei Section 702-Überwachungen verpflichtet werden können.
Die alte Fassung lautete wie folgt:
(A) a telecommunications carrier […];
(B) a provider of electronic communication service […];
(C) a provider of a remote computing service […];
(D) tout autre fournisseur de services de communication ayant accès aux communications par fil ou par voie électronique, que ce soit dans le cadre de la transmission de ces communications ou de leur stockage ; ou
(E) an officer, employee, or agent of an entity described in subparagraph (A), (B), (C), or (D).
Section 25 RISAA fügte einen neuen Buchstaben (E) ein, der bisherige (E) wurde zu (F) mit einer Ergänzung. Die neue Kategorie lautet:
(E) tout autre fournisseur de services ayant accès à des équipements utilisés ou susceptibles d’être utilisés pour transmettre ou stocker des communications par fil ou par voie électronique, but not including any entity that serves primarily as: (i) a public accommodation facility; (ii) a dwelling; (iii) a community facility; or (iv) a food service establishment.
Die alte Kategorie (D) verlangte als einen Communication Service Provider mit Zugang. Die neue Kategorie erfasst jeden Service Provider mit Zugang zu Geräten, die zur Kommunikation verwendet werden oder werden können. Das Gutachten:
„Zugang“ zu solchen Geräten hat heutzutage wohl jeder Dienstleister, der in seinem Unternehmen z.B. Smartphones, Computer und W‑LAN-Router verwendet. Die Dienstleister müssen also keine Telekommunikationsanbieter mehr sein. Vielmehr ist eine unüberschaubare Vielzahl von Dienstleistern erfasst, etwa auch Waschsalons, Friseure, Fitnesscenter, Zahnarztpraxen, Baumärkte und kommerzielle Vermieter von Büroräumen.
Bürgerrechtsorganisationen wie das Brennan Center for Justicequi Electronic Frontier Foundation et le Center for Democracy and Technology haben RISAA entsprechend als „Patriot Act 2.0“ kritisiert. Senator Ron Wyden (D‑OR) nannte es
one of the most dramatic and terrifying expansions of government surveillance authority in history
Senator Mark Warner (D‑VA), der Vorsitzende des Senate Intelligence Committee, räumte ein, die Bestimmung sei „poorly drafted“, und versprach eine Korrektur durch den Intelligence Authorization Act. Die für Juni 2024 angekündigte Korrektur wurde zwar teilweise umgesetzt, aber der genaue Umfang der Einschränkung klassifiziert, die erweiterte Definition bleibt grundsätzlich in Kraft.
„Data Broker Loophole“
Ein zweiter Aspekt wird im Gutachten nur am Rande erwähnt, vervollständigt das Bild aber: US-Behörden können verfassungsrechtliche Beschränkungen dadurch umgehen, dass sie gewisse Daten schlicht kaufen.
Commercially Available Information (CAI) bezeichnet nach einer Definition der US-Geheimdienste Informationen, die der Allgemeinheit kommerziell zugänglich sind, durch Kauf oder Abonnement. CAI gilt als Teilmenge der Publicly Available Information (PAI) und umfasst insbesondere Daten, die durch Smartphones, vernetzte Geräte und werbebasierte Geschäftsmodelle im Internet entstehen. Diese Daten werden von Data Brokern wie Acxiom, LexisNexis oder Oracle aggregiert und verkauft.
Der im Gutachten erwähnte, im Juni 2023 deklassifizierter Bericht des Office of the Director of National Intelligence (ODNI) vom Januar 2022 dokumentiert diese Praxis. Weil CAI als PAI behandelt wird, gelten weniger Einschränkungen als für andere nachrichtendienstliche Erhebungsmethoden. Dem Bericht zufolge unterscheidet sich CAI aber fundamental von traditioneller PAI wie Zeitungen. Heutige CAI sei weitaus sensibler, betreffe praktisch jeden, sei kaum zu vermeiden und leicht zu deanonymisieren. Die einfache Feststellung, dass CAI öffentlich verfügbar sei, reiche nicht:
[T]o say that CAI is „publicly available“ or can be purchased by „anyone“ obscures the quantity and sensitivity of information available for purchase today. […] To say that large-scale persistently updated data on millions of Americans obtained through sophisticated opaque corporate surveillance is equivalent to a newspaper that the government could always go out and buy is like saying that a ride on horseback is materially indistinguishable from a flight to the moon.
Der Bericht nennt einige Vertragsbeziehungen für die Beschaffung von CAI:
- FBI: Vertrag mit ZeroFox für „social media alerting“
- Defense Intelligence Agency (DIA): Verträge für Social-Media-Berichte über Personen, die Sicherheitsfreigaben beantragen, sowie mit LexisNexis für „comprehensive on-line search results related to commercial due diligence“
- U.S. Navy: Vertrag mit Sayari Analytics für Zugang zu einer Datenbank mit „tens of thousands of previously-unidentified specific nodes, facilities and key people related to US sanctioned actors“
- Treasury Department: Zugang zu Banker’s Almanac
- Department of Defense: Zugang zu Jane’s online
- Coast Guard: Vertrag mit Babel Street für „Open Source Data Collection, Translation, Analysis Application“
Zudem kaufe die DIA Standortdaten von Smartphones auf dem freien Markt. In einem Schreiben an den Kongress vom 15. Januar 2021 legte die DIA das offen:
DIA currently provides funding to another agency that purchases commercially available geolocation metadata aggregated from smartphones. […] Permission to query the U.S. device location data has been granted five times in the past two-and-a-half years for authorized purposes.
Der Bericht warnt sodann, dass anonymisierte Daten leicht reidentifiziert werden können:
Although CAI may be „anonymized,“ it is often possible (using other CAI) to deanonymize and identify individuals, including U.S. persons.
Als Beispiel verweist der Bericht auf eine Recherche der New York Times von 2019, die mit 50 Milliarden Standortdaten von 12 Millionen Amerikanern arbeitete:
It was a random sample from 2016 and 2017, but it took only minutes — with assistance from publicly available information — for us to deanonymize location data. […] The Times was able to track the movements of President Trump via a member of his Secret Service detail.
Der U.S. Supreme Court hatte 2018 in Carpenter v. United States allerdings entschieden, dass Sicherheitsbehörden grundsätzlich einen Gerichtsbeschluss benötigen, um Standortdaten von Telekommunikationsanbietern zu beschaffen. Dem ODNI-Bericht zufolge haben die Geheimdienste aber keine einheitliche Position zur Anwendbarkeit von Carpenter auf gekaufte Daten. Die DIA etwa betrachtet Carpenter– als nicht anwendbar auf gekaufte Daten. Das Gutachten verweist auf diese Praxis:
Während der U.S. Supreme Court in Carpenter zwar feststellte, dass die Sicherheitsbehörden grundsätzlich nur auf der Grundlage eines Gerichtsbeschlusses Unternehmen zur Herausgabe der gewünschten Daten verpflichten dürfen, läuft diese Gerichtsentscheidung in der Praxis teilweise ins Leere. Solange die Unternehmen die Daten „freiwillig“ herausgeben, so die Interpretation durch die Sicherheitsbehörden, bedarf es keines Gerichtsbeschlusses. Die Freiwilligkeit der Unternehmen erkaufen die Sicherheitsbehörden indes mit barem Geld, wie ein von der US-Regierung angefertigter Bericht 2022 ermittelte.
Le site Fourth Amendment Is Not For Sale Act, der diese Praxis unterbinden sollte, passierte zwar im April 2024 das Repräsentantenhaus mit 219 zu 199 Stimmen, scheiterte aber im Senat als Änderungsantrag zum RISAA. Der Datenkauf bleibt auf Bundesebene daher zugelassen. Einzig der Bundesstaat Montana hat Strafverfolgungsbehörden den Kauf von Daten im Mai 2025 (in Kraft seit 1. Oktober 2025) verboten, die sonst nur mit Durchsuchungsbefehl beschafft werden könnten.
Als Reaktion auf Kritik hat das ODNI am 8. Mai 2024 ein IC Policy Framework for Commercially Available Information veröffentlicht, das die Empfehlungen des Berichts umsetzen und einheitliche Standards für die Geheimdienstbehörden etablieren soll. Berichte vom Januar 2025 zeigen aber, dass das DHS wieder Zugang zu Überwachungssystemen erworben hat, die Mobiltelefone in Stadtvierteln überwachen und Bewegungen über Zeit verfolgen können. Die ACLU veröffentlichte ICE-Dokumente, die zeigen, wie die Behörde versucht, eine rechtliche Rechtfertigung für den Kauf von Standortdaten ohne Durchsuchungsbefehl zu konstruieren.
Kontrolle und nicht Serverstandort entscheidend
Das Gutachten kommt weiter zum Schluss, dass der Speicherort der Daten rechtlich weitgehend irrelevant ist. Entscheidend ist vielmehr die Kontrolle über die Daten:
Die Vorschriften des SCA finden zweifellos auch extraterritoriell Anwendung. Dies entspricht dem eindeutigen Willen des CLOUD-Act Gesetzgebers. Darüber hinaus ist es ständige Rechtsprechung von US-Bundesgerichten, dass Dokumente auch dann herauszugeben sind, wenn sie sich zwar ausserhalb der USA befinden, der Verpflichtete aber die Kontrolle über diese Dokumente hat. Der Begriff der Kontrolle wird dabei weit ausgelegt, sodass jeder leitende Angestellte, der eine Übersendung der Informationen veranlassen kann, über Kontrolle in diesem Sinne verfügt.
Hat ein US-Konzern eine deutsche Tochtergesellschaft, sollen US-Gerichte der Mutter befehlen können, die Tochter zur Herausgabe von Daten an US-Behörden anzuweisen. Auch europäische Unternehmen können der US-Gerichtsbarkeit unterliegen, soweit sie geschäftliche Kontakte zu den USA pflegen. Das Gutachten verweist dafür auf Plixer Int’l, Inc. v. Scrutinizer GmbH, wonach ein deutsches IT-Unternehmen alleine deshalb der der US-Gerichtsbarkeit unterfiel, weil seine englischsprachige Website auch US-Kunden zugänglich war und das Unternehmen während einiger Jahre rund 150 US-Kunden mit ca. USD 200’000 Umsatz bedient hatte:
Auch das Betreiben einer Website, die sich zumindest auch an US-Kunden richtet bzw. diese vom Zugriff auf die Website nicht explizit ausschliesst, kann für die Annahme von specific personal jurisdiction bereits ausreichen. Für einen Cloud-Anbieter kann mitunter bereits das Anbieten seiner Dienstleistungen für US-Kunden ausreichend sein, wenn es in dem Verfahren um eben jene Tätigkeit geht.
Technische Schutzmassnahmen?
Das Gutachten prüft weiter, ob Cloud-Anbieter sich durch technische Massnahmen einer Herausgabepflicht entziehen können, etwa indem sie sich selbst vom Datenzugriff ausschliessen, hat daran aber erhebliche Zweifel:
Es erscheint fraglich, ob eine Herausgabeverpflichtung dadurch vermieden werden kann, dass sich Cloud-Anbieter technisch aus der Cloud ausschliessen. […] Im US-amerikanischen Prozessrecht sind Parteien jedoch dazu verpflichtet, schon vor Beginn eines Rechtsstreits verfahrensrelevante Informationen zu speichern. […] Schliesst sich ein Cloud-Anbieter durch technische Massnahmen von seinem Zugang zum Cloud-Server aus, kann er diesen Verpflichtungen nicht mehr nachkommen und riskiert mitunter erhebliche Bussgelder, strafrechtliche Konsequenzen, oder beides.