Aus Sicht vieler Führungskräfte sind der Cloud Act und die Datenschutzgrundverordnung (DSGVO) im Wesentlichen unvereinbar. Unter dem Cloud Act ist ein US-Unternehmen grundsätzlich verpflichtet, US-Behörden Zugriff auf Unternehmensdaten zu gewähren. Die DSGVO hingegen verbietet den willkürlichen Zugriff von Behörden auf Unternehmensdaten. Somit ist es rechtlich gesehen unmöglich, sich gleichzeitig an beide Gesetze zu halten – sie stehen im Widerspruch zueinander.
Der Cloud Act ist ein US-amerikanisches Gesetz, das US-Behörden den Zugriff auf außerhalb der USA gespeicherte Daten von US-amerikanischen IT-Firmen und Cloud-Providern erlaubt. In diesem Zusammenhang steht Cloud für „Clarifying Lawful Overseas Use of Data“.
Der Artikel 48 der DSGVO und seine Konsequenzen besagen, dass die Weitergabe von Daten im Einklang mit diesem Gesetz im grundlegenden Widerspruch zu den Grundsätzen der DSGVO steht. Daten dürfen gemäß Artikel 48 der DSGVO nur aufgrund einer behördlichen Entscheidung oder eines Gerichtsurteils an ein Drittland übermittelt werden, wenn es ein spezielles Rechtshilfeabkommen zwischen diesem Land und der EU oder einem EU-Mitgliedsstaat gibt.
Der Cloud Act ermöglicht es US-Unternehmen mit Serverstandorten in der EU, US-Behörden Zugriff auf diese Server zu gewähren, obwohl die DSGVO dies verbietet. Dies wirft die Befürchtung auf, dass in der Cloud verarbeitete oder gespeicherte Daten abgerufen oder durchsucht werden können. Der Schutz von persönlichen Informationen ist dabei nur die eine Hälfte des Problems, während die andere Hälfte die Datenhoheit betrifft. Der Cloud Act legitimiert amerikanische Behörden, die Herausgabe sämtlicher in US-Cloud-Diensten gespeicherten Daten eines Unternehmens zu verlangen. Dies führt dazu, dass Unternehmen die Kontrolle über ihre Daten und damit über ihr geistiges Eigentum, insbesondere ihre Geschäfts- und Betriebsgeheimnisse, de facto verlieren.
Im Zusammenhang mit dem Datenaustausch werden häufig Abkommen zwischen der EU und den USA erwähnt, wie das Safe Harbor-Abkommen und der Privacy Shield. Beide wurden vom Europäischen Gerichtshof (EuGH) aufgrund von Verletzungen der Rechte von EU-Bürgern durch den Zugriff von US-Behörden auf Daten von EU-Bürgern aufgehoben. Dies führte zu einer vorübergehenden Lösung auf der Grundlage der sogenannten EU-Standardvertragsklauseln, die das Problem jedoch nicht grundlegend lösten. Auch der jüngste Vorschlag von EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden, das „Trans-Atlantic Data Privacy Framework“ (TADPF), bietet keinen umfassenden Schutz für EU-Bürger und hebt das Datenschutzniveau für EU-Bürger in den USA nicht auf das der EU an.
Der zentrale Unterschied besteht darin, dass das TADPF den Datenaustausch mit den USA regelt, während der Cloud Act die Herausgabe von Daten von außerhalb der USA gelegenen Standorten US-amerikanischer Unternehmen regelt.
In Anbetracht dieser rechtlichen Situation wird empfohlen, auf einen vertrauenswürdigen Cloud-Anbieter aus dem europäischen Raum zurückzugreifen und Open-Source-Software zu nutzen, um Datenschutz und Datensouveränität sicherzustellen. Offener Quellcode ermöglicht es jedem, sicherzustellen, dass die Software keine Hintertüren enthält.