© 2019 Deutscher Bundestag WD 3 - 3000 - 205/19 

 

Datenübermittlung an US-Ermittlungsbehörden auf Grundlage des 
CLOUD Acts im Geltungsbereich des EU-Datenschutzrechts 
 

Dokumentation 

Wissenschaftliche Dienste 



 
 
 

 

Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages 
bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner
 Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen
 und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt
 der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten
 des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte
 oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder 
Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich
 berät über die dabei zu berücksichtigenden Fragen. 

Wissenschaftliche Dienste Dokumentation 
WD 3 - 3000 - 205/19 

Seite 2 

 
Datenübermittlung an US-Ermittlungsbehörden auf Grundlage des CLOUD Acts im 
Geltungsbereich des EU-Datenschutzrechts 

Aktenzeichen: WD 3 - 3000 - 205/19 
Abschluss der Arbeit: 20. August 2019 
Fachbereich: WD 3: Verfassung und Verwaltung 

 

  



 
 
 

 

 

Wissenschaftliche Dienste Dokumentation 
WD 3 - 3000 - 205/19 

Seite 3 

1. Einleitung 

Die Dokumentation gibt einen Überblick über mögliche Kollisionen des im Mai 2018 vom US-
Kongress erlassenen Clarifying Lawful Overseas Use of Data Act1 (CLOUD Act) mit europäischem 
Datenschutzrecht. Dabei wird auch auf das Gesetzgebungsvorhaben der EU zum grenzüberschreitenden
 Zugang zu elektronischen Beweismitteln (e-Evidence) und die geplanten Verhandlungen 
mit den USA über den Abschluss eines Durchführungsabkommens zum CLOUD Act eingegangen
. 

2. Datenübermittlung auf Grundlage des CLOUD Acts im Geltungsbereich des EU-Datenschutzrechts
 

Der CLOUD Act ändert und ergänzt den Stored Communications Act (SCA)2. Er enthält insbesondere
 eine Rechtsgrundlage für den Direktzugriff von US-Strafermittlungsbehörden auf Daten, die 
US-amerikanische Unternehmen auf ausländischen Servern speichern. Damit sind grundsätzlich
 auch Daten erfasst, die sich auf Servern in EU-Mitgliedstaaten befinden. Bisher besteht kein 
Durchführungsabkommen zwischen den USA und der EU bzw. EU-Mitgliedstaaten. Mit Beschlüssen
 vom 6. Juni 2019 hat der Rat der EU die Kommission dazu ermächtigt, „im Namen der 
EU ein Abkommen mit den Vereinigten Staaten über einen leichteren Zugang zu elektronischen 
Beweismitteln für die justizielle Zusammenarbeit in Strafsachen auszuhandeln bzw. an den Verhandlungen
 über ein Zweites Zusatzprotokoll zum Übereinkommen des Europarats über Computerkriminalität
 teilzunehmen“3. 

Einen Überblick über den Regelungsgegenstand und den Adressatenkreis des CLOUD Acts, die 
Beschwerdemöglichkeiten von betroffenen Unternehmen sowie mögliche Verstöße gegen die Europäische
 Datenschutzgrundverordnung4 (DSGVO) durch Übermittlung von Daten nach dem 
CLOUD Act geben 

  Sebastian Cording/Lena Götzinger, Der CLOUD Act aus europäischer Sicht, in: CR 2018, 
S. 636, 

Anlage 1 

                                     

1 Pub. L. No. 115-141 Stat. 2383 (2018), abrufbar unter: https://www.congress.gov/bill/115th-congress/senatebill
/2383/text. 

2 18 U.S.C.A. 121 §§ 2701-2711; zur Datenübermittlung auf Grundlage des SCA unter Geltung der DSGVO vgl. 
Metz/Spittka, Datenweitergabe im transatlantischen Rechtsraum – Konflikt oder Konsistenz? Eine Betrachtung 
unter Berücksichtigung der „Microsoft-Entscheidung“ und der DS-GVO, in: ZD 2017, S. 361. 

3 Rat der Europäischen Union, Pressemitteilung vom 6. Juni 2019, Rat beauftragt Kommission mit der Aushandlung
 internationaler Übereinkünfte über elektronische Beweismittel in Strafsachen, mit Links zu den Beschlusstexten
 und Verhandlungsleitlinien abrufbar unter: https://www.consilium.europa.eu/de/press/press-releases
/2019/06/06/council-gives-mandate-to-commission-to-negotiate-international-agreements-on-e-evidence-incriminal
-matters/ (zuletzt abgerufen am: 20. August 2019). 

4 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher
 Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der 
Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4. Mai 2016, S. 1. 








 
 
 

 

 

Wissenschaftliche Dienste Dokumentation 
WD 3 - 3000 - 205/19 

Seite 4 

  Lothar Determann/Michaela Nebel, U.S. CLOUD Act – Wolken über der Datenschutz- Grundverordnung
? Neuigkeiten im Konflikt zwischen US-Recht und EU-Datenschutzrecht, in: CR 
2018, S. 408, 

Anlage 2 

  Tina Gausling, Offenlegung von Daten auf Basis des CLOUD Act. CLOUD Act und DS-GVO 
im Spannungsverhältnis, in: MMR 2018, S. 578, 

Anlage 3 

und auch 

  Michael Rath/Axel Spies, CLOUD Act: Selbst für die Wolken gibt es Grenzen, in: CCZ 2018, 
S. 229. 

Anlage 4 

Auch der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte
 (EDSB), haben sich in ihrer  

  EDSA und EDSB, gemeinsame Antwort an den Ausschuss des Europäischen Parlaments für 
bürgerliche Freiheiten, Justiz und Inneres vom 12. Juli 2019 zu den Auswirkungen des US 
CLOUD Act auf den europäischen Rechtsrahmen für die Verarbeitung personenbezogener Daten
, abrufbar – inklusive Anlage – unter: https://edpb.europa.eu/our-work-tools/ourdocuments
/letters/epdb-edps-joint-response-libe-committee-impact-us-cloud-act_de (zuletzt 
abgerufen am 20. August 2019) 

Anlage 5 

mit den Maßgaben der DSGVO bezüglich Datenübermittlungen auf Grundlage des CLOUD Acts 
befasst. Gemäß Art. 48 DSGVO dürfen Entscheidungen von Gerichten oder Verwaltungsbehörden 
von Drittländern über die Offenlegung und Übermittlung von personenbezogenen Daten nur anerkannt
 oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft
 wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union 
oder einem Mitgliedstaat gestützt sind. Der im CLOUD Act geregelte Direktabruf sei nicht von bestehenden
 Rechtshilfeabkommen erfasst und falle auch nicht unter den Durchführungsbeschluss 





 
 
 

 

 

Wissenschaftliche Dienste Dokumentation 
WD 3 - 3000 - 205/19 

Seite 5 

zum EU-USA-Datenschutzschild5 oder das EU-USA-Rahmenabkommen zum Datenschutz6 (sog. 
„EU-US Umbrella Agreement“). Die Übermittlung von Daten aus der EU nach dem CLOUD Act 
könne daher – ohne weitere Abkommen zwischen EU und USA oder EU-Mitgliedstaaten und 
USA – nur unter den Voraussetzungen von Art. 6 und Art. 49 DSGVO rechtmäßig erfolgen.7 Der 
EDSA und der EDSB empfehlen Unternehmen im Anwendungsbereich der DSGVO daher, Anfragen
 von Ermittlungsbehörden aus Drittstaaten zur Direktübermittlung von Daten abzulehnen und 
auf die mit den zuständigen EU-Mitgliedstaaten geschlossenen Rechtshilfeabkommen zu verweisen
.8 

EDSA und EDSB betonen unter Verweis auf ein White Paper des 

  Justizministeriums der Vereinigten Staaten, "Promoting Public Safety, Privacy, and the Rule 
of Law Around the World: The Purpose and Impact of the CLOUD Act”, Stand April 2019, 
S. 13 abrufbar unter: https://www.justice.gov/opa/press-release/file/1153446/download (zuletzt
 abgerufen am 20. August 2019), 

Anlage 6 

dass der CLOUD Act weder zu systematischen noch zu wahllosen Sammlungen von Daten bzw. 
zu Sammlungen in großem Umfang ermächtige, sondern lediglich zu gezielten Anfragen für spezifische
 Strafermittlungen, die überdies den jeweiligen Verfahrensgarantien unterliegen.9 Möglich
 sei allerdings der Echtzeitabruf von Daten („real-time interception“).10 

                                     

5 Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des 
Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen 
Schutzes (Bekannt gegeben unter Aktenzeichen C(2016) 4176) (Text von Bedeutung für den EWR), ABl. L 207 
vom 1. August 2016,S. 1; zur Rechtsnatur und Einordnung in den europäischen Rechtsrahmen vgl. etwa 
Molnár-Gábor/Kaffenberger, EU-US-Privacy-Shield – Bedeutung des Angemessenheitsbeschlusses der EU-Kommission
, in: ZD 2018, S. 162. 

6 Abkommen zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über den Schutz personenbezogener
 Daten bei der Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten, 
ABl. L/336 vom 10. Dezember 2016, S. 3. 

7 EDSA und EDSB, Anlage 5, Anlage zum Antwortschreiben, S. 3; sh. dazu auch den Schriftsatz der EU-Kommission
 vom 13. Dezember 2017 im Verfahren United States of America versus Microsoft Corporation vor dem US 
Supreme Court, abrufbar unter: https://www.supremecourt.gov/DocketPDF/17/17-
2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf. 

8 EDSA und EDSB, Anlage 5, Anlage zum Antwortschreiben, S. 3; vgl. auch die Leitlinien 2/2018 des EDSA zu 
den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 6, abrufbar unter: https://edpb.europa.eu/sites
/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf (zuletzt abgerufen am 20. August 2019) 

9 EDSA und EDSB, Anlage 5, Anlage zum Antwortschreiben, S. 2. 

10 EDSA und EDSB, Anlage 6, Anlage zum Antwortschreiben, S. 2; vgl. auch die Antwort der Bundesregierung 
vom 18. Juni 2019 zu Frage 13 der Kleinen Anfrage der Abgeordneten Andrej Hunko, Niema Movassat, Dr. Alexander
 S. Neu, weiterer Abgeordneter und der Fraktion DIE LINKE., BT-Drs. 19/10988, S. 9. 








 
 
 

 

 

Wissenschaftliche Dienste Dokumentation 
WD 3 - 3000 - 205/19 

Seite 6 

Der grenzüberschreitende Zugriff von Ermittlungsbehörden der EU-Mitgliedstaaten auf personenbezogene
 Daten soll auf EU-Ebene durch das e-Evidence-Gesetzgebungsvorhaben, bestehend 
aus der EPOC-Verordnung11 (teilweise auch e-Evidence-Verordnung genannt, im Folgenden: 
EPOC-VO) und einer ergänzenden „Richtlinie für die Bestellung von Vertretern zu Zwecken der 
Beweiserhebung in Strafverfahren“12, neu geregelt werden. Nach dem Entwurf des EPOC-VO 
käme es – wie auch beim CLOUD Act – nicht mehr auf den Speicherort der Daten an (sog. Territorialprinzip
), dieser könne auch im Ausland liegen. Die VO wäre viel mehr auf jede natürliche 
oder juristische Person anwendbar, die ihre Internetdienste auf dem Gebiet der EU anbietet (sog. 
Marktortprinzip). Ein Echtzeitabruf von Daten wäre anders als beim CLOUD Act nach der aktuellen
 Entwurfsfassung der EPOC-VO nicht möglich13, wird aber auf EU-Ebene diskutiert.14 

Der  

  Bundesrat, Beschluss vom 6. Juli 2018 zum Vorschlag für eine Verordnung des Europäischen 
Parlaments und des Rates über Europäische Herausgabeanordnungen und Sicherungsanordnungen
 für elektronische Beweismittel in Strafsachen, BR-Drs. 215/18 (Beschluss) 

Anlage 7 

hat in seiner Stellungnahme neben Kritik am Entwurfstext der EPOC-VO auch Bedenken bezüglich
 der Auswirkungen des CLOUD Acts geäußert. Dieser führe zu einer „Unilateralisierung 
grenzüberschreitender Strafverfolgung, die den Geltungsanspruch von auf den Sachverhalt ebenfalls
 anwendbaren Rechtsordnungen nicht oder nur eingeschränkt anerkennt und letztlich die 
Gestaltung der Datenschutzrechte einseitig auf eigene, nationale Interessen ausrichtet.“15 

Auch der frühere Bundesdatenschutzbeauftragte 

  Peter Schaar, E-Evidence: Das europäische Gegenstück zum CLOUD Act, in: MMR 2018, 
S. 705 

Anlage 8 

äußert sich kritisch hinsichtlich der mit der EPOC-VO und dem CLOUD Act verbundenen Ein- 

                                     

11 Vorschlag vom 17. April 2018 für eine Verordnung des Europäischen Parlaments und des Rates für den grenzüberschreitenden
 Zugang zu elektronischen Beweismitteln in Strafsachen, COM/2018/225 final - 2018/0108 
(COD), abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52018PC0225 (zuletzt abgerufen
 am 14. August 2019). 

12 Vorschlag vom 17. April 2018, COM/2018/226 final - 2018/0107 (COD), abrufbar unter https://eur-lex.europa
.eu/legal-content/EN/TXT/?uri=COM%3A2018%3A226%3AFIN (zuletzt abgerufen am 14. August 2019). 

13 Punkt 1 der Begründung der Europäischen Kommission zum Vorschlag der EPOC-VO (Fn. 11). 

14 Antwort der Bundesregierung vom 18. Juni 2019 zu Frage 11 a) der Kleinen Anfrage der Abgeordneten Andrej 
Hunko, Niema Movassat, Dr. Alexander S. Neu, weiterer Abgeordneter und der Fraktion DIE LINKE., BT-
Drs. 19/10988, S. 8. 

15 Anlage 7, Punkt 14. S. 11 f. 






 
 
 

 

 

Wissenschaftliche Dienste Dokumentation 
WD 3 - 3000 - 205/19 

Seite 7 

griff in die Souveränität der EU-Staaten und weist auf die für Unternehmen folgenden Unsicherheiten
 bezüglich der Prüfung der Rechtmäßigkeit von Datenabfragen und möglicher Probleme bei 
der Authentifizierung von anfragenden Behörden hin. 

In einem weiteren Beitrag, berichtet  

  ders., EAID: E-Evidence und CLOUD-Act – Grenzüberschreitender Direktzugriff auf Daten?, 
in: ZD-Aktuell 2019, Nr. 04362 

Anlage 9 

über die Diskussion zum grenzüberschreitenden Direktzugriff auf Daten nach der EPOC-VO und 
dem CLOUD Act zwischen einem Vertreter der Europäischen Kommission, einem Mitglied des 
Europäischen Parlaments, einer Vertreterin des Bundesministeriums der Justiz sowie Vertretern 
von Verbänden und Unternehmen auf dem Europäischen Datenschutztag der Europäischen Akademie
 für Informationsfreiheit und Datenschutz (EAID), der im Februar 2019 in Berlin stattgefunden
 hat. 

***