Hinweis:
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die dargestellten rechtlichen Rahmenbedingungen können sich ändern. Für eine individuelle Bewertung empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts.
Der CLOUD Act ist ein US-Gesetz, das US-Unternehmen dazu verpflichten kann, Daten an US-Behörden herauszugeben. Und zwar unabhängig davon, wo auf der Welt diese Daten gespeichert sind. [1] Für europäische Organisationen, die mit sensiblen Body-Cam-Aufnahmen arbeiten, hat das weitreichende Folgen.
Dieser Beitrag erklärt verständlich, warum das ein Problem ist, warum gerade außereuropäische Body-Cam-Systeme kritisch sein können und wie sich die Risiken mit einer konsequent deutschen Lösung vermeiden lassen.
Inhaltsverzeichnis
Was ist der CLOUD Act?
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde 2018 in den USA verabschiedet. Er besagt im Kern: Wenn ein Unternehmen seinen Hauptsitz in den USA hat oder dort geschäftlich tätig ist, muss es Daten an US-Behörden herausgeben, wenn diese es verlangen. Das gilt auch dann, wenn die Daten auf einem Server in Deutschland liegen. [1, 2]
Entscheidend ist also nicht, wo die Daten gespeichert sind, sondern wer die Kontrolle über sie hat. Liegt diese Kontrolle bei einem US-Unternehmen, etwa Microsoft, Amazon oder Google, kann der CLOUD Act greifen. [2]
Wichtig zu verstehen:
Der CLOUD Act bedeutet nicht, dass jederzeit willkürlich auf alle Daten zugegriffen wird. Er bedeutet aber, dass unter bestimmten rechtlichen Voraussetzungen ein Zugriff möglich ist. Genau diese Möglichkeit ist für viele Organisationen bereits ein entscheidender Risikofaktor.
Warum Body-Cam-Daten besonders schützenswert sind
Body-Cams filmen Gesichter, Gespräche und Einsatzorte. Diese Aufnahmen sind oft Beweismittel und enthalten personenbezogene Daten im Sinne der DSGVO. Werden sie in einer Cloud gespeichert, stellt sich eine zentrale Frage: Wer kann darauf zugreifen?
Oft übersehen wird dabei: Nicht nur die Videos selbst sind sensibel. Auch die sogenannten Metadaten, also wer hat wann wo gefilmt und wer hat wann welches Video angesehen, sind für Ermittlungsbehörden genauso wertvoll. Auch diese Daten können unter den CLOUD Act fallen. [5]

CLOUD Act vs. DSGVO: Warum beides nicht zusammenpasst
Art. 48 DSGVO: Der Sperr-Paragraph
Artikel 48 der DSGVO ist der zentrale Gegenspieler. Er legt fest, dass Anordnungen ausländischer Behörden (z. B. aus den USA) nur dann anerkannt werden, wenn sie auf einem internationalen Abkommen basieren. Ein einseitiger US-Beschluss nach dem CLOUD Act reicht nach EU-Recht nicht aus. [6, 7]
Das „Schrems II“-Urteil
Das EU-U.S. Data Privacy Framework
Seit Juli 2023 gibt es mit dem EU-U.S. Data Privacy Framework (DPF) ein neues Abkommen, das den Datentransfer in die USA regeln soll. Im September 2025 hat das EU-Gericht die Gültigkeit des DPF in erster Instanz bestätigt. Über 3.400 US-Unternehmen, darunter Microsoft, Amazon und Google, sind unter dem DPF zertifiziert. Für normale Geschäftsdaten bildet das Framework damit aktuell eine tragfähige Rechtsgrundlage. [8, 15]
Das Compliance-Dilemma
Für US-Unternehmen mit europäischen Kunden entsteht ein unlösbares Problem: Geben sie Daten an US-Behörden heraus, verstoßen sie gegen die DSGVO. Weigern sie sich, drohen ihnen Strafen in den USA. Für Kunden bedeutet das: erhebliche Rechtsunsicherheit. [2, 6]
Warum nutzen dann so viele Organisationen US-Cloud-Dienste?
Eine berechtigte Frage. Für viele Unternehmen ist die Nutzung von US-Cloud-Diensten unter dem Data Privacy Framework rechtlich möglich und im Alltag unproblematisch. Das DPF hat seinen ersten Gerichtstest bestanden, und US-Behörden fordern nicht wahllos europäische Firmendaten an, sondern nur bei konkreten Ermittlungen. [15]
Bei hochsensiblen Daten wie Body-Cam-Aufnahmen von Sicherheitsbehörden gelten jedoch strengere Maßstäbe. Hier geht es um Beweismaterial, Persönlichkeitsrechte und staatliche Handlungsfähigkeit. Das DPF basiert auf einer Executive Order, die eine künftige US-Regierung ändern könnte, und es läuft bereits eine Berufung vor dem Europäischen Gerichtshof. [15] Zwei Vorgängerabkommen (Safe Harbor und Privacy Shield) wurden bereits vom EuGH gekippt. Für Behörden, die mit sicherheitskritischen Daten arbeiten, reicht ein „aktuell gültig, aber rechtlich unsicher“ daher oft nicht aus.
Warum „Server in Deutschland“ allein nicht reicht
Viele Organisationen glauben, dass ein Serverstandort in Deutschland ausreichend schützt. Das stimmt so nicht. Der CLOUD Act knüpft nicht an den Standort des Servers an, sondern an die rechtliche Zugehörigkeit des Anbieters. Auch eine deutsche Tochtergesellschaft eines US-Konzerns kann betroffen sein. [2, 9]
Besonders tückisch: Manche europäischen Anbieter werben mit „Hosting in Deutschland“, nutzen aber im Hintergrund die Infrastruktur von US-Anbietern wie Amazon Web Services (AWS). In solchen Fällen kann der CLOUD Act über die US-Muttergesellschaft des Infrastrukturanbieters trotzdem greifen. [9, 10]
Ein Serverstandort in Deutschland ist trotzdem ein wichtiger Baustein, sofern auch der Anbieter keiner US-Jurisdiktion unterliegt. Dann bedeutet er:
- Anwendung deutschen und europäischen Rechts
- Klare Zuständigkeiten
- Höhere Rechtssicherheit für Auftraggeber
- Kein automatischer Zugriff durch außereuropäische Behörden
Warum außereuropäische Body-Cam-Systeme ein Risiko darstellen
Die CLOUD-Act-Problematik betrifft nicht nur die Cloud-Speicherung. Beim Einsatz außereuropäischer Body-Cam-Systeme kann das gesamte Ökosystem betroffen sein: von der Kamera über die Software bis zur Datenhaltung.
Ein typisches Beispiel: Ein Body-Cam-Anbieter hat seinen Hauptsitz in den USA. Seine Cloud-Plattform läuft auf Amazon Web Services (AWS). Kunden, die seine Kameras kaufen, sind vertraglich an die herstellereigene Software und Cloud gebunden, über lange Laufzeitverträge.
Selbst wenn Daten in einem europäischen Rechenzentrum von AWS gespeichert werden, unterliegt der Anbieter dem CLOUD Act. Und auch AWS als Infrastrukturbetreiber ist ein US-Unternehmen. [10]
Konkrete Risiken bei außereuropäischen Body-Cam-Ökosystemen:
- Der Body-Cam-Hersteller unterliegt als US-Unternehmen dem CLOUD Act, egal, wo die Daten liegen.
- Die Cloud läuft auf US-Infrastruktur (z. B. AWS), ein zweiter CLOUD-Act-Zugriffspunkt.
- Wer die Kamera kauft, muss die herstellereigene Cloud-Software nutzen. Ein Wechsel ist kaum möglich (Vendor-Lock-in)
- Software-Updates und Datenverarbeitung laufen über US-kontrollierte Systeme, ohne dass der Kunde dies steuern kann.
Was können Organisationen tun? Der dreistufige Ansatz
In Europa gilt die DSGVO. Sie schützt die Privatsphäre der Bürger und verbietet in der Regel, Daten ohne Rechtsgrundlage an Behörden außerhalb der EU zu übermitteln. Der CLOUD Act hingegen fordert genau das Gegenteil: Er gibt US-Behörden das Recht, auf Daten zuzugreifen, die ein US-Unternehmen kontrolliert. [2, 6]
Stufe 1: Rechtlich absichern
Transfer Impact Assessment (TIA)
Seit dem Schrems II-Urteil müssen Organisationen dokumentieren, ob ein Drittstaat (z. B. die USA) die Daten ausreichend schützt. Dieses sogenannte Transfer Impact Assessment ist bei der Nutzung von Cloud-Diensten Pflicht, besonders bei sensiblen Body-Cam-Aufnahmen. [8]
Anbieter genau prüfen
Wichtig ist nicht nur, wo der Server steht, sondern wer dahintersteht: Wo hat der Anbieter seinen Hauptsitz? Hat er eine US-Muttergesellschaft? Welche Unterauftragsverarbeiter nutzt er? Laufen im Hintergrund US-Cloud-Dienste wie AWS oder Azure?
Stufe 2: Technisch absichern
Verschlüsselung, aber richtig
Verschlüsselung ist wichtig, aber nicht jede Verschlüsselung schützt gleich gut. Entscheidend ist: Wer hat den Schlüssel?
Bei US-Cloud-Anbietern: Wer hält den Schlüssel?
Organisationen, die auf US-Cloud-Infrastruktur setzen (z. B. AWS oder Azure), können sich mit sogenannten BYOK- oder HYOK-Verfahren schützen. Vereinfacht gesagt:
BYOK (Bring Your Own Key)
HYOK (Hold Your Own Key)
Was bedeutet das?
Der Kunde erstellt seinen eigenen Schlüssel, gibt ihn aber an den Cloud-Anbieter weiter
Der Kunde behält den Schlüssel komplett bei sich. Der Anbieter hat keinen Zugang
Kann der Anbieter die Daten lesen?
Ja, er hat den Schlüssel in seiner Umgebung
Nein, er kann die Daten technisch nicht entschlüsseln
Was passiert bei einer CLOUD-Act-Anfrage?
Der Anbieter könnte die Daten entschlüsseln und herausgeben
Der Anbieter kann nur unlesbare Datenpakete übergeben
Der einfachere Weg: Gar kein US-Anbieter in der Kette
Der Fairness halber: Grundsätzlich könnte auch ein US-Hersteller die Daten bereits auf der Kamera verschlüsseln und dem Kunden die alleinige Schlüsselhoheit überlassen. Das würde den CLOUD Act zumindest technisch ins Leere laufen lassen, weil nur unlesbare Daten herausgegeben werden könnten. In der Praxis sieht es jedoch anders aus: Der weltweit größte Bodycam-Anbieter leitet die Daten automatisch in seine eigene Cloud-Plattform, wo er die Schlüssel verwaltet und der Kunde keine Möglichkeit hat, diese selbst zu halten. Die Verschlüsselung auf der Kamera allein löst das Problem also nur dann, wenn der Kunde auch danach die Kontrolle über die Entschlüsselung behält.
Es geht aber auch einfacher. Bei Lösungen wie der NetCo Body-Cam Pro werden die Aufnahmen bereits auf der Kamera selbst per AES-256-Bit verschlüsselt, und zwar vom ersten Moment der Aufzeichnung an. Die verschlüsselten Daten gehen danach direkt auf deutsche Server oder die eigene Infrastruktur des Kunden. Es gibt keinen US-Anbieter in der Kette. Kein AWS, kein Azure, kein Google. Deshalb stellt sich die Frage nach BYOK oder HYOK gar nicht erst: Es gibt schlicht niemanden, der zur Herausgabe gezwungen werden könnte.
Stufe 3: Architektur richtig wählen
Sovereign Clouds und das Treuhänder-Modell
Wie sicher ist das Treuhänder-Modell wirklich?
Kritische Einordnung:
- Solange die Technologie von einem US-Mutterkonzern stammt, kann dieser theoretisch zur Herausgabe gezwungen werden, auch bei Treuhänder-Konstruktionen. [2]
- Begriffe wie „Sovereign Cloud“ oder „EU Data Boundary“ sind oft eher Marketingbezeichnungen als rechtliche Garantien. [9]
- Erst HYOK-Verschlüsselung (der Kunde behält den Schlüssel) macht eine Herausgabeanordnung faktisch wertlos, weil nur unlesbare Daten übergeben werden können. [9]
Praxisbeispiel: Wie die NetCo Body-Cam Pro diese Risiken löst
Die NetCo Body-Cam Pro ist das Gegenbeispiel zu den beschriebenen Risiken. Als Produkt des einzigen deutschen Body-Cam-Herstellers, der NetCo Professional Services GmbH mit Sitz in Blankenburg, liegt das gesamte Ökosystem vollständig außerhalb der Reichweite des CLOUD Act.
Warum die NetCo Body-Cam Pro die CLOUD-Act-Problematik von Grund auf vermeidet:
- Deutscher Hersteller, kein US-Mutterkonzern. Kein CLOUD Act, keine extraterritoriale Zugriffsgefahr.
- Die Aufnahmen werden bereits auf der Kamera per AES-256-Bit verschlüsselt, vom ersten Moment der Aufzeichnung an. Nicht erst beim Upload.
- Hosting auf deutschen NetCo-Servern oder beim Kunden vor Ort (On-Premises). Kein AWS, kein Azure, kein Google.
- Manipulationssichere Beweisführung: Jedes Einzelbild trägt einen unverfälschbaren Stempel mit Seriennummer, Datum, Uhrzeit und Benutzerkennung.
- Verschlüsseltes .mex-Dateiformat für die Weitergabe an Gerichte. Nur mit dem NetCo MediaPlayer abspielbar, nicht kopierbar.
- DSGVO-konform von Anfang an: Automatische Löschfristen, Zugriffskontrolle und lückenlose Protokolle für Datenschutzaudits.

Tipp: Kostenloser Leitfaden zum DSGVO-konformen Body-Cam‑Einsatz bietet bewährte Strategien von Marktführern und Erfolgsgeschichten mit konkreten Zahlen.
Checkliste für Entscheider
Rechtlich
- Unterliegt der Hersteller oder seine Muttergesellschaft dem US-Recht?
- Nutzt der Anbieter im Hintergrund US-Cloud-Infrastruktur (z. B. AWS)?
- Liegt ein Transfer Impact Assessment vor?
Technisch
- Werden die Aufnahmen bereits auf der Kamera verschlüsselt oder erst später?
- Wer verwaltet die Schlüssel? Der Kunde oder der Anbieter?
- Sind die Aufnahmen manipulationssicher und gerichtsverwertbar?
Architektonisch
- Ist das gesamte Ökosystem (Kamera + Software + Server) frei von US-Einfluss?
- Gibt es flexible Hosting-Optionen (eigene Server oder deutsches Hosting)?
Fazit
Der CLOUD Act ist kein Randthema, sondern ein realer Faktor bei der Wahl des Body-Cam-Systems. Gerade weil außereuropäische Anbieter oft ein geschlossenes Ökosystem aus Kamera, Software und US-Cloud anbieten, ist besondere Vorsicht geboten.
Treuhänder-Modelle und HYOK-Verschlüsselung können das Risiko mindern. Aber die sicherste Lösung ist, das Problem gar nicht erst entstehen zu lassen: mit einem deutschen Hersteller, deutscher Software und deutschen Servern. Dann gibt es niemanden, der zur Herausgabe gezwungen werden könnte.
Denn die Frage, wer im Ernstfall Zugriff auf sensible Daten erhalten kann, ist nicht nur eine technische, sondern auch eine juristische und strategische Entscheidung.
Quellenverzeichnis
[1] CLOUD Act Resources, U.S. Department of Justice, Criminal Division (justice.gov)
[2] EDPB/EDPS Joint Response to the U.S. CLOUD Act, Initial Legal Assessment, European Data Protection Board (edpb.europa.eu)
[4] Body-Worn Cameras and the Courts, Bureau of Justice Assistance / National Center for State Courts
[5] The Transnationalization of Digital Evidence: Body-Worn Cameras and the Legal Architecture of the CLOUD Act
[6] U.S. CLOUD Act vs. GDPR, activeMind.legal
[7] The CLOUD Act, Eurojust, European Union Agency for Criminal Justice Cooperation
[8] Reed Smith LLP, Potential conflict and harmony between GDPR and the CLOUD Act (reedsmith.com)
[9] White Paper: Demystifying the debate on the US CLOUD Act vs European/UK Data Sovereignty, CMS LawNow
[10] Clarifying Lawful Overseas Use of Data (CLOUD) Act, Amazon Web Services (aws.amazon.com)
[12] CSIS (Center for Strategic and International Studies), The CLOUD Act and Transatlantic Trust (csis.org)
[13] BSI C5: Cloud Computing Compliance Criteria Catalogue, Bundesamt für Sicherheit in der Informationstechnik; §8 BSIG, §8a BSIG, BSI-KritisV 2024, §393 SGB V
[15] Baker Botts LLP / Bird & Bird, European General Court Confirms Validity of the EU-U.S. Data Privacy Framework, September 2025; WilmerHale, European Court of Justice to Review Challenge, Dezember 2025