CLOUD Act und Bodycams: Was bedeutet das für den Datenschutz?

Hinweis:

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die dargestellten rechtlichen Rahmenbedingungen können sich ändern. Für eine individuelle Bewertung empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts.

Der CLOUD Act ist ein US-Gesetz, das US-Unternehmen dazu verpflichten kann, Daten an US-Behörden herauszugeben. Und zwar unabhängig davon, wo auf der Welt diese Daten gespeichert sind. [1] Für europäische Organisationen, die mit sensiblen Body-Cam-Aufnahmen arbeiten, hat das weitreichende Folgen.

Dieser Beitrag erklärt verständlich, warum das ein Problem ist, warum gerade außereuropäische Body-Cam-Systeme kritisch sein können und wie sich die Risiken mit einer konsequent deutschen Lösung vermeiden lassen.

Inhaltsverzeichnis

Was ist der CLOUD Act?

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde 2018 in den USA verabschiedet. Er besagt im Kern: Wenn ein Unternehmen seinen Hauptsitz in den USA hat oder dort geschäftlich tätig ist, muss es Daten an US-Behörden herausgeben, wenn diese es verlangen. Das gilt auch dann, wenn die Daten auf einem Server in Deutschland liegen. [1, 2]
Entscheidend ist also nicht, wo die Daten gespeichert sind, sondern wer die Kontrolle über sie hat. Liegt diese Kontrolle bei einem US-Unternehmen, etwa Microsoft, Amazon oder Google, kann der CLOUD Act greifen. [2]

Wichtig zu verstehen:

Der CLOUD Act bedeutet nicht, dass jederzeit willkürlich auf alle Daten zugegriffen wird. Er bedeutet aber, dass unter bestimmten rechtlichen Voraussetzungen ein Zugriff möglich ist. Genau diese Möglichkeit ist für viele Organisationen bereits ein entscheidender Risikofaktor.

Warum Body-Cam-Daten besonders schützenswert sind

Body-Cams filmen Gesichter, Gespräche und Einsatzorte. Diese Aufnahmen sind oft Beweismittel und enthalten personenbezogene Daten im Sinne der DSGVO. Werden sie in einer Cloud gespeichert, stellt sich eine zentrale Frage: Wer kann darauf zugreifen?
Oft übersehen wird dabei: Nicht nur die Videos selbst sind sensibel. Auch die sogenannten Metadaten, also wer hat wann wo gefilmt und wer hat wann welches Video angesehen, sind für Ermittlungsbehörden genauso wertvoll. Auch diese Daten können unter den CLOUD Act fallen. [5]

NetCo Body-Cam Pro mit NetCo Logo

CLOUD Act vs. DSGVO: Warum beides nicht zusammenpasst

In Europa gilt die DSGVO. Sie schützt die Privatsphäre der Bürger und verbietet in der Regel, Daten ohne Rechtsgrundlage an Behörden außerhalb der EU zu übermitteln. Der CLOUD Act hingegen fordert genau das Gegenteil: Er gibt US-Behörden das Recht, auf Daten zuzugreifen, die ein US-Unternehmen kontrolliert. [2, 6]

Art. 48 DSGVO: Der Sperr-Paragraph

Artikel 48 der DSGVO ist der zentrale Gegenspieler. Er legt fest, dass Anordnungen ausländischer Behörden (z. B. aus den USA) nur dann anerkannt werden, wenn sie auf einem internationalen Abkommen basieren. Ein einseitiger US-Beschluss nach dem CLOUD Act reicht nach EU-Recht nicht aus. [6, 7]

Das „Schrems II“-Urteil

Der Europäische Gerichtshof hat mit dem „Schrems II“-Urteil bestätigt, dass US-Überwachungsgesetze dem europäischen Datenschutz widersprechen können. Die Folge: Datentransfers in die USA stehen seitdem auf wackeligem rechtlichem Boden. [2, 8]

Das EU-U.S. Data Privacy Framework

Seit Juli 2023 gibt es mit dem EU-U.S. Data Privacy Framework (DPF) ein neues Abkommen, das den Datentransfer in die USA regeln soll. Im September 2025 hat das EU-Gericht die Gültigkeit des DPF in erster Instanz bestätigt. Über 3.400 US-Unternehmen, darunter Microsoft, Amazon und Google, sind unter dem DPF zertifiziert. Für normale Geschäftsdaten bildet das Framework damit aktuell eine tragfähige Rechtsgrundlage. [8, 15]

Das Compliance-Dilemma

Für US-Unternehmen mit europäischen Kunden entsteht ein unlösbares Problem: Geben sie Daten an US-Behörden heraus, verstoßen sie gegen die DSGVO. Weigern sie sich, drohen ihnen Strafen in den USA. Für Kunden bedeutet das: erhebliche Rechtsunsicherheit. [2, 6]

Warum nutzen dann so viele Organisationen US-Cloud-Dienste?

Eine berechtigte Frage. Für viele Unternehmen ist die Nutzung von US-Cloud-Diensten unter dem Data Privacy Framework rechtlich möglich und im Alltag unproblematisch. Das DPF hat seinen ersten Gerichtstest bestanden, und US-Behörden fordern nicht wahllos europäische Firmendaten an, sondern nur bei konkreten Ermittlungen. [15]

Bei hochsensiblen Daten wie Body-Cam-Aufnahmen von Sicherheitsbehörden gelten jedoch strengere Maßstäbe. Hier geht es um Beweismaterial, Persönlichkeitsrechte und staatliche Handlungsfähigkeit. Das DPF basiert auf einer Executive Order, die eine künftige US-Regierung ändern könnte, und es läuft bereits eine Berufung vor dem Europäischen Gerichtshof. [15] Zwei Vorgängerabkommen (Safe Harbor und Privacy Shield) wurden bereits vom EuGH gekippt. Für Behörden, die mit sicherheitskritischen Daten arbeiten, reicht ein „aktuell gültig, aber rechtlich unsicher“ daher oft nicht aus.

Warum „Server in Deutschland“ allein nicht reicht

Viele Organisationen glauben, dass ein Serverstandort in Deutschland ausreichend schützt. Das stimmt so nicht. Der CLOUD Act knüpft nicht an den Standort des Servers an, sondern an die rechtliche Zugehörigkeit des Anbieters. Auch eine deutsche Tochtergesellschaft eines US-Konzerns kann betroffen sein. [2, 9]

Besonders tückisch: Manche europäischen Anbieter werben mit „Hosting in Deutschland“, nutzen aber im Hintergrund die Infrastruktur von US-Anbietern wie Amazon Web Services (AWS). In solchen Fällen kann der CLOUD Act über die US-Muttergesellschaft des Infrastrukturanbieters trotzdem greifen. [9, 10]

Ein Serverstandort in Deutschland ist trotzdem ein wichtiger Baustein, sofern auch der Anbieter keiner US-Jurisdiktion unterliegt. Dann bedeutet er:

Warum außereuropäische Body-Cam-Systeme ein Risiko darstellen

Die CLOUD-Act-Problematik betrifft nicht nur die Cloud-Speicherung. Beim Einsatz außereuropäischer Body-Cam-Systeme kann das gesamte Ökosystem betroffen sein: von der Kamera über die Software bis zur Datenhaltung.

Ein typisches Beispiel: Ein Body-Cam-Anbieter hat seinen Hauptsitz in den USA. Seine Cloud-Plattform läuft auf Amazon Web Services (AWS). Kunden, die seine Kameras kaufen, sind vertraglich an die herstellereigene Software und Cloud gebunden, über lange Laufzeitverträge.

Selbst wenn Daten in einem europäischen Rechenzentrum von AWS gespeichert werden, unterliegt der Anbieter dem CLOUD Act. Und auch AWS als Infrastrukturbetreiber ist ein US-Unternehmen. [10]

Konkrete Risiken bei außereuropäischen Body-Cam-Ökosystemen:

Für europäische Behörden bedeutet das: Selbst wenn der Anbieter mit „regionalen Rechenzentren in der EU“ wirbt, bleibt die Datenkontrolle bei US-Unternehmen. [12] Die entscheidende Frage lautet daher: Ist das gesamte System, von der Kamera über die Software bis zum Server, frei von US-rechtlicher Einflussnahme?

Was können Organisationen tun? Der dreistufige Ansatz

In Europa gilt die DSGVO. Sie schützt die Privatsphäre der Bürger und verbietet in der Regel, Daten ohne Rechtsgrundlage an Behörden außerhalb der EU zu übermitteln. Der CLOUD Act hingegen fordert genau das Gegenteil: Er gibt US-Behörden das Recht, auf Daten zuzugreifen, die ein US-Unternehmen kontrolliert. [2, 6]

Stufe 1: Rechtlich absichern

Transfer Impact Assessment (TIA)

Seit dem Schrems II-Urteil müssen Organisationen dokumentieren, ob ein Drittstaat (z. B. die USA) die Daten ausreichend schützt. Dieses sogenannte Transfer Impact Assessment ist bei der Nutzung von Cloud-Diensten Pflicht, besonders bei sensiblen Body-Cam-Aufnahmen. [8]

Anbieter genau prüfen

Wichtig ist nicht nur, wo der Server steht, sondern wer dahintersteht: Wo hat der Anbieter seinen Hauptsitz? Hat er eine US-Muttergesellschaft? Welche Unterauftragsverarbeiter nutzt er? Laufen im Hintergrund US-Cloud-Dienste wie AWS oder Azure?

Stufe 2: Technisch absichern

Verschlüsselung, aber richtig

Verschlüsselung ist wichtig, aber nicht jede Verschlüsselung schützt gleich gut. Entscheidend ist: Wer hat den Schlüssel?

Bei US-Cloud-Anbietern: Wer hält den Schlüssel?

Organisationen, die auf US-Cloud-Infrastruktur setzen (z. B. AWS oder Azure), können sich mit sogenannten BYOK- oder HYOK-Verfahren schützen. Vereinfacht gesagt:

BYOK (Bring Your Own Key)

HYOK (Hold Your Own Key)

Was bedeutet das?

Der Kunde erstellt seinen eigenen Schlüssel, gibt ihn aber an den Cloud-Anbieter weiter

Der Kunde behält den Schlüssel komplett bei sich. Der Anbieter hat keinen Zugang

Kann der Anbieter die Daten lesen?

Ja, er hat den Schlüssel in seiner Umgebung

Nein, er kann die Daten technisch nicht entschlüsseln

Was passiert bei einer CLOUD-Act-Anfrage?

Der Anbieter könnte die Daten entschlüsseln und herausgeben

Der Anbieter kann nur unlesbare Datenpakete übergeben

HYOK ist der „Goldstandard“ für Organisationen, die aus technischen oder strategischen Gründen auf US-Cloud-Infrastruktur angewiesen sind. Es mindert das Risiko, löst das Problem aber nicht vollständig, da der Anbieter weiterhin dem CLOUD Act unterliegt. [9]

Der einfachere Weg: Gar kein US-Anbieter in der Kette

Der Fairness halber: Grundsätzlich könnte auch ein US-Hersteller die Daten bereits auf der Kamera verschlüsseln und dem Kunden die alleinige Schlüsselhoheit überlassen. Das würde den CLOUD Act zumindest technisch ins Leere laufen lassen, weil nur unlesbare Daten herausgegeben werden könnten. In der Praxis sieht es jedoch anders aus: Der weltweit größte Bodycam-Anbieter leitet die Daten automatisch in seine eigene Cloud-Plattform, wo er die Schlüssel verwaltet und der Kunde keine Möglichkeit hat, diese selbst zu halten. Die Verschlüsselung auf der Kamera allein löst das Problem also nur dann, wenn der Kunde auch danach die Kontrolle über die Entschlüsselung behält.

Es geht aber auch einfacher. Bei Lösungen wie der NetCo Body-Cam Pro werden die Aufnahmen bereits auf der Kamera selbst per AES-256-Bit verschlüsselt, und zwar vom ersten Moment der Aufzeichnung an. Die verschlüsselten Daten gehen danach direkt auf deutsche Server oder die eigene Infrastruktur des Kunden. Es gibt keinen US-Anbieter in der Kette. Kein AWS, kein Azure, kein Google. Deshalb stellt sich die Frage nach BYOK oder HYOK gar nicht erst: Es gibt schlicht niemanden, der zur Herausgabe gezwungen werden könnte.

Stufe 3: Architektur richtig wählen

Sovereign Clouds und das Treuhänder-Modell

Ein oft genannter Kompromiss sind sogenannte Sovereign Clouds. Die Idee: Ein US-Technologieanbieter stellt die Software, aber ein europäischer Partner (z. B. T-Systems) übernimmt den Betrieb. So soll die Technologie rechtlich von der US-Jurisdiktion entkoppelt werden. [9]

Wie sicher ist das Treuhänder-Modell wirklich?

Das Treuhänder-Modell klingt überzeugend, hat aber eine Schwachstelle: Die Technologie stammt weiterhin von einem US-Unternehmen. Und der CLOUD Act fragt nicht, wer den Server verwaltet, sondern wer die Technologie kontrolliert.

Kritische Einordnung:

Fazit: Das Treuhänder-Modell erhöht die Hürden, bietet aber keinen absoluten Schutz. Die sicherste Lösung bleibt, die CLOUD-Act-Problematik gar nicht erst entstehen zu lassen.

Praxisbeispiel: Wie die NetCo Body-Cam Pro diese Risiken löst

Die NetCo Body-Cam Pro ist das Gegenbeispiel zu den beschriebenen Risiken. Als Produkt des einzigen deutschen Body-Cam-Herstellers, der NetCo Professional Services GmbH mit Sitz in Blankenburg, liegt das gesamte Ökosystem vollständig außerhalb der Reichweite des CLOUD Act.

Warum die NetCo Body-Cam Pro die CLOUD-Act-Problematik von Grund auf vermeidet:

Praxisleitfaden Bodycam Datenschutz

Tipp: Kostenloser Leitfaden zum DSGVO-konformen Body-Cam‑Einsatz bietet bewährte Strategien von Marktführern und Erfolgsgeschichten mit konkreten Zahlen.

Checkliste für Entscheider

Diese Fragen sollten Sie beantworten können, bevor Sie sich für ein Body-Cam-System entscheiden:

Rechtlich

Technisch

Architektonisch

Fazit

Der CLOUD Act ist kein Randthema, sondern ein realer Faktor bei der Wahl des Body-Cam-Systems. Gerade weil außereuropäische Anbieter oft ein geschlossenes Ökosystem aus Kamera, Software und US-Cloud anbieten, ist besondere Vorsicht geboten.
Treuhänder-Modelle und HYOK-Verschlüsselung können das Risiko mindern. Aber die sicherste Lösung ist, das Problem gar nicht erst entstehen zu lassen: mit einem deutschen Hersteller, deutscher Software und deutschen Servern. Dann gibt es niemanden, der zur Herausgabe gezwungen werden könnte.

Denn die Frage, wer im Ernstfall Zugriff auf sensible Daten erhalten kann, ist nicht nur eine technische, sondern auch eine juristische und strategische Entscheidung.

Quellenverzeichnis

[1] CLOUD Act Resources, U.S. Department of Justice, Criminal Division (justice.gov)
[2] EDPB/EDPS Joint Response to the U.S. CLOUD Act, Initial Legal Assessment, European Data Protection Board (edpb.europa.eu)
[4] Body-Worn Cameras and the Courts, Bureau of Justice Assistance / National Center for State Courts
[5] The Transnationalization of Digital Evidence: Body-Worn Cameras and the Legal Architecture of the CLOUD Act
[6] U.S. CLOUD Act vs. GDPR, activeMind.legal
[7] The CLOUD Act, Eurojust, European Union Agency for Criminal Justice Cooperation
[8] Reed Smith LLP, Potential conflict and harmony between GDPR and the CLOUD Act (reedsmith.com)
[9] White Paper: Demystifying the debate on the US CLOUD Act vs European/UK Data Sovereignty, CMS LawNow
[10] Clarifying Lawful Overseas Use of Data (CLOUD) Act, Amazon Web Services (aws.amazon.com)
[12] CSIS (Center for Strategic and International Studies), The CLOUD Act and Transatlantic Trust (csis.org)
[13] BSI C5: Cloud Computing Compliance Criteria Catalogue, Bundesamt für Sicherheit in der Informationstechnik; §8 BSIG, §8a BSIG, BSI-KritisV 2024, §393 SGB V
[15] Baker Botts LLP / Bird & Bird, European General Court Confirms Validity of the EU-U.S. Data Privacy Framework, September 2025; WilmerHale, European Court of Justice to Review Challenge, Dezember 2025 

Weitere Beiträge