Was der Cloud Act ist
Der U.S. Cloud Act regelt den Zugriff amerikanischer Behörden auf Daten, die von US-Unternehmen gespeichert oder verwaltet werden. Entscheidend ist nicht der Standort der Daten, sondern der Gerichtsstand des Anbieters. Befindet sich ein Dienstleister unter US-Recht, kann er verpflichtet werden, Kundendaten herauszugeben. Auch dann, wenn diese in europäischen oder schweizerischen Rechenzentren liegen.
Wen der Cloud Act betrifft
Alle Cloud-Dienste mit Betreiber in den USA oder mit US-Mutterkonzern. Dazu gehören Microsoft 365 und SharePoint Online. Die Rechtswirkung ist extraterritorial. Der physische Standort schützt nicht. Sobald ein Anbieter US-Jurisdiktion unterliegt, besteht ein potenzieller Zugriffspfad. Behörden, Gesundheitsinstitutionen und Unternehmen mit sensiblen Daten müssen diesen Faktor berücksichtigen.
Handlungsoptionen zur Risikominimierung
Der Schutz vor Cloud-Act-basiertem Zugriff besteht nur durch Betrieb ausserhalb des US-Rechtsraums. Zwei Modelle sind üblich. Erstens der eigene Betrieb im Rechenzentrum vor Ort. Zweitens der Betrieb in einer Schweizer Private Cloud. Grundlage ist ein Hostingmodell mit ausschliesslich schweizerischer Kontrolle. Keine Public-Cloud-Dienste, keine US-Anbieter, kein Datenverkehr über ausländische Plattformen.
SharePoint betreiben ohne Cloud Act
SharePoint Subscription Edition lässt sich vollständig ohne Anbindung an US-Dienste nutzen. Der Betrieb erfolgt auf dedizierten Servern in der Schweiz. Datenhaltung, Authentifizierung, Verschlüsselung und Backup bleiben im eigenen Verantwortungsbereich. Dokumentenmanagement und Intranet-Funktionen sind nutzbar, ohne Public-Cloud-Komponenten. Der rechtliche Zugriff durch US-Behörden entfällt.