Local-first
Der CLOUD Act und europäischer Quellcode
Zuletzt aktualisiert: 2026-07-02Lesezeit ca. 4 Min.
Der US CLOUD Act knüpft an die Anbieter-Kontrolle an, nicht an den Speicherort: Ein Frankfurter Rechenzentrum eines US-Anbieters stellt euren Code allein nicht unter europäisches Recht. Für Quellcode sind die schärferen Rahmen Geschäftsgeheimnis und Vertrag statt DSGVO – und zum ehrlichen Risikobild gehört, dass Stand Juli 2026 kein veröffentlichter Quellcode-Herausgabefall existiert. Die Antworten sind architektonisch: EU-Jurisdiktions-Anbieter, kundengehaltene Schlüssel wo praktikabel, lokale Verarbeitung für das, was nicht reisen darf.
Inhalt
Der Mechanismus, ohne Mythologie
Rechtsstand: 2. Juli 2026. Dieser Artikel beschreibt die Rechtslandschaft zur Orientierung – er ist keine Rechtsberatung; die Bewertung für euer Setup gehört zu eurem Justiziariat.
Der CLOUD Act (2018) erlaubt US-Behörden, Anbieter unter US-Jurisdiktion zur Herausgabe von Daten in ihrem Besitz oder ihrer Kontrolle zu verpflichten – ausdrücklich unabhängig vom Speicherort. Die vielzitierte Konsequenz: Der Anknüpfungspunkt ist der Anbieter, nicht das Rechenzentrum. Eine EU-Region eines US-Hyperscalers ist eine Latenz-Entscheidung, keine Jurisdiktions-Entscheidung. Ebenso wichtig für ein nüchternes Bild: Die bekannte Anwendung des Gesetzes dreht sich um Kommunikationsdaten in Strafverfahren, und uns ist kein veröffentlichter Fall bekannt, der auf den Quellcode eines europäischen Unternehmens zielte. Das Risiko ist ein Rechtsweg, kein Vorfallsmuster – und genau so sollte euer Justiziariat es gewichten.
Wo KI-Coding-Tools ins Bild kommen
Jeder Cloud-KI-Coding-Dienst fügt einen Anbieter hinzu, der Teile eures Codes hält oder verarbeitet – Prompts, Kontext, teils einen vollständigen Index, wie in Was KI-Tools alles mitlesen kartiert. Für die Jurisdiktions-Analyse heißt das: Die Frage ist nicht nur „wo liegt unser Git-Remote?“, sondern „welche Anbieter, unter welchem Recht, können über die KI-Toolchain auf Code zugreifen?“ Die BSI/ANSSI-Datenfluss-Brille gilt unverändert – die Toolchain ist Teil der Souveränitäts-Oberfläche.
Seit September 2025 setzt der EU Data Act ein regulatorisches Gegengewicht: Datenverarbeitungsdienste in der EU müssen Maßnahmen gegen Drittstaaten-Behördenzugriffe treffen, die mit EU-Recht kollidieren würden – die Souveränitätsdebatte reicht damit über personenbezogene Daten hinaus. Er stärkt die Anbieterpflichten; Analysen halten fest, dass er den zugrunde liegenden Konflikt für Anbieter unter beiden Rechtsordnungen nicht auflöst.
Die drei architektonischen Antworten
| Architektur | Was sie ändert | Ehrliche Grenzen |
|---|---|---|
| EU-Jurisdiktions-Anbieter | Verschiebt den rechtlichen Anknüpfungspunkt aus US-Reichweite | Tool-Auswahl schrumpft; Eigentümerketten prüfen, nicht nur den Sitz |
| Kundengehaltene Schlüssel | Anbieter kann technisch keinen Klartext herausgeben | Trägt für Speicherung; ein KI-Modell muss Klartext lesen, um zu arbeiten |
| Lokale Verarbeitung | Kein Anbieter in der Gleichung für diesen Code | Qualitäts-Trade-offs lokaler Modelle; der Betrieb ist eurer |
Die mittlere Zeile trägt die KI-spezifische Nuance: Kundengehaltene Schlüssel schützen Daten in Ruhe und unterwegs – aber ein Cloud-Modell, das über euren Code nachdenken soll, braucht ihn beim Anbieter entschlüsselt. Für KI-gestützte Arbeit am sensibelsten Code ist die realistische strenge Option die dritte Zeile – die Setup-Ökonomie steht in Lokales LLM fürs Code-Review, die allgemeine Architektur in Lokale KI-Code-Prüfung.
Was das nicht rechtfertigt
Zwei Analysefehler sind in dieser Debatte üblich, in entgegengesetzte Richtungen. Übertreiben: jeden US-verbundenen Dienst als akuten Verstoß behandeln – die bekannte Durchsetzungspraxis trägt das nicht, und Pauschalverbote erzeugen vor allem Schatten-IT. Abtun: den Rechtsweg als theoretisch abhaken, weil kein Code-Fall öffentlich ist – Vertraulichkeitspflichten und Geheimhaltungsmaßnahmen werden an der Architektur gemessen, nicht daran, ob der schlimmste Fall schon eingetreten ist. Die vertretbare Mitte beschreibt diese Seite: Datenflüsse kennen, Code klassifizieren, Architektur zur Sensibilität passen – dokumentiert, damit die Argumentation ein Audit oder eine Kundenfrage übersteht.
Wo Reality Graph ansetzt
Reality Graph sitzt per Design auf der strengsten Zeile der Tabelle: Die Verifikation von KI-Coding-Runs läuft local-first in eurer Umgebung – die Verifikationsschicht fügt eurer Jurisdiktions-Analyse also keinen neuen Anbieter hinzu –, und ihre Prüfberichte gehören zum dokumentierten Kontroll-Set, nach dem Geheimhaltungsmaßnahmen-Bewertungen suchen. Sie fällt keine Souveränitäts-Urteile; die rechtliche Abwägung bleibt bei eurem Justiziariat.
Diese Analyse gibt euch
- Den Anbieter-Kontrolle-Mechanismus, präzise formuliert
- Das ehrliche Durchsetzungsbild, inklusive dessen, was nicht passiert ist
- Die Rolle des Data Act seit September 2025, beschrieben
- Drei Architekturen, passend zur Code-Sensibilität
Sie gibt euch nicht
- Rechtsberatung oder ein Risiko-Urteil für euer Setup
- Einen Grund, US-Anbieter pauschal zu verbannen
- Die Behauptung, irgendeine Architektur sei „CLOUD-Act-sicher“
- Einen Ersatz für die Klassifizierung eurer eigenen Repositories
Wenn diese Grenzen zu eurem Team passen:
FAQ
- Welche rechtlichen Risiken birgt Cloud-basiertes Code-Review für EU-Firmen?
- Drei getrennte Schichten, die oft vermengt werden. Zugriffs-Risiko: Der CLOUD Act erlaubt US-Behörden, Anbieter unter US-Jurisdiktion zur Herausgabe von Daten in ihrer Kontrolle zu verpflichten – unabhängig vom Speicherort, EU-Rechenzentren eingeschlossen. Konflikt-Risiko: Die Befolgung einer solchen Anordnung kann mit DSGVO-Pflichten kollidieren, wo personenbezogene Daten betroffen sind. Vertraulichkeits-Risiko: Quellcode ist meist ein Geschäftsgeheimnis, dessen Schutz an euren eigenen angemessenen Geheimhaltungsmaßnahmen hängt. Welche Schicht für euch zählt, hängt an Daten, Anbieter und Verträgen – die Bewertung gehört eurem Justiziariat.
- Schützt ein EU-Rechenzentrum vor dem CLOUD Act?
- Für sich genommen nein – das ist das häufigste Missverständnis in diesem Feld. Der CLOUD Act knüpft an die Anbieter-Kontrolle an, nicht an den Speicherort: Ein Anbieter mit US-Hauptsitz kann zur Herausgabe von Daten verpflichtet werden, die er in Frankfurt speichert. Was die Analyse ändert: Anbieter außerhalb der US-Jurisdiktion, Architekturen, in denen der Anbieter technisch nicht auf die Daten zugreifen kann (kundengehaltene Schlüssel), und Verarbeitung, die gar keinen Anbieter erreicht. Eine EU-Region eines US-Anbieters senkt Latenz, nicht CLOUD-Act-Exposition.
- Hat US-Strafverfolgung je europäischen Quellcode auf diesem Weg beschlagnahmt?
- Uns ist Stand Juli 2026 kein veröffentlichter Fall bekannt, in dem eine CLOUD-Act-Herausgabe auf den Quellcode eines europäischen Unternehmens zielte – die bekannte Anwendung des Gesetzes dreht sich um Kommunikationsdaten in Strafverfahren. Die ehrliche Rahmung ist deshalb Risiko-Architektur, nicht Vorfalls-Historie: Der Rechtsweg existiert, seine Nutzung gegen Quellcode ist spekulativ, und Organisationen wägen das gegen den konkreten täglichen Nutzen von Cloud-Tooling ab. Übertreiben und Abtun sind beides Analysefehler.
- Fällt Quellcode hier überhaupt unter die DSGVO?
- Meist nein – Code als solcher ist selten ein personenbezogenes Datum. Die CLOUD-Act-gegen-DSGVO-Kollision, die die Debatte dominiert, betrifft Code nur dort, wo Personenbezug mitreist (Fixtures, Logs, Tickets im Kontext). Für reinen Quellcode sind die schärferen Rahmen Geheimnisschutz und vertragliche Vertraulichkeit: was ihr Kunden zugesagt habt und welche Geheimhaltungsmaßnahmen ihr nachweisen könnt. Anderer Rahmen, dieselben architektonischen Antworten.
- Was hat der EU Data Act geändert?
- Seit September 2025 verpflichtet der Data Act Datenverarbeitungsdienste in der EU, technische, organisatorische und rechtliche Maßnahmen gegen Drittstaaten-Behördenzugriffe zu treffen, die mit EU- oder Mitgliedstaaten-Recht kollidieren würden – und dehnt die Souveränitätspflichten damit über personenbezogene Daten hinaus aus. Er stärkt den regulatorischen Rahmen und die Anbieterpflichten; den zugrunde liegenden Jurisdiktionskonflikt für Anbieter, die beiden Rechtsordnungen unterliegen, löst er nicht auf. Beschreibende Lesart, Stand Juli 2026.
- Was sind die architektonischen Antworten?
- Drei, nach Strenge sortierbar: EU-Jurisdiktions-Anbieter für die Cloud-Teile, die ihr behaltet (verschiebt den rechtlichen Anknüpfungspunkt); kundengehaltene Verschlüsselungsschlüssel, wo der Workload es erlaubt (macht Anbieter-Herausgabe für gespeicherte Daten technisch unmöglich – weniger anwendbar, wo ein Modell Klartext-Code lesen muss); und lokale Verarbeitung für den Code, der nicht reisen darf (nimmt den Anbieter aus der Gleichung). Die meisten Teams mischen alle drei nach Code-Sensibilität – was voraussetzt, dass man weiß, welche Repos welche sind.
Weiterlesen
Quellen
- Verordnung (EU) 2023/2854 (Data Act) – Schutzmaßnahmen gegen rechtswidrige Drittstaaten-Zugriffe, anwendbar seit Sept. 2025 (EUR-Lex, englisch)
- Exoscale – CLOUD Act vs. DSGVO: der Konflikt erklärt (Anbieter-Analyse, Sekundärquelle, englisch)
- Kiteworks – EU Data Act, DSGVO und CLOUD-Act-Zugriffsverlangen (Anbieter-Analyse, Sekundärquelle, 2025, englisch)
- BSI/ANSSI – Empfehlungen zu KI-Programmierassistenten: Datenflüsse zu Anbietern (2024)