Tipp: Lassen Sie Ihren Vertrag in 60 Sekunden von SignGuard prüfen — wir hosten exklusiv auf EU-Servern und sind kein US-Unternehmen, also nicht CLOUD-Act-pflichtig. Kostenlos testen, ohne Kreditkarte.
Was ist der CLOUD Act?
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-Bundesgesetz von 2018. Er erlaubt US-Strafverfolgungsbehörden, von US-Unternehmen elektronische Daten zu verlangen — unabhängig davon, wo die Daten gespeichert sind. Frankfurt, Dublin, Zürich, Tokio: Hauptsache, das Unternehmen ist US-amerikanisch oder hat eine US-Mutter.
Konkret betroffen sind alle bekannten KI-Anbieter:
- OpenAI (ChatGPT) — US-Unternehmen ✓ CLOUD-Act-pflichtig
- Anthropic (Claude) — US-Unternehmen ✓ CLOUD-Act-pflichtig
- Google (Gemini) — US-Unternehmen ✓ CLOUD-Act-pflichtig
- Microsoft (Copilot, Azure) — US-Unternehmen ✓ CLOUD-Act-pflichtig
- Amazon (Bedrock, AWS) — US-Unternehmen ✓ CLOUD-Act-pflichtig
Was Sie als Verbraucher wissen sollten: Wenn Sie einen Vertrag bei einer dieser Apps hochladen — zum Übersetzen, Zusammenfassen, Prüfen — landet Ihr Vertrag im Macht-Bereich der USA. Auch wenn die Marketing-Seite „EU Server" verspricht.
Mythos „EU-Server" — warum Frankfurt nicht reicht
Der entscheidende Punkt für Ihre Vertragsdaten: Es kommt nicht auf den physischen Serverstandort an, sondern auf die Kontrolle über die Daten. Wenn ein US-Unternehmen einen Server in Frankfurt betreibt, gilt: Bei einer formell korrekten US-Anfrage muss das Unternehmen die Daten herausgeben — auch wenn das gegen DSGVO oder § 203 StGB verstoßen würde. Das ist seit 2018 Praxis und mehrfach bestätigt.
Am 10. Juni 2025 wurde Anton Carniaux, Legal Counsel von Microsoft France, im französischen Senat unter Eid gefragt, ob er garantieren könne, dass die Daten französischer Bürger in Microsofts Cloud niemals ohne Zustimmung französischer Behörden an US-Behörden weitergegeben würden. Seine Antwort: „Non, je ne peux pas le garantir." — „Nein, ich kann es nicht garantieren." Trotz EU Data Boundary Initiative (Februar 2025), die alle Microsoft-365- und Azure-Daten EU-intern verarbeiten soll. Quelle: The Register: Microsoft admits it cannot guarantee data sovereignty (25.07.2025).
Bedeutung für Sie: Wenn ein Anbieter mit „Server in Deutschland" wirbt, prüfen Sie, wer das Mutterunternehmen ist. US-Mutter → CLOUD-Act-pflichtig, egal wo der Server steht.
Schrems II + DPF — die Rechtslage 2025/26
Der EuGH hat sich seit 2015 zweimal gegen den Datentransfer EU→USA gestellt:
- 2015 (Schrems I): Safe Harbor wird für ungültig erklärt.
- 16.07.2020 (Schrems II, EuGH C-311/18): Privacy Shield wird ebenfalls für ungültig erklärt. Begründung: US-Geheimdienste haben Zugriff auf EU-Daten, der nicht „strictly necessary" ist; betroffene EU-Bürger haben keine effektive Rechtsschutzmöglichkeit.
Reaktion: Im Juli 2023 wurde das Data Privacy Framework (DPF) als Nachfolger eingeführt. Es soll mehr Schutz bieten — über ein Datenschutz-Aufsichtsgremium und einen Data Protection Review Court.
Was sich 2025 geändert hat (kritisch): Im Januar 2025 entfernte die Trump-Administration drei der fünf Mitglieder des Privacy and Civil Liberties Oversight Board — der zentralen DPF-Aufsicht. Damit verlor das Gremium seine Beschlussfähigkeit. Die DPF basiert primär auf einem Biden-Executive-Order, der jederzeit widerrufen werden kann. Maximilian Schrems hat erneut vor dem EuGH geklagt; eine Entscheidung steht aus (Stand 04/2026).
Seit 12. September 2025 müssen Cloud-Anbieter in der EU technische und organisatorische Maßnahmen implementieren, die unrechtmäßigen Zugriff durch Nicht-EU-Behörden auf in Europa gespeicherte Daten verhindern — und sie sind verpflichtet, derartige Anfragen aktiv anzufechten. Bei US-Unternehmen mit US-Mutter: ein juristischer Konflikt zwischen EU-Pflicht und US-CLOUD-Act-Pflicht — der für US-Anbieter rechtlich unauflösbar ist.
3 Tools im Test: ChatGPT vs. Claude vs. Gemini
Die drei meistgenutzten KI-Apps für Vertrags-Texte im Vergleich — alle drei sind CLOUD-Act-pflichtig, unterscheiden sich aber im Hosting-Versprechen:
| Tool | Mutter | EU-Hosting möglich? | CLOUD-Act-Risiko |
|---|---|---|---|
| ChatGPT (OpenAI) | USA 🇺🇸 | Enterprise: ja, Free/Plus: nein | ⚠️ Hoch — alle Pläne |
| Claude (Anthropic) | USA 🇺🇸 | Über AWS Frankfurt möglich | ⚠️ Hoch — auch via AWS |
| Gemini (Google) | USA 🇺🇸 | Workspace: EU Data Boundary | ⚠️ Hoch — siehe MS-Fall |
Praxistest-Empfehlung: Bei sensitiven Verträgen (Mietvertrag, Arbeitsvertrag, Versicherungspolice) nicht über die Standard-Versionen dieser Tools laufen lassen. Stattdessen: Variante 1, 2 oder 3 weiter unten.
3 sichere Alternativen für Ihre Verträge
Alternative 1: EU-basierte KI-Anbieter
Anbieter ohne US-Mutter sind nicht CLOUD-Act-pflichtig. Wichtig: Mutter und Server müssen EU sein.
- Mistral (Frankreich) — leistungsstarke Modelle, Mistral Large erreicht 90-95 % der GPT-4-Performance bei deutschen Texten
- Aleph Alpha (Heidelberg) — deutscher Anbieter, ISO 27001, deutsche Server
- Apertus (Schweiz/EU) — Open-Source-Modell, EU-Hosting
Auch SignGuard arbeitet ausschließlich mit EU-gehosteten Modellen — kein Datentransfer in die USA.
Alternative 2: Self-Hosting (Open-Source-Modelle)
Wer maximale Kontrolle will, betreibt das Modell selbst — z. B. Llama 3 oder Mixtral auf eigenem Server. Vorteil: kein Drittanbieter, kein Datentransfer, kein CLOUD Act. Nachteil: Hardware-Aufwand und Konfigurations-Wissen nötig. Für Solopreneure meist überdimensioniert, aber für Kanzleien und Mittelstand zunehmend realistisch.
Alternative 3: Anonymisierung vor dem Upload
Wenn Sie nicht auf US-Tools verzichten können, ist Anonymisierung die letzte Verteidigungslinie:
- Namen ersetzen durch Platzhalter („Vermieter A", „Mieter B")
- Adressen auf Stadt reduzieren oder weglassen
- Vertragsnummern und IBAN-Daten entfernen
- Beträge kategorisieren statt zu zeigen („Bereich: 1.000-2.000 €")
Tools wie anymize oder spezielle Datenschutz-Plugins können automatisch entfernen — bevor der Vertrag in die KI geht. Auch SignGuard arbeitet nach dieser Methodik: Persönliche Daten aus Ihrem Dokument werden durch Platzhalter ersetzt, bevor der extrahierte Text für die KI-Analyse auf den Server geladen wird — der vollständige Klartext und das Dokument verlässt Ihr Gerät nicht. Niemand sieht Ihre persönlichen Daten — nicht mal wir.
Was Sie als Verbraucher konkret prüfen können
Drei einfache Schritte, bevor Sie sensible Verträge in eine KI-App hochladen:
- 1. Mutter-Konzern prüfen. Wer betreibt das KI-Tool? Bei Unklarheit: Impressum aufrufen, Firmensitz lesen. US-Adresse → CLOUD-Act-pflichtig. Auch wenn „EU Data Center" beworben wird.
- 2. Datenschutz-Erklärung lesen. Suchen Sie nach „Drittland" oder „Vereinigte Staaten". Ist DPF-Transfer angegeben → CLOUD-Act-Risiko bestätigt. Auch interessant: Werden Ihre Eingaben zum Training der Modelle genutzt?
- 3. Bei sensitiven Verträgen: EU-Anbieter wählen. Mietvertrag, Arbeitsvertrag, Krankenakten, Anwalts-Korrespondenz — hier nicht ChatGPT/Claude/Gemini, sondern Mistral, Aleph Alpha, oder einen spezialisierten EU-Vertragsmanager. Wer Datenschutz ernst nimmt, dokumentiert die Wahl der Plattform schriftlich (Mini-Datenschutz-Folgenabschätzung). Konkrete Vorgaben für Verbraucher und KMU finden Sie auch in der BfDI-Handreichung Datenschutz und KI (2025).
Detail-Hinweise zum Datenschutz bei KI-Apps: KI-App nutzen: 7 Datenschutz-Regeln vor dem Upload (2026).