CLOUD Act und US-Anbieter im Recruiting: Was HR-Teams wissen müssen
Du nutzt Greenhouse, Workday, Lever oder Salesforce für dein Recruiting? Dann speicherst du Bewerberdaten auf US-Cloud-Infrastruktur. Und damit greift ein US-Gesetz, das in der DACH-Region noch wenig bekannt ist: der CLOUD Act.
Was genau dahintersteckt, wo er mit der DSGVO kollidiert und was du konkret tun kannst – das erfährst du in diesem Artikel.
Was ist der CLOUD Act?
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) trat 2018 in den USA in Kraft. Er erlaubt US-Strafverfolgungsbehörden, US-Unternehmen zur Herausgabe von Daten zu verpflichten – unabhängig davon, wo diese Daten physisch gespeichert sind.
Das bedeutet: Auch wenn dein ATS-Anbieter seine Server in Frankfurt betreibt, kann das FBI oder das DoJ ein Gerichtsbeschluss-Verfahren einleiten. Der Anbieter muss reagieren. Nicht freiwillig – verpflichtend.
Die wichtigsten Punkte:
- Extraterritoriale Reichweite: US-Behörden können Daten aus Servern weltweit anfordern
- Gerichtlicher Beschluss reicht aus: Kein Rechtshilfeabkommen nötig
- Anbieter kann nicht ablehnen: Weder DSGVO noch EU-Recht schützen vor dieser Pflicht
- Gilt für alle US-Cloud-Anbieter: Microsoft, Google, AWS, Salesforce, Workday, Greenhouse, Lever
Warum ist das ein Problem für Bewerberdaten?
Bewerberdaten gehören zu den sensibelsten Informationen, die ein Unternehmen verarbeitet. Sie enthalten:
- Lebensläufe mit Adresse, Geburtsdatum, Foto
- Gehaltsvorstellungen und Verhandlungsnotizen
- Interviewprotokolle und interne Einschätzungen
- Testergebnisse und psychometrische Assessments
- In manchen Fällen: Gesundheitsdaten, Schwerbehinderung, Nationalität
All das liegt in deinem ATS – und wenn du einen US-Anbieter nutzt, unterliegt es potenziell dem CLOUD Act.
Der Konflikt mit der DSGVO ist direkt: Art. 48 DSGVO verbietet die Übermittlung personenbezogener Daten an ausländische Behörden, wenn es keine Rechtsgrundlage nach EU-Recht gibt. Ein US-Gerichtsbeschluss nach dem CLOUD Act erfüllt diese Anforderung nicht.
Das Ergebnis: Dein US-Anbieter sitzt zwischen zwei Rechtssystemen. Er kann die Daten nicht rausgeben, ohne gegen die DSGVO zu verstoßen. Er kann sie aber auch nicht verweigern, ohne gegen US-Recht zu verstoßen.
CLOUD Act vs. Schrems II vs. AVV – was ist der Unterschied?
Diese drei Themen werden oft in einen Topf geworfen. Sie sind aber unterschiedlich:
Schrems II (2020)
Das EuGH-Urteil kippte den Privacy Shield als Transfermechanismus für Daten in die USA. Seitdem braucht jede Datenübertragung in die USA eine gültige Rechtsgrundlage – meist Standardvertragsklauseln (SCCs) plus Transfer Impact Assessment (TIA).
Das TIA muss auch den CLOUD Act berücksichtigen. Wenn US-Behördenzugriff wahrscheinlich ist, schützen SCCs allein nicht ausreichend.
AVV (Auftragsverarbeitungsvertrag)
Ein AVV regelt, wie dein Dienstleister mit Daten umgeht. Er ist Pflicht nach Art. 28 DSGVO. Aber ein AVV schützt nicht gegen CLOUD-Act-Anfragen – er verpflichtet den Anbieter nur zur sorgfältigen Verarbeitung, nicht zur Verweigerung von Behördenanfragen.
CLOUD Act
Der CLOUD Act greift dort, wo SCCs und AVV an ihre Grenzen stoßen. Er ist eine staatliche Zugriffsermächtigung – keine zivilrechtliche Vertragsklausel kann ihn aushebeln.
Kurz zusammengefasst:
- AVV → regelt Verarbeitungsvertrag (nötig, reicht aber nicht)
- Schrems II → macht Datentransfer USA schwierig
- CLOUD Act → gibt US-Behörden Zugriff über alle Grenzen hinweg
Welche US-Anbieter sind betroffen?
Alle US-amerikanischen Unternehmen und ihre Tochtergesellschaften fallen unter den CLOUD Act. Im Recruiting-Kontext bedeutet das:
| Anbieter | Typ | Hauptsitz |
|---|---|---|
| Greenhouse | ATS | New York, USA |
| Lever | ATS | San Francisco, USA |
| Workday | HCM/ATS | Pleasanton, USA |
| Salesforce Recruiting | CRM/ATS | San Francisco, USA |
| LinkedIn Talent Hub | Recruiting-Tool | Sunnyvale, USA |
| Indeed | Jobboard | Austin, USA |
| HireVue | Video-Interviews | South Jordan, USA |
| Pymetrics | Assessment | New York, USA |
Auch europäische Tochtergesellschaften dieser Anbieter sind betroffen, wenn die Muttergesellschaft in den USA sitzt und Kontrolle über die Daten hat.
Was bedeutet das rechtlich für dein Unternehmen?
Du trägst als verantwortliche Stelle nach DSGVO die Verantwortung – nicht dein Anbieter. Wenn US-Behörden auf Bewerberdaten in deinem US-ATS zugreifen, bist du gegenüber den Betroffenen (den Bewerbenden) rechenschaftspflichtig.
Konkrete Risiken:
- Informationspflicht verletzt: Du musst Bewerbende über alle potenziellen Empfänger ihrer Daten informieren (Art. 13/14 DSGVO). Einen möglichen CLOUD-Act-Zugriff dort nicht zu erwähnen, ist eine Lücke.
- Fehlende Rechtsgrundlage für Drittlandtransfer: Wenn der Zugriff als Datentransfer gewertet wird, fehlt die DSGVO-konforme Grundlage.
- Datenschutzbehörden-Prüfung: Im Audit-Fall musst du nachweisen, dass du eine TIA gemacht hast und das Risiko bewertet wurde.
Praxis-Tipps: Was du jetzt tun kannst
1. Bestehende US-Tools inventarisieren
Erstelle eine Liste aller HR- und Recruiting-Tools, die du nutzt. Markiere alle, deren Anbieter ihren Hauptsitz in den USA haben. Das ist dein CLOUD-Act-Risikoprofil.
2. Transfer Impact Assessment (TIA) erstellen
Für jeden US-Anbieter brauchst du ein TIA – eine Risikoabwägung, ob der Datentransfer trotz CLOUD-Act-Risiko gerechtfertigt ist. Faktoren: Welche Daten liegen dort? Wie sensibel? Wie hoch ist das Behörden-Zugriffsrisiko realistisch?
3. Vertragsklauseln prüfen
Prüfe den DPA (Data Processing Agreement) deines US-Anbieters. Enthält er Klauseln zur Benachrichtigung bei Behördenanfragen? Verplichtet er sich, den Beschluss anzufechten? Microsoft, Google und AWS haben solche Klauseln – nicht alle kleineren Anbieter.
4. Datenschutzerklärung aktualisieren
Deine Datenschutzhinweise für Bewerbende müssen alle möglichen Empfänger nennen. Ergänze dort einen Hinweis auf mögliche Behördenzugriffe durch US-Stellen, sofern du US-Tools nutzt.
5. EU-Alternativen evaluieren
Langfristig ist der einfachste Weg die Umstellung auf EU-basierte Anbieter. Personio, Softgarden, d.vinci, Rexx Systems oder HireSift speichern Daten ausschließlich in der EU und unterliegen nicht dem CLOUD Act.
EU vs. US-Anbieter: Ein ehrlicher Vergleich
| Kriterium | US-Anbieter | EU-Anbieter |
|---|---|---|
| CLOUD-Act-Risiko | Vorhanden | Nicht vorhanden |
| DSGVO-Compliance | Komplex, TIA nötig | Einfacher |
| Funktionsumfang | Oft größer | Wächst stark |
| Preise | Teils teurer | Oft günstiger für KMU |
| Datenhaltung EU | Möglich, aber nicht ausreichend | Standard |
| Rechtssicherheit | Eingeschränkt | Hoch |
Für viele DACH-Unternehmen ist die Umstellung auf EU-Anbieter der sauberere Weg – besonders, wenn die Datenschutzbehörde klopft.
HireSift speichert alle Daten auf EU-Servern (Deutschland) und unterliegt weder dem CLOUD Act noch US-Datenschutzrecht. Wenn du auf Nummer sicher gehen willst, ist das eine Option, die du dir ansehen solltest.
Häufige Fragen zum CLOUD Act im HR-Bereich
Kann ich den CLOUD Act durch EU-Serverstandorte umgehen? Nein. Der CLOUD Act greift unabhängig vom physischen Serverstandort. Entscheidend ist, ob der Anbieter ein US-Unternehmen ist. Selbst wenn deine Daten auf Servern in Frankfurt liegen, bleibt ein US-Anbieter verpflichtet, sie auf Anfrage herauszugeben.
Bin ich als deutsches Unternehmen direkt betroffen? Nicht direkt – die Pflicht trifft den US-Anbieter, nicht dich. Aber du bist gegenüber deinen Bewerbenden rechenschaftspflichtig. Wenn ein Anbieter ihre Daten an US-Behörden weitergibt, kann das datenschutzrechtliche Konsequenzen für dich haben.
Reicht ein gültiger AVV aus? Nein. Ein AVV regelt die Datenverarbeitung, schützt aber nicht vor behördlichen Zugriffsanfragen. Du brauchst zusätzlich Standard-Vertragsklauseln und ein Transfer Impact Assessment.
Müssen wir unsere Bewerber darüber informieren? Ja. Die DSGVO (Art. 13/14) verlangt, dass du Bewerber über alle möglichen Empfänger ihrer Daten informierst. Wenn ein CLOUD-Act-Zugriff realistisch ist, gehört das in deine Datenschutzhinweise.
Fazit: CLOUD Act ist kein Randthema
Viele HR-Teams wissen nicht, dass ihre US-Cloud-Tools potenzielle Einfallstore für US-Behördenzugriffe sind. Das ist kein hypothetisches Risiko – es ist ein strukturelles Problem jeder US-Software.
Du musst nicht sofort alle Tools tauschen. Aber du solltest:
- Wissen, welche deiner Tools US-Anbieter haben
- Eine TIA machen oder machen lassen
- Deinen DPA und deine Datenschutzhinweise aktualisieren
- Mittelfristig EU-Alternativen prüfen
Wenn du Bewerberdaten schützen willst, fängt das mit der richtigen Tool-Auswahl an. HireSift kostenlos testen – EU-Server, DSGVO-konform, kein CLOUD-Act-Risiko.
Weniger screenen. Mehr einstellen.
HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.
7 Tage kostenlos testenWeitere Artikel
AVV Auftragsverarbeitung für HR-Tools: Was Personaler wirklich prüfen müssen
Ein AVV ist bei HR-Software Pflicht — aber was muss drin stehen? Dieser Leitfaden erklärt Art. 28 DSGVO praxisnah für Personalabteilungen.
Schrems II und Recruiting-Software: Was du jetzt wirklich tun musst
US-Clouds im Recruiting bleiben riskant. So prüfst du deine Software nach Schrems II und machst dein Setup belastbar.
EU-Datensouveränität im Recruiting: Was du als Arbeitgeber wirklich wissen musst
Bewerberdaten in US-Clouds speichern? Das ist ein echtes Risiko. Wir erklären, was EU-Datensouveränität im Recruiting bedeutet und wie du dich schützt.