Der US Cloud Act ist ein im Jahr 2018 verabschiedetes US-amerikanisches Gesetz, das der Regierung der Vereinigten Staaten den Zugriff auf Daten erlaubt, die auf Servern außerhalb des Landes gespeichert sind. Verpflichtete sind US-Unternehmen und auch deren Konzerntöchter außerhalb der USA. Dies untergräbt die DSGVO, denn diese will solche Zugriffe gerade verhindern. US-Unternehmen sehen sich daher vor die Wahl gestellt, entweder die DSGVO oder den US-Cloud-Act einzuhalten.
Der US Cloud Act ist somit ein großes Hindernis für jeden Versuch, einen zuverlässigen Datentransfermechanismus zwischen der EU und den USA zu etablieren. Dies gilt nach unserer Einschätzung auch für das Trans-Atlantic Data Privacy Framework (TADPF), ein Abkommen zwischen der EU und den USA, dass die Grundlage für einen Angemessenheitsbeschluss darstellt, der Datentransfers aus der EU in die USA gestattet. An den vom Europäischen Gerichtshof (EuGH) bei früheren Transfermechanismen (Safe Harbor und Privacy Shield) kritisierten Punkten hat sich auf US-Seite praktisch nichts geändert. Wir rechnen daher nicht damit, dass ein neues Transferinstrument vor Gericht Bestand haben wird, solange der US Cloud Act in Kraft ist.