Einleitung
Die Digitale Souveränität Europas steht auf dem Prüfstand. Während die Europäische Union stets betont, die Daten ihrer Bürger schützen zu wollen, offenbart der Umgang mit Datentransfers in die USA eine bemerkenswerte juristische Akrobatik. Faktisch sind die Daten von EU-Bürgern in den USA nicht vor dem Zugriff von Behörden und Providern geschützt. Doch anstatt durch klare Gesetzgebung die eigene Souveränität einzufordern, passt die EU lieber bestehendes Recht an, um die Nutzung US-amerikanischer Clouds weiterhin zu ermöglichen. Dies wirft ernsthafte Fragen zur Glaubwürdigkeit und zum effektiven Datenschutz auf. Dieser Beitrag beleuchtet die komplexen Verwicklungen und die daraus resultierenden Herausforderungen für die Datensouveränität Europas.
Der heikle Start von EU-Kommissar McGrath im transatlantischen Kreuzfeuer
Michael McGrath, der EU-Kommissar für Demokratie, Justiz und Verbraucherschutz, fand sich kurz nach seinem Amtsantritt inmitten einer transatlantischen Krise wieder. Seine Treffen in Washington, D.C. mit einflussreichen US-Tech-Lobbyisten von Konzernen wie Meta, Apple und Amazon zeigten, wie sehr die Datenschutz-Grundverordnung (DSGVO) im Zentrum der Diskussionen steht. Diese Gespräche dürften, angesichts der angespannten Lage, alles andere als angenehm gewesen sein.
Besonders aufschlussreich war McGraths Treffen mit Beth Williams vom Privacy and Civil Liberties Oversight Board (PCLOB). Seine Aussage auf X, man habe das „volle Engagement für die Umsetzung des EU-US-Datenschutzrahmens“ erörtert, erhielt eine unfreiwillig komische Note, als bekannt wurde, dass Williams zum Zeitpunkt des Treffens das einzige verbleibende Mitglied des PCLOB war. Alle anderen Mitglieder waren zuvor von Donald Trump entlassen worden.
Das PCLOB, angeblich ein unabhängiges Gremium zur Überwachung der US-Geheimdienste, ist damit derzeit handlungsunfähig. Diese Situation verunsichert viele europäische Unternehmen, die Daten in US-Clouds speichern und verarbeiten. Die Rechtsgrundlage für ihre Datentransfers könnte durch zukünftige Handlungen der US-Regierung, insbesondere unter Donald Trump, jederzeit entzogen werden.
Der Angemessenheitsbeschluss und seine fragile Grundlage
Die aktuelle Rechtsgrundlage für Datentransfers in die USA basiert auf einem Angemessenheitsbeschluss, den die EU-Kommission im Juli 2023 gemäß Art. 45 DSGVO verabschiedet hat. Dieser Beschluss bestätigt, dass die USA ein vergleichbares Datenschutzniveau wie die DSGVO bieten. Voraussetzung hierfür ist, dass sich das verarbeitende US-Unternehmen dem „EU-US Trans-Atlantic Data Privacy Framework“ (TADPF) unterwirft und sich jährlich selbst zertifiziert.
Diesem Beschluss gingen lange Verhandlungen zwischen der EU-Kommission und der US-Regierung unter Präsident Joe Biden voraus. Biden musste zusichern, dass der Zugriff auf Daten von EU-Bürgern durch US-Behörden auf das „Notwendige“ und „Verhältnismäßige“ beschränkt wird. Ähnliche Zusicherungen waren zuvor zweimal gescheitert, was zur Folge hatte, dass die beiden vorherigen Angemessenheitsbeschlüsse – „Safe Harbour“ und „Privacy Shield“ – durch Klagen des österreichischen Datenschutz-Aktivisten Max Schrems vom Europäischen Gerichtshof (EuGH) gekippt wurden.
Die „heilende“ Biden-Verordnung: Eine temporäre Lösung?
Im Oktober 2022 etablierte Joe Biden ein neues Regime. Er rief das PCLOB ins Leben, um das Verhalten von US-Geheimdiensten im Hinblick auf das EU–Datenschutzniveau zu überwachen. Ein Civil Liberties Protection Officer (CLPO) soll intern die Aktivitäten der US-Inlandsgeheimdienste überwachen und Beschwerden von EU-Bürgern annehmen. Des Weiteren wurde der „Data Protection Review Court“ (DPRC) geschaffen, der diese Beschwerden unabhängig in zweiter Instanz prüfen soll. Doch Bürgerrechtler zweifeln an der tatsächlichen Unabhängigkeit dieses Pseudogerichts.
Die größte Kritik, allen voran von Max Schrems, richtet sich jedoch gegen die Form der Biden’schen Zusicherungen. Der US-Präsident änderte keine Gesetze, sondern erließ lediglich eine Verordnung (Executive Order – EO 14086), die von seinem Nachfolger jederzeit widerrufen werden kann. EO 14086 definiert viele Mechanismen, auf denen der EU-Angemessenheitsbeschluss fußt. Mit der Quasi-Ausschaltung des PCLOB hat Donald Trump bereits einen ersten Grundpfeiler des Abkommens erschüttert. Es ist wahrscheinlich, dass er noch in der ersten Jahreshälfte 2025 die gesamte EO 14086 annullieren könnte.
Kein Plan B in Sicht: Die Konsequenzen eines Scheiterns
Auf ein solches Worst-Case-Szenario scheint die EU-Kommission nicht vorbereitet zu sein. Ein Plan B ist bislang nicht in Sicht. Fiele die EO 14086 weg, entfiele de facto die Grundlage für den Angemessenheitsbeschluss, der dann ebenfalls umgehend fallen müsste. Das EU-Parlament, insbesondere der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), fordert die Kommission bereits auf, den Beschluss zumindest infrage zu stellen.
Was wären die konkreten Folgen, wenn der auf dem TADPF beruhende Angemessenheitsbeschluss wegfiele? Sowohl EU-Unternehmen als auch US-Konzerne, die auf dieser Basis Daten von EU-Bürgern in die USA transferieren, könnten sich nicht mehr darauf berufen. Dies beträfe Giganten wie Meta, Google, Amazon, Apple, Microsoft und X. Sie müssten, wie zuletzt vor dem TADPF, die Transfers wieder auf die sogenannten Standardvertragsklauseln nach Art. 46 DSGVO stützen, was mit erheblichem Compliance-Aufwand und Unsicherheiten verbunden wäre.
Es ist jedoch anzumerken, dass EU–Datenschutz-Aufsichtsbehörden den Einsatz dieser Klauseln bisher nie ernsthaft kritisiert haben. In Deutschland sind keine nennenswerten Sanktionen aufgrund illegaler US-Datentransfers seit Inkrafttreten der DSGVO im Mai 2018 bekannt. Unternehmen und Behörden müssen folglich eher damit rechnen, dass der Datentransfer unbequemer wird, als dass ihnen in naher Zukunft ernsthaft an den Kragen geht. Dies ist jedoch ein schleichender Prozess, der die Digitale Souveränität und den Datenschutz massiv untergräbt.
US-Gesetze: Die eigentliche Wurzel des Problems
All diese Probleme existieren, weil US-amerikanische Gesetze sowohl den Geheimdiensten als auch Strafverfolgungsbehörden weitreichenden Zugriff auf personenbezogene Daten ohne ausreichende Widerspruchsmöglichkeiten gewähren. Dies macht es für die EU so kompliziert, den Transfer dieser Daten auf US-Server zu legitimieren, selbst wenn diese physisch auf EU-Gebiet stehen.
Konkret geht es um den Electronic Communications Privacy Act (ECPA) aus dem Jahr 1986 und den Foreign Intelligence Surveillance Act (FISA) aus dem Jahr 1978. Der FISA ermächtigt US-Nachrichtendienste, ohne individuelle Genehmigung Telekommunikation im Ausland abzuhören und Personen zu überwachen, die in den USA wohnen. Die Snowden-Enthüllungen haben spätestens gezeigt, dass Daten von EU-Bürgern, die auf US-Servern gespeichert sind, jederzeit im Zugriff von US-Behörden liegen.
Ein Teil des ECPA ist der Stored Communications Act (SCA). Dieser wurde durch den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) im Jahr 2018 ergänzt. Der CLOUD Act bestimmt, dass US-Cloudanbieter personenbezogene Daten auch dann herausgeben müssen, wenn sich diese außerhalb des US-Territoriums befinden, beispielsweise auf Microsoft-Servern in der EU. Die Transparenzreports der US-Konzerne belegen, dass die US-Behörden umfangreich Gebrauch von diesen Gesetzen machen.
Für die EU-Kommission gleicht es daher der Quadratur des Kreises, eine DSGVO-konforme Angemessenheit zu bescheinigen, obwohl diese eindeutig nicht existiert. Weder eine Selbstzertifizierung der Anbieter noch eine notgedrungene Beschwerdeinstanz wie das PCLOB können hier Abhilfe schaffen. Die EU muss hier ihre Digitale Souveränität stärken.
Faktisch gingen die rechtlichen Maßnahmen stets an der Realität vorbei. Ihr primäres Ziel scheint zu sein, den Datentransfer zu ermöglichen, da daran viele Milliarden US-Dollar Umsatz der Tech-Branche hängen. Auf der Strecke bleibt dabei die Glaubwürdigkeit der EU-Institutionen im Bereich Datenschutz. Juristen sind sich einig, dass tatsächlicher Zugriffsschutz von EU–Daten in den USA nur mit Ende-zu-Ende-Verschlüsselung möglich ist. Dies würde jedoch die Verarbeitung der Daten in den Clouds verhindern, Projekte verteuern und den Interessen der Konzerne, die mit der Auswertung der Daten Geld verdienen, zuwiderlaufen.
Automatisierte Inhaltskontrolle: Ein weiteres Dilemma der Digitalisierung
Doch nicht nur wegen des Profits drückt die EU mindestens ein Auge zu. Clouddienste, die personenbezogene Daten von Konsumenten speichern, sollen sogar ausdrücklich diese Inhalte einsehen und überprüfen dürfen. Hier geht es um verbotenes Material, vornehmlich Bilder und Videos, insbesondere Darstellungen von Kindesmissbrauch (Child Sexual Abuse Material, CSAM). Anbieter wie Meta, Microsoft und Google scannen abgelegte Inhalte wie Mails und Fotos automatisiert und leiten Funde inklusive Angaben zum Datenbesitzer an das US-amerikanische National Center for Missing & Exploited Children (NCMEC) weiter. Allein 2023 erhielt das NCMEC 36,2 Millionen derartige Hinweise von Providern.
Diese automatisierten Inhaltsscans funktionieren teils auf fragwürdiger Basis, und es gab bereits Fälle von falsch positiven Treffern, die für Kunden gravierende Folgen hatten. Die persönlichen Kundendaten werden dabei entweder gar nicht oder nur mit einem Generalschlüssel vor Zugriff geschützt, was generell nicht im Sinne der DSGVO ist. Dennoch hat die EU-Kommission eine vorübergehende EU-Verordnung (2024/1307) erlassen, die Cloudanbietern erlaubt, freiwillig automatisiert die Inhalte der Nutzer zur Aufspürung von CSAM-Material zu durchsuchen.
Diese Verordnung läuft 2026 aus, was Handlungsbedarf signalisiert. Ein Teil der Mitgliedstaaten will sie entfristen und dahingehend verschärfen, dass Provider verpflichtend auch in verschlüsselte Inhalte schauen müssen – ein Vorhaben, das unter dem Begriff „Chatkontrolle“ bekannt ist und heftig kritisiert wird. Ob der polnische Justizminister Adam Bodnar die streitenden Mitgliedstaaten überzeugen kann, die freiwillige Kontrolle zu entfristen oder zu verlängern, ist derzeit noch offen.
Die löchrige EU-Datengrenze und die Abhängigkeit von Microsoft
Während all dieser Diskussionen wird sich die EU noch mit dem eigentlichen Elefanten im Raum beschäftigen müssen: Microsoft. Mit seinen zahlreichen Services rund um das Cloud-Paket Microsoft 365 ist der Konzern zu einem faktisch unverzichtbaren Bestandteil europäischer Kommunikationsinfrastruktur geworden. Nähme man deutschen Unternehmen und Behörden diese Infrastruktur von einem Tag auf den anderen weg, bestünde die Gefahr eines staatlichen Blackouts.
Dabei haben inzwischen viele Aufsichtsbehörden bestätigt, dass der Einsatz von Microsoft 365 in der EU kaum DSGVO-konform möglich ist. Die Zusicherungen des Konzerns reichen nicht aus, und viele Kundendaten liegen nun einmal auf Servern, die dem US-Zugriff unterliegen. Im Dauerkonflikt mit den EU–Datenschutz-Behörden versucht Microsoft aus Redmond permanent, die Wogen zu glätten.
Am 27. Februar 2025 verkündete Microsoft den Abschluss seines mehrjährigen Projekts der „EU-Datengrenze“ (EU Boundary) für die Cloud. EU-Kunden „aus dem privatwirtschaftlichen und öffentlichen Sektor können ihre Kundendaten und pseudonymisierten personenbezogenen Daten für die zentralen Cloud-Dienste von Microsoft – einschließlich Microsoft 365, Dynamics 365, Power Platform und der meisten Azure-Dienste – innerhalb der EU– und EFTA-Regionen speichern und verarbeiten“. Auch vom CLOUD Act sollen diese Daten verschont sein.
Kritiker monieren jedoch, dass die Datengrenze bislang löchrig und damit unwirksam sei. Microsoft USA gestattet sich selbst „Remotezugriff auf in der EU-Datengrenze gespeicherte und verarbeitete Daten“ in Einzelfällen. Zwar betont Microsoft, dass im Bedarfsfall „modernste Verschlüsselung“ zum Schutz der Daten eingesetzt werde. Doch dieser Einwand beruht auf der Annahme, dass sich die Gesetze in den USA nicht verändern und dass Unternehmen, Regierung und Justiz sich stets an geltendes Recht halten. Die aktuelle politische Situation, insbesondere unter Donald Trump, lässt daran ernsthafte Zweifel aufkommen. Die kürzlichen Sanktionen von Donald Trump gegen den Internationalen Gerichtshof und die darauf folgende Abschaltung von E-Mail-Diensten durch Microsoft zeigen, dass die Digitale Souveränität der EU keineswegs gesichert ist und die EU endlich eigene Lösungen und die Aufrechterhaltung der Souveränität durch Gesetzgebung fördern muss. Produkte müssen in der EU sicher für Bürger genutzt werden können.
Fazit und Ausblick
Die Digitale Souveränität der EU ist ein komplexes und vielschichtiges Thema. Der Umgang mit Datentransfers in die USA zeigt, dass die EU sich in einem schwierigen Spagat befindet: Einerseits möchte sie den Datenschutz ihrer Bürger gewährleisten, andererseits scheint sie pragmatische Lösungen zu suchen, um die Nutzung etablierter US-amerikanischer Cloud-Dienste nicht zu gefährden. Die Abhängigkeit von US-Technologie und die fehlende Bereitschaft, die eigene Datensouveränität konsequent durchzusetzen, führen zu einer Situation, in der die Glaubwürdigkeit der EU in Bezug auf den Datenschutz leidet.
Es ist unerlässlich, dass die EU eine kohärente Strategie entwickelt, um ihre Digitale Souveränität zu stärken. Dies beinhaltet nicht nur die Schaffung robusterer rechtlicher Rahmenbedingungen, sondern auch die Förderung eigener europäischer Digitalisierung-Lösungen und Infrastrukturen, die den hohen Datenschutz-Standards der DSGVO vollumfänglich gerecht werden. Nur so kann verhindert werden, dass die EU weiterhin juristische Verrenkungen vollführt, um die Nutzung von US-Clouds zu rechtfertigen, während die Daten ihrer Bürger de facto ungeschützt bleiben. Die Schaffung eigener Gesetzgebung und die Stärkung der Digitalisierung im eigenen Raum sind hier der einzig gangbare Weg.
Weitere Informationen:
- Illegale Migration: Ein Überblick über Herausforderungen und Lösungsansätze
- Reguläre Migration: Wege zur Integration und Wirtschaftsförderung
Autoritative externe Quellen:
- EU-Kommission: EU-US Data Privacy Framework
- noyb – European Center for Digital Rights
- Privacy and Civil Liberties Oversight Board (PCLOB)
Schlagwörter (Tags):
Digitale Souveränität, EU, USA, DSGVO, Datenschutz, Cloud, Donald Trump, Daten, Digitalisierung
Meta-Beschreibung:
Die EU balanciert zwischen Datenschutz und US-Cloud-Nutzung. Erfahren Sie, wie die Digitale Souveränität der EU gefährdet ist und warum eigene Gesetzgebung für echten Datenschutz unerlässlich ist.
füge einen Abschnitt hinzu bzgl. Bundesdatenschutzbeauftragte festlegung in 2022, dass die Nutzung von Microsoft Cloud Dienst (Microsoft 365) aus Datenschutzgründen nicht rechtlich zulässig sei und Bundesbehörden untersagte diese zu nutzen. Auch war während der Corona Pandemie es eigentlich den Schulen untersagt Microsoft 365 bzw. Teams zu nutzen, was ebenfalls ignoriert wurde und immer noch wird.
Gerne, hier ist der überarbeitete Blogbeitrag mit dem zusätzlichen Abschnitt:
Digitaler Drahtseilakt: Wie die EU ihre Souveränität aufs Spiel setzt
Einleitung
Die Digitale Souveränität Europas steht auf dem Prüfstand. Während die Europäische Union stets betont, die Daten ihrer Bürger schützen zu wollen, offenbart der Umgang mit Datentransfers in die USA eine bemerkenswerte juristische Akrobatik. Faktisch sind die Daten von EU-Bürgern in den USA nicht vor dem Zugriff von Behörden und Providern geschützt. Doch anstatt durch klare Gesetzgebung die eigene Souveränität einzufordern, passt die EU lieber bestehendes Recht an, um die Nutzung US-amerikanischer Clouds weiterhin zu ermöglichen. Dies wirft ernsthafte Fragen zur Glaubwürdigkeit und zum effektiven Datenschutz auf. Dieser Beitrag beleuchtet die komplexen Verwicklungen und die daraus resultierenden Herausforderungen für die Datensouveränität Europas.
Der heikle Start von EU-Kommissar McGrath im transatlantischen Kreuzfeuer
Michael McGrath, der EU-Kommissar für Demokratie, Justiz und Verbraucherschutz, fand sich kurz nach seinem Amtsantritt inmitten einer transatlantischen Krise wieder. Seine Treffen in Washington, D.C. mit einflussreichen US-Tech-Lobbyisten von Konzernen wie Meta, Apple und Amazon zeigten, wie sehr die Datenschutz-Grundverordnung (DSGVO) im Zentrum der Diskussionen steht. Diese Gespräche dürften, angesichts der angespannten Lage, alles andere als angenehm gewesen sein.
Besonders aufschlussreich war McGraths Treffen mit Beth Williams vom Privacy and Civil Liberties Oversight Board (PCLOB). Seine Aussage auf X, man habe das „volle Engagement für die Umsetzung des EU-US-Datenschutzrahmens“ erörtert, erhielt eine unfreiwillig komische Note, als bekannt wurde, dass Williams zum Zeitpunkt des Treffens das einzige verbleibende Mitglied des PCLOB war. Alle anderen Mitglieder waren zuvor von Donald Trump entlassen worden.
Das PCLOB, angeblich ein unabhängiges Gremium zur Überwachung der US-Geheimdienste, ist damit derzeit handlungsunfähig. Diese Situation verunsichert viele europäische Unternehmen, die Daten in US-Clouds speichern und verarbeiten. Die Rechtsgrundlage für ihre Datentransfers könnte durch zukünftige Handlungen der US-Regierung, insbesondere unter Donald Trump, jederzeit entzogen werden.
Der Angemessenheitsbeschluss und seine fragile Grundlage
Die aktuelle Rechtsgrundlage für Datentransfers in die USA basiert auf einem Angemessenheitsbeschluss, den die EU-Kommission im Juli 2023 gemäß Art. 45 DSGVO verabschiedet hat. Dieser Beschluss bestätigt, dass die USA ein vergleichbares Datenschutzniveau wie die DSGVO bieten. Voraussetzung hierfür ist, dass sich das verarbeitende US-Unternehmen dem „EU-US Trans-Atlantic Data Privacy Framework“ (TADPF) unterwirft und sich jährlich selbst zertifiziert.
Diesem Beschluss gingen lange Verhandlungen zwischen der EU-Kommission und der US-Regierung unter Präsident Joe Biden voraus. Biden musste zusichern, dass der Zugriff auf Daten von EU-Bürgern durch US-Behörden auf das „Notwendige“ und „Verhältnismäßige“ beschränkt wird. Ähnliche Zusicherungen waren zuvor zweimal gescheitert, was zur Folge hatte, dass die beiden vorherigen Angemessenheitsbeschlüsse – „Safe Harbour“ und „Privacy Shield“ – durch Klagen des österreichischen Datenschutz-Aktivisten Max Schrems vom Europäischen Gerichtshof (EuGH) gekippt wurden.
Die „heilende“ Biden-Verordnung: Eine temporäre Lösung?
Im Oktober 2022 etablierte Joe Biden ein neues Regime. Er rief das PCLOB ins Leben, um das Verhalten von US-Geheimdiensten im Hinblick auf das EU–Datenschutzniveau zu überwachen. Ein Civil Liberties Protection Officer (CLPO) soll intern die Aktivitäten der US-Inlandsgeheimdienste überwachen und Beschwerden von EU-Bürgern annehmen. Des Weiteren wurde der „Data Protection Review Court“ (DPRC) geschaffen, der diese Beschwerden unabhängig in zweiter Instanz prüfen soll. Doch Bürgerrechtler zweifeln an der tatsächlichen Unabhängigkeit dieses Pseudogerichts.
Die größte Kritik, allen voran von Max Schrems, richtet sich jedoch gegen die Form der Biden’schen Zusicherungen. Der US-Präsident änderte keine Gesetze, sondern erließ lediglich eine Verordnung (Executive Order – EO 14086), die von seinem Nachfolger jederzeit widerrufen werden kann. EO 14086 definiert viele Mechanismen, auf denen der EU-Angemessenheitsbeschluss fußt. Mit der Quasi-Ausschaltung des PCLOB hat Donald Trump bereits einen ersten Grundpfeiler des Abkommens erschüttert. Es ist wahrscheinlich, dass er noch in der ersten Jahreshälfte 2025 die gesamte EO 14086 annullieren könnte.
Kein Plan B in Sicht: Die Konsequenzen eines Scheiterns
Auf ein solches Worst-Case-Szenario scheint die EU-Kommission nicht vorbereitet zu sein. Ein Plan B ist bislang nicht in Sicht. Fiele die EO 14086 weg, entfiele de facto die Grundlage für den Angemessenheitsbeschluss, der dann ebenfalls umgehend fallen müsste. Das EU-Parlament, insbesondere der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), fordert die Kommission bereits auf, den Beschluss zumindest infrage zu stellen.
Was wären die konkreten Folgen, wenn der auf dem TADPF beruhende Angemessenheitsbeschluss wegfiele? Sowohl EU-Unternehmen als auch US-Konzerne, die auf dieser Basis Daten von EU-Bürgern in die USA transferieren, könnten sich nicht mehr darauf berufen. Dies beträfe Giganten wie Meta, Google, Amazon, Apple, Microsoft und X. Sie müssten, wie zuletzt vor dem TADPF, die Transfers wieder auf die sogenannten Standardvertragsklauseln nach Art. 46 DSGVO stützen, was mit erheblichem Compliance-Aufwand und Unsicherheiten verbunden wäre.
Es ist jedoch anzumerken, dass EU–Datenschutz-Aufsichtsbehörden den Einsatz dieser Klauseln bisher nie ernsthaft kritisiert haben. In Deutschland sind keine nennenswerten Sanktionen aufgrund illegaler US-Datentransfers seit Inkrafttreten der DSGVO im Mai 2018 bekannt. Unternehmen und Behörden müssen folglich eher damit rechnen, dass der Datentransfer unbequemer wird, als dass ihnen in naher Zukunft ernsthaft an den Kragen geht. Dies ist jedoch ein schleichender Prozess, der die Digitale Souveränität und den Datenschutz massiv untergräbt.
US-Gesetze: Die eigentliche Wurzel des Problems
All diese Probleme existieren, weil US-amerikanische Gesetze sowohl den Geheimdiensten als auch Strafverfolgungsbehörden weitreichenden Zugriff auf personenbezogene Daten ohne ausreichende Widerspruchsmöglichkeiten gewähren. Dies macht es für die EU so kompliziert, den Transfer dieser Daten auf US-Server zu legitimieren, selbst wenn diese physisch auf EU-Gebiet stehen.
Konkret geht es um den Electronic Communications Privacy Act (ECPA) aus dem Jahr 1986 und den Foreign Intelligence Surveillance Act (FISA) aus dem Jahr 1978. Der FISA ermächtigt US-Nachrichtendienste, ohne individuelle Genehmigung Telekommunikation im Ausland abzuhören und Personen zu überwachen, die in den USA wohnen. Die Snowden-Enthüllungen haben spätestens gezeigt, dass Daten von EU-Bürgern, die auf US-Servern gespeichert sind, jederzeit im Zugriff von US-Behörden liegen.
Ein Teil des ECPA ist der Stored Communications Act (SCA). Dieser wurde durch den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) im Jahr 2018 ergänzt. Der CLOUD Act bestimmt, dass US-Cloudanbieter personenbezogene Daten auch dann herausgeben müssen, wenn sich diese außerhalb des US-Territoriums befinden, beispielsweise auf Microsoft-Servern in der EU. Die Transparenzreports der US-Konzerne belegen, dass die US-Behörden umfangreich Gebrauch von diesen Gesetzen machen.
Für die EU-Kommission gleicht es daher der Quadratur des Kreises, eine DSGVO-konforme Angemessenheit zu bescheinigen, obwohl diese eindeutig nicht existiert. Weder eine Selbstzertifizierung der Anbieter noch eine notgedrungene Beschwerdeinstanz wie das PCLOB können hier Abhilfe schaffen. Die EU muss hier ihre Digitale Souveränität stärken.
Faktisch gingen die rechtlichen Maßnahmen stets an der Realität vorbei. Ihr primäres Ziel scheint zu sein, den Datentransfer zu ermöglichen, da daran viele Milliarden US-Dollar Umsatz der Tech-Branche hängen. Auf der Strecke bleibt dabei die Glaubwürdigkeit der EU-Institutionen im Bereich Datenschutz. Juristen sind sich einig, dass tatsächlicher Zugriffsschutz von EU–Daten in den USA nur mit Ende-zu-Ende-Verschlüsselung möglich ist. Dies würde jedoch die Verarbeitung der Daten in den Clouds verhindern, Projekte verteuern und den Interessen der Konzerne, die mit der Auswertung der Daten Geld verdienen, zuwiderlaufen.
Nationale Alleingänge und die Realität der Digitalisierung
Die Skepsis gegenüber US-amerikanischen Cloud-Diensten ist in Europa, insbesondere in Deutschland, tief verwurzelt. Im Jahr 2022 legte der Bundesdatenschutzbeauftragte verbindlich fest, dass die Nutzung von Microsoft Cloud Diensten (Microsoft 365) aus Datenschutzgründen für Bundesbehörden nicht rechtlich zulässig sei. Dies führte zu der Anweisung, die Nutzung einzustellen. Dies ist ein klares Zeichen für das Bewusstsein über die fehlende Datensouveränität im Kontext US-amerikanischer Anbieter.
Trotz dieser klaren Ansage, die die Problematik der Datenflüsse in die USA unterstreicht, zeigt sich in der Praxis oft ein anderes Bild. Während der Corona-Pandemie war es Schulen in Deutschland eigentlich untersagt, Microsoft 365 bzw. Teams für den digitalen Unterricht zu nutzen. Diese Anweisung wurde jedoch vielerorts ignoriert und wird auch heute noch in großem Umfang missachtet. Der pragmatische Wunsch nach funktionsfähigen Lösungen und die tiefe Verankerung von Microsoft-Produkten in der deutschen Infrastruktur führen zu einer faktischen Duldung, selbst wenn die rechtliche Grundlage fehlt. Dies unterstreicht die Dringlichkeit für die EU, nicht nur Regeln aufzustellen, sondern auch praktikable und datenschutzkonforme Alternativen zu fördern und zu etablieren, um die Digitale Souveränität zu gewährleisten. Solange europäische Lösungen fehlen, wird die Abhängigkeit von US-Anbietern bestehen bleiben und die DSGVO auf dem Prüfstand stehen.
Automatisierte Inhaltskontrolle: Ein weiteres Dilemma der Digitalisierung
Doch nicht nur wegen des Profits drückt die EU mindestens ein Auge zu. Clouddienste, die personenbezogene Daten von Konsumenten speichern, sollen sogar ausdrücklich diese Inhalte einsehen und überprüfen dürfen. Hier geht es um verbotenes Material, vornehmlich Bilder und Videos, insbesondere Darstellungen von Kindesmissbrauch (Child Sexual Abuse Material, CSAM). Anbieter wie Meta, Microsoft und Google scannen abgelegte Inhalte wie Mails und Fotos automatisiert und leiten Funde inklusive Angaben zum Datenbesitzer an das US-amerikanische National Center for Missing & Exploited Children (NCMEC) weiter. Allein 2023 erhielt das NCMEC 36,2 Millionen derartige Hinweise von Providern.
Diese automatisierten Inhaltsscans funktionieren teils auf fragwürdiger Basis, und es gab bereits Fälle von falsch positiven Treffern, die für Kunden gravierende Folgen hatten. Die persönlichen Kundendaten werden dabei entweder gar nicht oder nur mit einem Generalschlüssel vor Zugriff geschützt, was generell nicht im Sinne der DSGVO ist. Dennoch hat die EU-Kommission eine vorübergehende EU-Verordnung (2024/1307) erlassen, die Cloudanbietern erlaubt, freiwillig automatisiert die Inhalte der Nutzer zur Aufspürung von CSAM-Material zu durchsuchen.
Diese Verordnung läuft 2026 aus, was Handlungsbedarf signalisiert. Ein Teil der Mitgliedstaaten will sie entfristen und dahingehend verschärfen, dass Provider verpflichtend auch in verschlüsselte Inhalte schauen müssen – ein Vorhaben, das unter dem Begriff „Chatkontrolle“ bekannt ist und heftig kritisiert wird. Ob der polnische Justizminister Adam Bodnar die streitenden Mitgliedstaaten überzeugen kann, die freiwillige Kontrolle zu entfristen oder zu verlängern, ist derzeit noch offen.
Die löchrige EU-Datengrenze und die Abhängigkeit von Microsoft
Während all dieser Diskussionen wird sich die EU noch mit dem eigentlichen Elefanten im Raum beschäftigen müssen: Microsoft. Mit seinen zahlreichen Services rund um das Cloud-Paket Microsoft 365 ist der Konzern zu einem faktisch unverzichtbaren Bestandteil europäischer Kommunikationsinfrastruktur geworden. Nähme man deutschen Unternehmen und Behörden diese Infrastruktur von einem Tag auf den anderen weg, bestünde die Gefahr eines staatlichen Blackouts.
Dabei haben inzwischen viele Aufsichtsbehörden bestätigt, dass der Einsatz von Microsoft 365 in der EU kaum DSGVO-konform möglich ist. Die Zusicherungen des Konzerns reichen nicht aus, und viele Kundendaten liegen nun einmal auf Servern, die dem US-Zugriff unterliegen. Im Dauerkonflikt mit den EU–Datenschutz-Behörden versucht Microsoft aus Redmond permanent, die Wogen zu glätten.
Am 27. Februar 2025 verkündete Microsoft den Abschluss seines mehrjährigen Projekts der „EU-Datengrenze“ (EU Boundary) für die Cloud. EU-Kunden „aus dem privatwirtschaftlichen und öffentlichen Sektor können ihre Kundendaten und pseudonymisierten personenbezogenen Daten für die zentralen Cloud-Dienste von Microsoft – einschließlich Microsoft 365, Dynamics 365, Power Platform und der meisten Azure-Dienste – innerhalb der EU– und EFTA-Regionen speichern und verarbeiten“. Auch vom CLOUD Act sollen diese Daten verschont sein.
Kritiker monieren jedoch, dass die Datengrenze bislang löchrig und damit unwirksam sei. Microsoft USA gestattet sich selbst „Remotezugriff auf in der EU-Datengrenze gespeicherte und verarbeitete Daten“ in Einzelfällen. Zwar betont Microsoft, dass im Bedarfsfall „modernste Verschlüsselung“ zum Schutz der Daten eingesetzt werde. Doch dieser Einwand beruht auf der Annahme, dass sich die Gesetze in den USA nicht verändern und dass Unternehmen, Regierung und Justiz sich stets an geltendes Recht halten. Die aktuelle politische Situation, insbesondere unter Donald Trump, lässt daran ernsthafte Zweifel aufkommen. Die kürzlichen Sanktionen von Donald Trump gegen den Internationalen Gerichtshof und die darauf folgende Abschaltung von E-Mail-Diensten durch Microsoft zeigen, dass die Digitale Souveränität der EU keineswegs gesichert ist und die EU endlich eigene Lösungen und die Aufrechterhaltung der Souveränität durch Gesetzgebung fördern muss. Produkte müssen in der EU sicher für Bürger genutzt werden können.
Fazit und Ausblick
Die Digitale Souveränität der EU ist ein komplexes und vielschichtiges Thema. Der Umgang mit Datentransfers in die USA zeigt, dass die EU sich in einem schwierigen Spagat befindet: Einerseits möchte sie den Datenschutz ihrer Bürger gewährleisten, andererseits scheint sie pragmatische Lösungen zu suchen, um die Nutzung etablierter US-amerikanischer Cloud-Dienste nicht zu gefährden. Die Abhängigkeit von US-Technologie und die fehlende Bereitschaft, die eigene Datensouveränität konsequent durchzusetzen, führen zu einer Situation, in der die Glaubwürdigkeit der EU in Bezug auf den Datenschutz leidet.
Es ist unerlässlich, dass die EU eine kohärente Strategie entwickelt, um ihre Digitale Souveränität zu stärken. Dies beinhaltet nicht nur die Schaffung robusterer rechtlicher Rahmenbedingungen, sondern auch die Förderung eigener europäischer Digitalisierung-Lösungen und Infrastrukturen, die den hohen Datenschutz-Standards der DSGVO vollumfänglich gerecht werden. Nur so kann verhindert werden, dass die EU weiterhin juristische Verrenkungen vollführt, um die Nutzung von US-Clouds zu rechtfertigen, während die Daten ihrer Bürger de facto ungeschützt bleiben. Die Schaffung eigener Gesetzgebung und die Stärkung der Digitalisierung im eigenen Raum sind hier der einzig gangbare Weg.
Autoritative externe Quellen: