I. Die explosive Abhängigkeit: Wo globale Clouds an nationale Gesetze stoßen
Die Nutzung von Cloud-Diensten, insbesondere der großen US-Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud, ist heute die Norm für Unternehmen und oft auch für öffentliche Verwaltungen. Sie bieten beispiellose Skalierbarkeit, Innovation und Kosteneffizienz. Doch diese Abhängigkeit kommt mit einem hohen Preis: dem Verlust der Cloud Act Datenschutz Souveränität.
Das Kernproblem ist der direkte Konflikt zwischen den Gesetzen, die US-Unternehmen in ihrem Heimatland befolgen müssen, und den strengen Datenschutzbestimmungen der Europäischen Union (DSGVO) sowie der Schweiz (DSG). Daten, die in Deutschland, der EU oder der Schweiz gespeichert werden, gelten nur vermeintlich als geschützt, sobald der Dienstleister seinen Hauptsitz in den USA hat.
Dieser Artikel analysiert diesen fundamentalen Rechtskonflikt, beleuchtet den jüngsten und drastischen Präzedenzfall in der Schweiz und zieht den Vergleich zur oft zögerlichen, aber strategischen Reaktion in Deutschland und der gesamten EU. Erfahren Sie, welche Schritte Sie unternehmen müssen, um Ihre Daten wirklich souverän und rechtskonform zu halten.
II. Das juristische Fundament des Konflikts: Der US CLOUD Act und seine Folgen
Der „Clarifying Lawful Overseas Use of Data Act“ (kurz CLOUD Act) ist der zentrale rechtliche Dreh- und Angelpunkt, der die Datensicherheit in Europa massiv infrage stellt. Verabschiedet im Jahr 2018, nur kurz vor Inkrafttreten der DSGVO, stellt er eine direkte Bedrohung für die Datensouveränität dar.
1. Was der CLOUD Act US-Behörden erlaubt
Der CLOUD Act ermächtigt US-Strafverfolgungsbehörden, von in den USA ansässigen Cloud-Dienstanbietern die Herausgabe elektronischer Daten zu verlangen. Das Entscheidende daran ist die extraterritoriale Reichweite dieses Gesetzes:
- Unabhängig vom Speicherort: Die US-Behörden können Daten herausverlangen, selbst wenn diese physisch auf Servern in Deutschland, Frankreich, der Schweiz oder einem anderen europäischen Land gespeichert sind.
- Umgehung internationaler Rechtshilfe: Der CLOUD Act umgeht die traditionellen, zeitraubenden Mechanismen der internationalen Rechtshilfe (Mutual Legal Assistance Treaties, MLATs). Anstatt offizielle Ersuchen über diplomatische Kanäle zu stellen, kann eine US-Behörde direkt eine Vorladung an das US-Mutterunternehmen senden.
- Geheimhaltung (Gag Orders): In vielen Fällen ist es dem US-Cloud-Anbieter untersagt, seine europäischen Kunden oder die betroffenen Personen über die erfolgte Datenherausgabe zu informieren. Dies verhindert eine wirksame Rechtsverteidigung durch die Betroffenen.
Das bedeutet im Klartext: Ein US-Unternehmen, das Daten europäischer Kunden speichert, ist in einem Dilemma: Entweder es verstößt gegen US-Recht (Verweigerung der Herausgabe) oder es verstößt gegen europäisches Recht (unzulässige Drittlandsübermittlung ohne angemessene Garantie).
2. DSGVO vs CLOUD Act: Ein unlösbarer Widerspruch
Die DSGVO ist in ihren Anforderungen an die Datenübermittlung in sogenannte Drittstaaten (wie die USA) unmissverständlich.
| DSGVO-Prinzip | CLOUD Act-Konflikt |
|---|---|
| Angemessenes Datenschutzniveau (Art. 45) | Vom EuGH mit dem Schrems II-Urteil (2020) verneint, da die US-Überwachungsgesetze (z.B. FISA 702) exzessive Zugriffe erlauben. |
| Erforderlichkeit einer Rechtsgrundlage (Art. 48) | Datenherausgabe muss auf einem internationalen Abkommen basieren (MLAT). Der CLOUD Act ignoriert dies. |
| Transparenz und Informationspflicht (Art. 12-14) | Die US-Behörden können „Gag Orders“ verhängen, die eine Information der betroffenen Person verhindern und somit die Transparenzpflicht der DSGVO verletzen. |
Auch wenn das transatlantische Datenaustausch-Rahmenwerk (Trans-Atlantic Data Privacy Framework, TADPF) existiert, wurde von Kritikern, darunter Max Schrems, bereits gewarnt, dass die zugrundeliegenden US-Überwachungsgesetze nicht grundlegend geändert wurden. Die rechtliche Unsicherheit bleibt bestehen und wird durch die Möglichkeit des jederzeitigen Zugriffs über den CLOUD Act zementiert.
3. Die reale Gefahr: Digitale Sanktionen gegen den Internationalen Strafgerichtshof (ICC)
Die Gefahr der Abhängigkeit von US-Technologie geht über den CLOUD Act hinaus und wird durch die Möglichkeit politisch motivierter Sanktionen unterstrichen. Ein prägnantes Beispiel ist der Vorfall, bei dem der Chefankläger des Internationalen Strafgerichtshofs (ICC) in Den Haag, Karim Khan, Berichten zufolge den Zugang zu seinem Microsoft-E-Mail-Konto gesperrt bekam.
- Der Auslöser: Die Maßnahme erfolgte mutmaßlich aufgrund einer Executive Order der US-Regierung, die Sanktionen gegen ICC-Personal vorsah. Die US-Regierung unter dem damaligen (und späteren) Präsidenten Donald Trump hatte dies als Reaktion auf Ermittlungen des ICC gegen die USA und ihren Verbündeten Israel angeordnet.
- Die Konsequenz: Ein US-Unternehmen (Microsoft), das dem US-Recht unterliegt, war gezwungen, die Dienste für eine unabhängige internationale Justizbehörde einzustellen.
- Die Bedeutung für die Souveränität: Dieser Vorfall demonstriert auf erschreckende Weise, dass die US-Regierung über US-Tech-Dienstleister einen „digitalen Notschalter“ besitzt, der nicht nur auf Unternehmen, sondern auch auf internationale Organisationen und sogar die Justiz angewendet werden kann. Für alle Nutzer von US-Hyperscalern, auch in Europa, ist dies ein Weckruf: Technologische Abhängigkeit bedeutet immer auch politische und rechtliche Verwundbarkeit.
III. Der Präzedenzfall Schweiz: Ein breites Cloud-Verbot für Behörden
Während in der EU lange über die korrekte Anwendung von Standardvertragsklauseln (SCCs) diskutiert wurde, hat die Schweiz einen deutlich klareren, wenn auch drastischeren Weg eingeschlagen. Die Konferenz der kantonalen und eidgenössischen Datenschutzbeauftragten, kurz Privatim, hat eine Resolution verabschiedet, die faktisch ein breites Cloud-Verbot für Behörden bedeutet.
1. Schweizer Cloud-Verbot Behörden: Analyse der Privatim-Resolution
Die am 18. November 2025 verabschiedete Resolution von Privatim stellt klar: Die Auslagerung besonders schützenswerter oder geheimhaltungspflichtiger Daten an große internationale SaaS-Anbieter ist aus Sicht des Datenschutzes heute in den meisten Fällen unzulässig.
Die Analyse der Resolution, wie sie in den Berichten von Heise und Privatim selbst dargelegt wird, legt die tiefgreifenden Bedenken der Schweizer Datenschützer offen:
- CLOUD Act als Kernproblem: Die Resolution identifiziert den CLOUD Act explizit als Hauptrisiko. Da US-Anbieter zur Datenherausgabe verpflichtet werden können, widerspricht dies den Geheimhaltungspflichten und der Datensicherheit der Schweizer Behörden.
- Unzureichende Verschlüsselung: Die gängigen Verschlüsselungsmechanismen der Hyperscaler (z.B. bei Microsoft 365, Google Workspace) reichen nicht aus, solange der Cloud-Anbieter theoretisch Zugriff auf die Schlüssel hat oder der Entschlüsselungsprozess in einem US-dominierten System stattfindet.
- Fehlende Hilfsperson-Eigenschaft: Bei Daten, die einer gesetzlichen Geheimhaltung unterliegen (wie das Amtsgeheimnis), stellt sich die Frage, ob der externe Cloud-Anbieter überhaupt als „Hilfsperson“ im Sinne des Strafrechts gelten kann. Oftmals ist dies nicht der Fall, was eine Auslagerung von vornherein verbietet.
Die Resolution richtet sich dabei insbesondere an Daten mit erhöhter Schutzbedürftigkeit, wie beispielsweise Steuerdaten, Sozialdaten, Gesundheitsdaten oder vertrauliche Informationen, die dem Amtsgeheimnis unterliegen. Für diese Daten ist eine Migration auf souveräne, Schweizer oder europäische Alternativen unumgänglich.
2. Die Reaktion: Warum die Schweiz so konsequent ist
Der Schweizerische Weg ist bemerkenswert konsequent. Im Gegensatz zur EU, wo die Umsetzung der DSGVO durch die Aufsichtsbehörden oft zersplittert ist, zeigt die Schweiz mit der Privatim-Resolution eine geschlossene Front:
- Klare Gesetzgebung (revDSG): Das revidierte Schweizer Datenschutzgesetz (revDSG) hat die Anforderungen an die Datenübermittlung und -sicherheit verschärft. Die Datenschützer interpretieren diese Regeln nun sehr restriktiv, wenn es um Drittstaaten mit fragwürdiger Rechtslage geht.
- Schutz des Amtsgeheimnisses: Für Behörden ist die Einhaltung des Amtsgeheimnisses eine zentrale gesetzliche Pflicht. Die Existenz des CLOUD Acts schafft eine rechtliche Grauzone, die als unvereinbar mit dieser Pflicht angesehen wird.
- Pragmatismus: Anstatt sich auf komplizierte rechtliche Konstrukte wie SCCs und TMPs zu verlassen, setzt die Schweiz auf klare Verbote für sensible Bereiche. Die einzige akzeptierte Lösung für internationale SaaS-Lösungen ist die vollständige Client-Side-Encryption, bei der die Behörden die Daten selbst verschlüsseln und der Cloud-Anbieter keinen Zugriff auf die Schlüssel hat.
Die Schweizer Entscheidung stellt damit einen bedeutenden Impuls für ganz Europa dar und beweist, dass Datensouveränität im öffentlichen Sektor keine Option, sondern eine Notwendigkeit ist.
IV. Deutschland und die EU: Zwischen Zögerlichkeit und dem Wunsch nach Datensouveränität Deutschland
Die Situation in Deutschland und der EU ist von einer ähnlichen Erkenntnis geprägt wie in der Schweiz, unterscheidet sich aber in der Geschwindigkeit und dem Grad der Umsetzung. Während die Schweiz ein Verbot ausspricht, arbeitet die EU an einem komplexen Rahmenwerk zur Stärkung der EU Cloud-Verordnung und der digitalen Unabhängigkeit.
1. Die Rolle von Schrems II und die Haltung der deutschen Aufsichtsbehörden
Seit dem wegweisenden Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 ist klar: Die USA bieten kein angemessenes Schutzniveau für personenbezogene Daten im Sinne der DSGVO. Das Urteil kippte das Abkommen „Privacy Shield“ und zwang Unternehmen, bei Datentransfers in die USA Standardvertragsklauseln (SCCs) zu verwenden, die jedoch nur wirksam sind, wenn „zusätzliche Maßnahmen“ (Technical and Organisational Measures, TOMs) ergriffen werden, die den Zugriff durch US-Behörden effektiv verhindern.
Die Position der Deutschen DPCs:
Die deutschen Datenschutzkonferenzen (DPCs) haben immer wieder betont, dass für Cloud-Dienste, die dem CLOUD Act unterliegen, eine Konformität mit der DSGVO kaum zu gewährleisten ist, insbesondere im Kontext von Telemetrie- und Metadaten.
- Öffentlicher Sektor in Deutschland: Die Nutzung von US Cloud-Anbietern im öffentlichen Sektor ist in vielen Bundesländern stark eingeschränkt oder nur unter Vorbehalt erlaubt. Das prominenteste Beispiel ist Microsoft 365 (M365): Obwohl Datenschutzkonferenzen und Aufsichtsbehörden (wie kürzlich der HBDI in Hessen) die Nutzung für sensible Daten wegen des CLOUD Acts und der unklaren Telemetrie-Kontrolle untersagten oder stark einschränkten, wird M365 aufgrund des Digitalisierungsdrucks und mangels praktikabler Alternativen weiterhin häufig von Bundes- und Landesbehörden eingesetzt. Dies unterstreicht den enormen Konflikt zwischen operativer Notwendigkeit und der Pflicht zur Datensouveränität Deutschland.
- Konkrete Anleitung aus Hessen: Der Hessische Datenschutzbeauftragte (HBDI) veröffentlichte kürzlich eine detaillierte Orientierungshilfe zur datenschutzkonformen Nutzung von Microsoft 365. Diese Anleitung unterstreicht die extrem hohen technischen und organisatorischen Anforderungen (TOMs), die erfüllt werden müssen – insbesondere in Bezug auf Telemetriedaten und die Schlüsselverwaltung (Key Management), um die europäische Cloud Act Datenschutz Souveränität zu gewährleisten. Sie bekräftigt im Grunde die Notwendigkeit einer Client-Side-Encryption für schützenswerte Daten.
- Unzureichende „Sovereign Cloud“-Angebote: US-Anbieter reagieren mit sogenannten „European Sovereign Cloud“ oder „EU Data Boundary“-Angeboten. Diese versprechen, dass Daten in europäischen Rechenzentren bleiben und die Datenverarbeitung europäischen Mitarbeitern unterliegt. ABER: Wie aus den Suchergebnissen hervorgeht, bestätigen selbst Manager von Microsoft in Anhörungen, dass die rechtliche Zuständigkeit des US-Mutterunternehmens bestehen bleibt und der CLOUD Act somit weiter greift. Der Standort Europa allein schützt nicht vor US-Zugriff.
Die deutsche Rechtslage ist damit zwar nuancierter als das Schweizer Verbot, läuft aber auf dieselbe Erkenntnis hinaus: Ohne technische Garantie, dass der US-Anbieter keinen Zugriff auf die unverschlüsselten Daten hat, ist die Nutzung für sensible Daten nach DSGVO nicht konform.
2. Europas Antwort: GAIA-X und der regulatorische Rahmen
Die EU reagiert auf die Herausforderungen des CLOUD Acts nicht nur mit Verboten, sondern vor allem mit dem Aufbau einer eigenen, souveränen digitalen Infrastruktur und einem starken Regulierungsrahmen.
Das Projekt GAIA-X: Ein souveräner Datenraum
GAIA-X ist eine der wichtigsten strategischen Initiativen zur Verwirklichung digitaler Souveränität in Europa. Es ist kein Cloud-Anbieter im klassischen Sinne, sondern ein föderiertes System, das europäische Dateninfrastrukturen zusammenführen soll.
- Zielsetzung: Schaffung eines transparenten und sicheren Datenökosystems, das den europäischen Werten und Standards entspricht (Datenschutz, Transparenz, Portabilität).
- Prinzipien: Zentral sind die Prinzipien der Datensouveränität (der Nutzer behält die Kontrolle über seine Daten), Interoperabilität (Daten und Dienste können leicht zwischen Anbietern gewechselt werden) und Vertrauen (durch die Einhaltung definierter Regeln).
- Herausforderungen: Das Projekt wird oft kritisiert für seine langsame Umsetzung, seine Komplexität und die Tatsache, dass auch US-Unternehmen teilnehmen können – allerdings nur unter der Bedingung, dass sie sich den GAIA-X-Regeln unterwerfen, was die rechtliche Herausforderung des CLOUD Acts nicht automatisch löst. Es ist ein notwendiger Schritt, aber noch kein Garant für vollständige Unabhängigkeit.
Die Regulatorische Offensive der EU
Flankiert wird GAIA-X durch eine Reihe neuer EU-Gesetze und -Verordnungen, die die digitale Autonomie Europas stärken sollen:
- EU Data Act: Zielt darauf ab, fairen Zugang und Nutzung von Daten zu gewährleisten. Er stärkt die Portabilität und soll es Nutzern erleichtern, zwischen Europäische Cloud-Alternativen zu wechseln, was die Abhängigkeit von einzelnen Hyperscalern verringert.
- NIS 2-Richtlinie: Verbessert die Cybersicherheit und die Resilienz kritischer Infrastrukturen. Sie fordert höhere Sicherheitsstandards und engere Zusammenarbeit, was indirekt die Notwendigkeit souveräner, sicherer Cloud-Lösungen unter europäischer Kontrolle verstärkt.
- Cyber Resilience Act: Fokussiert auf die Sicherheit vernetzter Produkte (Hardware und Software), was die gesamte Lieferkette, einschließlich der Cloud-Dienste, in die Pflicht nimmt.
Die EU setzt somit auf einen doppelten Ansatz: Aufbau eigener Infrastruktur (GAIA-X) und Schaffung eines regulatorischen Rahmens, der eine echte Cloud Act Datenschutz Souveränität erzwingen soll, auch wenn die Anbieter außerhalb Europas sitzen.
V. Strategien für Unternehmen: Den Weg zur Datensouveränität gestalten
Der Fall Schweiz zeigt, dass die Zeit der unverbindlichen Diskussionen vorbei ist. Unternehmen und Verwaltungen in Deutschland und der EU müssen jetzt proaktiv handeln, um die rechtlichen Risiken und Bußgelder nach DSGVO zu vermeiden und die Datensouveränität zu wahren.
1. Risikobewertung und Klassifizierung der Daten
Der erste Schritt ist die ehrliche Bestandsaufnahme:
- Datenschutz-Folgenabschätzung (DSFA): Führen Sie eine detaillierte DSFA für jeden Cloud-Dienst durch. Das Risiko des CLOUD Acts muss explizit bewertet und dokumentiert werden.
- Datenklassifizierung: Klassifizieren Sie Ihre Daten nach ihrem Schutzbedarf (öffentlich, intern, vertraulich, geheim). Sensible und besonders schützenswerte Daten (Gesundheitsdaten, Finanzdaten, Betriebsgeheimnisse) sollten niemals unverschlüsselt bei einem US-Anbieter gespeichert werden.
2. Technische und Organisatorische Maßnahmen (TOMs) als Schlüssel
Um die Lücke zwischen CLOUD Act und DSGVO zu schließen, sind die TOMs entscheidend. Standortgarantien von US Cloud Anbieter DSGVO-konform zu machen, reicht nicht aus.
| Strategie | Beschreibung | Effekt auf CLOUD Act |
|---|---|---|
| Client-Side-Encryption (CSE) | Die Daten werden bereits auf dem Endgerät oder im Rechenzentrum des Kunden verschlüsselt, bevor sie zum Cloud-Anbieter übertragen werden. Der Schlüssel verlässt niemals den europäischen oder souveränen Bereich. | Höchster Schutz: US-Behörden erhalten lediglich Chiffretext ohne Entschlüsselungs-Key. |
| Zero-Trust-Architekturen | Kein Nutzer, kein Gerät und kein Dienst wird standardmäßig vertraut. Der Zugriff auf Daten wird nur auf Basis strengster Berechtigungen gewährt. | Erhöhte Hürde: Minimiert die Angriffsfläche und den potenziellen Schaden bei einem erzwungenen Zugriff. |
| Pseudonymisierung | Personenbezogene Daten werden durch Identifikatoren ersetzt, die nur mit zusätzlichem Wissen (Schlüssel) wieder der betroffenen Person zugeordnet werden können. | Rechtliche Minimierung: Bei einem CLOUD Act-Zugriff werden nur pseudonyme Daten herausgegeben, deren Wiederherstellung des Personenbezugs in den USA unmöglich ist. |
| Europäisches Key Management | Die Schlüsselverwaltung (Key Management Service, KMS) wird vollständig vom Kunden oder einem europäischen Drittanbieter in einem vertrauenswürdigen Rechtsraum betrieben. | Rechtliche Kontrolle: Verhindert, dass der US-Anbieter oder US-Behörden die Schlüssel über den CLOUD Act erlangen. |
3. Der Fokus auf Europäische Cloud-Alternativen
Langfristig ist die digitale Unabhängigkeit nur durch die Nutzung von Anbietern zu erreichen, die technologisch, organisatorisch und rechtlich vollständig dem europäischen Recht unterliegen.
- Rechtssicherheit: Die Wahl eines Anbieters mit Hauptsitz in der EU (z.B. Deutschland, Frankreich, Skandinavien) und Rechenzentren in der EU/Schweiz bietet die größtmögliche Sicherheit, da dieser nicht dem CLOUD Act unterliegt.
- Open Source-Lösungen: Die Nutzung von Open Source-Plattformen, deren Quellcode transparent und überprüfbar ist, fördert das Vertrauen und die Cloud Act Datenschutz Souveränität.
- Föderierte Ansätze: Lösungen, die es erlauben, Daten dezentral und auf verschiedenen Clouds zu speichern, reduzieren die Abhängigkeit von einem einzigen Hyperscaler.
Technologische Basis: KVM und Proxmox VE
Für den Aufbau souveräner europäischer Cloud-Infrastrukturen auf Hypervisor-Ebene (IaaS) bieten KVM (Kernel-based Virtual Machine) und Proxmox Virtual Environment (VE) ideale technische Voraussetzungen. Als stabile, quelloffene und in Europa entwickelte bzw. stark genutzte Lösungen ermöglichen sie eine hohe Kontrolle über die Virtualisierungsebene. Die größte Herausforderung ist derzeit jedoch die Schaffung einer umfassenden, mandantenfähigen und modularen Verwaltungsschicht (Management Plane), die es Kunden erlaubt, ihre eigene Infrastruktur so einfach und flexibel „zusammenzuklicken“, wie dies bei den IaaS-Angeboten von Azure oder AWS der Fall ist. Hier besteht noch Entwicklungsbedarf, um die Wettbewerbsfähigkeit zu gewährleisten.
Angesichts dieser dringenden rechtlichen und souveränitätspolitischen Notwendigkeit ist es umso verwunderlicher, dass bisher keine europäische Firma oder kein Dienstleister in der Lage war, eine marktreife, EU-eigene Lösung zu etablieren, die in ihrer Benutzerfreundlichkeit und Modulhaftigkeit (Verwaltungsebene) den US-Hyperscalern ebenbürtig ist. Hier muss dringend die EU und müssen Länder wie Deutschland die Schirmherrschaft übernehmen und eine dedizierte Task Force gründen, um diese existenzielle Lücke schnellstmöglich zu schließen und europäische Lösungsanbieter gezielt zu unterstützen.
Die Cloud Act Datenschutz Souveränität ist kein technisches, sondern ein rechtliches Problem. Es erfordert einen Paradigmenwechsel: Von der Akzeptanz des geringsten Widerstands (US-Hyperscaler) hin zur bewussten Wahl souveräner und rechtskonformer Lösungen.
VI. Schlussfolgerung und Ihr Weg zur Datensouveränität (CTA)
Der Konflikt zwischen dem US CLOUD Act und den europäischen Datenschutzgesetzen ist eine der größten Herausforderungen der digitalen Ära. Die klare Position der Schweizer Datenschützer, die ein faktisches Schweizer Cloud-Verbot Behörden für sensible Daten verhängen, unterstreicht die Realität der Bedrohung: Der Zugriff durch US-Behörden, selbst auf europäisch gespeicherte Daten, ist ein ungelöstes Problem. Der Vorfall mit dem Internationalen Strafgerichtshof (ICC) zeigt zudem die extreme Verwundbarkeit durch digitale Sanktionen auf.
Deutschland und die EU reagieren mit strategischen Infrastrukturprojekten wie GAIA-X und einer verschärften Regulierung (Data Act, NIS 2), um die Datensouveränität Deutschland zu sichern. Doch diese Initiativen brauchen Zeit.
Für Ihr Unternehmen oder Ihre Behörde bedeutet dies:
- Akzeptieren Sie das Risiko: Die bloße Speicherung in europäischen Rechenzentren eines US-Anbieters schützt nicht vor dem CLOUD Act oder politischen Sanktionen.
- Verschlüsseln Sie selbst: Nur die vollständige Client-Side-Encryption, bei der Sie die Schlüsselkontrolle behalten, bietet echten Schutz für sensible Daten.
- Evaluieren Sie Alternativen: Prüfen Sie proaktiv Europäische Cloud-Alternativen, die unter rein europäischer Jurisdiktion operieren.
Die Cloud Act Datenschutz Souveränität ist die Basis für das Vertrauen Ihrer Kunden und die Einhaltung Ihrer gesetzlichen Pflichten. Warten Sie nicht auf das nächste Schrems-Urteil oder ein Verbot; handeln Sie jetzt.