<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>DSGVO &#8211; Grams IT &#8211; Blog</title>
	<atom:link href="https://blog.grams-it.com/tag/dsgvo/feed/" rel="self" type="application/rss+xml" />
	<link>https://blog.grams-it.com</link>
	<description></description>
	<lastBuildDate>Sun, 10 May 2026 10:41:43 +0000</lastBuildDate>
	<language>de</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	
	<item>
		<title>EU-Altersverifikation: Wie Brüssel den Datenschutz opfert und unsichere Apps erzwingt</title>
		<link>https://blog.grams-it.com/2026/05/10/eu-altersverifikation-wie-bruessel-den-datenschutz-opfert-und-unsichere-apps-erzwingt/</link>
		
		<dc:creator><![CDATA[]]></dc:creator>
		<pubDate>Sun, 10 May 2026 10:38:29 +0000</pubDate>
				<category><![CDATA[Cybersecurity]]></category>
		<category><![CDATA[Datenschutz]]></category>
		<category><![CDATA[EU]]></category>
		<category><![CDATA[Europäische Union]]></category>
		<category><![CDATA[IT-Sicherheit]]></category>
		<category><![CDATA[Politik]]></category>
		<category><![CDATA[Sicherheitslücke]]></category>
		<category><![CDATA[Altersverifikation]]></category>
		<category><![CDATA[Digital Omnibus]]></category>
		<category><![CDATA[Digital Services Act]]></category>
		<category><![CDATA[DSGVO]]></category>
		<category><![CDATA[EDRi]]></category>
		<category><![CDATA[eIDAS]]></category>
		<category><![CDATA[Kryptografie]]></category>
		<category><![CDATA[noyb]]></category>
		<category><![CDATA[Passkeys]]></category>
		<category><![CDATA[Paul Moore]]></category>
		<category><![CDATA[ZKP]]></category>
		<guid isPermaLink="false">https://blog.grams-it.com/?p=1854</guid>

					<description><![CDATA[<p><img width="800" height="436" src="https://blog.grams-it.com/wp-content/uploads/2026/05/image-13.png" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="Satirical cartoon about amateurism in surveillance and EU identity verification, with robots grabbing flying papers and overwhelmed officials shouting &#039;Sofort entlassen&#039;." decoding="async" fetchpriority="high" srcset="https://blog.grams-it.com/wp-content/uploads/2026/05/image-13.png 800w, https://blog.grams-it.com/wp-content/uploads/2026/05/image-13-300x164.png 300w, https://blog.grams-it.com/wp-content/uploads/2026/05/image-13-768x419.png 768w" sizes="(max-width: 800px) 100vw, 800px" /></p>Ich habe mir die technischen Details der neuen EU-Altersverifikation angesehen, und mein Urteil könnte nicht vernichtender ausfallen. Um es direkt auf den Punkt zu bringen: Wer auch immer als CTO, CIO oder Datenschutzbeauftragter bei der EU für diese Lösung der Altersverifikation verantwortlich ist, sollte sofort entlassen werden. Es ist mir völlig unbegreiflich, wie man mit [&#8230;]]]></description>
										<content:encoded><![CDATA[<p><img width="800" height="436" src="https://blog.grams-it.com/wp-content/uploads/2026/05/image-13.png" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="Satirical cartoon about amateurism in surveillance and EU identity verification, with robots grabbing flying papers and overwhelmed officials shouting &#039;Sofort entlassen&#039;." decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2026/05/image-13.png 800w, https://blog.grams-it.com/wp-content/uploads/2026/05/image-13-300x164.png 300w, https://blog.grams-it.com/wp-content/uploads/2026/05/image-13-768x419.png 768w" sizes="(max-width: 800px) 100vw, 800px" /></p>
<p class="wp-block-paragraph">Ich habe mir die technischen Details der neuen EU-Altersverifikation angesehen, und mein Urteil könnte nicht vernichtender ausfallen. Um es direkt auf den Punkt zu bringen: Wer auch immer als CTO, CIO oder Datenschutzbeauftragter bei der EU für diese Lösung der Altersverifikation verantwortlich ist, sollte sofort entlassen werden. Es ist mir völlig unbegreiflich, wie man mit einer solchen Selbstsicherheit ein Produkt präsentieren kann, das nicht einmal ansatzweise aktuellen technischen Sicherheitsstandards entspricht. Die simplen „Hacks“, die nur Minuten nach der Veröffentlichung publik wurden, sind kein Zufall – sie sind das Ergebnis einer Architektur, die jedes einzelne Prinzip der eigenen EU-DSGVO ignoriert.</p>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2033">Wo bleiben die Datenminimierung oder die Sicherheit als oberste Direktive? Fehlanzeige. Stattdessen sehen wir einen pureren Dilettantismus, der unter dem Deckmantel des Jugendschutzes auf Hunderte Millionen Bürger losgelassen werden soll.<sup></sup> Wir reden hier nicht von einem kleinen Bug in einer Gaming-App. Wir reden von der Infrastruktur, die künftig darüber entscheiden soll, wer in Europa welche Inhalte konsumieren darf. Und diese Infrastruktur ist, gelinde gesagt, konzeptionell kaputt.</p>



<p class="wp-block-paragraph">In diesem massiven Artikel werde ich dieses Kartenhaus Stein für den Stein abtragen. Wir schauen uns an, wie Paul Moore die App in 120 Sekunden lächerlich gemacht hat, warum der „Digital Omnibus“ die DSGVO von innen heraus auffrisst und wie eine echte, technisch saubere Lösung auf Basis von Passkeys und Zero-Knowledge Proofs (ZKP) aussehen müsste, die Anonymität wirklich ernst nimmt.</p>



<figure class="wp-block-image aligncenter size-full"><img decoding="async" width="800" height="436" src="https://blog.grams-it.com/wp-content/uploads/2026/05/image-13.png" alt="" class="wp-image-1856" srcset="https://blog.grams-it.com/wp-content/uploads/2026/05/image-13.png 800w, https://blog.grams-it.com/wp-content/uploads/2026/05/image-13-300x164.png 300w, https://blog.grams-it.com/wp-content/uploads/2026/05/image-13-768x419.png 768w" sizes="(max-width: 800px) 100vw, 800px" /></figure>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">I. Der regulatorische Masterplan: Schutz als Vorwand für Kontrolle?</h2>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2034">Die Europäische Union hat mit dem Gesetz über digitale Dienste (Digital Services Act, DSA) und der novellierten eIDAS-Verordnung (eIDAS 2.0) einen Rahmen geschaffen, der angeblich die Sicherheit im Netz erhöhen soll.<sup></sup> Ein zentrales Element ist dabei die Altersverifikation. Ab 2026 sollen Online-Plattformen verpflichtet werden, den Zugriff auf „schädliche“ Inhalte wie Pornografie, Glücksspiel oder den Erwerb von Alkohol für Minderjährige radikal zu reglementieren.<sup></sup></p>



<h3 class="wp-block-heading">Das Ende des „Ich bin 18“-Buttons</h3>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2035">Bisher reichte oft eine einfache Selbstdeklaration. Die Kommission hat jedoch klargestellt, dass das sogenannte „Tick-Box“-Verfahren rechtlich nicht mehr ausreicht.<sup></sup> Die neuen Leitlinien fordern „effektive, robuste und nicht-intrusive“ Methoden.<sup></sup> Doch was die EU unter „nicht-intrusiv“ versteht, ist ein schlechter Witz. Am 15. April 2026 präsentierte Kommissionspräsidentin Ursula von der Leyen eine Referenz-App als „technisch bereit“ und „datenschutzfreundlich“.</p>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2036">Diese App fungiert als eine Art „Mini-Wallet“, eine Vorstufe zur umfassenden EUDI-Wallet (EU Digital Identity), die bis Ende 2026 für jeden Mitgliedstaat verpflichtend wird.<sup></sup> Das Ziel klingt in der Theorie edel: Nutzer sollen beweisen können, dass sie über 18 sind, ohne ihren Namen oder ihr Geburtsdatum preiszugeben. Doch wie wir gleich sehen werden, ist der Weg dorthin gepflastert mit technischer Inkompetenz.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><td><strong>Gesetz / Verordnung</strong></td><td><strong>Zielsetzung</strong></td><td><strong>Status der Altersprüfung</strong></td></tr></thead><tbody><tr><td><strong>Digital Services Act (DSA)</strong></td><td>Schutz Minderjähriger vor schädlichen Inhalten</td><td>Verbindliche Prüfung für VLOPs (Meta, Google etc.)</td></tr><tr><td><strong>eIDAS 2.0</strong></td><td>Interoperable digitale Identität (EUDI Wallet)</td><td>Pflicht für MS bis Dez. 2026</td></tr><tr><td><strong>EU AV Blueprint</strong></td><td>Technische Referenzspezifikation</td><td>Veröffentlicht April 2026</td></tr></tbody></table></figure>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">II. Die Anatomie des Versagens: Der Paul Moore Hack</h2>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2037">Es dauerte keine zwei Stunden, nachdem die Kommission den Quellcode der App veröffentlicht hatte, bis der Sicherheitsberater Paul Moore demonstrierte, dass das gesamte Sicherheitskonzept ein schlechter Scherz ist.<sup></sup> Wenn von der Leyen von „höchsten Datenschutzstandards“ spricht, während ein Profi das System mit einem einfachen Datei-Explorer aushebelt, dann ist das politischer Selbstmord auf Raten.<sup></sup></p>



<h3 class="wp-block-heading">Die „Clown-Tier“-Designentscheidungen</h3>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2038">Moore identifizierte Schwachstellen, die so basal sind, dass man sich fragen muss, ob die Entwickler jemals ein Buch über Mobile Security gelesen haben.<sup></sup></p>



<ol start="1" class="wp-block-list">
<li><strong>Unsichere lokale Speicherung (PIN-Bypass):</strong> Die App speichert die PIN des Nutzers in einer einfachen XML-Datei im Verzeichnis <code>shared_prefs</code>. Diese PIN ist nicht kryptografisch an den Datentresor (Vault) gebunden, in dem die Identitätsnachweise liegen. Moore löschte einfach die Einträge <code>PinEnc</code> und <code>PinIV</code>. Nach einem Neustart akzeptierte die App die Erstellung einer neuen PIN und gewährte vollen Zugriff auf die Identität des ursprünglichen Nutzers.</li>



<li><strong>Der Biometrie-Schalter:</strong> Ob eine biometrische Authentifizierung (Face ID/Fingerabdruck) nötig ist, wird über ein simples Flag gesteuert: <code>UseBiometricAuth</code>. Moore änderte diesen Wert in der Konfigurationsdatei einfach von „true“ auf „false“. Ergebnis: Die App fragte gar nicht erst nach dem Gesichtsscan. Wer das Handy physisch in der Hand hält, ist der Chef – Jugendschutz adé.</li>



<li><strong>Manipulation der Ratenbegrenzung:</strong> Um Brute-Force-Angriffe auf die PIN zu verhindern, gibt es einen Zähler. Dieser Zähler wurde jedoch als einfache Ganzzahl in derselben ungeschützten Datei gespeichert. Ein Angreifer kann ihn jederzeit manuell auf Null zurücksetzen und unendlich viele Kombinationen testen.</li>



<li><strong>Hardware-Sicherheitsanker ignoriert:</strong> Moderne Smartphones besitzen eine „Secure Enclave“ (Apple) oder ein „Trusted Execution Environment“ (Android). Das sind physikalisch isolierte Bereiche für kryptografische Schlüssel. Die EU-App nutzt diese jedoch nicht konsequent, sondern lässt sensible Sicherheits-Flags im regulären, editierbaren Dateisystem liegen. Das ist so, als würde man ein Hochsicherheitsschloss kaufen, den Schlüssel aber unter die Fußmatte legen.</li>
</ol>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">III. Biometrie-Lecks: Wenn der Datenschutz zur Falle wird</h2>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2043">Ein besonders brisanter Aspekt der App ist das Onboarding. Nutzer müssen ihren Reisepass via NFC scannen und ein Selfie aufnehmen, um die Echtheit ihrer Daten zu beweisen.<sup></sup></p>



<h3 class="wp-block-heading">Unverschlüsselte Bilder im Cache</h3>



<p class="wp-block-paragraph">Die technische Analyse offenbarte ein Horrorszenario für Datenschützer:</p>



<ul class="wp-block-list">
<li>Die aus dem NFC-Chip extrahierten hochauflösenden Gesichtsbilder (DG2-Daten) werden als unverschlüsselte PNG-Dateien auf dem Gerät abgelegt.</li>



<li>Diese Bilder werden nur gelöscht, wenn der Verifizierungsprozess erfolgreich abgeschlossen wurde. Stürzt die App ab oder bricht der Nutzer ab, verbleiben diese sensiblen Biometriedaten ungeschützt auf dem Smartphone.</li>



<li>Selfies werden teilweise im externen Speicher abgelegt und laut Berichten überhaupt nicht gelöscht.</li>
</ul>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2047">Gemäß Artikel 9 der DSGVO sind biometrische Daten besonders schutzwürdig. Dass eine offizielle EU-App solche Daten unverschlüsselt im Dateisystem „vergisst“, ist ein massiver Verstoß gegen die eigenen Gesetze.<sup></sup> Paul Moore warnte Ursula von der Leyen direkt: Dieses Produkt wird der Katalysator für einen gigantischen Daten-Breach sein.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">IV. Das legislative Schlupfloch: Der „Digital Omnibus“</h2>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2048">Während die Technik versagt, bereitet die EU im Hintergrund eine gesetzliche Aufweichung vor, die noch viel gefährlicher ist. Das am 19. November 2025 vorgestellte „Digital Omnibus“-Paket wird von Organisationen wie noyb (Max Schrems) und EDRi als massiver Angriff auf die digitalen Grundrechte gewertet.<sup></sup></p>



<h3 class="wp-block-heading">Die subjektive Identifizierbarkeit</h3>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2049">Der Kern der Kritik liegt in einer geplanten Neudefinition von „personenbezogenen Daten“ in Artikel 4(1) der DSGVO.<sup></sup> Bisher gilt ein objektiver Maßstab: Daten sind personenbezogen, wenn sie <em>irgendjemand</em> einer natürlichen Person zuordnen kann.</p>



<p class="wp-block-paragraph">Der neue Vorschlag führt einen subjektiven Ansatz ein: Informationen sollen für eine bestimmte Firma dann nicht als personenbezogen gelten, wenn <em>diese</em> Firma die Person mit vernünftigerweise wahrscheinlichen Mitteln nicht identifizieren kann.</p>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2050"><strong>Die Gefahr für die Altersverifikation:</strong> Plattformen könnten künftig behaupten: „Wir erhalten von der EU-App nur einen kryptografischen Token. Wir wissen nicht, wer dahintersteckt, also ist das für uns kein personenbezogenes Datum.“ Dass Datenbroker im Hintergrund diese Token längst wieder mit Klarnamen verknüpft haben, würde dann keine Rolle mehr spielen. Dies entzieht den Bürgern ihre Rechte auf Auskunft, Löschung und Widerspruch.<sup></sup></p>



<h3 class="wp-block-heading">KI-Training als „legitimes Interesse“</h3>



<p class="wp-block-paragraph" id="p-c_f2a020bcbfbe5970_eu-age-verification-catastrophe-8000-2051">Zudem soll das Training von KI-Modellen als „legitimes Interesse“ (Art. 88c) eingestuft werden. Das bedeutet das Ende der Opt-In-Kultur. Firmen könnten Ihre Daten ohne explizite Einwilligung für ihre Algorithmen nutzen.<sup></sup> Wir bewegen uns weg vom Schutz der Privatsphäre hin zu einem System, in dem der Mensch nur noch als Datenquelle für die europäische KI-Industrie dient.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">V. Der dezentrale Ausweg: Anonymität durch Passkeys und ZKP</h2>



<p class="wp-block-paragraph">Es gibt eine Lösung für das Problem der Altersverifikation, die keine Überwachungsinfrastruktur benötigt. Die Technologie ist bereits in unseren Taschen vorhanden: Passkeys auf Basis von FIDO2/WebAuthn kombiniert mit Zero-Knowledge Proofs (ZKP).</p>



<h3 class="wp-block-heading">Warum Passkeys die Basis sind</h3>



<p class="wp-block-paragraph">Ein Passkey ist ein kryptografisches Schlüsselpaar, das hardwaregebunden auf dem Gerät erzeugt wird. Der private Schlüssel $K_{priv}$ verlässt die „Secure Enclave“ niemals. Im Gegensatz zu Passwörtern sind Passkeys resistent gegen Phishing und Server-Breaches.</p>



<h3 class="wp-block-heading">Die Magie der Zero-Knowledge Proofs (ZKP)</h3>



<p class="wp-block-paragraph">Der entscheidende Fehler der EU-App ist die Verknüpfung von Identität und Attestierung. Eine Website braucht nicht zu wissen, <em>wer</em> ich bin, sondern nur, <em>was</em> ich bin (über 18).</p>



<p class="wp-block-paragraph">Ein anonymes System funktioniert in vier Phasen:</p>



<ol start="1" class="wp-block-list">
<li><strong>Einmaliges Onboarding:</strong> Der Nutzer weist sein Alter gegenüber einer vertrauenswürdigen Stelle nach (z.B. staatliches Register). Diese stellt ein kryptografisch signiertes Attest aus, das lokal auf dem Handy gespeichert wird.</li>



<li><strong>Anonymer Passkey:</strong> Für jede Plattform wird ein einzigartiger, domain-spezifischer Passkey generiert. Dies verhindert, dass verschiedene Webseiten Nutzerprofile verknüpfen können.</li>



<li><strong>ZKP-Präsentation:</strong> Wenn eine Plattform das Alter anfordert, generiert das Handy einen mathematischen Beweis (ZKP). Die Aussage lautet: „Ich besitze ein gültiges Zertifikat für &#8218;Alter $\geq$ 18&#8216;, ohne das Geburtsdatum zu verraten.“</li>



<li><strong>Double-Blind Prinzip:</strong> Weder der Staat noch die Plattform wissen alles. Der Staat weiß, wem er das Attest gab, aber nicht, wo es genutzt wird. Die Plattform weiß, dass der Nutzer über 18 ist, aber nicht, wer er ist.</li>
</ol>



<h3 class="wp-block-heading">Vergleich der Modelle</h3>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><td><strong>Merkmal</strong></td><td><strong>EU-Referenz-App (Derzeit)</strong></td><td><strong>Passkey/ZKP-Modell (Vorschlag)</strong></td></tr></thead><tbody><tr><td><strong>Datenspeicherung</strong></td><td>Unverschlüsselte Bilder im Cache</td><td>Nur kryptografische Atteste in Hardware</td></tr><tr><td><strong>Anonymität</strong></td><td>Potenziell verknüpfbar durch Token</td><td>Vollständige Unverknüpfbarkeit (Unlinkability)</td></tr><tr><td><strong>Sicherheit</strong></td><td>Umgehbar in 2 Min (Dateieditor)</td><td>Hardwaregebunden (Secure Enclave)</td></tr><tr><td><strong>Nutzererfahrung</strong></td><td>Langwieriges Onboarding</td><td>Ein Klick (Biometrie-Freigabe)</td></tr><tr><td><strong>DSGVO-Konformität</strong></td><td>Fragwürdig (Biometrie-Retention)</td><td>Datenminimierung per Design</td></tr></tbody></table></figure>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">VI. Das Scheitern hat Tradition: Von der ID Wallet zum Führerschein-Chaos</h2>



<p class="wp-block-paragraph">Man sollte meinen, die EU hätte aus den Fehlern der Vergangenheit gelernt. Doch weit gefehlt. Das Scheitern der deutschen „ID Wallet“ im Jahr 2021 war eine Vorwarnung. Auch damals wurde eine blockchain-basierte Lösung mit großer Fanfare (Andreas Scheuer, Dorothee Bär) gelauncht, nur um Tage später wegen Sicherheitsmängeln und mangelnder Skalierbarkeit aus den App-Stores entfernt zu werden.</p>



<p class="wp-block-paragraph">Die Sicherheitsforscherin Lilith Wittmann sprach damals von einem „Kaiser ohne Kleider“. IT-Experten warnten Monate im Voraus, doch die Politik ignorierte die Realität zugunsten von PR-Terminen kurz vor der Wahl. Heute sehen wir dasselbe Muster auf europäischer Ebene: Man forciert einen Rollout, bevor die Wissenschaft konsolidiert ist und bevor die Sicherheitsarchitektur überhaupt den Namen verdient.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">VII. Die Rolle von Big Tech und die Souveränitätslüge</h2>



<p class="wp-block-paragraph">Ein weiteres Problem ist die Abhängigkeit von Google und Apple. Die EUDI-Wallet und die Altersverifikations-App sind auf die Betriebssysteme und App-Stores dieser Giganten angewiesen. Wenn die EU-App Sicherheitsstandards fordert, die nur durch die Integration in die proprietären Hardware-Enklaven von Apple oder Google erreicht werden können, zementiert sie die Marktmacht dieser Unternehmen.</p>



<p class="wp-block-paragraph">Gleichzeitig positionieren sich Konzerne wie Meta als Unterstützer von Initiativen wie OpenAge, um von den eigentlichen Problemen – ihren schädlichen Algorithmen und der Datenausbeutung – abzulenken. Eine Altersverifikation, die lediglich den Zugang regelt, aber das „Engagement-Mining“ der Plattformen unberührt lässt, bekämpft nur die Symptome, nicht die Ursache der Gefährdung von Minderjährigen.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">Fazit: Zeit für digitale Notwehr</h2>



<p class="wp-block-paragraph">Die Altersverifikation in der EU befindet sich in einer Sackgasse aus technischer Inkompetenz und legislativer Übergriffigkeit. Das aktuelle Modell hebelt den Datenschutz aus, indem es einerseits unsichere Apps bereitstellt und andererseits durch den „Digital Omnibus“ rechtliche Schlupflöcher schafft, die die Zweckbindung personenbezogener Daten untergraben.</p>



<p class="wp-block-paragraph">Wer als Verantwortlicher zulässt, dass biometrische Daten unverschlüsselt in Cache-Ordnern liegen, hat jede Glaubwürdigkeit verloren. Wir brauchen keine staatliche App, die unsere Ausweise scannt. Wir brauchen eine Altersverifikation, die nur ein Merkmal bestätigt, aber niemals eine Identität preisgibt.</p>



<p class="wp-block-paragraph"><strong>Forderungen für einen echten Jugendschutz:</strong></p>



<ol start="1" class="wp-block-list">
<li><strong>Sofortiger Stopp der Referenz-App:</strong> Keine produktive Nutzung einer App, die lokale Sicherheitsflags in Textdateien speichert.</li>



<li><strong>Hardware-Zwang:</strong> Altersnachweise dürfen nur in zertifizierten Hardware-Sicherheitsmodulen (HSM/Secure Enclave) verarbeitet werden.</li>



<li><strong>ZKP-Standardisierung:</strong> Die EU muss offene kryptografische Standards für Zero-Knowledge Proofs forcieren, statt auf „Gaffa-Tape-Lösungen“ zu setzen.</li>



<li><strong>Stopp des Digital Omnibus:</strong> Die DSGVO darf nicht für die Interessen der KI-Lobby geopfert werden.</li>
</ol>



<p class="wp-block-paragraph">Nur durch eine radikale Abkehr vom jetzigen Modell der „staatlich kontrollierten Identitäts-App“ hin zu einer „nutzerzentrierten Attributs-Kryptografie“ kann der Schutz von Kindern im Netz realisiert werden, ohne das Recht auf Anonymität für uns alle zu opfern.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>FBI-Hintertür BitLocker: Warum Microsoft Ihre Verschlüsselung wertlos macht</title>
		<link>https://blog.grams-it.com/2026/01/24/fbi-hintertuer-bitlocker-warum-microsoft-ihre-verschluesselung-wertlos-macht/</link>
		
		<dc:creator><![CDATA[]]></dc:creator>
		<pubDate>Sat, 24 Jan 2026 10:51:40 +0000</pubDate>
				<category><![CDATA[Betriebssystem]]></category>
		<category><![CDATA[Datenschutz]]></category>
		<category><![CDATA[IT]]></category>
		<category><![CDATA[IT-Sicherheit]]></category>
		<category><![CDATA[Microsoft]]></category>
		<category><![CDATA[Azure]]></category>
		<category><![CDATA[BitLocker]]></category>
		<category><![CDATA[Cloud Act]]></category>
		<category><![CDATA[Datenhoheit]]></category>
		<category><![CDATA[DSGVO]]></category>
		<category><![CDATA[FBI]]></category>
		<category><![CDATA[Microsoft 365]]></category>
		<category><![CDATA[Verschlüsselung]]></category>
		<guid isPermaLink="false">https://blog.grams-it.com/?p=889</guid>

					<description><![CDATA[<p><img width="1024" height="1024" src="https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker.png" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="FBI BitLocker Keys" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker.png 1024w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-300x300.png 300w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-150x150.png 150w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-768x768.png 768w" sizes="(max-width: 1024px) 100vw, 1024px" /></p>Stellen Sie sich vor, Sie verschlüsseln Ihre sensibelsten Geschäftsdaten mit einem digitalen Hochsicherheitsschloss, nur um festzustellen, dass der Hersteller des Schlosses dem FBI heimlich einen Zweitschlüssel ausgehändigt hat. Was wie ein Plot aus einem Cyber-Thriller klingt, wurde im Januar 2026 bittere Realität. Ein aktueller Bericht enthüllte, dass Microsoft im Rahmen strafrechtlicher Ermittlungen BitLocker-Wiederherstellungsschlüssel an US-Behörden [&#8230;]]]></description>
										<content:encoded><![CDATA[<p><img width="1024" height="1024" src="https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker.png" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="FBI BitLocker Keys" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker.png 1024w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-300x300.png 300w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-150x150.png 150w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-768x768.png 768w" sizes="(max-width: 1024px) 100vw, 1024px" /></p>
<p class="wp-block-paragraph">Stellen Sie sich vor, Sie verschlüsseln Ihre sensibelsten Geschäftsdaten mit einem digitalen Hochsicherheitsschloss, nur um festzustellen, dass der Hersteller des Schlosses dem FBI heimlich einen Zweitschlüssel ausgehändigt hat. Was wie ein Plot aus einem Cyber-Thriller klingt, wurde im Januar 2026 bittere Realität. Ein aktueller Bericht enthüllte, dass <strong>Microsoft</strong> im Rahmen strafrechtlicher Ermittlungen BitLocker-Wiederherstellungsschlüssel an US-Behörden übergeben hat.</p>



<p class="wp-block-paragraph">Dieser Vorfall wirft ein grelles Licht auf eine unbequeme Wahrheit: In der modernen Cloud-Ära ist Ihre Verschlüsselung nur so sicher wie der Ort, an dem der Schlüssel aufbewahrt wird. Für deutsche Unternehmen, die massiv auf Microsoft 365 und Azure setzen, stellt dies nicht nur ein technisches Risiko, sondern ein massives rechtliches Dilemma dar. In diesem Artikel analysieren wir den &#8222;Guam-Fall&#8220;, die Macht des US-CLOUD-Acts und zeigen Ihnen, wie Sie die Kontrolle über Ihre Datenhoheit zurückgewinnen.</p>



<figure class="wp-block-image aligncenter size-full"><img decoding="async" width="1024" height="1024" src="https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker.png" alt="FBI BitLocker Keys" class="wp-image-890" srcset="https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker.png 1024w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-300x300.png 300w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-150x150.png 150w, https://blog.grams-it.com/wp-content/uploads/2026/01/FBI_BitLocker-768x768.png 768w" sizes="(max-width: 1024px) 100vw, 1024px" /><figcaption class="wp-element-caption">FBI BitLocker Keys</figcaption></figure>



<h2 class="wp-block-heading">1. Der Guam-Fall: Ein Präzedenzfall für die Cloud-Sicherheit</h2>



<p class="wp-block-paragraph">Anfang 2025 leitete das FBI Ermittlungen wegen eines großangelegten Betrugs mit COVID-19-Hilfsgeldern auf der Insel Guam ein. Im Zuge der Razzien wurden drei Laptops beschlagnahmt. Diese waren mit <strong>Microsoft</strong> BitLocker geschützt – einer Technologie, die eigentlich als unknackbar gilt, sofern man den Schlüssel nicht besitzt.</p>



<h3 class="wp-block-heading">Das technische Versagen der Ermittler</h3>



<p class="wp-block-paragraph">Trotz modernster Forensik-Tools bissen sich die Ermittler an der Verschlüsselung die Zähne aus. Eine &#8222;Brute-Force&#8220;-Attacke auf BitLocker ist bei komplexen Passwörtern praktisch aussichtslos. Doch hier kam der entscheidende Faktor ins Spiel: Die Bequemlichkeit der Cloud-Synchronisation.</p>



<h3 class="wp-block-heading">Die Cloud als Schwachstelle</h3>



<p class="wp-block-paragraph">Die betroffenen Nutzer hatten ihre Geräte mit ihren privaten oder geschäftlichen Microsoft-Konten verknüpft. Standardmäßig bietet Windows an, den BitLocker-Wiederherstellungsschlüssel automatisch in der Microsoft-Cloud zu sichern. Das FBI nutzte diesen Umstand und zwang Microsoft per Durchsuchungsbeschluss zur Herausgabe dieser Schlüssel.</p>



<p class="wp-block-paragraph"><strong>Das Ergebnis:</strong> Microsoft händigte die Schlüssel aus. Das FBI konnte die Laptops ohne weitere Gegenwehr entsperren. Laut Microsoft werden jährlich etwa 20 solcher Anfragen für BitLocker-Keys bearbeitet, doch erst jetzt wurde die Tragweite durch eine öffentliche Dokumentation für die Welt sichtbar.</p>



<h2 class="wp-block-heading">2. Der CLOUD Act: Der lange Arm der US-Justiz</h2>



<p class="wp-block-paragraph">Um zu verstehen, warum ein US-Unternehmen wie Microsoft Daten herausgeben muss, auch wenn diese vielleicht auf europäischen Servern liegen, muss man den <strong>CLOUD Act</strong> (<em>Clarifying Lawful Overseas Use of Data Act</em>) von 2018 kennen.</p>



<h3 class="wp-block-heading">Extraterritoriale Reichweite ohne Grenzen</h3>



<p class="wp-block-paragraph">Das wichtigste Merkmal des CLOUD Act ist seine extraterritoriale Wirkung. Er besagt, dass US-Provider verpflichtet sind, Daten herauszugeben, die sich in ihrem Besitz, Gewahrsam oder unter ihrer Kontrolle befinden – <strong>völlig unabhängig davon, wo die Daten physisch gespeichert sind</strong>.</p>



<ul class="wp-block-list">
<li><strong>Beispiel:</strong> Selbst wenn ein deutsches Unternehmen seine Daten ausschließlich in der Microsoft-Region &#8222;Germany West Central&#8220; (Frankfurt) speichert, kann eine US-Behörde Zugriff verlangen, da die Muttergesellschaft Microsoft Corp. ihren Sitz in den USA hat.</li>
</ul>



<h3 class="wp-block-heading">Umgehung internationaler Standards</h3>



<p class="wp-block-paragraph">Früher mussten US-Behörden über langwierige Rechtshilfeabkommen (MLAT) gehen, bei denen deutsche Behörden prüfen konnten, ob die Anfrage rechtmäßig ist. Der CLOUD Act hebelt diesen Prozess aus und erlaubt den direkten Zugriff über den Provider.</p>



<h3 class="wp-block-heading">Die Mauer des Schweigens: Gag Orders</h3>



<p class="wp-block-paragraph">Oftmals sind diese Anordnungen mit sogenannten &#8222;Gag Orders&#8220; verbunden. Das bedeutet: Microsoft darf Sie als Kunden nicht einmal darüber informieren, dass Ihre Schlüssel oder Daten gerade an das FBI übergeben wurden. Sie wiegen sich in Sicherheit, während Ihre Verschlüsselung bereits kompromittiert wurde.</p>



<h2 class="wp-block-heading">3. Die Zwickmühle für deutsche Kunden: DSGVO vs. US-Recht</h2>



<p class="wp-block-paragraph">Für deutsche Unternehmen, die der strengen Datenschutz-Grundverordnung (DSGVO) unterliegen, ist diese Situation brandgefährlich. Wir befinden uns in einer rechtlichen Pattsituation, die oft als &#8222;Zwickmühle&#8220; bezeichnet wird.</p>



<h3 class="wp-block-heading">Das rechtliche Dilemma</h3>



<ol class="wp-block-list">
<li><strong>US-Recht (CLOUD Act):</strong> Zwingt US-Unternehmen zur Kooperation bei Vorliegen eines US-Interesses.</li>



<li><strong>EU-Recht (DSGVO):</strong> Verlangt den Schutz personenbezogener Daten. Die Weitergabe an Behörden eines Drittstaates ohne ein angemessenes Schutzniveau ist grundsätzlich untersagt.</li>
</ol>



<p class="wp-block-paragraph">Ein deutsches Unternehmen, das Microsoft-Dienste nutzt, trägt das Risiko, dass Daten ohne richterlichen Beschluss in Deutschland abfließen. Viele Datenschutzbeauftragte werten eine solche Herausgabe allein auf Basis eines US-Warrants als klaren DSGVO-Verstoß mit drohenden Bußgeldern in Millionenhöhe.</p>



<h3 class="wp-block-heading">Strategisches Risiko: Verlust von Betriebsgeheimnissen</h3>



<p class="wp-block-paragraph">Es geht nicht nur um den Datenschutz. Für den deutschen Mittelstand und die Industrie steht der Schutz von Betriebsgeheimnissen auf dem Spiel. Wenn Schlüssel zentral bei einem Anbieter liegen, der staatlichem Zwang unterliegt, ist Industriespionage oder politisch motivierte Datenabfrage kein theoretisches Szenario mehr, sondern eine reale Bedrohung der Wettbewerbsfähigkeit.</p>



<h2 class="wp-block-heading">4. Handlungsempfehlungen: So sichern Sie Ihre Datenhoheit</h2>



<p class="wp-block-paragraph">Der Vorfall zeigt: Blindes Vertrauen in Standard-Cloud-Konfigurationen ist riskant. Um sich vor unbefugten Zugriffen durch Drittstaaten zu schützen, sollten Sie folgende Maßnahmen implementieren:</p>



<h3 class="wp-block-heading">A. Lokale Schlüsselverwaltung (On-Premise Key Management)</h3>



<p class="wp-block-paragraph">Die einfachste und effektivste Methode: Sorgen Sie dafür, dass Microsoft den Schlüssel gar nicht erst besitzt.</p>



<ul class="wp-block-list">
<li>Deaktivieren Sie das automatische Hochladen von BitLocker-Keys in das Microsoft-Konto per Gruppenrichtlinie (GPO).</li>



<li>Speichern Sie Wiederherstellungsschlüssel lokal auf verschlüsselten USB-Sticks oder in einem dedizierten, internen Key-Management-System (KMS).</li>
</ul>



<h3 class="wp-block-heading">B. Double Key Encryption (DKE) und BYOK</h3>



<p class="wp-block-paragraph">Für hochsensible Daten in Microsoft 365 oder Azure sollten Sie auf &#8222;Double Key Encryption&#8220; setzen.</p>



<ul class="wp-block-list">
<li><strong>Prinzip:</strong> Die Daten werden mit zwei Schlüsseln verschlüsselt. Einen hält Microsoft, den zweiten halten ausschließlich Sie.</li>



<li>Ohne Ihren privaten Schlüssel kann selbst Microsoft (und damit auch keine US-Behörde) die Daten lesbar machen. Dies wird oft auch als &#8222;Bring Your Own Key&#8220; (BYOK) bezeichnet.</li>
</ul>



<h3 class="wp-block-heading">C. Wechsel zu souveränen Cloud-Lösungen</h3>



<p class="wp-block-paragraph">Prüfen Sie, ob für besonders kritische Workloads alternative Cloud-Modelle in Frage kommen:</p>



<ul class="wp-block-list">
<li><strong>Souveräne Clouds:</strong> Anbieter wie die &#8222;T-Systems Sovereign Cloud&#8220; bieten Azure-Dienste an, bei denen die Kontrolle über die Verschlüsselung und den Betrieb strikt von der US-Muttergesellschaft getrennt ist.</li>



<li><strong>Europäische Alternativen:</strong> Nutzen Sie für Backup oder Storage rein europäische Provider (z.B. OVHcloud, Ionos), die keiner US-Jurisdiktion unterliegen.</li>
</ul>



<h2 class="wp-block-heading">Fazit: Zeit für ein neues Sicherheitsbewusstsein</h2>



<p class="wp-block-paragraph">Der Fall Microsoft gegen FBI ist ein Weckruf. Er beweist, dass technischer Schutz (Verschlüsselung) wertlos ist, wenn der rechtliche Rahmen (CLOUD Act) Hintertüren erzwingt. Als deutsches Unternehmen oder sicherheitsbewusster Nutzer müssen Sie jetzt handeln.</p>



<p class="wp-block-paragraph">Prüfen Sie Ihre IT-Infrastruktur: Wo liegen Ihre Schlüssel? Wer hat theoretischen Zugriff darauf? Echte digitale Souveränität erreichen Sie nur, wenn Sie der alleinige Herr über Ihre kryptografischen Schlüssel bleiben.</p>



<p class="wp-block-paragraph"><em>Disclaimer: Dieser Artikel dient der Information und stellt keine Rechtsberatung dar. Bei spezifischen Fragen zur DSGVO-Konformität konsultieren Sie bitte Ihren Datenschutzbeauftragten oder einen spezialisierten Rechtsanwalt.</em></p>



<p class="wp-block-paragraph"></p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>5 kritische Fakten: Cloud Act, Datenschutz &#038; Souveränität in der Krise</title>
		<link>https://blog.grams-it.com/2025/11/27/5-kritische-fakten-cloud-act-datenschutz-souveraenitaet-in-der-krise/</link>
		
		<dc:creator><![CDATA[]]></dc:creator>
		<pubDate>Thu, 27 Nov 2025 14:02:40 +0000</pubDate>
				<category><![CDATA[Datenschutz]]></category>
		<category><![CDATA[Deutschland]]></category>
		<category><![CDATA[Digitalisierung]]></category>
		<category><![CDATA[EU]]></category>
		<category><![CDATA[Europäische Union]]></category>
		<category><![CDATA[Hypervisior]]></category>
		<category><![CDATA[IT-Sicherheit]]></category>
		<category><![CDATA[Politik]]></category>
		<category><![CDATA[Sicherheit]]></category>
		<category><![CDATA[Cloud Act]]></category>
		<category><![CDATA[Datensicherheit]]></category>
		<category><![CDATA[DSGVO]]></category>
		<category><![CDATA[Europäische Cloud-Alternativen]]></category>
		<category><![CDATA[GAIA-X]]></category>
		<category><![CDATA[Öffentlicher Sektor]]></category>
		<category><![CDATA[Schrems II]]></category>
		<category><![CDATA[Schweiz Cloud-Verbot]]></category>
		<category><![CDATA[Souveränität]]></category>
		<category><![CDATA[US Clouddienste]]></category>
		<guid isPermaLink="false">https://blog.grams-it.com/?p=783</guid>

					<description><![CDATA[<p><img width="1024" height="1024" src="https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act.png" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="CLOUD Act" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act.png 1024w, https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act-300x300.png 300w, https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act-150x150.png 150w, https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act-768x768.png 768w" sizes="(max-width: 1024px) 100vw, 1024px" /></p>I. Die explosive Abhängigkeit: Wo globale Clouds an nationale Gesetze stoßen Die Nutzung von Cloud-Diensten, insbesondere der großen US-Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud, ist heute die Norm für Unternehmen und oft auch für öffentliche Verwaltungen. Sie bieten beispiellose Skalierbarkeit, Innovation und Kosteneffizienz. Doch diese Abhängigkeit kommt mit einem hohen [&#8230;]]]></description>
										<content:encoded><![CDATA[<p><img width="1024" height="1024" src="https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act.png" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="CLOUD Act" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act.png 1024w, https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act-300x300.png 300w, https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act-150x150.png 150w, https://blog.grams-it.com/wp-content/uploads/2025/11/CLOUD_Act-768x768.png 768w" sizes="(max-width: 1024px) 100vw, 1024px" /></p>
<h2 class="wp-block-heading">I. Die explosive Abhängigkeit: Wo globale Clouds an nationale Gesetze stoßen</h2>



<p class="wp-block-paragraph">Die Nutzung von Cloud-Diensten, insbesondere der großen US-Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud, ist heute die Norm für Unternehmen und oft auch für öffentliche Verwaltungen. Sie bieten beispiellose Skalierbarkeit, Innovation und Kosteneffizienz. Doch diese Abhängigkeit kommt mit einem hohen Preis: dem Verlust der <strong>Cloud Act Datenschutz Souveränität</strong>.</p>



<p class="wp-block-paragraph">Das Kernproblem ist der direkte Konflikt zwischen den Gesetzen, die US-Unternehmen in ihrem Heimatland befolgen müssen, und den strengen Datenschutzbestimmungen der Europäischen Union (DSGVO) sowie der Schweiz (DSG). Daten, die in Deutschland, der EU oder der Schweiz gespeichert werden, gelten nur vermeintlich als geschützt, sobald der Dienstleister seinen Hauptsitz in den USA hat.</p>



<p class="wp-block-paragraph">Dieser Artikel analysiert diesen fundamentalen Rechtskonflikt, beleuchtet den jüngsten und drastischen Präzedenzfall in der Schweiz und zieht den Vergleich zur oft zögerlichen, aber strategischen Reaktion in Deutschland und der gesamten EU. Erfahren Sie, welche Schritte Sie unternehmen müssen, um Ihre Daten wirklich souverän und rechtskonform zu halten.</p>



<h2 class="wp-block-heading">II. Das juristische Fundament des Konflikts: Der US CLOUD Act und seine Folgen</h2>



<p class="wp-block-paragraph">Der &#8222;Clarifying Lawful Overseas Use of Data Act&#8220; (kurz <strong>CLOUD Act</strong>) ist der zentrale rechtliche Dreh- und Angelpunkt, der die Datensicherheit in Europa massiv infrage stellt. Verabschiedet im Jahr 2018, nur kurz vor Inkrafttreten der DSGVO, stellt er eine direkte Bedrohung für die Datensouveränität dar.</p>



<h3 class="wp-block-heading">1. Was der CLOUD Act US-Behörden erlaubt</h3>



<p class="wp-block-paragraph">Der CLOUD Act ermächtigt US-Strafverfolgungsbehörden, von in den USA ansässigen Cloud-Dienstanbietern die Herausgabe elektronischer Daten zu verlangen. Das Entscheidende daran ist die extraterritoriale Reichweite dieses Gesetzes:</p>



<ul class="wp-block-list">
<li><strong>Unabhängig vom Speicherort:</strong> Die US-Behörden können Daten herausverlangen, selbst wenn diese physisch auf Servern in Deutschland, Frankreich, der Schweiz oder einem anderen europäischen Land gespeichert sind.</li>



<li><strong>Umgehung internationaler Rechtshilfe:</strong> Der CLOUD Act umgeht die traditionellen, zeitraubenden Mechanismen der internationalen Rechtshilfe (Mutual Legal Assistance Treaties, MLATs). Anstatt offizielle Ersuchen über diplomatische Kanäle zu stellen, kann eine US-Behörde direkt eine Vorladung an das US-Mutterunternehmen senden.</li>



<li><strong>Geheimhaltung (Gag Orders):</strong> In vielen Fällen ist es dem US-Cloud-Anbieter untersagt, seine europäischen Kunden oder die betroffenen Personen über die erfolgte Datenherausgabe zu informieren. Dies verhindert eine wirksame Rechtsverteidigung durch die Betroffenen.</li>
</ul>



<p class="wp-block-paragraph">Das bedeutet im Klartext: Ein US-Unternehmen, das Daten europäischer Kunden speichert, ist in einem Dilemma: Entweder es verstößt gegen US-Recht (Verweigerung der Herausgabe) oder es verstößt gegen europäisches Recht (unzulässige Drittlandsübermittlung ohne angemessene Garantie).</p>



<h3 class="wp-block-heading">2. <strong>DSGVO vs CLOUD Act:</strong> Ein unlösbarer Widerspruch</h3>



<p class="wp-block-paragraph">Die DSGVO ist in ihren Anforderungen an die Datenübermittlung in sogenannte Drittstaaten (wie die USA) unmissverständlich.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>DSGVO-Prinzip</th><th>CLOUD Act-Konflikt</th></tr><tr><td><strong>Angemessenes Datenschutzniveau</strong> (Art. 45)</td><td>Vom EuGH mit dem Schrems II-Urteil (2020) verneint, da die US-Überwachungsgesetze (z.B. FISA 702) exzessive Zugriffe erlauben.</td></tr><tr><td><strong>Erforderlichkeit einer Rechtsgrundlage</strong> (Art. 48)</td><td>Datenherausgabe muss auf einem internationalen Abkommen basieren (MLAT). Der CLOUD Act ignoriert dies.</td></tr><tr><td><strong>Transparenz und Informationspflicht</strong> (Art. 12-14)</td><td>Die US-Behörden können &#8222;Gag Orders&#8220; verhängen, die eine Information der betroffenen Person verhindern und somit die Transparenzpflicht der DSGVO verletzen.</td></tr></tbody></table></figure>



<p class="wp-block-paragraph">Auch wenn das transatlantische Datenaustausch-Rahmenwerk (Trans-Atlantic Data Privacy Framework, TADPF) existiert, wurde von Kritikern, darunter Max Schrems, bereits gewarnt, dass die zugrundeliegenden US-Überwachungsgesetze nicht grundlegend geändert wurden. Die rechtliche Unsicherheit bleibt bestehen und wird durch die Möglichkeit des jederzeitigen Zugriffs über den CLOUD Act zementiert.</p>



<h3 class="wp-block-heading">3. Die reale Gefahr: Digitale Sanktionen gegen den Internationalen Strafgerichtshof (ICC)</h3>



<p class="wp-block-paragraph">Die Gefahr der Abhängigkeit von US-Technologie geht über den CLOUD Act hinaus und wird durch die Möglichkeit politisch motivierter Sanktionen unterstrichen. Ein prägnantes Beispiel ist der Vorfall, bei dem der Chefankläger des Internationalen Strafgerichtshofs (ICC) in Den Haag, Karim Khan, Berichten zufolge den Zugang zu seinem <strong>Microsoft-E-Mail-Konto gesperrt</strong> bekam.</p>



<ul class="wp-block-list">
<li><strong>Der Auslöser:</strong> Die Maßnahme erfolgte mutmaßlich aufgrund einer Executive Order der US-Regierung, die Sanktionen gegen ICC-Personal vorsah. Die US-Regierung unter dem damaligen (und späteren) Präsidenten Donald Trump hatte dies als Reaktion auf Ermittlungen des ICC gegen die USA und ihren Verbündeten Israel angeordnet.</li>



<li><strong>Die Konsequenz:</strong> Ein US-Unternehmen (Microsoft), das dem US-Recht unterliegt, war gezwungen, die Dienste für eine unabhängige internationale Justizbehörde einzustellen.</li>



<li><strong>Die Bedeutung für die Souveränität:</strong> Dieser Vorfall demonstriert auf erschreckende Weise, dass die US-Regierung über US-Tech-Dienstleister einen <strong>&#8222;digitalen Notschalter&#8220;</strong> besitzt, der nicht nur auf Unternehmen, sondern auch auf internationale Organisationen und sogar die Justiz angewendet werden kann. Für alle Nutzer von US-Hyperscalern, auch in Europa, ist dies ein Weckruf: Technologische Abhängigkeit bedeutet immer auch politische und rechtliche Verwundbarkeit.</li>
</ul>



<h2 class="wp-block-heading">III. Der Präzedenzfall Schweiz: Ein breites Cloud-Verbot für Behörden</h2>



<p class="wp-block-paragraph">Während in der EU lange über die korrekte Anwendung von Standardvertragsklauseln (SCCs) diskutiert wurde, hat die Schweiz einen deutlich klareren, wenn auch drastischeren Weg eingeschlagen. Die Konferenz der kantonalen und eidgenössischen Datenschutzbeauftragten, kurz <strong>Privatim</strong>, hat eine Resolution verabschiedet, die faktisch ein breites Cloud-Verbot für Behörden bedeutet.</p>



<h3 class="wp-block-heading">1. <strong>Schweizer Cloud-Verbot Behörden:</strong> Analyse der Privatim-Resolution</h3>



<p class="wp-block-paragraph">Die am 18. November 2025 verabschiedete Resolution von Privatim stellt klar: <strong>Die Auslagerung besonders schützenswerter oder geheimhaltungspflichtiger Daten an große internationale SaaS-Anbieter ist aus Sicht des Datenschutzes heute in den meisten Fällen unzulässig.</strong></p>



<p class="wp-block-paragraph">Die Analyse der Resolution, wie sie in den Berichten von Heise und Privatim selbst dargelegt wird, legt die tiefgreifenden Bedenken der Schweizer Datenschützer offen:</p>



<ol class="wp-block-list">
<li><strong>CLOUD Act als Kernproblem:</strong> Die Resolution identifiziert den CLOUD Act explizit als Hauptrisiko. Da US-Anbieter zur Datenherausgabe verpflichtet werden können, widerspricht dies den Geheimhaltungspflichten und der Datensicherheit der Schweizer Behörden.</li>



<li><strong>Unzureichende Verschlüsselung:</strong> Die gängigen Verschlüsselungsmechanismen der Hyperscaler (z.B. bei Microsoft 365, Google Workspace) reichen nicht aus, solange der Cloud-Anbieter theoretisch Zugriff auf die Schlüssel hat oder der Entschlüsselungsprozess in einem US-dominierten System stattfindet.</li>



<li><strong>Fehlende Hilfsperson-Eigenschaft:</strong> Bei Daten, die einer gesetzlichen Geheimhaltung unterliegen (wie das Amtsgeheimnis), stellt sich die Frage, ob der externe Cloud-Anbieter überhaupt als „Hilfsperson“ im Sinne des Strafrechts gelten kann. Oftmals ist dies nicht der Fall, was eine Auslagerung von vornherein verbietet.</li>
</ol>



<p class="wp-block-paragraph">Die Resolution richtet sich dabei insbesondere an Daten mit erhöhter Schutzbedürftigkeit, wie beispielsweise Steuerdaten, Sozialdaten, Gesundheitsdaten oder vertrauliche Informationen, die dem Amtsgeheimnis unterliegen. Für diese Daten ist eine Migration auf souveräne, Schweizer oder europäische Alternativen unumgänglich.</p>



<h3 class="wp-block-heading">2. Die Reaktion: Warum die Schweiz so konsequent ist</h3>



<p class="wp-block-paragraph">Der Schweizerische Weg ist bemerkenswert konsequent. Im Gegensatz zur EU, wo die Umsetzung der DSGVO durch die Aufsichtsbehörden oft zersplittert ist, zeigt die Schweiz mit der Privatim-Resolution eine geschlossene Front:</p>



<ul class="wp-block-list">
<li><strong>Klare Gesetzgebung (revDSG):</strong> Das revidierte Schweizer Datenschutzgesetz (revDSG) hat die Anforderungen an die Datenübermittlung und -sicherheit verschärft. Die Datenschützer interpretieren diese Regeln nun sehr restriktiv, wenn es um Drittstaaten mit fragwürdiger Rechtslage geht.</li>



<li><strong>Schutz des Amtsgeheimnisses:</strong> Für Behörden ist die Einhaltung des Amtsgeheimnisses eine zentrale gesetzliche Pflicht. Die Existenz des CLOUD Acts schafft eine rechtliche Grauzone, die als unvereinbar mit dieser Pflicht angesehen wird.</li>



<li><strong>Pragmatismus:</strong> Anstatt sich auf komplizierte rechtliche Konstrukte wie SCCs und TMPs zu verlassen, setzt die Schweiz auf klare Verbote für sensible Bereiche. Die einzige akzeptierte Lösung für internationale SaaS-Lösungen ist die <strong>vollständige Client-Side-Encryption</strong>, bei der die Behörden die Daten selbst verschlüsseln und der Cloud-Anbieter keinen Zugriff auf die Schlüssel hat.</li>
</ul>



<p class="wp-block-paragraph">Die Schweizer Entscheidung stellt damit einen bedeutenden Impuls für ganz Europa dar und beweist, dass Datensouveränität im öffentlichen Sektor keine Option, sondern eine Notwendigkeit ist.</p>



<h2 class="wp-block-heading">IV. Deutschland und die EU: Zwischen Zögerlichkeit und dem Wunsch nach <strong>Datensouveränität Deutschland</strong></h2>



<p class="wp-block-paragraph">Die Situation in Deutschland und der EU ist von einer ähnlichen Erkenntnis geprägt wie in der Schweiz, unterscheidet sich aber in der Geschwindigkeit und dem Grad der Umsetzung. Während die Schweiz ein Verbot ausspricht, arbeitet die EU an einem komplexen Rahmenwerk zur Stärkung der <strong>EU Cloud-Verordnung</strong> und der digitalen Unabhängigkeit.</p>



<h3 class="wp-block-heading">1. Die Rolle von Schrems II und die Haltung der deutschen Aufsichtsbehörden</h3>



<p class="wp-block-paragraph">Seit dem wegweisenden <strong>Schrems II-Urteil</strong> des Europäischen Gerichtshofs (EuGH) im Juli 2020 ist klar: Die USA bieten kein angemessenes Schutzniveau für personenbezogene Daten im Sinne der DSGVO. Das Urteil kippte das Abkommen &#8222;Privacy Shield&#8220; und zwang Unternehmen, bei Datentransfers in die USA Standardvertragsklauseln (SCCs) zu verwenden, die jedoch nur wirksam sind, wenn &#8222;zusätzliche Maßnahmen&#8220; (Technical and Organisational Measures, TOMs) ergriffen werden, die den Zugriff durch US-Behörden effektiv verhindern.</p>



<h4 class="wp-block-heading">Die Position der Deutschen DPCs:</h4>



<p class="wp-block-paragraph">Die deutschen Datenschutzkonferenzen (DPCs) haben immer wieder betont, dass für Cloud-Dienste, die dem CLOUD Act unterliegen, eine Konformität mit der DSGVO kaum zu gewährleisten ist, insbesondere im Kontext von Telemetrie- und Metadaten.</p>



<ul class="wp-block-list">
<li><strong>Öffentlicher Sektor in Deutschland:</strong> Die Nutzung von US Cloud-Anbietern im öffentlichen Sektor ist in vielen Bundesländern stark eingeschränkt oder nur unter Vorbehalt erlaubt. <strong>Das prominenteste Beispiel ist Microsoft 365 (M365):</strong> Obwohl Datenschutzkonferenzen und Aufsichtsbehörden (wie kürzlich der HBDI in Hessen) die Nutzung für sensible Daten wegen des CLOUD Acts und der unklaren Telemetrie-Kontrolle untersagten oder stark einschränkten, wird M365 aufgrund des Digitalisierungsdrucks und mangels praktikabler Alternativen weiterhin häufig von Bundes- und Landesbehörden eingesetzt. Dies unterstreicht den enormen Konflikt zwischen operativer Notwendigkeit und der Pflicht zur <strong>Datensouveränität Deutschland</strong>.</li>



<li><strong>Konkrete Anleitung aus Hessen:</strong> Der Hessische Datenschutzbeauftragte (HBDI) veröffentlichte kürzlich eine detaillierte Orientierungshilfe zur datenschutzkonformen Nutzung von Microsoft 365. Diese Anleitung unterstreicht die extrem hohen technischen und organisatorischen Anforderungen (TOMs), die erfüllt werden müssen – insbesondere in Bezug auf Telemetriedaten und die Schlüsselverwaltung (Key Management), um die europäische <strong>Cloud Act Datenschutz Souveränität</strong> zu gewährleisten. Sie bekräftigt im Grunde die Notwendigkeit einer Client-Side-Encryption für schützenswerte Daten.</li>



<li><strong>Unzureichende &#8222;Sovereign Cloud&#8220;-Angebote:</strong> US-Anbieter reagieren mit sogenannten &#8222;European Sovereign Cloud&#8220; oder &#8222;EU Data Boundary&#8220;-Angeboten. Diese versprechen, dass Daten in europäischen Rechenzentren bleiben und die Datenverarbeitung europäischen Mitarbeitern unterliegt. ABER: Wie aus den Suchergebnissen hervorgeht, bestätigen selbst Manager von Microsoft in Anhörungen, dass die rechtliche Zuständigkeit des US-Mutterunternehmens bestehen bleibt und der CLOUD Act somit weiter greift. Der Standort Europa allein schützt nicht vor US-Zugriff.</li>
</ul>



<p class="wp-block-paragraph">Die deutsche Rechtslage ist damit zwar nuancierter als das Schweizer Verbot, läuft aber auf dieselbe Erkenntnis hinaus: Ohne technische Garantie, dass der US-Anbieter keinen Zugriff auf die unverschlüsselten Daten hat, ist die Nutzung für sensible Daten nach DSGVO nicht konform.</p>



<h3 class="wp-block-heading">2. Europas Antwort: <strong>GAIA-X</strong> und der regulatorische Rahmen</h3>



<p class="wp-block-paragraph">Die EU reagiert auf die Herausforderungen des CLOUD Acts nicht nur mit Verboten, sondern vor allem mit dem Aufbau einer eigenen, souveränen digitalen Infrastruktur und einem starken Regulierungsrahmen.</p>



<h4 class="wp-block-heading">Das Projekt GAIA-X: Ein souveräner Datenraum</h4>



<p class="wp-block-paragraph"><strong>GAIA-X</strong> ist eine der wichtigsten strategischen Initiativen zur Verwirklichung digitaler Souveränität in Europa. Es ist kein Cloud-Anbieter im klassischen Sinne, sondern ein föderiertes System, das europäische Dateninfrastrukturen zusammenführen soll.</p>



<ul class="wp-block-list">
<li><strong>Zielsetzung:</strong> Schaffung eines transparenten und sicheren Datenökosystems, das den europäischen Werten und Standards entspricht (Datenschutz, Transparenz, Portabilität).</li>



<li><strong>Prinzipien:</strong> Zentral sind die Prinzipien der <strong>Datensouveränität</strong> (der Nutzer behält die Kontrolle über seine Daten), <strong>Interoperabilität</strong> (Daten und Dienste können leicht zwischen Anbietern gewechselt werden) und <strong>Vertrauen</strong> (durch die Einhaltung definierter Regeln).</li>



<li><strong>Herausforderungen:</strong> Das Projekt wird oft kritisiert für seine langsame Umsetzung, seine Komplexität und die Tatsache, dass auch US-Unternehmen teilnehmen können – allerdings nur unter der Bedingung, dass sie sich den GAIA-X-Regeln unterwerfen, was die rechtliche Herausforderung des CLOUD Acts nicht automatisch löst. Es ist ein notwendiger Schritt, aber noch kein Garant für vollständige Unabhängigkeit.</li>
</ul>



<h4 class="wp-block-heading">Die Regulatorische Offensive der EU</h4>



<p class="wp-block-paragraph">Flankiert wird GAIA-X durch eine Reihe neuer EU-Gesetze und -Verordnungen, die die digitale Autonomie Europas stärken sollen:</p>



<ol class="wp-block-list">
<li><strong>EU Data Act:</strong> Zielt darauf ab, fairen Zugang und Nutzung von Daten zu gewährleisten. Er stärkt die Portabilität und soll es Nutzern erleichtern, zwischen <strong>Europäische Cloud-Alternativen</strong> zu wechseln, was die Abhängigkeit von einzelnen Hyperscalern verringert.</li>



<li><strong>NIS 2-Richtlinie:</strong> Verbessert die Cybersicherheit und die Resilienz kritischer Infrastrukturen. Sie fordert höhere Sicherheitsstandards und engere Zusammenarbeit, was indirekt die Notwendigkeit souveräner, sicherer Cloud-Lösungen unter europäischer Kontrolle verstärkt.</li>



<li><strong>Cyber Resilience Act:</strong> Fokussiert auf die Sicherheit vernetzter Produkte (Hardware und Software), was die gesamte Lieferkette, einschließlich der Cloud-Dienste, in die Pflicht nimmt.</li>
</ol>



<p class="wp-block-paragraph">Die EU setzt somit auf einen doppelten Ansatz: Aufbau eigener Infrastruktur (GAIA-X) und Schaffung eines regulatorischen Rahmens, der eine echte <strong>Cloud Act Datenschutz Souveränität</strong> erzwingen soll, auch wenn die Anbieter außerhalb Europas sitzen.</p>



<h2 class="wp-block-heading">V. Strategien für Unternehmen: Den Weg zur Datensouveränität gestalten</h2>



<p class="wp-block-paragraph">Der Fall Schweiz zeigt, dass die Zeit der unverbindlichen Diskussionen vorbei ist. Unternehmen und Verwaltungen in Deutschland und der EU müssen jetzt proaktiv handeln, um die rechtlichen Risiken und Bußgelder nach DSGVO zu vermeiden und die <strong>Datensouveränität</strong> zu wahren.</p>



<h3 class="wp-block-heading">1. Risikobewertung und Klassifizierung der Daten</h3>



<p class="wp-block-paragraph">Der erste Schritt ist die ehrliche Bestandsaufnahme:</p>



<ul class="wp-block-list">
<li><strong>Datenschutz-Folgenabschätzung (DSFA):</strong> Führen Sie eine detaillierte DSFA für jeden Cloud-Dienst durch. Das Risiko des CLOUD Acts muss explizit bewertet und dokumentiert werden.</li>



<li><strong>Datenklassifizierung:</strong> Klassifizieren Sie Ihre Daten nach ihrem Schutzbedarf (öffentlich, intern, vertraulich, geheim). Sensible und besonders schützenswerte Daten (Gesundheitsdaten, Finanzdaten, Betriebsgeheimnisse) sollten niemals unverschlüsselt bei einem US-Anbieter gespeichert werden.</li>
</ul>



<h3 class="wp-block-heading">2. Technische und Organisatorische Maßnahmen (TOMs) als Schlüssel</h3>



<p class="wp-block-paragraph">Um die Lücke zwischen CLOUD Act und DSGVO zu schließen, sind die TOMs entscheidend. Standortgarantien von <strong>US Cloud Anbieter DSGVO</strong>-konform zu machen, reicht nicht aus.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><th>Strategie</th><th>Beschreibung</th><th>Effekt auf CLOUD Act</th></tr><tr><td><strong>Client-Side-Encryption (CSE)</strong></td><td>Die Daten werden bereits auf dem Endgerät oder im Rechenzentrum des Kunden verschlüsselt, <em>bevor</em> sie zum Cloud-Anbieter übertragen werden. Der Schlüssel verlässt niemals den europäischen oder souveränen Bereich.</td><td><strong>Höchster Schutz:</strong> US-Behörden erhalten lediglich Chiffretext ohne Entschlüsselungs-Key.</td></tr><tr><td><strong>Zero-Trust-Architekturen</strong></td><td>Kein Nutzer, kein Gerät und kein Dienst wird standardmäßig vertraut. Der Zugriff auf Daten wird nur auf Basis strengster Berechtigungen gewährt.</td><td><strong>Erhöhte Hürde:</strong> Minimiert die Angriffsfläche und den potenziellen Schaden bei einem erzwungenen Zugriff.</td></tr><tr><td><strong>Pseudonymisierung</strong></td><td>Personenbezogene Daten werden durch Identifikatoren ersetzt, die nur mit zusätzlichem Wissen (Schlüssel) wieder der betroffenen Person zugeordnet werden können.</td><td><strong>Rechtliche Minimierung:</strong> Bei einem CLOUD Act-Zugriff werden nur pseudonyme Daten herausgegeben, deren Wiederherstellung des Personenbezugs in den USA unmöglich ist.</td></tr><tr><td><strong>Europäisches Key Management</strong></td><td>Die Schlüsselverwaltung (Key Management Service, KMS) wird vollständig vom Kunden oder einem europäischen Drittanbieter in einem vertrauenswürdigen Rechtsraum betrieben.</td><td><strong>Rechtliche Kontrolle:</strong> Verhindert, dass der US-Anbieter oder US-Behörden die Schlüssel über den CLOUD Act erlangen.</td></tr></tbody></table></figure>



<h3 class="wp-block-heading">3. Der Fokus auf <strong>Europäische Cloud-Alternativen</strong></h3>



<p class="wp-block-paragraph">Langfristig ist die digitale Unabhängigkeit nur durch die Nutzung von Anbietern zu erreichen, die technologisch, organisatorisch und rechtlich vollständig dem europäischen Recht unterliegen.</p>



<ul class="wp-block-list">
<li><strong>Rechtssicherheit:</strong> Die Wahl eines Anbieters mit Hauptsitz in der EU (z.B. Deutschland, Frankreich, Skandinavien) und Rechenzentren in der EU/Schweiz bietet die größtmögliche Sicherheit, da dieser nicht dem CLOUD Act unterliegt.</li>



<li><strong>Open Source-Lösungen:</strong> Die Nutzung von Open Source-Plattformen, deren Quellcode transparent und überprüfbar ist, fördert das Vertrauen und die <strong>Cloud Act Datenschutz Souveränität</strong>.</li>



<li><strong>Föderierte Ansätze:</strong> Lösungen, die es erlauben, Daten dezentral und auf verschiedenen Clouds zu speichern, reduzieren die Abhängigkeit von einem einzigen Hyperscaler.</li>
</ul>



<h4 class="wp-block-heading">Technologische Basis: KVM und Proxmox VE</h4>



<p class="wp-block-paragraph">Für den Aufbau souveräner europäischer Cloud-Infrastrukturen auf Hypervisor-Ebene (IaaS) bieten <strong>KVM (Kernel-based Virtual Machine)</strong> und <strong>Proxmox Virtual Environment (VE)</strong> ideale technische Voraussetzungen. Als stabile, quelloffene und in Europa entwickelte bzw. stark genutzte Lösungen ermöglichen sie eine hohe Kontrolle über die Virtualisierungsebene. Die größte Herausforderung ist derzeit jedoch die Schaffung einer umfassenden, mandantenfähigen und modularen Verwaltungsschicht (Management Plane), die es Kunden erlaubt, ihre eigene Infrastruktur so einfach und flexibel &#8222;zusammenzuklicken&#8220;, wie dies bei den IaaS-Angeboten von Azure oder AWS der Fall ist. Hier besteht noch Entwicklungsbedarf, um die Wettbewerbsfähigkeit zu gewährleisten.</p>



<p class="wp-block-paragraph">Angesichts dieser dringenden rechtlichen und souveränitätspolitischen Notwendigkeit ist es umso verwunderlicher, dass bisher keine europäische Firma oder kein Dienstleister in der Lage war, eine marktreife, EU-eigene Lösung zu etablieren, die in ihrer Benutzerfreundlichkeit und Modulhaftigkeit (Verwaltungsebene) den US-Hyperscalern ebenbürtig ist. Hier muss dringend die EU und müssen Länder wie Deutschland die Schirmherrschaft übernehmen und eine dedizierte Task Force gründen, um diese existenzielle Lücke schnellstmöglich zu schließen und europäische Lösungsanbieter gezielt zu unterstützen.</p>



<p class="wp-block-paragraph">Die <strong>Cloud Act Datenschutz Souveränität</strong> ist kein technisches, sondern ein rechtliches Problem. Es erfordert einen Paradigmenwechsel: Von der Akzeptanz des geringsten Widerstands (US-Hyperscaler) hin zur bewussten Wahl souveräner und rechtskonformer Lösungen.</p>



<h2 class="wp-block-heading">VI. Schlussfolgerung und Ihr Weg zur Datensouveränität (CTA)</h2>



<p class="wp-block-paragraph">Der Konflikt zwischen dem US CLOUD Act und den europäischen Datenschutzgesetzen ist eine der größten Herausforderungen der digitalen Ära. Die klare Position der Schweizer Datenschützer, die ein faktisches <strong>Schweizer Cloud-Verbot Behörden</strong> für sensible Daten verhängen, unterstreicht die Realität der Bedrohung: Der Zugriff durch US-Behörden, selbst auf europäisch gespeicherte Daten, ist ein ungelöstes Problem. Der Vorfall mit dem <strong>Internationalen Strafgerichtshof (ICC)</strong> zeigt zudem die extreme Verwundbarkeit durch digitale Sanktionen auf.</p>



<p class="wp-block-paragraph">Deutschland und die EU reagieren mit strategischen Infrastrukturprojekten wie <strong>GAIA-X</strong> und einer verschärften Regulierung (Data Act, NIS 2), um die <strong>Datensouveränität Deutschland</strong> zu sichern. Doch diese Initiativen brauchen Zeit.</p>



<p class="wp-block-paragraph">Für Ihr Unternehmen oder Ihre Behörde bedeutet dies:</p>



<ol class="wp-block-list">
<li><strong>Akzeptieren Sie das Risiko:</strong> Die bloße Speicherung in europäischen Rechenzentren eines US-Anbieters schützt nicht vor dem CLOUD Act oder politischen Sanktionen.</li>



<li><strong>Verschlüsseln Sie selbst:</strong> Nur die vollständige Client-Side-Encryption, bei der Sie die Schlüsselkontrolle behalten, bietet echten Schutz für sensible Daten.</li>



<li><strong>Evaluieren Sie Alternativen:</strong> Prüfen Sie proaktiv <strong>Europäische Cloud-Alternativen</strong>, die unter rein europäischer Jurisdiktion operieren.</li>
</ol>



<p class="wp-block-paragraph">Die <strong>Cloud Act Datenschutz Souveränität</strong> ist die Basis für das Vertrauen Ihrer Kunden und die Einhaltung Ihrer gesetzlichen Pflichten. Warten Sie nicht auf das nächste Schrems-Urteil oder ein Verbot; handeln Sie jetzt.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Digitaler Drahtseilakt: Wie die EU ihre Souveränität aufs Spiel setzt</title>
		<link>https://blog.grams-it.com/2025/05/24/digitaler-drahtseilakt-wie-die-eu-ihre-souveraenitaet-aufs-spiel-setzt/</link>
		
		<dc:creator><![CDATA[]]></dc:creator>
		<pubDate>Sat, 24 May 2025 12:36:45 +0000</pubDate>
				<category><![CDATA[Datenschutz]]></category>
		<category><![CDATA[Deutschland]]></category>
		<category><![CDATA[EU]]></category>
		<category><![CDATA[Europäische Union]]></category>
		<category><![CDATA[IT-Sicherheit]]></category>
		<category><![CDATA[Politik]]></category>
		<category><![CDATA[Sicherheit]]></category>
		<category><![CDATA[USA]]></category>
		<category><![CDATA[Cloud]]></category>
		<category><![CDATA[Daten]]></category>
		<category><![CDATA[Digitale Souveränität]]></category>
		<category><![CDATA[Donald Trump]]></category>
		<category><![CDATA[DSGVO]]></category>
		<category><![CDATA[PCLOB]]></category>
		<category><![CDATA[TADPF]]></category>
		<guid isPermaLink="false">https://blog.grams-it.com/?p=502</guid>

					<description><![CDATA[<p><img width="640" height="427" src="https://blog.grams-it.com/wp-content/uploads/2022/04/EU.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="Europäische Union" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2022/04/EU.jpg 640w, https://blog.grams-it.com/wp-content/uploads/2022/04/EU-300x200.jpg 300w" sizes="(max-width: 640px) 100vw, 640px" /></p>Einleitung Die Digitale Souveränität Europas steht auf dem Prüfstand. Während die Europäische Union stets betont, die Daten ihrer Bürger schützen zu wollen, offenbart der Umgang mit Datentransfers in die USA eine bemerkenswerte juristische Akrobatik. Faktisch sind die Daten von EU-Bürgern in den USA nicht vor dem Zugriff von Behörden und Providern geschützt. Doch anstatt durch [&#8230;]]]></description>
										<content:encoded><![CDATA[<p><img width="640" height="427" src="https://blog.grams-it.com/wp-content/uploads/2022/04/EU.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="Europäische Union" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2022/04/EU.jpg 640w, https://blog.grams-it.com/wp-content/uploads/2022/04/EU-300x200.jpg 300w" sizes="(max-width: 640px) 100vw, 640px" /></p>
<h3 class="wp-block-heading">Einleitung</h3>



<p class="wp-block-paragraph">Die <em>Digitale Souveränität</em> Europas steht auf dem Prüfstand. Während die Europäische Union stets betont, die Daten ihrer Bürger schützen zu wollen, offenbart der Umgang mit Datentransfers in die <em>USA</em> eine bemerkenswerte juristische Akrobatik. Faktisch sind die Daten von <em>EU</em>-Bürgern in den <em>USA</em> nicht vor dem Zugriff von Behörden und Providern geschützt. Doch anstatt durch klare Gesetzgebung die eigene Souveränität einzufordern, passt die <em>EU</em> lieber bestehendes Recht an, um die Nutzung US-amerikanischer <em>Clouds</em> weiterhin zu ermöglichen. Dies wirft ernsthafte Fragen zur Glaubwürdigkeit und zum effektiven <em>Datenschutz</em> auf. Dieser Beitrag beleuchtet die komplexen Verwicklungen und die daraus resultierenden Herausforderungen für die <em>Datensouveränität</em> Europas.</p>



<h3 class="wp-block-heading">Der heikle Start von EU-Kommissar McGrath im transatlantischen Kreuzfeuer</h3>



<p class="wp-block-paragraph">Michael McGrath, der <em>EU</em>-Kommissar für Demokratie, Justiz und Verbraucherschutz, fand sich kurz nach seinem Amtsantritt inmitten einer transatlantischen Krise wieder. Seine Treffen in Washington, D.C. mit einflussreichen US-Tech-Lobbyisten von Konzernen wie Meta, Apple und Amazon zeigten, wie sehr die <em>Datenschutz-Grundverordnung</em> (<em>DSGVO</em>) im Zentrum der Diskussionen steht. Diese Gespräche dürften, angesichts der angespannten Lage, alles andere als angenehm gewesen sein.</p>



<p class="wp-block-paragraph">Besonders aufschlussreich war McGraths Treffen mit Beth Williams vom Privacy and Civil Liberties Oversight Board (PCLOB). Seine Aussage auf X, man habe das &#8222;volle Engagement für die Umsetzung des EU-US-Datenschutzrahmens&#8220; erörtert, erhielt eine unfreiwillig komische Note, als bekannt wurde, dass Williams zum Zeitpunkt des Treffens das einzige verbleibende Mitglied des PCLOB war. Alle anderen Mitglieder waren zuvor von <em>Donald Trump</em> entlassen worden.</p>



<p class="wp-block-paragraph">Das PCLOB, angeblich ein unabhängiges Gremium zur Überwachung der US-Geheimdienste, ist damit derzeit handlungsunfähig. Diese Situation verunsichert viele europäische Unternehmen, die Daten in US-Clouds speichern und verarbeiten. Die Rechtsgrundlage für ihre Datentransfers könnte durch zukünftige Handlungen der US-Regierung, insbesondere unter <em>Donald Trump</em>, jederzeit entzogen werden.</p>



<h3 class="wp-block-heading">Der Angemessenheitsbeschluss und seine fragile Grundlage</h3>



<p class="wp-block-paragraph">Die aktuelle Rechtsgrundlage für Datentransfers in die <em>USA</em> basiert auf einem Angemessenheitsbeschluss, den die <em>EU</em>-Kommission im Juli 2023 gemäß Art. 45 <em>DSGVO</em> verabschiedet hat. Dieser Beschluss bestätigt, dass die <em>USA</em> ein vergleichbares <em>Datenschutzniveau</em> wie die <em>DSGVO</em> bieten. Voraussetzung hierfür ist, dass sich das verarbeitende US-Unternehmen dem „EU-US Trans-Atlantic Data Privacy Framework“ (TADPF) unterwirft und sich jährlich selbst zertifiziert.</p>



<p class="wp-block-paragraph">Diesem Beschluss gingen lange Verhandlungen zwischen der <em>EU</em>-Kommission und der US-Regierung unter Präsident Joe Biden voraus. Biden musste zusichern, dass der Zugriff auf Daten von <em>EU</em>-Bürgern durch US-Behörden auf das „Notwendige“ und „Verhältnismäßige“ beschränkt wird. Ähnliche Zusicherungen waren zuvor zweimal gescheitert, was zur Folge hatte, dass die beiden vorherigen Angemessenheitsbeschlüsse – „Safe Harbour“ und „Privacy Shield“ – durch Klagen des österreichischen <em>Datenschutz</em>-Aktivisten Max Schrems vom Europäischen Gerichtshof (EuGH) gekippt wurden.</p>



<h3 class="wp-block-heading">Die &#8222;heilende&#8220; Biden-Verordnung: Eine temporäre Lösung?</h3>



<p class="wp-block-paragraph">Im Oktober 2022 etablierte Joe Biden ein neues Regime. Er rief das PCLOB ins Leben, um das Verhalten von US-Geheimdiensten im Hinblick auf das <em>EU</em>&#8211;<em>Datenschutzniveau</em> zu überwachen. Ein Civil Liberties Protection Officer (CLPO) soll intern die Aktivitäten der US-Inlandsgeheimdienste überwachen und Beschwerden von <em>EU</em>-Bürgern annehmen. Des Weiteren wurde der „Data Protection Review Court“ (DPRC) geschaffen, der diese Beschwerden unabhängig in zweiter Instanz prüfen soll. Doch Bürgerrechtler zweifeln an der tatsächlichen Unabhängigkeit dieses Pseudogerichts.</p>



<p class="wp-block-paragraph">Die größte Kritik, allen voran von Max Schrems, richtet sich jedoch gegen die Form der Biden’schen Zusicherungen. Der US-Präsident änderte keine Gesetze, sondern erließ lediglich eine Verordnung (Executive Order – EO 14086), die von seinem Nachfolger jederzeit widerrufen werden kann. EO 14086 definiert viele Mechanismen, auf denen der <em>EU</em>-Angemessenheitsbeschluss fußt. Mit der Quasi-Ausschaltung des PCLOB hat <em>Donald Trump</em> bereits einen ersten Grundpfeiler des Abkommens erschüttert. Es ist wahrscheinlich, dass er noch in der ersten Jahreshälfte 2025 die gesamte EO 14086 annullieren könnte.</p>



<h3 class="wp-block-heading">Kein Plan B in Sicht: Die Konsequenzen eines Scheiterns</h3>



<p class="wp-block-paragraph">Auf ein solches Worst-Case-Szenario scheint die <em>EU</em>-Kommission nicht vorbereitet zu sein. Ein Plan B ist bislang nicht in Sicht. Fiele die EO 14086 weg, entfiele de facto die Grundlage für den Angemessenheitsbeschluss, der dann ebenfalls umgehend fallen müsste. Das <em>EU</em>-Parlament, insbesondere der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), fordert die Kommission bereits auf, den Beschluss zumindest infrage zu stellen.</p>



<p class="wp-block-paragraph">Was wären die konkreten Folgen, wenn der auf dem TADPF beruhende Angemessenheitsbeschluss wegfiele? Sowohl <em>EU</em>-Unternehmen als auch US-Konzerne, die auf dieser Basis Daten von <em>EU</em>-Bürgern in die <em>USA</em> transferieren, könnten sich nicht mehr darauf berufen. Dies beträfe Giganten wie Meta, Google, Amazon, Apple, Microsoft und X. Sie müssten, wie zuletzt vor dem TADPF, die Transfers wieder auf die sogenannten Standardvertragsklauseln nach Art. 46 <em>DSGVO</em> stützen, was mit erheblichem Compliance-Aufwand und Unsicherheiten verbunden wäre.</p>



<p class="wp-block-paragraph">Es ist jedoch anzumerken, dass <em>EU</em>&#8211;<em>Datenschutz</em>-Aufsichtsbehörden den Einsatz dieser Klauseln bisher nie ernsthaft kritisiert haben. In <em>Deutschland</em> sind keine nennenswerten Sanktionen aufgrund illegaler US-Datentransfers seit Inkrafttreten der <em>DSGVO</em> im Mai 2018 bekannt. Unternehmen und Behörden müssen folglich eher damit rechnen, dass der Datentransfer unbequemer wird, als dass ihnen in naher Zukunft ernsthaft an den Kragen geht. Dies ist jedoch ein schleichender Prozess, der die <em>Digitale Souveränität</em> und den <em>Datenschutz</em> massiv untergräbt.</p>



<h3 class="wp-block-heading">US-Gesetze: Die eigentliche Wurzel des Problems</h3>



<p class="wp-block-paragraph">All diese Probleme existieren, weil US-amerikanische Gesetze sowohl den Geheimdiensten als auch Strafverfolgungsbehörden weitreichenden Zugriff auf personenbezogene Daten ohne ausreichende Widerspruchsmöglichkeiten gewähren. Dies macht es für die <em>EU</em> so kompliziert, den Transfer dieser <em>Daten</em> auf US-Server zu legitimieren, selbst wenn diese physisch auf <em>EU</em>-Gebiet stehen.</p>



<p class="wp-block-paragraph">Konkret geht es um den Electronic Communications Privacy Act (ECPA) aus dem Jahr 1986 und den Foreign Intelligence Surveillance Act (FISA) aus dem Jahr 1978. Der FISA ermächtigt US-Nachrichtendienste, ohne individuelle Genehmigung Telekommunikation im Ausland abzuhören und Personen zu überwachen, die in den <em>USA</em> wohnen. Die Snowden-Enthüllungen haben spätestens gezeigt, dass <em>Daten</em> von <em>EU</em>-Bürgern, die auf US-Servern gespeichert sind, jederzeit im Zugriff von US-Behörden liegen.</p>



<p class="wp-block-paragraph">Ein Teil des ECPA ist der Stored Communications Act (SCA). Dieser wurde durch den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) im Jahr 2018 ergänzt. Der CLOUD Act bestimmt, dass US-Cloudanbieter personenbezogene <em>Daten</em> auch dann herausgeben müssen, wenn sich diese außerhalb des US-Territoriums befinden, beispielsweise auf Microsoft-Servern in der <em>EU</em>. Die Transparenzreports der US-Konzerne belegen, dass die US-Behörden umfangreich Gebrauch von diesen Gesetzen machen.</p>



<p class="wp-block-paragraph">Für die <em>EU</em>-Kommission gleicht es daher der Quadratur des Kreises, eine <em>DSGVO</em>-konforme Angemessenheit zu bescheinigen, obwohl diese eindeutig nicht existiert. Weder eine Selbstzertifizierung der Anbieter noch eine notgedrungene Beschwerdeinstanz wie das PCLOB können hier Abhilfe schaffen. Die <em>EU</em> muss hier ihre <em>Digitale Souveränität</em> stärken.</p>



<p class="wp-block-paragraph">Faktisch gingen die rechtlichen Maßnahmen stets an der Realität vorbei. Ihr primäres Ziel scheint zu sein, den Datentransfer zu ermöglichen, da daran viele Milliarden US-Dollar Umsatz der Tech-Branche hängen. Auf der Strecke bleibt dabei die Glaubwürdigkeit der <em>EU</em>-Institutionen im Bereich <em>Datenschutz</em>. Juristen sind sich einig, dass tatsächlicher Zugriffsschutz von <em>EU</em>&#8211;<em>Daten</em> in den <em>USA</em> nur mit Ende-zu-Ende-Verschlüsselung möglich ist. Dies würde jedoch die Verarbeitung der <em>Daten</em> in den <em>Clouds</em> verhindern, Projekte verteuern und den Interessen der Konzerne, die mit der Auswertung der <em>Daten</em> Geld verdienen, zuwiderlaufen.</p>



<h3 class="wp-block-heading">Automatisierte Inhaltskontrolle: Ein weiteres Dilemma der Digitalisierung</h3>



<p class="wp-block-paragraph">Doch nicht nur wegen des Profits drückt die <em>EU</em> mindestens ein Auge zu. Clouddienste, die personenbezogene <em>Daten</em> von Konsumenten speichern, sollen sogar ausdrücklich diese Inhalte einsehen und überprüfen dürfen. Hier geht es um verbotenes Material, vornehmlich Bilder und Videos, insbesondere Darstellungen von Kindesmissbrauch (Child Sexual Abuse Material, CSAM). Anbieter wie Meta, Microsoft und Google scannen abgelegte Inhalte wie Mails und Fotos automatisiert und leiten Funde inklusive Angaben zum Datenbesitzer an das US-amerikanische National Center for Missing &amp; Exploited Children (NCMEC) weiter. Allein 2023 erhielt das NCMEC 36,2 Millionen derartige Hinweise von Providern.</p>



<p class="wp-block-paragraph">Diese automatisierten Inhaltsscans funktionieren teils auf fragwürdiger Basis, und es gab bereits Fälle von falsch positiven Treffern, die für Kunden gravierende Folgen hatten. Die persönlichen Kundendaten werden dabei entweder gar nicht oder nur mit einem Generalschlüssel vor Zugriff geschützt, was generell nicht im Sinne der <em>DSGVO</em> ist. Dennoch hat die <em>EU</em>-Kommission eine vorübergehende <em>EU</em>-Verordnung (2024/1307) erlassen, die Cloudanbietern erlaubt, freiwillig automatisiert die Inhalte der Nutzer zur Aufspürung von CSAM-Material zu durchsuchen.</p>



<p class="wp-block-paragraph">Diese Verordnung läuft 2026 aus, was Handlungsbedarf signalisiert. Ein Teil der Mitgliedstaaten will sie entfristen und dahingehend verschärfen, dass Provider verpflichtend auch in verschlüsselte Inhalte schauen müssen – ein Vorhaben, das unter dem Begriff „Chatkontrolle“ bekannt ist und heftig kritisiert wird. Ob der polnische Justizminister Adam Bodnar die streitenden Mitgliedstaaten überzeugen kann, die freiwillige Kontrolle zu entfristen oder zu verlängern, ist derzeit noch offen.</p>



<h3 class="wp-block-heading">Die löchrige EU-Datengrenze und die Abhängigkeit von Microsoft</h3>



<p class="wp-block-paragraph">Während all dieser Diskussionen wird sich die <em>EU</em> noch mit dem eigentlichen Elefanten im Raum beschäftigen müssen: Microsoft. Mit seinen zahlreichen Services rund um das Cloud-Paket Microsoft 365 ist der Konzern zu einem faktisch unverzichtbaren Bestandteil europäischer Kommunikationsinfrastruktur geworden. Nähme man deutschen Unternehmen und Behörden diese Infrastruktur von einem Tag auf den anderen weg, bestünde die Gefahr eines staatlichen Blackouts.</p>



<p class="wp-block-paragraph">Dabei haben inzwischen viele Aufsichtsbehörden bestätigt, dass der Einsatz von Microsoft 365 in der <em>EU</em> kaum <em>DSGVO</em>-konform möglich ist. Die Zusicherungen des Konzerns reichen nicht aus, und viele Kundendaten liegen nun einmal auf Servern, die dem US-Zugriff unterliegen. Im Dauerkonflikt mit den <em>EU</em>&#8211;<em>Datenschutz</em>-Behörden versucht Microsoft aus Redmond permanent, die Wogen zu glätten.</p>



<p class="wp-block-paragraph">Am 27. Februar 2025 verkündete Microsoft den Abschluss seines mehrjährigen Projekts der „<em>EU</em>-Datengrenze“ (EU Boundary) für die Cloud. <em>EU</em>-Kunden „aus dem privatwirtschaftlichen und öffentlichen Sektor können ihre Kundendaten und pseudonymisierten personenbezogenen <em>Daten</em> für die zentralen Cloud-Dienste von Microsoft – einschließlich Microsoft 365, Dynamics 365, Power Platform und der meisten Azure-Dienste – innerhalb der <em>EU</em>&#8211; und EFTA-Regionen speichern und verarbeiten“. Auch vom CLOUD Act sollen diese <em>Daten</em> verschont sein.</p>



<p class="wp-block-paragraph">Kritiker monieren jedoch, dass die Datengrenze bislang löchrig und damit unwirksam sei. Microsoft <em>USA</em> gestattet sich selbst „Remotezugriff auf in der <em>EU</em>-Datengrenze gespeicherte und verarbeitete <em>Daten</em>“ in Einzelfällen. Zwar betont Microsoft, dass im Bedarfsfall „modernste Verschlüsselung“ zum Schutz der <em>Daten</em> eingesetzt werde. Doch dieser Einwand beruht auf der Annahme, dass sich die Gesetze in den <em>USA</em> nicht verändern und dass Unternehmen, Regierung und Justiz sich stets an geltendes Recht halten. Die aktuelle politische Situation, insbesondere unter <em>Donald Trump</em>, lässt daran ernsthafte Zweifel aufkommen. Die kürzlichen Sanktionen von <em>Donald Trump</em> gegen den Internationalen Gerichtshof und die darauf folgende Abschaltung von E-Mail-Diensten durch Microsoft zeigen, dass die <em>Digitale Souveränität</em> der <em>EU</em> keineswegs gesichert ist und die <em>EU</em> endlich eigene Lösungen und die Aufrechterhaltung der Souveränität durch Gesetzgebung fördern muss. Produkte müssen in der <em>EU</em> sicher für Bürger genutzt werden können.</p>



<h3 class="wp-block-heading">Fazit und Ausblick</h3>



<p class="wp-block-paragraph">Die <em>Digitale Souveränität</em> der <em>EU</em> ist ein komplexes und vielschichtiges Thema. Der Umgang mit Datentransfers in die <em>USA</em> zeigt, dass die <em>EU</em> sich in einem schwierigen Spagat befindet: Einerseits möchte sie den <em>Datenschutz</em> ihrer Bürger gewährleisten, andererseits scheint sie pragmatische Lösungen zu suchen, um die Nutzung etablierter US-amerikanischer <em>Cloud</em>-Dienste nicht zu gefährden. Die Abhängigkeit von US-Technologie und die fehlende Bereitschaft, die eigene <em>Datensouveränität</em> konsequent durchzusetzen, führen zu einer Situation, in der die Glaubwürdigkeit der <em>EU</em> in Bezug auf den <em>Datenschutz</em> leidet.</p>



<p class="wp-block-paragraph">Es ist unerlässlich, dass die <em>EU</em> eine kohärente Strategie entwickelt, um ihre <em>Digitale Souveränität</em> zu stärken. Dies beinhaltet nicht nur die Schaffung robusterer rechtlicher Rahmenbedingungen, sondern auch die Förderung eigener europäischer <em>Digitalisierung</em>-Lösungen und Infrastrukturen, die den hohen <em>Datenschutz</em>-Standards der <em>DSGVO</em> vollumfänglich gerecht werden. Nur so kann verhindert werden, dass die <em>EU</em> weiterhin juristische Verrenkungen vollführt, um die Nutzung von US-Clouds zu rechtfertigen, während die <em>Daten</em> ihrer Bürger de facto ungeschützt bleiben. Die Schaffung eigener Gesetzgebung und die Stärkung der <em>Digitalisierung</em> im eigenen Raum sind hier der einzig gangbare Weg.</p>



<p class="wp-block-paragraph"><strong>Weitere Informationen:</strong></p>



<ul class="wp-block-list">
<li><a href="https://www.google.com/search?q=https://example.com/blog/illegale-migration-herausforderungen" target="_blank" rel="noreferrer noopener">Illegale Migration: Ein Überblick über Herausforderungen und Lösungsansätze</a></li>



<li><a href="https://www.google.com/search?q=https://example.com/blog/regulaere-migration-integration" target="_blank" rel="noreferrer noopener">Reguläre Migration: Wege zur Integration und Wirtschaftsförderung</a></li>
</ul>



<p class="wp-block-paragraph"><strong>Autoritative externe Quellen:</strong></p>



<ul class="wp-block-list">
<li><a href="https://www.google.com/search?q=https://commission.europa.eu/law/selected-areas/data-protection/eu-us-data-privacy-framework_en" target="_blank" rel="noreferrer noopener">EU-Kommission: EU-US Data Privacy Framework</a></li>



<li><a href="https://noyb.eu/" target="_blank" rel="noreferrer noopener">noyb &#8211; European Center for Digital Rights</a></li>



<li><a href="https://www.pclob.gov/" target="_blank" rel="noreferrer noopener">Privacy and Civil Liberties Oversight Board (PCLOB)</a></li>
</ul>



<h3 class="wp-block-heading">Schlagwörter (Tags):</h3>



<p class="wp-block-paragraph">Digitale Souveränität, EU, USA, DSGVO, Datenschutz, Cloud, Donald Trump, Daten, Digitalisierung</p>



<h3 class="wp-block-heading">Meta-Beschreibung:</h3>



<p class="wp-block-paragraph">Die EU balanciert zwischen Datenschutz und US-Cloud-Nutzung. Erfahren Sie, wie die Digitale Souveränität der EU gefährdet ist und warum eigene Gesetzgebung für echten Datenschutz unerlässlich ist.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p class="wp-block-paragraph">füge einen Abschnitt hinzu bzgl. Bundesdatenschutzbeauftragte festlegung in 2022, dass die Nutzung von Microsoft Cloud Dienst (Microsoft 365) aus Datenschutzgründen nicht rechtlich zulässig sei und Bundesbehörden untersagte diese zu nutzen. Auch war während der Corona Pandemie es eigentlich den Schulen untersagt Microsoft 365 bzw. Teams zu nutzen, was ebenfalls ignoriert wurde und immer noch wird.</p>



<p class="wp-block-paragraph">Gerne, hier ist der überarbeitete Blogbeitrag mit dem zusätzlichen Abschnitt:</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">Digitaler Drahtseilakt: Wie die EU ihre Souveränität aufs Spiel setzt</h2>



<h3 class="wp-block-heading">Einleitung</h3>



<p class="wp-block-paragraph">Die <em>Digitale Souveränität</em> Europas steht auf dem Prüfstand. Während die Europäische Union stets betont, die Daten ihrer Bürger schützen zu wollen, offenbart der Umgang mit Datentransfers in die <em>USA</em> eine bemerkenswerte juristische Akrobatik. Faktisch sind die Daten von <em>EU</em>-Bürgern in den <em>USA</em> nicht vor dem Zugriff von Behörden und Providern geschützt. Doch anstatt durch klare Gesetzgebung die eigene Souveränität einzufordern, passt die <em>EU</em> lieber bestehendes Recht an, um die Nutzung US-amerikanischer <em>Clouds</em> weiterhin zu ermöglichen. Dies wirft ernsthafte Fragen zur Glaubwürdigkeit und zum effektiven <em>Datenschutz</em> auf. Dieser Beitrag beleuchtet die komplexen Verwicklungen und die daraus resultierenden Herausforderungen für die <em>Datensouveränität</em> Europas.</p>



<h3 class="wp-block-heading">Der heikle Start von EU-Kommissar McGrath im transatlantischen Kreuzfeuer</h3>



<p class="wp-block-paragraph">Michael McGrath, der <em>EU</em>-Kommissar für Demokratie, Justiz und Verbraucherschutz, fand sich kurz nach seinem Amtsantritt inmitten einer transatlantischen Krise wieder. Seine Treffen in Washington, D.C. mit einflussreichen US-Tech-Lobbyisten von Konzernen wie Meta, Apple und Amazon zeigten, wie sehr die <em>Datenschutz-Grundverordnung</em> (<em>DSGVO</em>) im Zentrum der Diskussionen steht. Diese Gespräche dürften, angesichts der angespannten Lage, alles andere als angenehm gewesen sein.</p>



<p class="wp-block-paragraph">Besonders aufschlussreich war McGraths Treffen mit Beth Williams vom Privacy and Civil Liberties Oversight Board (PCLOB). Seine Aussage auf X, man habe das &#8222;volle Engagement für die Umsetzung des EU-US-Datenschutzrahmens&#8220; erörtert, erhielt eine unfreiwillig komische Note, als bekannt wurde, dass Williams zum Zeitpunkt des Treffens das einzige verbleibende Mitglied des PCLOB war. Alle anderen Mitglieder waren zuvor von <em>Donald Trump</em> entlassen worden.</p>



<p class="wp-block-paragraph">Das PCLOB, angeblich ein unabhängiges Gremium zur Überwachung der US-Geheimdienste, ist damit derzeit handlungsunfähig. Diese Situation verunsichert viele europäische Unternehmen, die Daten in US-Clouds speichern und verarbeiten. Die Rechtsgrundlage für ihre Datentransfers könnte durch zukünftige Handlungen der US-Regierung, insbesondere unter <em>Donald Trump</em>, jederzeit entzogen werden.</p>



<h3 class="wp-block-heading">Der Angemessenheitsbeschluss und seine fragile Grundlage</h3>



<p class="wp-block-paragraph">Die aktuelle Rechtsgrundlage für Datentransfers in die <em>USA</em> basiert auf einem Angemessenheitsbeschluss, den die <em>EU</em>-Kommission im Juli 2023 gemäß Art. 45 <em>DSGVO</em> verabschiedet hat. Dieser Beschluss bestätigt, dass die <em>USA</em> ein vergleichbares <em>Datenschutzniveau</em> wie die <em>DSGVO</em> bieten. Voraussetzung hierfür ist, dass sich das verarbeitende US-Unternehmen dem „EU-US Trans-Atlantic Data Privacy Framework“ (TADPF) unterwirft und sich jährlich selbst zertifiziert.</p>



<p class="wp-block-paragraph">Diesem Beschluss gingen lange Verhandlungen zwischen der <em>EU</em>-Kommission und der US-Regierung unter Präsident Joe Biden voraus. Biden musste zusichern, dass der Zugriff auf Daten von <em>EU</em>-Bürgern durch US-Behörden auf das „Notwendige“ und „Verhältnismäßige“ beschränkt wird. Ähnliche Zusicherungen waren zuvor zweimal gescheitert, was zur Folge hatte, dass die beiden vorherigen Angemessenheitsbeschlüsse – „Safe Harbour“ und „Privacy Shield“ – durch Klagen des österreichischen <em>Datenschutz</em>-Aktivisten Max Schrems vom Europäischen Gerichtshof (EuGH) gekippt wurden.</p>



<h3 class="wp-block-heading">Die &#8222;heilende&#8220; Biden-Verordnung: Eine temporäre Lösung?</h3>



<p class="wp-block-paragraph">Im Oktober 2022 etablierte Joe Biden ein neues Regime. Er rief das PCLOB ins Leben, um das Verhalten von US-Geheimdiensten im Hinblick auf das <em>EU</em>&#8211;<em>Datenschutzniveau</em> zu überwachen. Ein Civil Liberties Protection Officer (CLPO) soll intern die Aktivitäten der US-Inlandsgeheimdienste überwachen und Beschwerden von <em>EU</em>-Bürgern annehmen. Des Weiteren wurde der „Data Protection Review Court“ (DPRC) geschaffen, der diese Beschwerden unabhängig in zweiter Instanz prüfen soll. Doch Bürgerrechtler zweifeln an der tatsächlichen Unabhängigkeit dieses Pseudogerichts.</p>



<p class="wp-block-paragraph">Die größte Kritik, allen voran von Max Schrems, richtet sich jedoch gegen die Form der Biden’schen Zusicherungen. Der US-Präsident änderte keine Gesetze, sondern erließ lediglich eine Verordnung (Executive Order – EO 14086), die von seinem Nachfolger jederzeit widerrufen werden kann. EO 14086 definiert viele Mechanismen, auf denen der <em>EU</em>-Angemessenheitsbeschluss fußt. Mit der Quasi-Ausschaltung des PCLOB hat <em>Donald Trump</em> bereits einen ersten Grundpfeiler des Abkommens erschüttert. Es ist wahrscheinlich, dass er noch in der ersten Jahreshälfte 2025 die gesamte EO 14086 annullieren könnte.</p>



<h3 class="wp-block-heading">Kein Plan B in Sicht: Die Konsequenzen eines Scheiterns</h3>



<p class="wp-block-paragraph">Auf ein solches Worst-Case-Szenario scheint die <em>EU</em>-Kommission nicht vorbereitet zu sein. Ein Plan B ist bislang nicht in Sicht. Fiele die EO 14086 weg, entfiele de facto die Grundlage für den Angemessenheitsbeschluss, der dann ebenfalls umgehend fallen müsste. Das <em>EU</em>-Parlament, insbesondere der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), fordert die Kommission bereits auf, den Beschluss zumindest infrage zu stellen.</p>



<p class="wp-block-paragraph">Was wären die konkreten Folgen, wenn der auf dem TADPF beruhende Angemessenheitsbeschluss wegfiele? Sowohl <em>EU</em>-Unternehmen als auch US-Konzerne, die auf dieser Basis Daten von <em>EU</em>-Bürgern in die <em>USA</em> transferieren, könnten sich nicht mehr darauf berufen. Dies beträfe Giganten wie Meta, Google, Amazon, Apple, Microsoft und X. Sie müssten, wie zuletzt vor dem TADPF, die Transfers wieder auf die sogenannten Standardvertragsklauseln nach Art. 46 <em>DSGVO</em> stützen, was mit erheblichem Compliance-Aufwand und Unsicherheiten verbunden wäre.</p>



<p class="wp-block-paragraph">Es ist jedoch anzumerken, dass <em>EU</em>&#8211;<em>Datenschutz</em>-Aufsichtsbehörden den Einsatz dieser Klauseln bisher nie ernsthaft kritisiert haben. In <em>Deutschland</em> sind keine nennenswerten Sanktionen aufgrund illegaler US-Datentransfers seit Inkrafttreten der <em>DSGVO</em> im Mai 2018 bekannt. Unternehmen und Behörden müssen folglich eher damit rechnen, dass der Datentransfer unbequemer wird, als dass ihnen in naher Zukunft ernsthaft an den Kragen geht. Dies ist jedoch ein schleichender Prozess, der die <em>Digitale Souveränität</em> und den <em>Datenschutz</em> massiv untergräbt.</p>



<h3 class="wp-block-heading">US-Gesetze: Die eigentliche Wurzel des Problems</h3>



<p class="wp-block-paragraph">All diese Probleme existieren, weil US-amerikanische Gesetze sowohl den Geheimdiensten als auch Strafverfolgungsbehörden weitreichenden Zugriff auf personenbezogene Daten ohne ausreichende Widerspruchsmöglichkeiten gewähren. Dies macht es für die <em>EU</em> so kompliziert, den Transfer dieser <em>Daten</em> auf US-Server zu legitimieren, selbst wenn diese physisch auf <em>EU</em>-Gebiet stehen.</p>



<p class="wp-block-paragraph">Konkret geht es um den Electronic Communications Privacy Act (ECPA) aus dem Jahr 1986 und den Foreign Intelligence Surveillance Act (FISA) aus dem Jahr 1978. Der FISA ermächtigt US-Nachrichtendienste, ohne individuelle Genehmigung Telekommunikation im Ausland abzuhören und Personen zu überwachen, die in den <em>USA</em> wohnen. Die Snowden-Enthüllungen haben spätestens gezeigt, dass <em>Daten</em> von <em>EU</em>-Bürgern, die auf US-Servern gespeichert sind, jederzeit im Zugriff von US-Behörden liegen.</p>



<p class="wp-block-paragraph">Ein Teil des ECPA ist der Stored Communications Act (SCA). Dieser wurde durch den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) im Jahr 2018 ergänzt. Der CLOUD Act bestimmt, dass US-Cloudanbieter personenbezogene <em>Daten</em> auch dann herausgeben müssen, wenn sich diese außerhalb des US-Territoriums befinden, beispielsweise auf Microsoft-Servern in der <em>EU</em>. Die Transparenzreports der US-Konzerne belegen, dass die US-Behörden umfangreich Gebrauch von diesen Gesetzen machen.</p>



<p class="wp-block-paragraph">Für die <em>EU</em>-Kommission gleicht es daher der Quadratur des Kreises, eine <em>DSGVO</em>-konforme Angemessenheit zu bescheinigen, obwohl diese eindeutig nicht existiert. Weder eine Selbstzertifizierung der Anbieter noch eine notgedrungene Beschwerdeinstanz wie das PCLOB können hier Abhilfe schaffen. Die <em>EU</em> muss hier ihre <em>Digitale Souveränität</em> stärken.</p>



<p class="wp-block-paragraph">Faktisch gingen die rechtlichen Maßnahmen stets an der Realität vorbei. Ihr primäres Ziel scheint zu sein, den Datentransfer zu ermöglichen, da daran viele Milliarden US-Dollar Umsatz der Tech-Branche hängen. Auf der Strecke bleibt dabei die Glaubwürdigkeit der <em>EU</em>-Institutionen im Bereich <em>Datenschutz</em>. Juristen sind sich einig, dass tatsächlicher Zugriffsschutz von <em>EU</em>&#8211;<em>Daten</em> in den <em>USA</em> nur mit Ende-zu-Ende-Verschlüsselung möglich ist. Dies würde jedoch die Verarbeitung der <em>Daten</em> in den <em>Clouds</em> verhindern, Projekte verteuern und den Interessen der Konzerne, die mit der Auswertung der <em>Daten</em> Geld verdienen, zuwiderlaufen.</p>



<h3 class="wp-block-heading">Nationale Alleingänge und die Realität der Digitalisierung</h3>



<p class="wp-block-paragraph">Die Skepsis gegenüber US-amerikanischen Cloud-Diensten ist in Europa, insbesondere in <em>Deutschland</em>, tief verwurzelt. Im Jahr 2022 legte der Bundesdatenschutzbeauftragte verbindlich fest, dass die Nutzung von Microsoft Cloud Diensten (Microsoft 365) aus <em>Datenschutzgründen</em> für Bundesbehörden nicht rechtlich zulässig sei. Dies führte zu der Anweisung, die Nutzung einzustellen. Dies ist ein klares Zeichen für das Bewusstsein über die fehlende <em>Datensouveränität</em> im Kontext US-amerikanischer Anbieter.</p>



<p class="wp-block-paragraph">Trotz dieser klaren Ansage, die die Problematik der Datenflüsse in die <em>USA</em> unterstreicht, zeigt sich in der Praxis oft ein anderes Bild. Während der Corona-Pandemie war es Schulen in <em>Deutschland</em> eigentlich untersagt, Microsoft 365 bzw. Teams für den digitalen Unterricht zu nutzen. Diese Anweisung wurde jedoch vielerorts ignoriert und wird auch heute noch in großem Umfang missachtet. Der pragmatische Wunsch nach funktionsfähigen Lösungen und die tiefe Verankerung von Microsoft-Produkten in der deutschen Infrastruktur führen zu einer faktischen Duldung, selbst wenn die rechtliche Grundlage fehlt. Dies unterstreicht die Dringlichkeit für die <em>EU</em>, nicht nur Regeln aufzustellen, sondern auch praktikable und datenschutzkonforme Alternativen zu fördern und zu etablieren, um die <em>Digitale Souveränität</em> zu gewährleisten. Solange europäische Lösungen fehlen, wird die Abhängigkeit von US-Anbietern bestehen bleiben und die <em>DSGVO</em> auf dem Prüfstand stehen.</p>



<h3 class="wp-block-heading">Automatisierte Inhaltskontrolle: Ein weiteres Dilemma der Digitalisierung</h3>



<p class="wp-block-paragraph">Doch nicht nur wegen des Profits drückt die <em>EU</em> mindestens ein Auge zu. Clouddienste, die personenbezogene <em>Daten</em> von Konsumenten speichern, sollen sogar ausdrücklich diese Inhalte einsehen und überprüfen dürfen. Hier geht es um verbotenes Material, vornehmlich Bilder und Videos, insbesondere Darstellungen von Kindesmissbrauch (Child Sexual Abuse Material, CSAM). Anbieter wie Meta, Microsoft und Google scannen abgelegte Inhalte wie Mails und Fotos automatisiert und leiten Funde inklusive Angaben zum Datenbesitzer an das US-amerikanische National Center for Missing &amp; Exploited Children (NCMEC) weiter. Allein 2023 erhielt das NCMEC 36,2 Millionen derartige Hinweise von Providern.</p>



<p class="wp-block-paragraph">Diese automatisierten Inhaltsscans funktionieren teils auf fragwürdiger Basis, und es gab bereits Fälle von falsch positiven Treffern, die für Kunden gravierende Folgen hatten. Die persönlichen Kundendaten werden dabei entweder gar nicht oder nur mit einem Generalschlüssel vor Zugriff geschützt, was generell nicht im Sinne der <em>DSGVO</em> ist. Dennoch hat die <em>EU</em>-Kommission eine vorübergehende <em>EU</em>-Verordnung (2024/1307) erlassen, die Cloudanbietern erlaubt, freiwillig automatisiert die Inhalte der Nutzer zur Aufspürung von CSAM-Material zu durchsuchen.</p>



<p class="wp-block-paragraph">Diese Verordnung läuft 2026 aus, was Handlungsbedarf signalisiert. Ein Teil der Mitgliedstaaten will sie entfristen und dahingehend verschärfen, dass Provider verpflichtend auch in verschlüsselte Inhalte schauen müssen – ein Vorhaben, das unter dem Begriff „Chatkontrolle“ bekannt ist und heftig kritisiert wird. Ob der polnische Justizminister Adam Bodnar die streitenden Mitgliedstaaten überzeugen kann, die freiwillige Kontrolle zu entfristen oder zu verlängern, ist derzeit noch offen.</p>



<h3 class="wp-block-heading">Die löchrige EU-Datengrenze und die Abhängigkeit von Microsoft</h3>



<p class="wp-block-paragraph">Während all dieser Diskussionen wird sich die <em>EU</em> noch mit dem eigentlichen Elefanten im Raum beschäftigen müssen: Microsoft. Mit seinen zahlreichen Services rund um das Cloud-Paket Microsoft 365 ist der Konzern zu einem faktisch unverzichtbaren Bestandteil europäischer Kommunikationsinfrastruktur geworden. Nähme man deutschen Unternehmen und Behörden diese Infrastruktur von einem Tag auf den anderen weg, bestünde die Gefahr eines staatlichen Blackouts.</p>



<p class="wp-block-paragraph">Dabei haben inzwischen viele Aufsichtsbehörden bestätigt, dass der Einsatz von Microsoft 365 in der <em>EU</em> kaum <em>DSGVO</em>-konform möglich ist. Die Zusicherungen des Konzerns reichen nicht aus, und viele Kundendaten liegen nun einmal auf Servern, die dem US-Zugriff unterliegen. Im Dauerkonflikt mit den <em>EU</em>&#8211;<em>Datenschutz</em>-Behörden versucht Microsoft aus Redmond permanent, die Wogen zu glätten.</p>



<p class="wp-block-paragraph">Am 27. Februar 2025 verkündete Microsoft den Abschluss seines mehrjährigen Projekts der „<em>EU</em>-Datengrenze“ (EU Boundary) für die Cloud. <em>EU</em>-Kunden „aus dem privatwirtschaftlichen und öffentlichen Sektor können ihre Kundendaten und pseudonymisierten personenbezogenen <em>Daten</em> für die zentralen Cloud-Dienste von Microsoft – einschließlich Microsoft 365, Dynamics 365, Power Platform und der meisten Azure-Dienste – innerhalb der <em>EU</em>&#8211; und EFTA-Regionen speichern und verarbeiten“. Auch vom CLOUD Act sollen diese <em>Daten</em> verschont sein.</p>



<p class="wp-block-paragraph">Kritiker monieren jedoch, dass die Datengrenze bislang löchrig und damit unwirksam sei. Microsoft <em>USA</em> gestattet sich selbst „Remotezugriff auf in der <em>EU</em>-Datengrenze gespeicherte und verarbeitete <em>Daten</em>“ in Einzelfällen. Zwar betont Microsoft, dass im Bedarfsfall „modernste Verschlüsselung“ zum Schutz der <em>Daten</em> eingesetzt werde. Doch dieser Einwand beruht auf der Annahme, dass sich die Gesetze in den <em>USA</em> nicht verändern und dass Unternehmen, Regierung und Justiz sich stets an geltendes Recht halten. Die aktuelle politische Situation, insbesondere unter <em>Donald Trump</em>, lässt daran ernsthafte Zweifel aufkommen. Die kürzlichen Sanktionen von <em>Donald Trump</em> gegen den Internationalen Gerichtshof und die darauf folgende Abschaltung von E-Mail-Diensten durch Microsoft zeigen, dass die <em>Digitale Souveränität</em> der <em>EU</em> keineswegs gesichert ist und die <em>EU</em> endlich eigene Lösungen und die Aufrechterhaltung der Souveränität durch Gesetzgebung fördern muss. Produkte müssen in der <em>EU</em> sicher für Bürger genutzt werden können.</p>



<h3 class="wp-block-heading">Fazit und Ausblick</h3>



<p class="wp-block-paragraph">Die <em>Digitale Souveränität</em> der <em>EU</em> ist ein komplexes und vielschichtiges Thema. Der Umgang mit Datentransfers in die <em>USA</em> zeigt, dass die <em>EU</em> sich in einem schwierigen Spagat befindet: Einerseits möchte sie den <em>Datenschutz</em> ihrer Bürger gewährleisten, andererseits scheint sie pragmatische Lösungen zu suchen, um die Nutzung etablierter US-amerikanischer <em>Cloud</em>-Dienste nicht zu gefährden. Die Abhängigkeit von US-Technologie und die fehlende Bereitschaft, die eigene <em>Datensouveränität</em> konsequent durchzusetzen, führen zu einer Situation, in der die Glaubwürdigkeit der <em>EU</em> in Bezug auf den <em>Datenschutz</em> leidet.</p>



<p class="wp-block-paragraph">Es ist unerlässlich, dass die <em>EU</em> eine kohärente Strategie entwickelt, um ihre <em>Digitale Souveränität</em> zu stärken. Dies beinhaltet nicht nur die Schaffung robusterer rechtlicher Rahmenbedingungen, sondern auch die Förderung eigener europäischer <em>Digitalisierung</em>-Lösungen und Infrastrukturen, die den hohen <em>Datenschutz</em>-Standards der <em>DSGVO</em> vollumfänglich gerecht werden. Nur so kann verhindert werden, dass die <em>EU</em> weiterhin juristische Verrenkungen vollführt, um die Nutzung von US-Clouds zu rechtfertigen, während die <em>Daten</em> ihrer Bürger de facto ungeschützt bleiben. Die Schaffung eigener Gesetzgebung und die Stärkung der <em>Digitalisierung</em> im eigenen Raum sind hier der einzig gangbare Weg.</p>



<p class="wp-block-paragraph"><strong>Autoritative externe Quellen:</strong></p>



<ul class="wp-block-list">
<li><a href="https://www.google.com/search?q=https://commission.europa.eu/law/selected-areas/data-protection/eu-us-data-privacy-framework_en" target="_blank" rel="noreferrer noopener">EU-Kommission: EU-US Data Privacy Framework</a></li>



<li><a href="https://noyb.eu/" target="_blank" rel="noreferrer noopener">noyb &#8211; European Center for Digital Rights</a></li>



<li><a href="https://www.pclob.gov/" target="_blank" rel="noreferrer noopener">Privacy and Civil Liberties Oversight Board (PCLOB)</a></li>
</ul>



<p class="wp-block-paragraph"></p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
