Aufgrund von Entlassungen durch die Trump-Administration steht das EU-US-Datenschutzabkommen vor dem Aus. Für Unternehmen und deren IT-Abteilungen hätte dies erhebliche Folgen, denn unter anderem würden US-Cloud-Dienste zu einem Datenschutzrisiko. Gleiches gilt auch für Abo- und Pay-as-you-go-Modelle. Anscheinend sind Storage-Branche und -Kunden ein Kollateralschaden in einem größeren politischen Konflikt.

Mögliche Datenschutzprobleme mit US-Anbietern sind nicht neu. Bereits zwei Mal wurde das Datenschutzabkommen zwischen Europa und den USA gerichtlich gekippt. Zwei Mal folgte eine neue Einigung, welches EU-Bürgern ein angemessenes Datenschutzniveau zusichern sollte. Nachdem sich die US-Regierung nicht mehr verpflichtet sieht, Abkommen einzuhalten, steht der Datenverkehr erneut auf der Kippe.

Aktuell dient noch das »EU-US Data Privacy Framework« (DPF) als rechtliche Grundlage für den Transfer personenbezogener Daten zwischen Europa und den USA. Diese Regelung, basierend auf einer Executive Order von Präsident Joe Biden, sollte ursprünglich die Überwachung durch US-Geheimdienste regulieren und europäischen Bürgern einen angemessenen Datenschutz garantieren.

Ursprünglich war die Aufsichtsstelle zu gleichen Teilen mit Vertretern der Demokratischen und Republikanischen Partei besetzt. Die US-Regierung hat jedoch bis auf ein republikanisches Aufsichtsratsmitglied alle anderen entlassen. Damit ist klar, das Kontrollgremium kann seiner Aufgabe nicht mehr nachkommen.

Nun ist die EU-Kommission gefordert. »Kommt sie zu dem Ergebnis, dass die Zusicherungen der USA nicht erfüllt werden, ist sie gesetzlich verpflichtet, die Angemessenheit des Datenschutzniveaus für unwirksam zu erklären«, schreibt Rechtsanwalt und Datenschutzexperte Dr. Thomas Schwenke in seinem Newsletter. »An dieser Stelle wird die Sache politisch, da die Implikationen einer Aufhebung des Data-Privacy-Frameworks für die Wirtschaft erheblich wären.«

Für Max Schrems, österreichischer Jurist, Autor und Datenschutzaktivist, war das Abkommen schon immer auf Sand gebaut. Seiner Ansicht nach haben die EU-Wirtschaftslobby und die EU-Kommission einen Deal beschlossen, der lediglich auf einem Versprechen der US-Regierung fußte, welches in Sekundenschnelle aufgehoben werden könnte. Und genauso ist es nun gekommen.

Anzeige

EU-Kommission muss das Datenschutzniveau bewerten

Prinzipiell ist es zwar möglich, dass die EU-Kommission das Datenschutzniveau trotzdem noch für angemessen hält und eine Entscheidungsfindung auf das EuGH abwälzt. Eine Entscheidung des EuGH dauert aber vermutlich Jahre. Daher würde sich die Kommission, laut Dr. Schwenke, dem Vorwurf aussetzen, einen Rechtsbruch zu begehen und Daten von EU-Bürgern schutzlos US-Unternehmen auszuliefern.

Gleichzeitig könnten auch inländische Datenschutzaufsichtsbehörden ohne Zutun der EU-Kommission eine Aufhebung des Datenschutzabkommens vor dem EuGH einklagen. Aber auch hier mahlen die Mühlen eher langsam.

Die Amerikaner könnten das Data-Privacy-Framework auch von sich aus aufkündigen. Aus Sicht der Wirtschaft wäre dies allerdings absurd. Jedoch ist seit dem Amtsantritt von Donald Trump bereits so viel passiert, dass nichts unmöglich erscheint.

Konsequenzen: US-Anbieter werden zum Datenschutzrisiko

Ein Wegfall oder eine erhebliche Änderung des Datenschutzabkommens hätte schwerwiegende Folgen für deutsche Unternehmen. Cloud-Dienste, Hosting sowie IT-Dienstleistungen von US-Anbietern werden ohne Angemessenheitsbeschluss zum Datenschutzrisiko.

Diese Diskussion ist nicht neu: Doch Argumente gegen US-Anbieter wurden bis vor kurzem leicht vom Tisch gewischt, nun herrscht erstmal betretenes Schweigen. Nach den ersten Wochen der Trump-Regierung erscheint plötzlich alles möglich. Damit muss auch der US CLOUD Act neu bewertet werden.

Problemfall US-Cloud-Act

Zur Erinnerung: Der US-Cloud-Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz, das im März 2018 verabschiedet wurde. Es gestattet US-Behörden, mit einer gültigen Gerichtsanordnung auf Daten zuzugreifen, die von US-Unternehmen gespeichert wurden, unabhängig davon, ob die Daten auf Servern in den USA oder im Ausland gespeichert sind. Dies wirft mehrere Probleme auf, insbesondere im Kontext des EU-US-Datenschutzrahmens und des allgemeinen Datenschutzbedarfs europäischer Unternehmen, die US-basierte Cloud-Dienste nutzen.

Problem: Der US-Cloud-Act ermöglicht es US-Behörden, auf Daten zuzugreifen, ohne dass der Datenbesitzer oder -verarbeiter im Ausland darüber informiert wird oder eingreifen kann. Dies führt unweigerlich zu einer Verletzung der Vertraulichkeit.

Auch dies ist nicht neu, wurde aber bisher – vor allem von den US-Anbietern selbst – als unwahrscheinliches Szenario angesehen. Mit dem von Tech-Milliardär Musk gesteuerten Department of Government Efficiency (DOGE) gilt dies nicht mehr. Unser Wissen beruht zwar nur auf dem, was wir hören und lesen, aber das ist erschreckend genug. Das DOGE-Team hat sich bereits Zugriff auf Zahlungssystem des US-Finanzministeriums verschafft. Daher müssen deutsche Unternehmen davon ausgehen, dass ihre auf US-Servern gespeicherten Daten nicht mehr sicher sind.

Unsicherheit auch für Abomodelle und Backup-as-a-Service

Wurden bisher nur Bedenken gegenüber Hyperscalern geäußert, sieht die speicherguide.de-Redaktion auch Storage-Systeme in Gefahr, die über Abo- und Pay-as-you-go-Modelle von US-Herstellern gemietet wurden. Die Speicher befinden sich nach wie vor im Besitz des jeweiligen US-Herstellers und sind daher ebenfalls direkt vom US-Cloud-Act betroffen. Dabei ist es egal, ob die Speicher beim Anbieter oder lokal im Rechenzentrum betrieben werden.

Nun mögen sich Unternehmer denken, wieso sollte sich eine US-Behörde für unsere Daten interessieren, auszuschließen ist es nicht. Bei allem, was wir derzeit hören und sehen, kann schon ein Like oder ein regierungskritisches Social-Media-Posting genügen.

Handlungsempfehlungen für IT-Verantwortliche

IT-Verantwortliche sollten proaktiv handeln, indem sie:

• Eine Bestandsaufnahme durchführen, wo US-Dienste in Verbindung mit der Speicherung und Verarbeitung von personenbezogenen Daten zum Einsatz kommen.
• Alternative Anbieter aus der EU oder aus Drittländern mit adäquaten Datenschutzstandards evaluieren.
• Zusätzlich zum DPF die EU-Standardvertragsklauseln abschließen. Und zwar, laut Rechtsanwalt und Datenschutzexperten Stephan Hansen-Oest, »so, dass diese nur für den Fall zur Anwendung kommen, dass der Angemessenheitsbeschluss der EU-Kommission bzgl. des DPF nicht mehr besteht und dieser Transfermechanismus insoweit wegfällt.«
• Die rechtliche Situation eng verfolgen und Transfer-Impact-Assessments durchführen, um Risiken und Compliance-Anforderungen kontinuierlich zu bewerten.

Europäische Alternativen prüfen

Die politischen Entwicklungen in den USA stellen eine ernsthafte Bedrohung für die Stabilität des transatlantischen Datenaustausches dar. In der Datenschutzszene geht man davon aus, dass wir diesmal nicht auf ein Gerichtsurteil warten müssen, sondern das Abkommen vorher für unwirksam erklärt wird. Bisher konnte man der US-Regierung eine gewisse Kooperationsbereitschaft bescheinigen. Darauf können wir uns derzeit nicht verlassen.

Mittelständische Unternehmen, wie auch Behörden, öffentliche Stellen und Vereine müssen die Entwicklungen genau im Blick behalten und flexible Datenschutzstrategien entwickeln, um auf verschiedene Szenarien reagieren zu können. Das heißt, nicht nur auf politische und rechtliche Signale reagieren, sondern proaktiv Maßnahmen ergreifen und prüfen, an welchen Stellen sich US-Anbieter durch europäische Alternativen ersetzt lassen. Rechtsanwalt Hansen-Oest nennt es in seinem Newsletter »Ent-TRUMP-elung«.

Anmerkung der Redaktion:

Karl Fröhlich, speicherguide.deStammleser von speicherguide.de wissen, ich bin auch Datenschutzbeauftragter. In dieser Eigenschaft ist der Einsatz von Cloud-Diensten ein gängiges Thema. AWS, Azure und die Google Cloud sind nun mal die weltweit Größten und bieten einen enormen Funktionsumfang. Gleichzeitig sind vor allem größere Unternehmen global aufgestellt und die Zusammenarbeit mit Hyperscalern hilfreich.

Über die genauen Motive der Trump-Administration lässt sich nur spekulieren. Grundsätzlich steht alles unter dem Motto »Amerika first« und die getroffenen Maßnahmen sollen die Regierung effizienter machen. Zudem, so die Vermutungen, will die Regierung die Kontrolle über die Überwachung und den Datenschutz an sich reißen. Dass mit den Maßnahmen das EU-Geschäft von Storage- und IT-Anbietern torpediert wird, sehen Fachkreise als unbedachten Kollateralschaden.

Ich habe diesbezüglich einige Gespräche mit US-Anbietern geführt und mein Eindruck ist, keiner Gesprächspartner hatte das bisher auf dem Schirm. Im Prinzip bräuchte es jetzt ein paar Firmenlenker mit Rückgrat, die Druck auf die US-Regierung ausüben. Anderenfalls steht das komplette Cloud- und Abo-Geschäft in Europa vor dem Aus. Aus Datenschutzsicht kann man in der EU ansässigen Firmen nur empfehlen keine US-Produkte einzusetzen.

Nun ist dies natürlich leichter gesagt als getan. Es fängt bei der Hardware an, es gibt faktisch keine CPUs für Client-Rechner und Server, die nicht aus den USA kommen. Weltweit sind mehr als 70 Prozent aller Desktop- und Mobile-PCs mit Windows ausgestattet. Im Server- und Netzwerkumfeld dominieren ebenfalls US-Firmen.

Trotzdem müssen IT-Verantwortliche und Geschäftsleitungen nun einen unliebsamen Weg gehen. Überall wo personenbezogene Daten gespeichert und verarbeitet werden, gilt es nun Alternativen zu prüfen. Auch, weil es nicht nur um den Datenschutz und Vertraulichkeit geht, sondern auch um die Verfügbarkeit!

Wir sehen in den USA gerade, wovor uns Hollywood und Science-Fiction-Filme immer gewarnt haben: Milliardäre, die die Weltherrschaft an sich reißen wollen. Die Ukraine wurde bereits erpresst, frei nach dem Motto, erfülle unsere Forderungen oder wir drehen dir den Hahn zu und schalten zum Beispiel dein Satelliten-Internet ab. Können wir ausschließen, dass in anderen Bereichen Anbieter auf ähnliche Ideen kommen bzw. von staatlichen Akteuren zu Handlungen angehalten werden, die wir vor ein Wochen noch für unmöglich gehalten haben? Können wir nicht.

Die Nachricht waren zuletzt voll von Aussagen wie »Europa muss sich unabhängig machen«, dies gilt auch für die IT und in unserem Bereich explizit alles, was mit Datenspeicherung und Datensicherung zu tun hat.

Wie sehen Sie die Sachlage? Schreiben Sie mir oder diskutieren Sie mit uns auf Bluesky und Linkedin.

PS:
US-Anbieter dürfen sich natürlich auch gerne mit Lösungsvorschlägen bei uns melden.