Aufgrund von Entlassungen durch die Trump-Administration steht das EU-US-Datenschutzabkommen vor dem Aus. Für Unternehmen und deren IT-Abteilungen hätte dies erhebliche Folgen, denn unter anderem würden US-Cloud-Dienste zu einem Datenschutzrisiko. Gleiches gilt auch für Abo- und Pay-as-you-go-Modelle. Anscheinend sind Storage-Branche und -Kunden ein Kollateralschaden in einem größeren politischen Konflikt.

[Update]

Nicht ganz zwei Monate nach unserem ersten Bericht ist einiges passiert und doch auch wieder nicht. Das Abkommen, welches den Datentransfer zwischen der EU und den USA regelt ist nach wie vor in Kraft. Die EU-Kommission hat es noch nicht für ungültig erklärt. Im Sinne der Datenschützer und der DSGVO ist das eine herbe Enttäuschung. Gleichzeitig ist es für Unternehmen eine gute Nachricht, weil man sich aktuell schlicht weiterhin auf ein gültiges Abkommen berufen kann und keine größeren Klimmzüge nötig sind, denn der Datentransfer bleibt so oder so bestehen.

Daran muss aber gearbeitet werden. In unseren Linkedin-Timelines lesen wir beispielsweise täglich sinnvolles zum Thema digitale Souveränität. Insgesamt würden wir aber sagen, hat die überwiegende Mehrheit die Sachlage noch nicht erkannt, ignoriert sie bewusst und/oder kann sich auch mit dem Gedanken noch nicht anfreunden, warum amerikanische IT-Produkte plötzlich böse sein sollten. Das sind sie natürlich nicht, trotzdem sollten IT-Abteilungen und Geschäftsleitungen Abhängigkeiten und mögliche Alternativen prüfen.

Im Detail erklären wir es weiter unten im Text: Überall, wo der US-Cloud-Act greift, benötigt man eine neue Lösung. Das heißt, wenn sensible Unternehmensdaten und personenbezogene Daten auf Servern und Storage von US-Firmen gespeichert sind. Über den Act können US-Behörden darauf zugreifen, auch außerhalb der USA und ohne, dass die betroffenen Firmen im Zweifel davon erfahren. Argumente wie, »wir haben nichts zu verbergen«, kann man vergessen, weil, weder die Kunden würden das gut finden, noch möchte keiner, dass Unternehmensgeheimnisse in fremde Hände gelangen.

Argument zwei, »dafür benötige es eine gerichtliche Anordnung«, ist kein größerer Schutz. Im Moment sieht es für uns so aus, als ob die Gerichte nicht viel gegen die US-Regierung ausrichten können. Und damit sind wir beim eigentlichen Problem, die US-Regierung macht was sie will. Regiert wird fast ausschließlich per Dekret und nicht via Gesetzentwürfe, die im Parlament zur Abstimmung gebracht werden.

Wir wissen, es klingt bescheuert, aber wir sind von den USA erpressbar. Auf Befehl »von oben« wäre der Zugriff auf US-Cloud-Dienste gesperrt, weite Teile des Internets lahmgelegt oder auch Office-Programm abgeschaltet. Wir dürfen gerne daran glauben, dass die Hersteller das nicht gerne tun, aber sie würden es. Im April hatte die IT-Sicherheitsfirma SentinelOne den ehemaligen Chef der CISA eingestellt. Daraufhin hat die Trump-Administration der Firma die Sicherheitsfreigaben entzogen. Gab es einem Aufschrei der Marktbegleiter oder generell aus der Branche? Nein!

Nvidia durfte auch schon unter der Biden-Regierung nicht alle Chips nach China liefern. Per Gesetz sollen die Einschränkungen noch weiter ausgebaut werden.

luckycloud-Geschäftsführer Lukas Mader stellt auf Linkedin dazu die Fragen: »Können wir uns ernsthaft leisten, unsere kritischen Unternehmensdaten unter US-amerikanischem Sicherheitsrecht abzulegen?« und »Wie lange können wir gegenüber Kunden, Partnern und Mitarbeitern noch verantworten, dieses Risiko auszublenden?«

Laut Mader fehlt es zudem an einer politischen Debatte über europäische digitale Souveränität. Darüber wird zu reden sein und dürfte vermutlich gleich eine knallharte Bewährungsprobe für den neuen Digitalminister sein. Spricht er es an, haben wir sofort Stress mit den USA, schweigt er dazu, kann er eigentlich gleich wieder einpacken.

[Update 16. Mai 2025]

Insgeheim denken wir fast alle noch, das renkt sich schon wieder ein. Im Gegenteil, die Einschläge kommen näher: Microsoft sperrt den E-Mail-Account des Chefanklägers des Internationalen Gerichtshofes, seine Bankverbindungen wurden ebenfalls eingefroren. Warum? Die USA haben den IGH sanktioniert nachdem der IGH einen Haftbefehl gegen Netanyahu erlassen haben. Gehts eigentlich noch!?
Quelle: apnews.com

Wie sehen Sie die Sachlage? Schreiben Sie mir oder diskutieren Sie mit uns auf Bluesky und Linkedin.

[/Update]

[Erstveröffentlichung am 13.03.2025]

Mögliche Datenschutzprobleme mit US-Anbietern sind nicht neu. Bereits zwei Mal wurde das Datenschutzabkommen zwischen Europa und den USA gerichtlich gekippt. Zwei Mal folgte eine neue Einigung, welches EU-Bürgern ein angemessenes Datenschutzniveau zusichern sollte. Nachdem sich die US-Regierung nicht mehr verpflichtet sieht, Abkommen einzuhalten, steht der Datenverkehr erneut auf der Kippe.

Aktuell dient noch das »EU-US Data Privacy Framework« (DPF) als rechtliche Grundlage für den Transfer personenbezogener Daten zwischen Europa und den USA. Diese Regelung, basierend auf einer Executive Order von Präsident Joe Biden, sollte ursprünglich die Überwachung durch US-Geheimdienste regulieren und europäischen Bürgern einen angemessenen Datenschutz garantieren.

Ursprünglich war die Aufsichtsstelle zu gleichen Teilen mit Vertretern der Demokratischen und Republikanischen Partei besetzt. Die US-Regierung hat jedoch bis auf ein republikanisches Aufsichtsratsmitglied alle anderen entlassen. Damit ist klar, das Kontrollgremium kann seiner Aufgabe nicht mehr nachkommen.

Nun ist die EU-Kommission gefordert. »Kommt sie zu dem Ergebnis, dass die Zusicherungen der USA nicht erfüllt werden, ist sie gesetzlich verpflichtet, die Angemessenheit des Datenschutzniveaus für unwirksam zu erklären«, schreibt Rechtsanwalt und Datenschutzexperte Dr. Thomas Schwenke in seinem Newsletter. »An dieser Stelle wird die Sache politisch, da die Implikationen einer Aufhebung des Data-Privacy-Frameworks für die Wirtschaft erheblich wären.«

Für Max Schrems, österreichischer Jurist, Autor und Datenschutzaktivist, war das Abkommen schon immer auf Sand gebaut. Seiner Ansicht nach haben die EU-Wirtschaftslobby und die EU-Kommission einen Deal beschlossen, der lediglich auf einem Versprechen der US-Regierung fußte, welches in Sekundenschnelle aufgehoben werden könnte. Und genauso ist es nun gekommen.

EU-Kommission muss das Datenschutzniveau bewerten

Prinzipiell ist es zwar möglich, dass die EU-Kommission das Datenschutzniveau trotzdem noch für angemessen hält und eine Entscheidungsfindung auf das EuGH abwälzt. Eine Entscheidung des EuGH dauert aber vermutlich Jahre. Daher würde sich die Kommission, laut Dr. Schwenke, dem Vorwurf aussetzen, einen Rechtsbruch zu begehen und Daten von EU-Bürgern schutzlos US-Unternehmen auszuliefern.

Gleichzeitig könnten auch inländische Datenschutzaufsichtsbehörden ohne Zutun der EU-Kommission eine Aufhebung des Datenschutzabkommens vor dem EuGH einklagen. Aber auch hier mahlen die Mühlen eher langsam.

Die Amerikaner könnten das Data-Privacy-Framework auch von sich aus aufkündigen. Aus Sicht der Wirtschaft wäre dies allerdings absurd. Jedoch ist seit dem Amtsantritt von Donald Trump bereits so viel passiert, dass nichts unmöglich erscheint.

Konsequenzen: US-Anbieter werden zum Datenschutzrisiko

Ein Wegfall oder eine erhebliche Änderung des Datenschutzabkommens hätte schwerwiegende Folgen für deutsche Unternehmen. Cloud-Dienste, Hosting sowie IT-Dienstleistungen von US-Anbietern werden ohne Angemessenheitsbeschluss zum Datenschutzrisiko.

Diese Diskussion ist nicht neu: Doch Argumente gegen US-Anbieter wurden bis vor kurzem leicht vom Tisch gewischt, nun herrscht erstmal betretenes Schweigen. Nach den ersten Wochen der Trump-Regierung erscheint plötzlich alles möglich. Damit muss auch der US CLOUD Act neu bewertet werden.

Problemfall US-Cloud-Act

Zur Erinnerung: Der US-Cloud-Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz, das im März 2018 verabschiedet wurde. Es gestattet US-Behörden, mit einer gültigen Gerichtsanordnung auf Daten zuzugreifen, die von US-Unternehmen gespeichert wurden, unabhängig davon, ob die Daten auf Servern in den USA oder im Ausland gespeichert sind. Dies wirft mehrere Probleme auf, insbesondere im Kontext des EU-US-Datenschutzrahmens und des allgemeinen Datenschutzbedarfs europäischer Unternehmen, die US-basierte Cloud-Dienste nutzen.

Problem: Der US-Cloud-Act ermöglicht es US-Behörden, auf Daten zuzugreifen, ohne dass der Datenbesitzer oder -verarbeiter im Ausland darüber informiert wird oder eingreifen kann. Dies führt unweigerlich zu einer Verletzung der Vertraulichkeit.

Auch dies ist nicht neu, wurde aber bisher – vor allem von den US-Anbietern selbst – als unwahrscheinliches Szenario angesehen. Mit dem von Tech-Milliardär Musk gesteuerten Department of Government Efficiency (DOGE) gilt dies nicht mehr. Unser Wissen beruht zwar nur auf dem, was wir hören und lesen, aber das ist erschreckend genug. Das DOGE-Team hat sich bereits Zugriff auf Zahlungssystem des US-Finanzministeriums verschafft. Daher müssen deutsche Unternehmen davon ausgehen, dass ihre auf US-Servern gespeicherten Daten nicht mehr sicher sind.

Unsicherheit auch für Abomodelle und Backup-as-a-Service

Wurden bisher nur Bedenken gegenüber Hyperscalern geäußert, sieht die speicherguide.de-Redaktion auch Storage-Systeme in Gefahr, die über Abo- und Pay-as-you-go-Modelle von US-Herstellern gemietet wurden. Die Speicher befinden sich nach wie vor im Besitz des jeweiligen US-Herstellers und sind daher ebenfalls direkt vom US-Cloud-Act betroffen. Dabei ist es egal, ob die Speicher beim Anbieter oder lokal im Rechenzentrum betrieben werden.

Nun mögen sich Unternehmer denken, wieso sollte sich eine US-Behörde für unsere Daten interessieren, auszuschließen ist es nicht. Bei allem, was wir derzeit hören und sehen, kann schon ein Like oder ein regierungskritisches Social-Media-Posting genügen.

Handlungsempfehlungen für IT-Verantwortliche

IT-Verantwortliche sollten proaktiv handeln, indem sie:

• Eine Bestandsaufnahme durchführen, wo US-Dienste in Verbindung mit der Speicherung und Verarbeitung von personenbezogenen Daten zum Einsatz kommen.
• Alternative Anbieter aus der EU oder aus Drittländern mit adäquaten Datenschutzstandards evaluieren.
• Zusätzlich zum DPF die EU-Standardvertragsklauseln abschließen. Und zwar, laut Rechtsanwalt und Datenschutzexperten Stephan Hansen-Oest, »so, dass diese nur für den Fall zur Anwendung kommen, dass der Angemessenheitsbeschluss der EU-Kommission bzgl. des DPF nicht mehr besteht und dieser Transfermechanismus insoweit wegfällt.«
• Die rechtliche Situation eng verfolgen und Transfer-Impact-Assessments durchführen, um Risiken und Compliance-Anforderungen kontinuierlich zu bewerten.

Europäische Alternativen prüfen

Die politischen Entwicklungen in den USA stellen eine ernsthafte Bedrohung für die Stabilität des transatlantischen Datenaustausches dar. In der Datenschutzszene geht man davon aus, dass wir diesmal nicht auf ein Gerichtsurteil warten müssen, sondern das Abkommen vorher für unwirksam erklärt wird. Bisher konnte man der US-Regierung eine gewisse Kooperationsbereitschaft bescheinigen. Darauf können wir uns derzeit nicht verlassen.

Mittelständische Unternehmen, wie auch Behörden, öffentliche Stellen und Vereine müssen die Entwicklungen genau im Blick behalten und flexible Datenschutzstrategien entwickeln, um auf verschiedene Szenarien reagieren zu können. Das heißt, nicht nur auf politische und rechtliche Signale reagieren, sondern proaktiv Maßnahmen ergreifen und prüfen, an welchen Stellen sich US-Anbieter durch europäische Alternativen ersetzt lassen. Datenschutz-Kollegen nennen es auch »Ent-TRUMP-elung«.

Anmerkung der Redaktion:

Karl Fröhlich, speicherguide.deStammleser von speicherguide.de wissen, ich bin auch Datenschutzbeauftragter. In dieser Eigenschaft ist der Einsatz von Cloud-Diensten ein gängiges Thema. AWS, Azure und die Google Cloud sind nun mal die weltweit Größten und bieten einen enormen Funktionsumfang. Gleichzeitig sind vor allem größere Unternehmen global aufgestellt und die Zusammenarbeit mit Hyperscalern hilfreich.

Über die genauen Motive der Trump-Administration lässt sich nur spekulieren. Grundsätzlich steht alles unter dem Motto »Amerika first« und die getroffenen Maßnahmen sollen die Regierung effizienter machen. Zudem, so die Vermutungen, will die Regierung die Kontrolle über die Überwachung und den Datenschutz an sich reißen. Dass mit den Maßnahmen das EU-Geschäft von Storage- und IT-Anbietern torpediert wird, sehen Fachkreise als unbedachten Kollateralschaden.

Seit rund zwei Monaten führe ich diesbezüglich Gespräche mit US-Anbietern und mein Eindruck ist immer noch, die meisten meiner Gesprächspartner haben das bisher nicht auf dem Schirm oder tun so, als ob da nichts wäre. Im Prinzip bräuchte es jetzt ein paar Firmenlenker mit Rückgrat, die Druck auf die US-Regierung ausüben. Anderenfalls steht das komplette Cloud- und Abo-Geschäft in Europa vor dem Aus. Aus Datenschutzsicht kann man in der EU ansässigen Firmen nur empfehlen keine US-Produkte einzusetzen.

Nun ist dies natürlich leichter gesagt als getan. Es fängt bei der Hardware an, es gibt faktisch keine CPUs für Client-Rechner und Server, die nicht aus den USA kommen. Weltweit sind mehr als 70 Prozent aller Desktop- und Mobile-PCs mit Windows ausgestattet. Im Server- und Netzwerkumfeld dominieren ebenfalls US-Firmen.

Trotzdem müssen IT-Verantwortliche und Geschäftsleitungen nun einen unliebsamen Weg gehen. Überall wo personenbezogene Daten gespeichert und verarbeitet werden, gilt es nun Alternativen zu prüfen. Auch, weil es nicht nur um den Datenschutz und Vertraulichkeit geht, sondern auch um die Verfügbarkeit!

Wir sehen in den USA gerade, wovor uns Hollywood und Science-Fiction-Filme immer gewarnt haben: Milliardäre, die die Weltherrschaft an sich reißen wollen. Die Ukraine wurde bereits erpresst, frei nach dem Motto, erfülle unsere Forderungen oder wir drehen dir den Hahn zu und schalten zum Beispiel dein Satelliten-Internet ab. Können wir ausschließen, dass in anderen Bereichen Anbieter auf ähnliche Ideen kommen bzw. von staatlichen Akteuren zu Handlungen angehalten werden, die wir vor ein paar Wochen noch für unmöglich gehalten haben? Können wir nicht.

Die Nachricht waren zuletzt voll von Aussagen wie »Europa muss sich unabhängig machen«, dies gilt auch für die IT und in unserem Bereich explizit alles, was mit Datenspeicherung und Datensicherung zu tun hat.

Ich bin gespannt, wie die neue Regierung mit dem Thema umgeht. Persönlich würde ich sagen, es geht gar nicht darum, vordergründig mit den USA zu verhandeln, denn die werden keinen Millimeter von ihrem Weg abweichen. Vielmehr geht es darum mit unseren Partnern aus der EU zu sprechen und den Weg für ein digital unabhängiges Europa voranzubringen. Das muss das Ziel sein. Die Amis werden ihren Cloud-Act nicht ändern, das muss dann aber bedeuten, sie verlieren ihre europäischen Kunden, einem nach dem anderen.

Das ist freilich nicht einfach und speziell in größeren Unternehmen, aus heutiger Sicht, fast ein Ding der Unmöglichkeit. Aber es hilft nichts wir müssen damit anfangen und uns zumindest mit einer Exit-Strategie befassen.

Wie sehen Sie die Sachlage? Schreiben Sie mir oder diskutieren Sie mit uns auf Bluesky und Linkedin.

PS:
US-Anbieter dürfen sich natürlich auch gerne mit Lösungsvorschlägen bei uns melden.