Die Nutzung US-amerikanischer Cloud-Infrastrukturen wie von Microsoft bleibt für europäische Unternehmen und Behörden ein datenschutzrechtliches Minenfeld. Denn die aktuelle Rechtslage ist trotz neuer Abkommen von widersprüchlichen Signalen geprägt. Während das EU-US Data Privacy Framework (DPF) oder die Entscheidung des Europäischen Datenschutzbeauftragten (EDPS) oberflächlich Erleichterung verspricht, mehren sich die Warnungen vor einer trügerischen Sicherheit und den umfassenden Zugriffsbefugnissen der US-Sicherheitsbehörden. Die Debatte um die digitale Souveränität gewinnt durch neue Gutachten und deutliche Positionierungen von Aufsichtsbehörden erneut an Schärfe.
Grünes Licht für Microsoft 365 bei der EU-Kommission
Während der Europäische Datenschutzbeauftragte (EDPS) kürzlich das Verfahren gegen die EU-Kommission bezüglich der Nutzung von Microsoft 365 offiziell abgeschlossen hat, ist dies keineswegs als allgemeiner Freibrief für die Wirtschaft zu verstehen. Die Entscheidung basiert primär auf spezifischen Nachbesserungen und einer besonderen Verhandlungsmacht der Kommission, die individuelle Garantien von Microsoft erwirken konnte. Für private Organisationen bedeutet dies, dass sie weiterhin eigenständig prüfen müssen, ob ihr Einsatz der Software den strengen Anforderungen der DSGVO genügt, da der EDPS keine umfassende Bestätigung der Gesamtcompliance für Dritte abgegeben hat.
Die globale Reichweite von US-Gesetzen
Ein im Auftrag des Bundesinnenministeriums erstelltes und auf FragDenStaat veröffentlichtes Gutachten der Universität Köln bestätigt die weitreichende Jurisdiktion der Vereinigten Staaten. Demnach sei für eine Herausgabepflicht über Instrumente wie den CLOUD Act und Abschnitt 702 des FISA nicht der physische Speicherort der Daten in Europa entscheidend, sondern die tatsächliche Kontrolle durch die betroffene Firma. Dies impliziere, dass Daten in europäischen Rechenzentren, die über Tochtergesellschaften verwaltet werden, dem Zugriff unterliegen, sofern die US-Muttergesellschaft die Letztkontrolle ausübt. Brisant ist zudem die Feststellung, dass sogar rein europäische Unternehmen von US-Gesetzen erfasst werden könnten, wenn sie relevante geschäftliche Verbindungen in die USA unterhalten.
Grenzen technischer Schutzmaßnahmen
Das Gutachten weist zudem darauf hin, dass technische Maßnahmen wie eine eigenständige Verschlüsselung die Herausgabepflichten nicht zwingend beseitigen. Im US-Prozessrecht sind Parteien verpflichtet, verfahrensrelevante Informationen zu speichern und bereitzustellen. Ein Cloud-Dienstleister, der sich technisch vom Zugriff ausschließt, riskiere daher empfindliche Bußgelder oder strafrechtliche Konsequenzen. Während das EU-US Data Privacy Framework derzeit als Basis für Übermittlungen dient, wird es aufgrund der Regelungen in Section 702 FISA als rechtlich instabil eingestuft. Es entspreche nicht dem erforderlichen europäischen Datenschutzniveau.
Warnsignale aus der Schweiz
Parallel zu diesen rechtlichen Analysen warnt die Zürcher Datenschutzbeauftragte Dominika Blonski eindringlich vor der unkritischen Nutzung von US-Clouds wie Microsoft durch Behörden und öffentliche Institutionen. Sie beobachtet eine zunehmende Sorglosigkeit bei der Implementierung dieser Produkte, ohne dass vorab eine umfassende Prüfung der Datenschutzrisiken erfolgt. Da die US-Regierung bereits seit 2018 weitreichende Rechte zur Dateneinsicht beansprucht, sieht Blonski insbesondere bei sensitiven Informationen die Gefahr eines Kontrollverlusts. Betroffene erfahren oft gar nicht, wenn auf ihre Daten zugegriffen wird, und haben somit kaum Möglichkeiten, sich rechtlich zur Wehr zu setzen. Dies deckt sich mit der kürzlich veröffentlichten Resolution der schweizerischen Datenschutzkonferenz Privatim. Sie empfiehlt bei besonders schützenswerten oder geheimhaltungspflichtigen Personendaten im öffentlichen Sektor auf internationale SaaS-Cloud-Dienste zu verzichten, da eine Auslagerung ohne ausreichende Schutzmechanismen als datenschutzrechtlich unzulässig angesehen wird.
In Deutschland zeigt sich hingegen eine punktuelle Entspannung durch den Hessischen Beauftragten für Datenschutz (HBDI). Er hat den Einsatz von Microsoft 365 unter strengen Rahmenbedingungen in Hessen für konform erklärt. Der HBDI stützt sich dabei auf das EU-US Data Privacy Framework (DPF) und technische Anpassungen seitens Microsofts. Gleichzeitig mahnt er jedoch, dass Unternehmen die vorgegebenen Maßnahmen auch konsequent umsetzen müssen.
Rechtsunsicherheit für Unternehmen bleibt
Für Unternehmen resultiert aus dieser Gemengelage eine weiterhin begrenzte Rechtssicherheit. Eine Überprüfung durch den EuGH könnte jederzeit zu einer erneuten Kehrtwende führen. Ein Eingeständnis von Microsoft France vor dem französischen Senat unterstreicht das Risiko. Er bestätigte dort bestätigt, dass bei formal korrekten US-Anfragen eine Datenweitergabe erfolgen muss, selbst wenn dies europäischem Recht widerspricht. Verantwortliche müssen daher zwingend Transfer Impact Assessments (TIAs) durchführen und bei hochsensiblen Daten auf zusätzliche Schutzmaßnahmen wie eine eigenständige Verschlüsselung setzen. In Bereichen mit hohem Schutzbedarf sollten Verantwortliche prüfen, ob Daten im Vorfeld eigenständig verschlüsselt oder konsequent auf europäischen Alternativen „geparkt“ werden können. Das abstrakte Risiko extraterritorialer Zugriffe muss Teil des Risikomanagements jeder Organisation sein.
Fazit
Die aktuelle Rechtslage verdeutlicht, dass die Nutzung von US-Clouds weiterhin mit erheblichen Rechtsunsicherheiten behaftet ist, da US-Gesetze wie der Cloud Act oder FISA eine globale Reichweite beanspruchen. Das EU-US Data Privacy Framework bietet nur eine begrenzte Rechtssicherheit und steht auf einem wackeligen Fundament. Unternehmen und Behörden sind gut beraten, ihre Abhängigkeit von US-Anbietern kritisch zu hinterfragen und verstärkt auf europäische Lösungen zu setzen, um den Schutz sensibler Informationen dauerhaft zu gewährleisten.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
