· 

Haben Sie immer noch keinen Plan B?

 

In der modernen IT-Landschaft ist die Abhängigkeit von US-Dienstleistern oft enorm.

Und ich möchte jetzt nicht im riesigen Fass „Digitale Souveränität“ baden, sondern einfach mal durchdenken, was wäre wenn die Grundlage für US-Übermittlungen wegfiele. 

 

Ob die tägliche Kommunikation über Microsoft 365, Teams, Zoom und Slack, das Vertriebs- und Kundenmanagement über SalesForce, die komplette Marketing-Automation über HubSpot oder die gesamte Infrastruktur bei US-Hostern wie AWS, Google und Azure: Viele deutsche Unternehmen sind in sehr großen Teilen abhängig von Plattformen außerhalb Europas.

 

Seit 2023 regelt das EU-US Data Privacy Framework (DPF) das „angemessene Schutzniveau“ für diese potenziellen oder tatsächlichen Offenlegungen von personenbezogenen Daten im Verhältnis zu den USA.

 

Das DPF ist einem sogenannten Angemessenheitsbeschluss gleichgesetzt. Er erlaubt es EU-Unternehmen, personenbezogene Daten ohne zusätzliche Garantien an darunter (selbst-)registrierte US-Anbieter zu übermitteln.

 

Die grundsätzliche Basis dafür, dass das DPF als "angemessen" betrachtet werden kann, ist jedoch kein dauerhaftes Gesetz, sondern vor allem die Executive Order 14086, die von US-Präsident Joe Biden unterzeichnet wurde.

 

Dieser Erlass führte zwei entscheidende Verbesserungen als „Learning“ aus dem sog. Schrems II Urteil ein:

  1. Verhältnismäßigkeit: Staatliche US-Stellen dürfen auf Daten nur noch in einem Umfang Zugriff verlangen, der für die nationale Sicherheit „notwendig und verhältnismäßig“ ist.
  2. Rechtsbehelf: Mit dem Civil Liberties Protection Officer (CLPO) und dem Data Protection Review Court (DPRC) wurde ein zweistufiges Beschwerdeverfahren für EU-Bürger geschaffen, die vorher durch die US-Rechtsrahmen keine angemessenen Rechtsbehelfe hatten.

Das Problem an einer Executive Order?

 

Eben genau der Umstand, dass sie "nur" eine Anordnung des Präsidenten ist. Ein Strategiewechsel in Washington oder auch nur eine Laune des jeweils amtierenden Präsidenten kann dazu führen, dass diese Garantien mit einem Federstrich aufgehoben werden.

 

Sollten dadurch die Beschränkungen für Datenzugriffe fallen oder der DPRC seine Unabhängigkeit verlieren oder aufgelöst werden, stünde das DPF ziemlich sicher vor dem Aus.

 

Dann nehmen wir halt wieder SCC und TIA!

 

Fällt das DPF weg, rutschen die USA zurück in den Status eines „unsicheren Drittlands“. Unternehmen müssten dann meist auf die bekannten Alternativen des Art. 46 DSGVO zurückgreifen:

 

  • Standardvertragsklauseln (SCC): Vertragliche Zusicherungen zwischen Daten-Exporteur (EU) und Importeur (USA) sowie
  • Transfer Impact Assessment (TIA): Eine individuelle Risikoanalyse des Datentransfers unter Berücksichtigung der Rechtslage im Empfängerland (zwingend nach SCC Klausel 14, siehe auch mein Blogartikel dazu)

Was wäre aber das (ehrliche) Ergebnis eines TIA?

 

Meine Annahme: Sollten die durch die Executive Order geschaffenen Rahmenbedingungen wegfallen, ist ein positives TIA für US-Transfers eigentlich kaum noch zu verargumentieren.

 

Ohne die Einschränkung z.B. der US-Geheimdienste durch die EO 14086 kollidieren die US-Überwachungsgesetze (wie FISA 702) vermutlich frontal mit den EU-Grundrechten. Und ohne vernünftige Rechtsbehelfe hätten EU-Bürger keinerlei Hebel mehr um z.B. ihre Betroffenenrechte durchzusetzen.

 

Ein TIA müsste in diesem Fall wohl zum Ergebnis kommen, dass kein angemessenes Schutzniveau besteht – es sei denn, man setzt auf massive technische Schutzmaßnahmen wie eine lückenlose Verschlüsselung, bei der der US-Anbieter keinen Zugriff auf die Daten hat. Aber dann könnte man sich wohl auch das TIA sparen.

 

Für komplexe SaaS-Lösungen wie Google Workspace oder Microsoft 365 ist dies aber meist praktisch nicht oder nicht ohne erhebliche Funktionseinbußen umsetzbar.

 

Besser einen Plan B haben!

 

Das DPF bietet momentan also noch einen bequemen Rahmen, doch die Frage muss gestellt werden, wie lange das noch so ist. Ein „Plan B“ sollte nicht erst entwickelt werden, wenn Tatsachen geschaffen werden.

 

Was Sie jetzt tun sollten:

 

  1. Inventur (sollte schon bei der Erstellung des Verarbeitungsverzeichnisses passiert sein): Welche US-Dienstleister werden aktuell genutzt und wie kritisch sind diese für den Unternehmensbetrieb (MS 365, Google Workspace, SalesForce, HubSpot etc.)?
  2. Zusatz-Absicherung: Schließen Sie vorsorglich SCCs ab und führen Sie ein TIA durch, auch wenn das DPF noch gilt. Die SCC sollten möglichst direkt Geltung erlangen, sofern/sobald das EU-US DPF kippt.
  3. Verschlüsselung: Prüfen Sie, ob "Bring Your Own Key" (BYOK) Optionen für Ihre Cloud-Dienste verfügbar und technisch sinnvoll sind.
  4. Stellen Sie sicher, dass sie im "Worst Case" (z.B. durch Export-Funktionen) an Ihre Daten kommen.
  5. Prüfen Sie europäische Alternativen (https://european-alternatives.eu/)

Fazit:

 

Wer heute keinen Plan B hat, riskiert morgen seine wichtigsten Geschäftsprozesse nicht mehr rechtmäßig betreiben zu können.

 

Und das ist Realität, selbst wenn nicht technisch „der Stecker gezogen“ würde sondern nur jemand auf der anderen Seite des Teichs schlechte Laune... Verzeihung - "gute Gründe" hat und beschließt, wieder mal einen Beschluss eines Vorgängers aufzuheben.

 

Einige Quellen zur aktuellen Situation (2025/2026)