Digitale Souveränität und grenzüberschreitende Datenzugriffe

By René Floitgraf

Die Diskussion um digitale Souveränität und den Schutz personenbezogener Daten vor extraterritorialen Zugriffen hat durch aktuelle internationale Entwicklungen neue Brisanz erhalten. Bereits länger bekannt ist das Risiko durch den US CLOUD Act, der US-Anbietern – unabhängig vom physischen Speicherort der Daten – die Herausgabe von Daten an US-Behörden auch ohne Rechtshilfeverfahren ermöglicht.

Aktuell zeigt ein Fall in Kanada eine alarmierende Ausweitung dieser Praxis: Die kanadischen Behörden haben den französischen Cloud-Anbieter OVHcloud direkt zur Datenherausgabe aufgefordert, obwohl der Anbieter seinen Sitz in Frankreich hat und die Daten in mehreren Ländern außerhalb Kanadas lagern. Kanada verfügt über ein ähnliches Gesetz wie der CLOUD Act und genießt zudem durch einen Angemessenheitsbeschluss der EU eigentlich das Vertrauen eines angemessenen Datenschutzniveaus.

Dieser Vorfall verdeutlicht, dass die physische Lokalisierung von Daten allein keinen ausreichenden Schutz mehr darstellt. Selbst die Nutzung von Dienstleistern aus als „sicher“ eingestuften Drittstaaten oder der Wechsel zu europäischen „souveränen Clouds“ bietet keine absolute Immunität gegen solche direkten behördlichen Zugriffsansprüche.

Die aktuelle Lage ist geprägt von rechtlicher Fragilität:

  1. Extraterritoriale Gesetze: Der US CLOUD Act und vergleichbare Regelungen (wie nun in Kanada praktiziert) umgehen klassische internationale Rechtshilfeverfahren. Anbieter stehen oft im Konflikt zwischen der Beachtung des EU-Rechts (z.B. DSGVO) und der Befolgung von Anordnungen ausländischer Behörden. Zudem weist ein aktuell veröffentlichtes Rechtsgutachten vom Bundesinnenministerium darauf hin, dass für die Anwendbarkeit des US CLOUD Act bereits ausreicht, wenn ein EU-Unternehmen eine Niederlassung in den USA betreibt. Dadurch dürfte beispielsweise auch die IONOS SE durch die US-Tochtergesellschaft IONOS Cloud Inc. unter den US CLOUD Act fallen.
  2. Geheimhaltungspflichten: Oft sind die Betroffenen und die betroffenen Unternehmen nicht einmal über solche Auskunftsersuche informiert, da den Anbietern Schweigepflichten auferlegt werden können.
  3. Politische Volatilität: Die Stabilität internationaler Datenabkommen ist gefährdet. Beispielsweise könnte die politische Dynamik in den USA (Stichwort: mögliche Aufhebung von Executive Orders) das erst kürzlich etablierte Data Privacy Framework und dessen EU-Angemessenheitsbeschluss jederzeit in Frage stellen. Ein konkreter Hinweis ist die aktuelle politische Debatte um die Rücknahme von Erlassen der vorherigen US-Regierung.
  4. Praktische Vorfälle: Bereits im Mai 2024 wurde ein E-Mail-Postfach des EU-Strafgerichtshofes auf Basis von US-Regierungsweisungen gesperrt – ein deutliches Signal der realen Auswirkungen.
  5. Keine aktive Mitarbeit notwendig: Zudem zeigt das oben genannte Rechtsgutachten, dass für den Datenzugriff der US-Behörden nicht einmal eine aktive Mitarbeit notwendig ist. Zitat: „Unter Exekutive Order 12333 sind US-Geheimdienste dazu ermächtigt, geheimdienstrelevante Informationen auch von Servern im Ausland zu sammeln. Dabei ist die Mitwirkung der Serverbetreiber grundsätzlich nicht erforderlich, vielmehr werden Sicherheitslücken in der IT-Infrastruktur ausgenutzt.“

Konsequenzen und Handlungsempfehlungen:

Es zeigt sich, dass beim Einsatz von Clouddiensten nicht mehr nur auf den Sitz des Auftragnehmers oder dessen Unterauftragnehmer geschaut werden darf, wenn es um Risiken von Datenzugriffen ausländischer Behörden geht. Diese Risiken sind viel mehr grundsätzlich zu erwarten und in allen Fällen zu berücksichtigen.

Natürlich muss auch weiterhin auf ein angemessenes Datenschutzniveau beim Dienstleister geachtet werden, ABER:

Die Idee der digitalen Souveränität muss grundlegend neu gedacht werden. Nicht der Standort der Daten (das „WO“), sondern der Umgang mit den Daten (das „WAS“ und „WIE“) sollte im Mittelpunkt stehen.

Wir empfehlen Ihnen, Ihre Cloud- und Datenschutzstrategie daraufhin zu überprüfen und folgende Maßnahmen zu erwägen:

  1. Risikobewertung vertiefen: Bei der Auswahl von Cloud-Dienstleistern (insbesondere US-basierter oder in Drittstaaten mit ähnlichen Gesetzen ansässiger Anbieter) muss das Risiko extraterritorialer Zugriffe explizit bewertet und dokumentiert werden. Fragen Sie im Zweifel die Anbieter konkret nach möglichen behördlichen Anfragen durch vergleichbare Gesetze.
  2. Datenminimierung und Klassifizierung: Nicht alle Daten müssen in die Cloud. Führen Sie eine Datenklassifizierung durch. Besonders sensitive personenbezogene und geschäftskritische Daten sollten einer strengeren Schutzregelung unterliegen, gegebenenfalls durch lokale Speicherung oder den Einsatz spezieller EU-/DE-basierter Anbieter mit verstärkten vertraglichen Garantien.
  3. Technische Schutzmaßnahmen verstärken: Der Zugriff Dritter auf den Klartext der Daten kann durch Ende-zu-Ende-Verschlüsselung verhindert werden, bei der Sie den Schlüssel selbst halten. Auch die Nutzung von Anonymisierungs- oder starken Pseudonymisierungsverfahren vor der Cloud-Speicherung reduziert das Risiko erheblich.
  4. Vertragliche Absicherung: Achten Sie in Verträgen mit Cloud-Providern auf starke Garantien zu Transparenz (Mitteilungspflichten bei Behördenanfragen (ja, soweit rechtlich möglich)) und Widerspruchsmöglichkeiten des Unternehmens.
  5. Alternative Infrastrukturen prüfen: Evaluieren Sie für kritische Workloads den Einsatz von Cloud-Dienstleistern mit klarem europäischem Rechtsrahmen und Eigentümerstruktur („Sovereign Cloud“), auch wenn dies keinen 100%igen Schutz, aber ein deutlich geringeres Risiko bietet.

Fazit:

Digitale Souveränität ist kein Zustand, den man durch die Wahl eines bestimmten Anbieters oder Landes erreicht. Sie ist ein kontinuierlicher Prozess, der auf einer kombinierten Strategie aus rechtlicher Absicherung, technologischen Schutzvorkehrungen und einer bewussten Datenpolitik basiert. Die Cloudnutzung wird nie frei von Risiken sein, aber der Umgang mit den Risiken bestimmt die eigene digitale Souveränität.

Wir stehen Ihnen gerne bei Fragen und für eine individuelle Beratung zur Bewertung Ihrer aktuellen Cloud-Nutzung und zur Entwicklung eines souveränen Datenschutzkonzepts zur Verfügung.


Diese Information dient der ersten Risikosensibilisierung und stellt keine individuelle Rechtsberatung dar. Bitte wenden Sie sich für konkrete Maßnahmen an uns.

Quellen:
heise: Strafgerichtshof: Microsofts E-Mail-Sperre als Weckruf für digitale Souveränität
Golem: Microsoft und AWS geben zu, dass sie Daten nicht schützen können
Rechtsgutachten: Frag den Staat / Universität zu Köln / im Auftrag des BMI

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

pexels-maorattias-5192347
NIS2 – Das Umsetzungsgesetz ist unterschrieben!Datenschutz, Informationssicherheit