Ein aktuelles Rechtsgutachten der Universität zu Köln, veröffentlicht im Auftrag des Bundesinnenministeriums, untersucht die Rechtslage in den USA hinsichtlich des Zugriffs von US-Behörden auf Daten – auch wenn diese in Europa gespeichert sind. Kernpunkt des Gutachtens ist, dass mehrere US‑Gesetze – vor allem der CLOUD Act, der Foreign Intelligence Surveillance Act (FISA) und der Stored Communications Act (SCA) – den Zugriff auf Daten ermöglichen, die sich physisch außerhalb der USA befinden, solange ein US-Anbieter die Kontrolle über die Daten hat. Das bedeutet, dass europäische Daten in Rechenzentren von US‑Anbietern wie Microsoft, Amazon oder Google nicht automatisch vor Zugriffen durch US‑Behörden geschützt sind. Nach dem Gutachten können US‑Behörden unter bestimmten Voraussetzungen Herausgabe- oder Überwachungsanordnungen erlassen, selbst ohne gerichtliche Prüfung. Hinzu kommt: Der rechtliche Schutz europäischer Firmen gegen Datenherausgabe-Anordnungen ist derzeit stark eingeschränkt.
Praxis: Was bedeutet das für Unternehmen?
Das Gutachten bestätigt, was auch Branchenverbände wie der Bundesverband IT‑Mittelstand (BITMi) betonen: Anbieter mit starker US‑Anbindung bringen für europäische Kunden reale Risiken für Datenschutz und Compliance mit sich.
Konkret sieht der CLOUD Act beispielsweise vor, dass US-Behörden auch auf Daten zugreifen können, die von US-Unternehmen außerhalb der USA gespeichert sind.
Das Gutachten stellt fest, dass auch europäische Tochtergesellschaften von US-Konzernen betroffen sein können – es reicht nicht aus, die Daten nur in Europa zu hosten. Überdies gilt die US-Jurisdiktion potenziell auch für europäische Unternehmen mit Verbindungen zum US-Markt.
Dies hat mögliche DSGVO-Konflikte zur Folge, weil europäische Datenschutzstandards und US-Zugriffsbefugnisse teilweise kollidieren. Das BITMi hält europäische Unternehmen mit Sitz, Leitung und Eigentümern in der EU für die rechtssicherste und verlässlichste Option für die Verwaltung vertraulicher Daten.
Insgesamt steht das Schlagwort der Datensouveränität derzeit im Fokus und wird auch vom BITMi gegenüber der Politik gefordert. In unserer Blogreihe zur Datensouveränität erfahren Sie, warum sie heute zu den zentralen Säulen moderner IT-Security zählt, welche aktuellen Fälle Europa beschäftigen und welche praxisbewährten Strategien Unternehmen umsetzen können.
Empfehlung zum Schutz sensibler Daten
Auf Grundlage des Rechtsgutachtens zum Zugriff US-amerikanischer Behörden sollten Unternehmen zunächst eine Risikoanalyse durchführen, um die Auswirkungen der globalen US-Gesetze auf ihre Daten zu bewerten. Unter bestimmten Bedingungen ist für Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend.
Ein guter Schritt für den Bereich DSGVO-Absicherung ist außerdem das Abschließen von AVVs und auch die Prüfung, ob Standardvertragsklauseln umgesetzt werden. Diese Maßnahmen, ebenso wie eine starke Verschlüsselung der Daten, sind hilfreich, schützen aber nicht vor möglichen Zugriffen.
Wo möglich, sollten europäische Anbieter oder hybride Architekturen genutzt werden, um Abhängigkeiten vom US-Recht zu reduzieren. Besonders sensible Informationen sollten in europäischen Rechenzentren verbleiben, um DSGVO-Konformität, digitale Souveränität und strategische Unabhängigkeit zu gewährleisten, während weniger kritische Daten international gehostet werden können.
Gerne beraten wir Sie zum Thema Sicherheit und Datensouveränität, damit Sie die Kontrolle über Ihre Daten behalten!
Sie wollen, dass Ihr Unternehmen rundum sicher wird? Für die Analyse möglicher Bedrohungen kann unser Team für Ihr Unternehmen eine Risikobewertung durchführen und einen maßgeschneiderten Sicherheitsplan zusammenstellen – das geht mit unserem professionellen IT-Consulting.
Sprechen Sie uns einfach an!
Herzlich Grüße,
Ihre TWINSOFT
