Das Geheimnis, das Sie über Kurznachrichten mit Ihren Liebsten geteilt haben, das private Urlaubsfoto, Ihr letzter Einkauf – all das könnte ein Regierungsbeamter in den USA sehen, wenn er wollte. Dazwischen steht nur eine Datenschutzvereinbarung. Und die könnte bald fallen.

»Dieser Deal war schon immer auf Sand gebaut«, schreibt Maximilian Schrems, Vorstandsvorsitzender der Nichtregierungsorganisation NOYB für digitale Rechte auf der Website des Verbands. »Aber die EU-Wirtschaftslobby und die EU-Kommission wollten ihn trotzdem.« Anstatt sich auf stabile rechtliche Beschränkungen zu einigen, habe die EU den Versprechungen der US-Regierung zugestimmt – diese könnten jedoch in Sekundenschnelle aufgehoben werden.

Genau das könnte nun eintreten. Denn am 17. Januar 2025 entließ die Trump-Administration drei demokratische Mitglieder aus eigentlich dem fünfköpfigen Privacy and Civil Liberties Oversight Board, kurz PCLOB. Eine vierte Person verließ das Board.

Das Datenschutzgremium ist ein wesentlicher Bestandteil des aktuellen Datenschutzabkommens zwischen den USA und Europa. »Es ist in erster Linie dafür zuständig, dass Datenschutzbeschwerden kontrolliert, überwacht und letzten Endes auch bewertet werden«, erklärt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen und Forschungsdirektor am Cyber Intelligence Institute in Frankfurt am Main. Das könne man sich vorstellen wie eine Vorstufe eines gerichtlichen Verfahrens in den USA bei Datenschutzverstößen.

Um zu verstehen, welche Folgen die Entlassungen für den Datenschutz und die transatlantische Zusammenarbeit haben, muss man mehr als 20 Jahre in der Zeit zurückreisen. Denn es war alles andere als einfach, überhaupt ein passendes Datenschutzabkommen zwischen der EU und den USA abzuschließen. Die Geschichte ist von zahlreichen Beschwerden, Gerichtsurteilen und Fehlversuchen geprägt.

Wie lassen sich persönliche Daten sicher übermitteln?

Schon seit 1995 verbieten es europäische Gesetze, personenbezogene Daten in außereuropäische Länder zu übertragen, die kein angemessenes Datenschutzniveau oder ähnliche Schutzmechanismen haben. Damit war schon damals klar: Um weiterhin Daten mit den USA austauschen zu können, musste ein Abkommen her.

Daher entstand kurz darauf das »Safe Harbor«-Abkommen. Doch dieses kippte der Europäische Gerichtshof (kurz: EuGH) im Jahr 2015. Ausschlaggebend für diese Entscheidung war der Datenschutzaktivist und spätere NOYB-Gründer Maximilian Schrems, der sich im Juni 2013 bei der irischen Datenschutzbehörde beschwert hatte. Damals habe Facebook Irland die Nutzerdaten ganz oder teilweise auf Servern in den USA übermittelt oder verarbeitet. Schrems bezog sich dabei auf die durch den Whistleblower Edward Snowden enthüllten Geheimdokumente zum PRISM-Überwachungsprogramm.

Die irische Datenschutzbehörde wies die Beschwerde zurück und begründete das mit einer Entscheidung der Europäischen Kommission aus dem Jahr 2000, wonach »die Vereinigten Staaten ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten«. Schrems legte Einspruch ein. Nach einigem Hin und Her annullierte der EuGH das Safe-Harbor-Abkommen am 6. Oktober 2015 mit den Worten: »Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig.«

Nach diesem so genannten Schrems-I-Urteil war die EU gezwungen, ein neues transatlantisches Datenschutzabkommen auszuarbeiten. Infolgedessen trat 2016 Privacy Shield in Kraft, das unter anderem den wirtschaftlichen Handel zwischen den USA und der EU erleichtern sollte. Gleichzeitig wurden den EU-Bürgern mehr Grundrechte bei der Verarbeitung ihrer personenbezogenen Daten zugesichert. Doch 2020 kippte der EuGH auch dieses Abkommen durch das »Schrems-II-Urteil« – erneut hatte Schrems das Vorgehen von Facebook beanstandet. Die festgehaltenen Schutzmaßnahmen und Kontrollmechanismen reichten nicht aus.

Seit 2023 gilt deshalb das Data Privacy Framework, kurz: DPF. Im Gegensatz zu den Vorgängerabkommen schränkt es die Zugriffsbefugnisse der US-Geheimdienste (wie CIA, NSA, aber auch FBI) auf ein »notwendiges« und »verhältnismäßiges« Maß ein. Das hat seinen Grund, weiß der Datenschutzexperte Kipker: »Auf Grund der extensiven Überwachungspraxis in den Vereinigten Staaten ist es erforderlich, dass auch in den USA ein angemessenes Datenschutzniveau nachgewiesen wird.« Und dieses werde durch verschiedene Schutzmechanismen, zu dem auch das PCLOB gehört, gewährleistet.

»Wenn dieses Board nicht mehr in der Lage ist, seinen Aufgaben nachzukommen, dann fehlt eine entscheidende Grundlage, um sagen zu können: Das US-Datenschutzniveau ist angemessen«Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht

Doch nun schrumpfte das PCLOB, das eigentlich aus fünf unparteiischen Mitgliedern bestehen soll, auf eine einzige Person zusammen. Dabei braucht es laut EU-Durchführungsbeschluss (auch Angemessenheitsbeschluss genannt) vom 10. Juli 2023 mindestens drei Mitglieder, um beschlussfähig zu sein.

Daher befürchten einige, dass ein Schrems-III-Urteil folgen könnte. Neben EU-Abgeordneten hat auch Kipker echte Zweifel daran, dass personenbezogene Daten in den USA noch angemessen geschützt sind: »Wenn dieses Privacy and Civil Liberties Oversight Board nicht mehr in der Lage ist, seinen Aufgaben nachzukommen, dann fehlt eine entscheidende Grundlage, um sagen zu können: Das US-Datenschutzniveau ist im Sinne des europäischen Datenschutzniveaus angemessen.«

Doch was würde passieren, wenn es tatsächlich zu einem Schrems-III-Urteil käme? Neben der Teilnahme am DPF gibt es weitere Möglichkeiten, um datenschutzkonform personenbezogene Daten in die USA zu übertragen. So berufen sich große Tech-Konzerne wie Apple oder Microsoft auf »Standardvertragsklauseln« (von der europäischen Kommission erarbeitete Vertragsmuster). Daneben existieren für große Unternehmensstrukturen weitere Vorgaben zur personenbezogenen Datenübermittlung, wie die Binding Corporate Rules (BCR). »Viele US-Unternehmen, die beispielsweise Cloud-Lösungen oder Arbeitsplatzlösungen anbieten, versuchen sich von der Problematik ungenügenden Datenschutzes in den USA bei Datenübermittlungen reinzuwaschen, indem sie sich so genannten Standardvertragsklauseln oder anderen Formen von Einzelverträgen unterwerfen«, sagt Thilo Weichert, Jurist und Vorstandsmitglied der Deutschen Vereinigung für Datenschutz e. V. Doch auch diese vertraglichen Verpflichtungen schützen nicht vor den ausgedehnten Überwachungspraktiken der USA.

Das Datenschutz-Dilemma

Einer der Gründe, warum es so schwer ist, ein angemessenes Datenschutzabkommen auszuarbeiten, hat mit US-spezifischen Regelungen zu tun. Diese sorgen für ein regelrechtes Dilemma. Einerseits sind Organisationen an die europäische Datenschutz-Grundverordnung gebunden – sie müssen bei der Übermittlung personenbezogener Daten in die USA eine weitgehende Vertraulichkeit zusichern –, andererseits zwingen mehrere US-amerikanische Gesetze und Regelungen sämtliche US-Unternehmen dazu, Daten auf Regierungsanforderung herauszugeben; und zwar unabhängig davon, woher die Daten kommen.

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist eines dieser Gesetze. Es erlaubt unter anderem die elektronische Beweissicherung von Daten von US-Firmen im Rahmen von Strafverfahren oder Durchsuchungsbeschlüssen – sogar auf ausländischen Servern. Darüber hinaus regelt das FISA-Gesetz (Foreign Intelligence Surveillance Act) die weltweite Auslandsüberwachung von Nicht-US-Bürgern außerhalb des US-Territoriums. Zudem ermöglichen so genannte National Security Letters die Erfassung von Metadaten, die personenbezogene Daten wie IP-Adressen oder Benutzeraccounts enthalten können.

Selbst wenn Google, Amazon und Co. erklären, dass sie europäische Datenschutzgesetze einhalten, können sie das vermutlich nicht vorbehaltlos garantieren

Das heißt: Selbst wenn die Schwergewichte internationaler Cloud-Lösungen wie Google oder Amazon erklären, dass sie europäische Datenschutzgesetze einhalten, können sie das vermutlich nicht vorbehaltlos garantieren. Sobald eine US-Behörde bei ihnen anklopft, müssen sie die Daten herausgeben. Und trotzdem hat die Europäische Kommission im Jahr 2023 allen Organisationen, die am DPF teilnehmen, ein »angemessenes Schutzniveau« bescheinigt.

Digitale Souveränität für mehr Datenschutz

»Das muss ganz klar so sein, dass kein ausländisches Unternehmen, kein ausländischer Staat auf Daten zugreifen kann – auch nicht im Krisenfall«, sagt Matthias Stürmer, der das Institut für Public Sector Transformation an der Berner Fachhochschule in der Schweiz leitet. Stürmer hat 2024 einen umfassenden wissenschaftlichen Bericht über »Technologische Perspektiven der digitalen Souveränität« mit Blick auf die Schweiz, Deutschland und weitere Staaten und internationale Organisationen veröffentlicht. Darin empfiehlt er unter anderem, was europäische Datenschützer seit Langem fordern: »Werden IT-Systeme auf eigenen Servern betrieben, ist auch der Datenschutz gewährleistet.«

Europaweit setzen sich Initiativen wie der Bundesverband für digitale Souveränität e. V., CH Open oder der Sovereign Cloud Stack für eine digitale Unabhängigkeit ein. Denn aktuell verlassen sich europäische Nutzer meist auf US-Firmen wie Google oder Microsoft, wenn es um Software geht. Aber auch bei der Hardware – etwa Computerchips – dominieren US-Unternehmen wie NVIDIA oder BROADCOM den Markt. Natürlich könne man nicht einfach »in Deutschland oder in der Schweiz den Boden umbuddeln«, um seltene Erden für die eigene Chipproduktion zu finden, erklärt Stürmer. Aber man könne Hardware europäischer Hersteller wählen – und eigene Rechenzentren bauen.

Auf der Softwareseite sei der »uneingeschränkte und komplette Zugriff« auf Programmcodes wichtig – gerade im Bereich der künstlichen Intelligenz. Marktbeherrschende US-Firmen wie OpenAI oder Anthropic halten ihren Programmcode unter Verschluss. Doch es existieren Alternativen: »Es gibt über 1,4 Millionen frei zugängliche Open-Source-AI-Modelle auf der Online-Plattform Hugging Face«, sagt Stürmer.

Schleswig-Holstein als Vorreiter

Eine Vorreiterrolle in dem Bereich könnte Schleswig-Holstein übernehmen. Im November 2024 veröffentlichte das Bundesland eine 27-seitige »Open Innovation und Open Source Strategie«. Die Landesverwaltung will ihre Systeme digital souveräner gestalten – weg von »Monopolisten« und »Herstellern proprietärer IT-Produkte«.

»Open-Source-Software ist eines der wichtigsten Werkzeuge, um Souveränität zu schaffen«, sagt der schleswig-holsteinische Digitalisierungsminister Dirk Schrödter. »Ausschlaggebend waren insbesondere die Erfahrungen mit teuren Lizenzmodellen, eingeschränkten Anpassungsmöglichkeiten und Datenschutzbedenken im Zusammenhang mit proprietären Diensten.« Viele US-Anbieter bieten ihre Produkte meist nur noch cloudbasiert an, wie Google Docs oder Microsoft 365. »Den Datenschutz halten wir bei der Nutzung von Cloud-Diensten von US-Anbietern für akut gefährdet«, warnt Schrödter.

Doch wo fängt man am besten mit dem Umbau bestehender IT-Systeme an? »Die Behörden und Unternehmen sollten insbesondere dort mit der Souveränität beginnen, wo die größte Sensibilität besteht. Aus meiner Sicht ist dies bei der Kommunikation der Fall«, urteilt Thilo Weichert, der von 2004 bis Juli 2015 Datenschutzbeauftragter von Schleswig-Holstein war und die Transformation früh begleitet hat. Den größten Brocken Arbeit sieht er bei Fachanwendungen mit Programmschnittstellen zu Microsoft.

»Am Ende kommt es nicht darauf an, wo die Daten gespeichert werden, sondern wer die Datenhoheit hat«Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht

Schleswig-Holstein steht mit diesem Ansatz in Deutschland noch ziemlich allein da. Aber Werbeversprechen wie »Ihre Daten liegen auf Servern in Europa und sind deshalb sicher« verhindern keinen Datenabfluss in die USA. »Beim Cloud-Computing sollten teilsouveräne Cloud-Lösungen vermieden werden. Das ist zum Beispiel der Betrieb eines Servers in Deutschland durch ein deutsches Unternehmen, jedoch mit US-amerikanischer Software«, sagt der Jurist und Professor für IT-Sicherheit und Datenschutz Kipker. »Am Ende kommt es nicht darauf an, wo die Daten gespeichert werden, sondern wer die Datenhoheit hat. Und die liegt bei teilsouveränen Lösungen zumeist nicht in der EU.«

Auch Stürmer mahnt, angesichts der neuen Trump-Administration vorsichtiger zu sein. Das heißt, keine Steuergelder in »die Microsofts und Amazons dieser Welt« zu investieren: »Wir brauchen ganz bewusst europäische Anbieter.«