Einsatz von US-Cloud-Anbietern unter der Trump-Regierung: Risiken und Handlungsempfehlungen für Unternehmen

Die jüngsten politischen Entwicklungen in den USA stellen das EU-US Data Privacy Framework auf die Probe – für viele Unternehmen die rechtliche Grundlage, auf der sie US-Anbieter wie AWS oder Microsoft nutzen, ohne Angst vor hohen Bußgeldern nach der DSGVO haben zu müssen. Sollte das Data Privacy Framework aufgrund der Änderungen unter der Trump-Administration ausgesetzt werden, stehen Unternehmen, die US-Cloud-Anbieter nutzen, vor der Herausforderung, ihre Datenübertragungen weiterhin rechtskonform und sicher zu gestalten. Wir informieren Sie darüber, ob US-Cloud-Anbieter noch eingesetzt werden können, welche Risiken bestehen und welche Maßnahmen Unternehmen ergreifen sollten.

Hintergrund: Das EU-US Data Privacy Framework

Da die USA ein sog. Drittland sind, das nicht Teil des Europäischen Wirtschaftsraumes ist, sind Datenübermittlungen in die USA nur zulässig, wenn entweder ein Angemessenheitsbeschluss der Kommission ein dem in der EU gleichwertiges Datenschutzniveau bescheinigt oder andere Maßnahmen nach Art. 46 DSGVO ergriffen wurden. Liegt ein Angemessenheitsbeschluss nicht vor, kommt etwa die Vereinbarung von Standardvertragsklauseln (Standard Contractual Clauses, SCCs) in Betracht, die jedoch ein aufwändiges Transfer Impact Assessment (TIA) voraussetzen, in denen das Unternehmen die Risiken bei der Übermittlung der Daten in das Drittland bewertet. Dabei liegt eine „Übermittlung“ auch dann vor, wenn ein US-Unternehmen auf personenbezogene Daten in Deutschland zugreifen kann.

Das EU-US Data Privacy Framework aus dem Jahr 2023 basiert auf einem solchen Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO. Dieser Beschluss ermöglicht Datenübermittlungen an Unternehmen in den USA, solange sie sich dem Privacy Framework unterworfen haben (Eine Liste der teilnehmenden Unternehmen finden Sie hier). Ein wesentlicher Bestandteil des Frameworks ist die Überwachung der Tätigkeiten der US-Geheimdienste durch das Privacy and Civil Liberties Oversight Board (PCLOB), das Geheimdienste und Behörden bezüglich des Datenschutzes als unabhängige Behörde überwachen soll. Das PCLOB soll sicherstellen, dass Gesetze wie der CLOUD-Act nicht ausgenutzt werden, der es der US-Regierung ermöglicht, ohne individuelle gerichtliche Genehmigung auf bei US-Unternehmen gespeichert Daten zuzugreifen – selbst, wenn diese ausschließlich bei europäischen Tochterunternehmen verarbeitet werden.

Aktuelle Entwicklungen und Risiken

Die politische Lage in den USA hat sich durch die Entlassung der drei demokratischen Mitglieder des PCLOB Ende Januar und die Überprüfung aller Executive Orders der Biden-Administration durch die Trump-Regierung jedoch erheblich verändert. Die Handlungsfähigkeit des ursprünglich mit fünf Mitgliedern besetzten PCLOB ist durch die Entlassungen erheblich eingeschränkt, außerdem bestehen erhebliche Zweifel an der Unabhängigkeit einer Behörde, deren Mitglieder derart von politischen Entscheidungen abhängig sind (vgl. etwa diese schriftliche Anfrage an die Kommission). Dazu kommt, dass zwar die Existenz des PCLOB zwar gesetzlich abgesichert ist, allerdings nicht nur die Befugnisse des PCLOB, sondern auch ein für das Privacy Framework neuer zweistufiger Rechtsbehelfsmechanismus für EU-Bürger von Executives Orders des jeweiligen Präsidenten abhängig sind, die deutlich einfacher geändert werden können als Gesetze.

Noch ist das Privacy Framework aktiv und kann als Grundlage für die Beauftragung von US-Dienstleistern oder Cloud-Unternehmen in den USA herangezogen werden.

Die Datenschutzorganisation noyb und der Aktivist Max Schrems, der mit seinen Klagen vor dem Europäischen Gerichtshof (EuGH) bereits die beiden Vorgänger des aktuellen EU-US Data Privacy Frameworks zu Fall gebracht hat, schätzten die Lage jedoch kritisch ein (vgl. dazu die Stellungnahme von noyb vom 23. Januar 2025). Schrems ist der Ansicht, dass das Privacy Framework spätestens vor dem Hintergrund der aktuellen Entwicklungen ausgesetzt oder für unwirksam erklärt werden muss. Eine entsprechende Klage vor dem EuGH ist bereits anhängig.

Zumindest mit einer kurzfristigen Aussetzung des Privacy Frameworks ist aktuell jedoch nicht zu rechnen, denn die EU-Kommission scheint alles daran zu setzen, das Abkommen fortzusetzen, um die Beziehungen zu den USA, die seit dem Amtsantritt von Donald Trump ohnehin schon gelitten haben, nicht noch weiter zu beschädigen. Die Datenschutzbehörden der EU-Mitgliedsstaaten, wie die deutsche Bundesdatenschutzbeauftragte gegenüber dem Magazin CloudComputing-Insider (Artikel vom 29. Januar 2025) und die schwedische Datenschutzbehörde (nur auf Schwedisch verfügbar), äußerten allerdings bereits Bedenken an der langfristigen Aufrechterhaltung des Angemessenheitsbeschlusses ohne eine unabhängige PCLOB. Und selbst der EDSA (Europäischer Datenschutzausschuss) hat erst im November einen Bericht zur Überprüfung des EU-US-Privacy-Framework angenommen, in dem er den Maßnahmen der USA selbst ohne die Neuerungen durch die Trump-Regierung Verbesserungsbedarf attestierte.

Handlungsempfehlungen für Unternehmen

Trotz der Unsicherheiten können Unternehmen kurzfristig weiterhin US-Cloud-Anbieter nutzen. Es ist jedoch ratsam, alternative Strategien vorzubereiten, um auf mögliche Änderungen reagieren zu können. Folgende Maßnahmen sollten in Betracht gezogen werden:

EU-Server nutzen

Einige US-Cloud-Anbieter, wie Microsoft mit der EU Data Boundary, bieten die Nutzung von EU-Servern ohne Datenzugriff aus den USA an. Diese Lösung reduziert das Risiko der Datenübermittlung in die USA, es bleibt jedoch ein Restrisiko durch den US-CLOUD-Act bestehen, weil er es der US-Regierung auch dann erlaubt auf Daten bei US-Unternehmen zuzugreifen, wenn diese in der EU gespeichert werden. Unternehmen sollten daher sorgfältig abwägen, ob diese Lösung für ihre spezifischen Anforderungen ausreichend ist.

EU-Standardvertragsklauseln (SCC) abschließen

Alternativ können Unternehmen mit den Cloud-Anbietern EU-Standardvertragsklauseln (SCC) abschließen. Dies erfordert jedoch ein Transfer Impact Assessment, bei dem geprüft werden muss, ob die Cloud-Anbieter den Zugriff staatlicher Stellen in den USA verhindern können und ggf. zusätzliche Schutzmaßnahmen vereinbart werden müssen. Ein TIA verlangt einen umfassenden Prozess, der die rechtlichen, technischen und organisatorischen Maßnahmen bewertet, die ein Cloud-Anbieter ergreift, um den Datenschutz zu gewährleisten. Es ist sogar möglich, dass ein TIA zu dem Ergebnis kommt, dass der Datentransfer ohne die Kontrolle durch die PCLOB gar nicht mehr möglich ist, etwa weil das Cloud-Unternehmen nicht in der Lage ist, die Daten technisch ausreichend vor dem staatlichen Zugriff zu schützen.

Exit-Strategie vorbereiten

Im worst case kann es also sein, dass die Daten nicht mehr ausreichend geschützt werden können und der Einsatz bestimmter US-Unternehmen nicht mehr möglich ist. Unternehmen sollten daher eine Exit-Strategie für ihre US-Cloud-Anbieter vorhalten, um im Falle einer Aussetzung des Privacy Frameworks schnell reagieren zu können. Eine Exit-Strategie könnte den Wechsel zu einem anderen Cloud-Anbieter oder die Implementierung einer hybriden Cloud-Lösung umfassen, bei der sensible Daten in der EU gespeichert und verarbeitet werden, während weniger sensible Daten in den USA verbleiben.

Checkliste für Unternehmen

1. Überwachung der politischen Entwicklungen: Verfolgen Sie aufmerksam die politischen Entwicklungen in den USA und deren Auswirkungen auf das EU-US Data Privacy Framework. Wir werden Sie über alle wichtigen Entwicklungen informieren, aber auch die Websites von Datenschutzbehörden und Fachverbänden halten häufig hilfreiche Informationen bereit.
2. Nutzung von EU-Servern: Prüfen Sie die Möglichkeit, EU-Server Ihrer US-Cloud-Anbietern zu nutzen, um das Risiko der Datenübermittlung in die USA zu reduzieren. Stellen Sie sicher, dass der Cloud-Anbieter klare vertragliche Zusicherungen gibt, dass keine Datenübertragungen in die USA stattfinden.
3. Abschluss von EU-Standardvertragsklauseln (SCC): Schließen Sie EU-Standardvertragsklauseln mit den Cloud-Anbietern ab und führen Sie ein Transfer Impact Assessment durch. Dokumentieren Sie alle Schritte und Ergebnisse des TIA, um im Falle einer Überprüfung durch Datenschutzbehörden nachweisen zu können, dass Sie angemessene Maßnahmen ergriffen haben.
4. Vorbereitung einer Exit-Strategie: Halten Sie eine Exit-Strategie für Ihre US-Cloud-Anbieter vor, um im Falle einer Aussetzung des Privacy Frameworks schnell reagieren zu können. Identifizieren Sie alternative Cloud-Anbieter und bewerten Sie deren Datenschutzmaßnahmen. Bei einem besonders hohen Risiko lohnt es sich, einen detaillierten Plan für den Wechsel zu einem anderen Anbieter zu erstellen, einschließlich Zeitplänen, Verantwortlichkeiten und Kommunikationsstrategien.
5. Regelmäßige Überprüfung und Anpassung der Datenschutzmaßnahmen: Überprüfen und aktualisieren Sie regelmäßig Ihre Datenschutzmaßnahmen, um sicherzustellen, dass sie den aktuellen rechtlichen Anforderungen und Best Practices entsprechen. Ggf. können auch eigene technische und organisatorische Maßnahmen die Risiken bei Drittlandtransfers reduzieren. Passen Sie Ihre Maßnahmen an, wenn sich die politischen oder rechtlichen Rahmenbedingungen ändern, und stellen Sie sicher, dass Ihre Datenschutzstrategie flexibel genug ist, um auf unvorhergesehene Entwicklungen reagieren zu können.

Fazit

Die Nutzung von US-Cloud-Anbietern ist trotz der aktuellen politischen Entwicklungen weiterhin möglich, jedoch mit gewissen Risiken verbunden. Unternehmen sollten alternative Strategien vorbereiten und die politischen Entwicklungen aufmerksam verfolgen, um ihre Datenübertragungen weiterhin rechtskonform und sicher zu gestalten. Indem sie die oben genannten Handlungsempfehlungen befolgen, können Unternehmen ihre Risiken minimieren und sicherstellen, dass sie auf mögliche Änderungen im EU-US Data Privacy Framework vorbereitet sind.