Gutachten der Universität zu Köln zum US Behördenzugriff auf EU Daten

Immer wieder nicht nur durch eine Anhörung in Frankreich ist bekannt, dass US Behörden Zugriff auf Daten in den USA haben.

Meine ehemalige Universität ist die Universität zu Köln und meine ehemalige Fakultät die Rechtswissenschaftliche Fakultät hat ein entsprechendes Gutachten mit Stand März 2025 erstellt. Dieses ist durch eine fragdenstaat Anfrage nun auch veröffentlich worden.

Das Gutachten

Das Gutachten der Universität zu Köln beleuchtet die weitreichenden Zugriffsrechte US-amerikanischer Sicherheits- und Strafverfolgungsbehörden auf Daten in Cloud-Systemen. Grundlage sind Gesetze wie der Foreign Intelligence Surveillance Act (FISA), der Stored Communications Act (SCA) sowie der CLOUD Act. Diese Normen ermöglichen den Zugriff auf Kommunikationsdaten und gespeicherte Informationen – auch außerhalb der USA.

Wesentliche Fakten

  • Section 702 FISA erlaubt US-Behörden die Überwachung von Nicht-US-Personen außerhalb der USA. Herausgabeanordnungen erfolgen ohne richterlichen Durchsuchungsbeschluss, lediglich mit jährlicher Zertifizierung durch den FISC.
  • Executive Order 12.333 gestattet Geheimdiensten den Zugriff auf Daten im Ausland ohne Mitwirkung der Cloud-Anbieter, oft durch Ausnutzung technischer Schwachstellen.
  • Stored Communications Act (SCA) verpflichtet Anbieter elektronischer Kommunikations- und Remote-Computing-Dienste zur Herausgabe von Kommunikationsinhalten und Nutzerdaten. Für ältere Daten genügen behördliche Anordnungen.
  • CLOUD Act stellt klar: Herausgabepflichten gelten auch für Daten auf Servern außerhalb der USA, sofern das US-Unternehmen Kontrolle über die Daten hat. Tochtergesellschaften in Deutschland sind regelmäßig umfasst.
  • Rechtsschutz: Europäische Unternehmen haben derzeit kein wirksames Widerspruchsrecht gegen Herausgabeanordnungen, da kein entsprechendes Abkommen mit den USA besteht.

 

Konsequenzen für deutsche Unternehmen

  1. Compliance-Risiko: Unternehmen, die US-Cloud-Dienste nutzen (z. B. Microsoft, AWS, Google), müssen damit rechnen, dass Daten auf Anordnung an US-Behörden übermittelt werden – auch wenn sie in Deutschland gespeichert sind.
  2. DSGVO-Konflikt: Die extraterritoriale Anwendung des CLOUD Act und FISA kollidiert mit europäischen Datenschutzstandards. Der EuGH hat bereits Safe Harbor und Privacy Shield für unzulässig erklärt; auch das neue EU-US Data Privacy Framework steht unter Kritik.
  3. Technische Maßnahmen: Selbst Verschlüsselung schützt nicht vollständig, da US-Recht auf „Kontrolle“ abstellt. Anbieter, die sich technisch vom Zugriff ausschließen, riskieren Sanktionen in den USA.
  4. Vertragsgestaltung: Deutsche Unternehmen sollten prüfen, ob Standardvertragsklauseln und zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung, Schlüsselverwaltung in der EU) implementiert sind.
  5. Risikobewertung: Bei Nutzung von US-Diensten ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend. Zudem sollten Unternehmen dokumentieren, wie sie Risiken für Betroffene minimieren.

Fazit
Die US-Rechtslage schafft erhebliche Unsicherheiten für deutsche Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter nutzen. Ohne zusätzliche technische und organisatorische Maßnahmen drohen Datenschutzverstöße und Reputationsrisiken. Unternehmen sollten ihre Cloud-Strategie kritisch prüfen und gegebenenfalls auf europäische Anbieter ausweichen oder hybride Modelle einsetzen.

Deutsche Souveränitätsplattformen

Deutsche Telekom / T‑Systems – Open Telekom Cloud / T Cloud

  • Angebot: Public Cloud, Private Cloud, Sovereign Cloud (multi-level Souveränität), Managed Container Stack, KI‑Fabrik (Industrial AI Cloud ab 2026).
  • Vorteile: DSGVO-NIS2-konform, Rechenzentren in Deutschland, NL, Schweiz; Integration mit Hyperscalern; Beratung, Migration, Betrieb.

Kosteneffizient & DSGVO-konform – Mittelstandsfokus

Hetzner Cloud (Deutschland)

  • Services: VMs, Dedicated CPU, Storage, Load‑Balancer, API‑Support.
  • Vorteile: Stundengenaue Abrechnung, hohe Preis-Leistung, ISO‑27001‑zertifiziert, DSGVO‑konform, Daten in DE/FI.

IONOS Cloud (Deutschland)

  • Basis-Angebote: VMs, Object Storage, Managed Datenbanken – besonders für SMEs.
  • Nachteile: SSL und anderer Dienste nur mit US Anbietern.
  • Vorteile: Deutsche Gesetzgebung, transparente Preise, lokaler Support.

Quelle:

https://fragdenstaat.de/anfrage/gutachten-zu-zugriffsmoeglichkeiten-von-us-amerikanischer-sicherheitsbehoerden-1/1066136/anhang/rechtsgutachten-zur-us-rechtslage_geschwaerzt.pdf