Insight
Wird die US-Cloud in der EU bald rechtswidrig? Was Unternehmen jetzt wissen müssen 
Wird die US-Cloud in der EU bald rechtswidrig? Was Unternehmen jetzt wissen müssen 
29. April 2025
Share:

Viele europäische Unternehmen nutzen Cloud-Dienste amerikanischer Anbieter wie Microsoft, Amazon oder Google. Dabei werden personenbezogene Daten wie Kundendaten oder Mitarbeiterinformationen in Rechenzentren übermittelt, die den US-Gesetzen unterliegen. Aber was viele jetzt wissen müssen: Die rechtliche Grundlage für den Datentransfer kann unter der Trump-Administration erneut ins Wanken geraten.

Eine kurze Chronologie: Die Vorgeschichte zum EU-US Data Privacy Framework

  • 2020: Der Europäische Gerichtshof (EuGH) erklärte im sogenannten „Schrems II“-Urteil die damalige Rechtsgrundlage „Privacy Shield“ für ungültig. Grund hierfür waren die weitreichenden Überwachungsbefugnisse der US-Behörden, die mit dem europäischen Datenschutzrecht nicht vereinbar sind.
  • 2023: Als Reaktion darauf wurde das „EU-US Data Privacy Framework“ (DPF) geschaffen. Dieses basiert wesentlich auf einer Anordnung (Executive Order 14086) des damaligen US-Präsidenten Biden. Die EU-Kommission stufte daraufhin das US-Datenschutzniveau als angemessen ein, sodass Datenübermittlungen wieder möglich wurden.

Das Problem: Die Rechtsgrundlage wackelt

Seit dem Amtsantritt von Präsident Trump im Januar 2025 haben sich die Rahmenbedingungen grundlegend verändert:

  • Überprüfung aller Biden-Anordnungen: Trump hat angeordnet, sämtliche Executive Orders der vorherigen Regierung innerhalb von 45 Tagen zu überprüfen und gegebenenfalls aufzuheben. Dies betrifft auch die für das DPF maßgebliche Executive Order 14086. Die 45-Tage-Frist ist zwar inzwischen abgelaufen, aber eine endgültige Entscheidung steht noch aus.
  • Aufsichtsgremium funtionsunfähig: Ein zentraler Bestandteil des Datenschutzrahmens ist das unabhängige „Privacy and Civil Liberties Oversight Board“ (PCLOB), das die Einhaltung der Datenschutzregeln überwachen soll. Trump hat alle demokratischen Mitglieder dieses Gremiums entlassen, wodurch es faktisch arbeitsunfähig geworden ist.

Was bedeutet das für europäische Unternehmen?

Die EU-Kommission ist gemäß Art. 45 Abs. 4 DSGVO verpflichtet, die Entwicklungen in Drittländern zu überwachen, die den Angemessenheitsbeschluss beeinflussen könnten. Bisher wurde der Angemessenheitsbeschluss nicht aufgehoben, aber angesichts der politischen Spannungen zwischen der EU und den USA könnte es zu einer Neubewertung kommen.

Sollte der Angemessenheitsbeschluss aufgehoben werden, wäre die Nutzung von US-Cloud-Diensten für personenbezogene Daten rechtlich problematisch. Unternehmen müssten dann alternative Lösungen finden.

Welche Alternativen gibt es?

1. Standardvertragsklauseln (Standard Contractual Clauses, SCCs)

Die Verwendung von Standard Contractual Clauses der EU-Kommission in Verträgen mit den Providern könnte theoretisch das Problem beseitigen. In der Praxis müssten Unternehmen jedoch zusätzlich eine umfassende Risikobewertung (Transfer Impact Assessment, TIA) durchführen. Dabei müssten sie nachweisen, dass trotz der US-Gesetze ein effektiver Datenschutz gewährleistet ist – was angesichts der aktuellen Situation kaum möglich erscheint.

2. Europäische Tochterunternehmen der US-Anbieter

Wegen verschiedener US-Gesetze, insbesondere des Cloud-Acts v. 2018, hilft es auch nicht, wenn in Europa ansässige verbundene Unternehmen der US-Cloud Provider eingeschaltet werden. Der US-CLOUD Act von 2018 ermöglicht US-Behörden weiterhin den Zugriff auf Daten, selbst wenn diese in Europa gespeichert werden.

3. End-to-End-Verschlüsselung

Eine technische Lösung könnte die Speicherung ausschließlich verschlüsselter Daten in der Cloud sein, wobei der Schlüssel im eigenen Unternehmen verbleibt. Dies erfordert jedoch eine sorgfältige Implementierung und ist nicht für alle Anwendungsfälle geeignet. Voraussetzung dafür ist allerdings, dass die Speicherung verschlüsselter Daten in der Cloud durch die Zugriffsrechte der US-Behörden grundsätzlich erlaubt ist.

4. Europäische Cloud-Anbieter

Die sicherste Option ist der Wechsel zu einem europäischen Cloud-Anbieter, der vollständig dem europäischen Datenschutzrecht unterliegt und keinen US-Zugriffspflichten ausgesetzt ist.

Unsere Empfehlung: Wie Unternehmen jetzt handeln sollten?

Aufgrund der derzeitigen politischen Spannungen zwischen EU und USA erscheint es nicht ausgeschlossen, dass die EU kurzfristig einen formellen Beschluss fassen könnte, der die US- Cloud als nicht mehr dem EU-Datenschutzniveau angemessen erklärt. Dies würde die Nutzung von US-Cloud-Diensten für personenbezogene Daten praktisch über Nacht rechtswidrig machen.

Die Kunden von US-Cloud-Providern sollten daher für diesen Fall einen Notfallplan entwickeln und sich mit der grundlegenden Frage beschäftigen, ob und welche Cloud-Provider innerhalb der EU als Alternative in Betracht zu ziehen sind und welche Maßnahmen im Ernstfall kurzfristig umzusetzen wären.

In dieser Situation ist fundierte, praxisorientierte Unterstützung gefragt – insbesondere, wenn es darum geht, komplexe Vertragsverhältnisse, technische Anforderungen und strategische Ziele unter einen Hut zu bringen.

Hier steht Ihnen die HDP mit Ihrer Expertise gerne beratend zur Seite. Mit über 25 Jahren Erfahrung in der Begleitung und Optimierung komplexer Kundenverträge sind wir bestens aufgestellt, um Ihr Unternehmen durch die aktuellen Unsicherheiten im internationalen Datenschutz zu führen.

Unser Team analysiert gemeinsam mit Ihnen Ihre bestehenden Verträge mit Cloud-Anbietern, identifiziert potenzielle Risiken und zeigt Ihnen auf Wunsch tragfähige Alternativen auf – technisch, organisatorisch und strategisch.

Dabei behalten wir nicht nur die rechtliche Entwicklung im Blick, sondern auch die wirtschaftliche Umsetzbarkeit und Ihre individuellen Anforderungen an IT-Sicherheit, Skalierbarkeit und Effizienz.

Weitere Beiträge: