Die Nutzung von US-amerikanischen Cloud-Diensten bleibt in Europa ein heikles Thema. Während die Datenschutz-Grundverordnung (DSGVO) hohe Anforderungen an den Schutz personenbezogener Daten stellt, gelten in den USA deutlich geringere Standards – insbesondere im Hinblick auf den Zugriff staatlicher Stellen. Dennoch versucht die Europäische Union mit juristischen Anpassungen, die Nutzung von US-Cloud-Diensten wie Microsoft 365, Amazon Web Services oder Google Cloud auch weiterhin rechtssicher zu gestalten. Der Weg dorthin ist allerdings von politischen und rechtlichen Kontroversen geprägt.
Hintergrund: Die rechtliche Gratwanderung
Mit der DSGVO hat sich die Europäische Union 2018 ein weltweit beachtetes Regelwerk für den Datenschutz gegeben. Doch sobald personenbezogene Daten in ein Drittland außerhalb der EU übertragen werden – wie es bei US-Clouds regelmäßig der Fall ist –, sind besondere Schutzmaßnahmen notwendig. In den vergangenen Jahren wurden mehrere solcher Maßnahmen durch den Europäischen Gerichtshof (EuGH) kassiert. Zuletzt wurde 2020 der „Privacy Shield“-Mechanismus für ungültig erklärt. Die Richter bemängelten unter anderem den fehlenden Rechtsschutz für EU-Bürgerinnen und -Bürger gegen Überwachungsmaßnahmen der US-Geheimdienste.
Um dennoch eine Basis für transatlantische Datenübertragungen zu schaffen, verabschiedete die EU-Kommission im Juli 2023 einen neuen Angemessenheitsbeschluss nach Artikel 45 DSGVO: das sogenannte „Data Privacy Framework“. Dieser Beschluss stuft die USA erneut als ein Land mit einem „vergleichbaren Datenschutzniveau“ ein – zumindest unter bestimmten Bedingungen. So müssen sich US-Unternehmen verpflichten, dem neuen Rahmen zu unterwerfen und sich jährlich zertifizieren lassen.
Neue Aufsichtsgremien in den USA – Kritik an der Unabhängigkeit
Im Zuge dieser Regelung wurde in den USA unter Präsident Joe Biden das Gremium „Privacy and Civil Liberties Oversight Board“ (PCLOB) gestärkt. Es soll unter anderem Beschwerden europäischer Bürgerinnen und Bürger gegen Überwachung durch US-Behörden prüfen. Zudem wurde ein „Data Protection Review Court“ (DPRC) geschaffen, der als unabhängige Instanz agieren soll. Doch genau hier liegt die Kritik vieler Datenschützer: Die tatsächliche Unabhängigkeit dieser Gremien wird infrage gestellt. Der österreichische Jurist Max Schrems etwa bezeichnete das Modell als eine „pseudounabhängige Scheinlösung“, da US-Gesetze wie FISA oder der CLOUD Act weiterhin weitreichende Zugriffsrechte auf Daten garantieren.
Behördenzugriffe auf die Microsoft-Cloud
Ein Blick auf aktuelle Zahlen zeigt, wie real das Problem ist. Laut einem Transparenzbericht von Microsoft wurden im ersten Halbjahr 2024 weltweit rund 270.000 behördliche Anfragen auf private Daten gestellt – darunter auch auf Outlook.com-Postfächer und OneDrive-Konten. Davon entfielen 27.242 Anfragen auf Inhalte privater Nutzer. Auch Unternehmen, die Microsoft-Dienste nutzen, waren betroffen: Insgesamt 21.408 Anfragen auf Unternehmensdaten wurden registriert.
Diese Datenzugriffe sind durch US-Gesetze wie den Electronic Communications Privacy Act (ECPA) sowie den Foreign Intelligence Surveillance Act (FISA) rechtlich gedeckt. Besonders problematisch: Auch Daten, die sich physisch auf Servern in der EU befinden, können davon betroffen sein, wenn der Anbieter – wie Microsoft – seinen Hauptsitz in den USA hat.
Automatisierte Inhaltsscans: Zwischen Schutz und Überwachung
Ein weiteres Thema betrifft die automatisierte Überwachung von Inhalten. Unternehmen wie Microsoft, Google und Meta durchsuchen Inhalte wie Mails oder Bilder systematisch nach Hinweisen auf sexuellen Missbrauch von Kindern (Child Sexual Abuse Material, CSAM). Diese Maßnahmen werden im Sinne des Kinderschutzes durchgeführt, werfen jedoch datenschutzrechtlich ebenfalls Fragen auf – insbesondere im Hinblick auf die DSGVO und das Prinzip der Verhältnismäßigkeit. Eine entsprechende EU-Verordnung zur Regulierung solcher Scans wird derzeit verhandelt, läuft aber 2026 aus und hat noch keine klar definierte Nachfolgelösung.
Microsoft 365 und die „EU-Datengrenze“
Ein besonders kritisches Thema ist der nahezu flächendeckende Einsatz von Microsoft 365 in europäischen Behörden und Unternehmen. Trotz DSGVO-Vorgaben hat sich dieser US-Dienst zu einem zentralen Baustein der europäischen Kommunikationsinfrastruktur entwickelt. Microsoft reagierte mit dem Konzept einer „EU-Datengrenze“: Kundendaten aus der EU sollen ausschließlich auf Servern in Europa verarbeitet und gespeichert werden. Die zugrundeliegenden Maßnahmen reichen jedoch nicht aus, um US-Gesetze wie den CLOUD Act auszuschließen – der Zugriff durch US-Behörden bleibt somit möglich.
Fazit: Rechtssicherheit bleibt fragil
Die Europäische Union versucht derzeit, durch internationale Abkommen und neue Gremien eine rechtliche Grundlage für die Nutzung von US-Diensten zu schaffen, ohne dabei die Anforderungen der DSGVO vollständig aufzugeben. Doch die rechtliche Stabilität dieser Konstrukte bleibt fragil. Unternehmen, die auf Cloud-Dienste aus den USA setzen, müssen sich dieser Risiken bewusst sein – insbesondere wenn sie mit sensiblen oder personenbezogenen Daten arbeiten.
Langfristig könnte die Debatte um digitale Souveränität in Europa wieder an Fahrt aufnehmen. Der Ruf nach unabhängigen Cloud-Lösungen innerhalb der EU wird lauter – nicht nur aus Datenschutzgründen, sondern auch im Hinblick auf Resilienz und strategische Unabhängigkeit.
