Digital unsouverän

RDi: Von welchen US-Clouds ist Deutschland abhängig und wie groß ist diese Abhängigkeit?

Schrems: Es gibt viele große Cloud-Anbieter wie Microsoft, Amazon und Google. Hinzu kommen viele ‚Software as a Service‘-Anbieter, die ebenso mit allen Problemen des US-Rechts daherkommen. Vermutlich betrifft das die Mehrheit aller europäischen Unternehmen und sogar Staaten – einige mehr, andere weniger.

RDi: Was sind die Gründe hierfür?

Schrems: Es gab eine fast blinde Bewegung in die ‚Cloud‘, auch weil Anbieter wie Microsoft lokale Software gar nicht mehr anbieten. Hier hätte man auch schon viel früher in den Markt eingreifen müssen. Es ist ja grotesk, dass ich eine dominante Software wie Microsoft Word nur nutzen kann, wenn ich von Microsoft auch gleich den Server miete, und meine Daten dann aus meinem Machtbereich weg sind. 

RDi: Welche Gefahren sind damit verbunden?

Schrems: US-Recht erlaubt praktisch ungeprüften Zugang zu EU-Daten. So ein breiter Zugang ohne richterliche Überprüfung ist zwar in der EU und in den USA verfassungswidrig – die US-Verfassung schützt aber nur die eigenen Staatsbürger. EU-Bürger und Unternehmen sind Freiwild. Die US-Regierung kann also zum Beispiel via Microsoft 365 live mitlesen, was EU-Beamte so schreiben, weil die Europäische Kommission auf Microsoft 365 umgestiegen ist. Der EuGH hat deswegen bereits zwei Mal die Datentransfer-Entscheidungen der EU-Kommission für nichtig erklärt (EuGH NJW 2015, 3151 zu Safe Harbor und NJW 2020, 2613 zu Privacy Shield, beide Entscheidungen wurden von Max Schrems erstritten, die Red.). Die EU-Kommission hat das aber nicht daran gehindert, eine dritte Entscheidung zu erlassen (Data Privacy Framework). Diese stützt sich in großen Teilen auf eine „Executive Order“ des damaligen US-Präsidenten Joe Biden, die Donald Trump nun jederzeit mit einer Unterschrift aussetzen kann – sogar geheim. Damit wäre die Nutzung der US-Cloud sofort illegal.

RDi: Welche weiteren Probleme sehen Sie?

Schrems: Die Behörden haben bisher jedes Mal, wenn ein Transfer-System weg war, bis hinunter zu den Hühneraugen alles zugedrückt, was sie hatten und fast keine Strafen verhängt. Inzwischen ist aber auch Schadenersatz immer mehr ein Thema. Ein Deutscher hat etwa 400 Euro bekommen wegen der illegalen Weitergabe seiner Daten (EuG RDi 2025, 158 mAnm. Radtke, nrkr., die Red.). Ein Thema, das potenziell bald größer wird, sind Zölle und Gebühren auf US-Dienste. Damit können auch viele dieser Dienste schnell massiv teurer werden. Bei Ländern wie Dänemark, die einen offenen Streit mit den USA über Grönland haben, gibt es noch ein weiteres mögliches Problem: Die USA könnten auch ein Embargo verhängen, wenn solche Konflikte weiter eskalieren. Dann müssen die US-Anbieter die Konten über Nacht abschalten und ein ganzes Land ist „offline“. Nichts, was morgen passieren wird – aber inzwischen zumindest etwas, das denkmöglich ist.

RDi: Gibt es europäische Alternativen?

Schrems: Es gibt inzwischen recht gute EU-Anbieter. Viele Cloud-Funktionen sind inzwischen austauschbar und von der Stange, aber noch nicht alles. Gerade bei neuen Projekten oder größeren Umstellungen ist es wirklich sinnvoll, sich eine EU-Alternative anzusehen, weil die Lage mit den USA nicht besser wird.

RDi: Welche Schritte sind aus Ihrer Sicht jetzt notwendig?

Schrems: Politisch müsste die EU-Kommission so schnell wie möglich den Unternehmen klar machen, dass das hier ein Tanz auf dem Vulkan ist. Logisch wäre es, die Deals mit den USA stückweise auslaufen zu lassen. Man könnte zum Beispiel eine Übergangsfrist von einem Jahr machen, damit alle Zeit haben, sich darauf einzustellen. US-Unternehmen könnten weiter in der EU anbieten, wenn sie den Zugriff aus den USA unterbinden – was technisch möglich wäre. EU-Unternehmen könnten die wichtigsten Dienste in eine EU-Cloud bringen. Aktuell steuern wir eher auf eine Klippe zu, die dann abrupt zu massiven Problemen führen kann.