Vor dem Hintergrund der aktuellen geopolitischen Spannungen ist die Abhängigkeit Europas und Deutschlands von den großen US-amerikanischen Tech-Unternehmen, vor allem deren Clouds, ein Politikum geworden. Fragen zu den datenschutzrechtlichen Aspekten an Max Schrems, Datenschutzaktivist und Mitgründer der Non-Profit-Organisation NOYB (kurz für None of your business).
RDi: Von welchen US-Clouds
ist Deutschland abhängig und
wie groß ist diese Abhängigkeit?

Schrems: Es gibt viele große Cloud-Anbieter wie Microsoft, Amazon und Google. Hinzu kommen viele ‚Software as a Service‘-Anbieter, die ebenso mit allen Problemen des US-Rechts daherkommen. Vermutlich betrifft
das die Mehrheit aller europäischen Unternehmen und sogar Staaten – einige mehr, andere weniger.
RDi: Was sind die Gründe hierfür?
Schrems: Es gab eine fast blinde Bewegung in die ‚Cloud‘,
auch weil Anbieter wie Microsoft lokale Software gar nicht
mehr anbieten. Hier hätte man auch schon viel früher in
den Markt eingreifen müssen. Es ist ja grotesk, dass ich
eine dominante Software wie Microsoft Word nur nutzen
kann, wenn ich von Microsoft auch gleich den Server
miete, und meine Daten dann aus meinem Machtbereich
weg sind.
RDi: Welche Gefahren sind damit verbunden?
Schrems: US-Recht erlaubt praktisch ungeprüften Zugang zu EU-Daten. So ein breiter Zugang ohne richterliche Überprüfung ist zwar in der EU und in den USA verfassungswidrig – die US-Verfassung schützt aber nur die
eigenen Staatsbürger. EU-Bürger und Unternehmen sind
Freiwild. Die US-Regierung kann also zum Beispiel via
Microsoft 365 live mitlesen, was EU-Beamte so schreiben,
weil die Europäische Kommission auf Microsoft 365 umgestiegen ist. Der EuGH hat deswegen bereits zwei Mal
die Datentransfer-Entscheidungen der EU-Kommission für
nichtig erklärt (EuGH NJW 2015, 3151 zu Safe Harbor
und NJW 2020, 2613 zu Privacy Shield, beide Entscheidungen wurden von Max Schrems erstritten, die Red.). Die
EU-Kommission hat das aber nicht daran gehindert, eine
dritte Entscheidung zu erlassen (Data Privacy Framework).
Diese stützt sich in großen Teilen auf eine „Executive Order“ des damaligen US-Präsidenten Joe Biden, die Donald
Trump nun jederzeit mit einer Unterschrift aussetzen
kann – sogar geheim. Damit wäre die Nutzung der US-Cloud sofort illegal.
RDi: Welche weiteren Probleme sehen Sie?
Schrems: Die Behörden haben bisher jedes Mal, wenn ein
Transfer-System weg war, bis hinunter zu den Hühneraugen alles zugedrückt, was sie hatten und fast keine
Strafen verhängt. Inzwischen ist aber auch Schadenersatz
immer mehr ein Thema. Ein Deutscher hat etwa 400 Euro
bekommen wegen der illegalen Weitergabe seiner Daten
(EuG RDi 2025, 158 mAnm. Radtke, nrkr., die Red.). Ein
Thema, das potenziell bald größer wird, sind Zölle und
Gebühren auf US-Dienste. Damit können auch viele dieser Dienste schnell massiv teurer werden. Bei Ländern wie
Dänemark, die einen offenen Streit mit den USA über
Grönland haben, gibt es noch ein weiteres mögliches Problem: Die USA könnten auch ein Embargo verhängen,
wenn solche Konflikte weiter eskalieren. Dann müssen die
US-Anbieter die Konten über Nacht abschalten und ein
ganzes Land ist „offline“. Nichts, was morgen passieren
wird – aber inzwischen zumindest etwas, das denkmöglich ist.
RDi: Gibt es europäische Alternativen?
Schrems: Es gibt inzwischen recht gute EU-Anbieter. Viele
Cloud-Funktionen sind inzwischen austauschbar und von
der Stange, aber noch nicht alles. Gerade bei neuen Projekten oder größeren Umstellungen ist es wirklich sinnvoll,
sich eine EU-Alternative anzusehen, weil die Lage mit den
USA nicht besser wird.
RDi: Welche Schritte sind aus Ihrer Sicht jetzt
notwendig?
Schrems: Politisch müsste die EU-Kommission so schnell
wie möglich den Unternehmen klar machen, dass das hier
ein Tanz auf dem Vulkan ist. Logisch wäre es, die Deals
mit den USA stückweise auslaufen zu lassen. Man könnte
zum Beispiel eine Übergangsfrist von einem Jahr machen,
damit alle Zeit haben, sich darauf einzustellen. US-Unternehmen könnten weiter in der EU anbieten, wenn sie
den Zugriff aus den USA unterbinden – was technisch
möglich wäre. EU-Unternehmen könnten die wichtigsten
Dienste in eine EU-Cloud bringen. Aktuell steuern wir eher
auf eine Klippe zu, die dann abrupt zu massiven Problemen führen kann.