Was ist das EU-US Data Pri­va­cy Frame­work? #

Hin­ter­grund: Pri­va­cy Shield und Schrems II #

Pri­va­cy Shield (2016): Ein Abkom­men, das Daten-Trans­fers in die USA vereinfachte.

Schrems II Urteil (2020): Der EU-Gerichts­hof sagt: Pri­va­cy Shield ist ungül­tig. Grund: Der CLOUD Act erlaubt US-Behör­den, auf EU-Per­so­nen­da­ten zuzu­grei­fen — das ver­stößt gegen .

Fol­gen: Unter­neh­men muss­ten plötz­lich Cloud-Ser­vices (AWS, Micro­soft, Goog­le) neu bewer­ten. Für EU-Unter­neh­men mit US-Cloud ent­stand mas­si­ve Rechtsunsicherheit.

EU-US DPF (2023): Ein neu­er Ver­such, Daten-Trans­fers wie­der zu erleichtern.

Wie das DPF funk­tio­niert #

Grund­idee: US-Unter­neh­men, die dem DPF bei­tre­ten, müs­sen zusätz­li­che Garan­tien geben:

  1. Data Pro­tec­tion Review Court: Ein spe­zi­el­ler US-Gerichts­hof, der Daten­schutz-Beschwer­den anhört (neu, Herbst 2023 operational)
  2. Beschrän­kung von Mas­sen­über­wa­chung: US-Geheim­diens­te sol­len Daten nur pro­por­tio­nal” für natio­na­le Sicher­heit sam­meln (nicht alles pauschal)
  3. Trans­pa­renz: US-Unter­neh­men müs­sen Zugrif­fe auf EU-Daten berichten

Zer­ti­fi­kat: Unter­neh­men, die bei­tre­ten (z. B. AWS, Micro­soft, Goog­le) bekom­men ein DPF-Zertifikat.

Das kri­ti­sche Pro­blem: CLOUD Act gilt WEI­TER #

Was ist der CLOUD Act? #

Der US Cla­ri­fy­ing Lawful Over­se­as Use of Data (CLOUD) Act von 2018 erlaubt:

  • Alle US-Unter­neh­men welt­weit (z. B. AWS, Micro­soft, Goog­le — egal wo Ser­ver ste­hen) müs­sen Daten auf Gerichts­be­schluss herausgeben
  • Geheim­dienst­li­che Zugrif­fe: Der FISA-Court kann Daten-Zugriff anord­nen (weni­ger strik­te Anfor­de­run­gen als nor­ma­le Gerichte)
  • Kei­ne Aus­nah­me für EU-Daten: Die EU-Gebäu­de schüt­zen EU-Per­so­nen­da­ten NICHT vor CLOUD Act

Bei­spiel-Sze­na­rio #

Szenario: Ein EU-Unternehmen speichert Kundendaten bei AWS EU-Frankfurt.

1. FBI hat Verdacht gegen einzelne US-Kriminelle
2. FBI beauftragt AWS per Gerichtsbeschluss: "Gib uns alle Daten von Kunden in EU"
3. AWS muss diese Daten rausgeben (-Pflicht)
4. EU-Personendaten verlassen EU, gehen an FBI
5.  sagt: Das ist illegal!

Aber: Wer haftet? AWS? Das Unternehmen?
Das ist die rechtliche Grauzone.

DPF ändert das nicht wirk­lich #

Der DPF sagt:

  • Zugrif­fe sol­len nach­ge­la­gert’ über­prüf­bar sein” (Review Court)
  • Aber der CLOUD Act gilt weiter”

Das ist ein Wider­spruch: Wenn der CLOUD Act gütig ist, kann die US-Regie­rung zugrei­fen, bevor der Review Court etwas tun kann.

Schrems III: Die nächs­te Kata­stro­phe? #

Max Schrems (Daten­schutz-Akti­vist): Hat bereits neue Kla­ge ein­ge­reicht gegen DPF.

Argu­ment: DPF löst das CLOUD-Act-Pro­blem nicht wirklich.

Wahr­schein­lich: Urteil kommt 2025 – 2026. Wenn Schrems gewinnt, könn­te DPF wie­der ungül­tig werden.

Risi­ko für Unternehmen:

  • Wie­der mas­si­ve Rechtsunsicherheit
  • AWS/​Azure/​Google wie­der poten­ti­ell nicht -konform
  • Plötz­li­che Not­wen­dig­keit, Daten rauszuziehen

Prak­ti­sche Impli­ka­tio­nen für IT-Ent­schei­der #

Sze­na­ri­en #

Sze­na­rio 1: Unkri­ti­sche Daten in US-Cloud

  • Nicht-per­so­nen­be­zo­ge­ne Daten (Test-Daten, öffent­li­che Inhalte)
  • Mit DPF: Okay, AWS/​Azure sind DPF-zertifiziert
  • Risi­ko: Low (kei­ne Personendaten)

Sze­na­rio 2: Per­so­nen­da­ten in US-Cloud (z. B. Kundenliste)

  • Mit DPF: Juris­tisch zuläs­sig (aktu­ell)
  • Mit Schrems III mög­lich: Wie­der ungültig
  • Risi­ko: Medi­um (müss­ten schnell migrie­ren bei Urteil)

Sze­na­rio 3: Hoch­sen­si­ble Daten (Medi­zin, Finanz)

  • Daten, wo -Ver­let­zung beson­ders schäd­lich ist
  • Mit DPF: Juris­tisch zuläs­sig, aber poli­tisch riskant
  • Emp­feh­lung: Nicht in US-Cloud, nur in EU-Cloud oder On-Premises

Was ist die rich­ti­ge Stra­te­gie? #

Opti­on 1: AWS/​Azure/​Google US mit DPF (aktu­ell sicher, aber fra­gil) #

Vor­tei­le:

  • ✅ Güns­tig
  • ✅ Gro­ße Funktions-Auswahl
  • ✅ Ska­lie­rung einfach

Nach­tei­le:

  • ❌ CLOUD-Act-Risi­ko bleibt
  • ❌ Schrems III könn­te alles ändern
  • ❌ Politisches/​Geopolitisches Risi­ko (US-Sank­tio­nen)

Emp­foh­len für: Unkri­ti­sche Daten, wenn Kos­ten wich­ti­ger sind als Sicherheit

Opti­on 2: Euro­päi­sche Cloud (Sca­le­way, OVH­cloud, Gaia‑X) #

Vor­tei­le:

  • CLOUD Act gilt nicht (Unter­neh­men sind europäisch)
  • auto­ma­tisch erfüllt
  • ✅ Poli­tisch sicherer
  • ✅ Daten­sou­ve­rä­ni­tät

Nach­tei­le:

  • ❌ Teu­rer als AWS/​Azure/​Google
  • ❌ Weni­ger Funktionen
  • ❌ Weni­ger Ökosystem

Emp­foh­len für: Per­so­nen­da­ten, Finanz-Daten, Medizin-Daten

Opti­on 3: Hybrid (kri­tisch On-Pre­mi­ses, unkri­tisch US-Cloud) #

Vor­tei­le:

  • ✅ Siche­re Daten local
  • ✅ Trotz­dem Cloud-Skalierbarkeit
  • ✅ Kos­ten­op­ti­miert

Nach­tei­le:

  • ❌ Kom­ple­xe­re Infrastruktur
  • ❌ Data-Trans­fer-Kos­ten
  • ❌ Migra­ti­on spä­ter schwierig

Emp­foh­len für: Die meis­ten Unter­neh­men (balan­ciert)

Kon­kre­te Schrit­te: Daten-Klas­si­fi­zie­rung #

1. Klas­si­fi­zie­rung durch­füh­ren #

Für jedes Sys­tem: Wel­che Daten lie­gen dort?

AD / Active Directory:
├─ Personendaten: User-Namen, E-Mail-Adressen ✅ Sensibel
├─ Rechte-Informationen: Gruppenmitgliedschaften ✅ Mittel
└─ Passwort-Hashes ✅ Kritisch

Fileserver:
├─ Kundendaten / Contracts ✅ Sehr sensibel
├─ Interne E-Mails ✅ Mittel
└─ Grafik-Dateien (Produktbilder) ❌ Unkritisch

E-Mail:
├─ Kundenkommunikation ✅ Sensibel
├─ Interne Meetings ✅ Mittel
└─ Newsletter ❌ Unkritisch

2. Ent­schei­dung pro Daten-Kate­go­rie #

CH (personenbezogen, hochwertig):
→ Nur EU-Cloud oder On-Premises
→ Alternative: AWS EU-Frankfurt + Encryption

SENSIBEL (personenbezogen, mittlerer Wert):
→ DPF-zertifizierter US-Provider (AWS/Azure/Google) ODER EU-Cloud

UNCH (öffentlich, test-data):
→ Jeder Cloud-Provider okay

3. Akti­ons­plan #

  • [ ] Daten-Klas­si­fi­zie­rung durchführen
  • [ ] Aktu­ell: Wel­che Daten lie­gen wo?
  • [ ] Ziel: Kri­ti­sche Daten nur in EU/On-Prem
  • [ ] Migra­ti­on: Plan machen (dau­ert Monate)
  • [ ] Ver­si­che­rung: Cyber-Poli­cy che­cken auf DPF-Risiko
  • [ ] Legal: Daten­schutz­be­hör­de kon­sul­tie­ren (für Ihre Bran­che spezifisch)

Häu­fi­ge Fra­gen #

Kön­nen Unter­neh­men US-Cloud wei­ter nutzen? Ja, mit DPF ist es aktu­ell juris­tisch okay. Aber: Schrems III Risi­ko bleibt.

Was pas­siert, wenn Schrems III DPF ungül­tig macht? Das wäre eine Kata­stro­phe. Tau­sen­de Unter­neh­men müss­ten schnell umstei­gen. Die EU wür­de wahr­schein­lich eine Über­gangs­frist geben.

Ist euro­päi­sche Cloud teurer? Ja, typisch 30 – 50% teu­rer. Aber: Sie zah­len für Sicherheit/​Compliance.

Soll­te ich jetzt weg von AWS/​Azure/​Google? Depends:

  • Unkri­ti­sche Daten: Nein, bleibt bei US-Cloud
  • Kri­ti­sche Daten: Ja, über­le­gen Sie EU-Cloud oder On-Premises

Was ist mit Daten­kryp­ti­on? Schützt die? Teil­wei­se. Wenn Sie die Keys kon­trol­lie­ren (nicht der Cloud-Pro­vi­der), dann schützt Kryp­ti­on vor Zugriff. Aber: Der Cloud-Pro­vi­der kann trotz­dem auf Ihre Keys zugrei­fen (wenn Sie ihm Zugang geben).

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.