Ein kürzlich veröffentlichtes, brisantes Rechtsgutachten, das im Auftrag des Bundesministeriums des Innern und für Heimat (BMI) erstellt und von der Universität zu Köln publiziert wurde, schafft endgültige Klarheit in einem lange schwelenden Konflikt: der Unvereinbarkeit US-amerikanischer Datenzugriffsgesetze (wie dem CLOUD Act) mit den Grundrechten und dem strengen Regulierungsrahmen der Europäischen Union.
Für regulierte Unternehmen, Betreiber Kritischer Infrastrukturen (KRITIS) und Finanzinstitute, die unter die ab 17. Januar 2025 vollständig geltende Digital Operational Resilience Act (DORA)-Verordnung fallen, ist dieses Gutachten nicht nur eine Warnung – es ist eine zwingende Anweisung, die gesamte IKT-Drittparteien-Risikostrategie neu zu bewerten.
Unüberwindbare Rechtskonflikte und Extraterritorialer Zugriff
Der Kern der juristischen Analyse bestätigt: US-Behörden verfügen über weitreichende, extraterritoriale Zugriffsrechte auf Daten, die die Grundprinzipien der EU-Datensouveränität fundamental untergraben, und zwar unabhängig vom physischen Speicherort der Daten.
Der Konflikt: CLOUD Act versus EU-Recht (The Conflict: CLOUD Act vs. EU Law)
Das Gutachten konzentriert sich darauf, dass der US Clarifying Lawful Overseas Use of Data Act (CLOUD Act) US-Behörden erlaubt, richterliche Verfügungen zu erlassen, die US-Cloud-Anbieter (oder deren ausländische Tochtergesellschaften) dazu zwingen, Daten herauszugeben – selbst wenn diese Daten ausschließlich in EU-Rechenzentren gespeichert sind.
Entscheidend ist, dass die juristischen Experten zu dem Schluss kommen, dass die Fähigkeit der US-Behörden, sich Daten auf diese Weise zu sichern, „nicht zuverlässig ausgeschlossen werden kann“ – auch nicht durch bloße technische oder organisatorische Maßnahmen. Dies bedeutet:
-
Die betroffene Person (der EU-Bürger) ist sich des Zugriffsersuchens oft nicht bewusst.
-
Der Datenverantwortliche (das EU-Unternehmen) hat kein zuverlässiges Rechtsmittel, um die Anordnung vor EU-Gerichten anzufechten, da der US-Anbieter an US-Recht gebunden ist.
Diese strukturelle Schwachstelle macht die Datenverarbeitung über US-Tochtergesellschaften fundamental unvereinbar mit den Rechenschafts- und Sicherheitsanforderungen der Datenschutz-Grundverordnung (DSGVO), insbesondere in Bezug auf die Integrität und Vertraulichkeit personenbezogener Daten (Art. 32) und die Regeln für internationale Übermittlungen (Kapitel V).
Risikoeskalation unter DORA und kritischen Verträgen
Die Ergebnisse des Rechtsgutachtens eskalieren das Risiko für bestimmte Sektoren drastisch, insbesondere für die Finanzindustrie, die sich auf die Anwendung der DORA-Verordnung (Regulation (EU) 2022/2554) Anfang 2025 vorbereitet.
Scheitern von Standardsicherungsmaßnahmen (Failure of Standard Safeguards)
Die Analyse widerlegt ausdrücklich die Vorstellung, dass gängige vertragliche Mechanismen – wie Standardvertragsklauseln (SCCs) oder die Verwendung von „EU Sovereign Cloud“-Labels – ausreichende Sicherheitsvorkehrungen darstellen.
„Die reine Lokalisierung der Rechenzentren in der EU reicht nicht aus; der entscheidende Faktor ist die rechtliche Beherrschung des Unternehmens, das die Daten verarbeitet.“
Für DORA-pflichtige Unternehmen hat diese Schwachstelle direkte Auswirkungen auf Kapitel V (Management des IKT-Drittparteienrisikos), insbesondere auf Artikel 28 (Allgemeine Grundsätze) und Artikel 30 (Wesentliche Vertragsbestimmungen). DORA verlangt von Finanzunternehmen ein effektives Management des IKT-Drittparteienrisikos, die Sicherstellung vertraglicher Zugriffsrechte und das Management von Konzentrationsrisiken. Die Nutzung eines Anbieters, der ausländischen behördlichen Zugriffsanfragen unterliegt, die EU-Recht außer Kraft setzen, stellt ein systemisches Risiko dar, das durch Standard-Compliance-Mechanismen nicht gemindert werden kann. Kurz gesagt: US-amerikanische Rechtsbindungen, nicht nur der Datenstandort, negieren die Compliance und stufen Dienste von Anbietern wie Microsoft 365, Azure, AWS und Google Cloud als von Natur aus hochriskant für kritische Operationen und sensible Daten ein.
Echte Daten- und Operationelle Souveränität umsetzen
Um eine genuine digitale operationelle Resilienz und Rechtskonformität zu erreichen, müssen europäische Unternehmen Anbieter priorisieren, die eine echte rechtliche und strukturelle Souveränität bieten. Das Rechtsgutachten stellt klar, dass für sensible Daten, interne Systeme und alle kritischen Prozesse gilt:
„sollte überall dort, wo es möglich ist, europäischen Anbietern mit EU-Eigentümerstruktur ohne US-Konzernbezug der Vorzug gegeben werden.“
Dieser strategische Wandel erfordert, über die Überprüfung technischer Sicherheitszertifizierungen hinauszugehen und sich stattdessen auf Folgendes zu konzentrieren:
-
Rechtliche Sorgfaltspflicht (Legal Due Diligence): Priorisierung von Dienstleistern, deren gesamte Eigentümer- und Managementstruktur ausschließlich in der EU/EWR verwurzelt ist, um sicherzustellen, dass sie ausschließlich der EU-Gerichts- und Aufsichtszuständigkeit unterliegen.
-
Risiko-Scoping (Risk Scoping): Identifizierung der IKT-Dienste, die „kritische oder wichtige Funktionen“ (gemäß DORA) unterstützen, und deren sofortige Migration weg von Drittlandanbietern, die extraterritorialen Gesetzen unterliegen.
-
Ganzheitliche Compliance (Holistic Compliance): Anerkennung, dass operationelle Resilienz (DORA) und Datenschutz (DSGVO) voneinander abhängig sind. Echte Resilienz erfordert die Fähigkeit, Daten rechtlich vor unbefugtem Zugriff zu schützen, sei es durch Cyber-Bedrohungen oder ausländische behördliche Verfügungen.
Datensouveränität ist der einzig nachhaltige Weg
Das Rechtsgutachten der Universität zu Köln zementiert die Realität, dass der strukturelle Konflikt zwischen EU- und US-Recht greifbare, negative Auswirkungen auf die Fähigkeit europäischer Unternehmen hat, DSGVO und DORA einzuhalten. Datensouveränität ist kein Luxus; sie ist eine rechtliche und kommerzielle Notwendigkeit.
Als von der BaFin reguliertes Zahlungsinstitut gewährleistet Novalnet die konsequente Einhaltung aller DORA- und DSGVO-Compliance-Regeln, um den bestmöglichen Schutz der Daten unserer Kunden zu garantieren.
Sprechen Sie jetzt mit unseren Experten über Ihre DORA- und DSGVO-Compliance
