TLDR Digitale Unabhängigkeit ist ein wichtiger Aspekt für Unternehmen, die nach ISO 27001 zertifiziert sind. Die Abhängigkeit von US-Cloud-Diensten birgt Risiken, die es zu minimieren gilt. Am Ende dieses Artikels habe Ich eine Risikobewertung und Maßnahmenvorschläge zusammengestellt.
Digital Independence Day im Unternehmen
Der beim 39C3 von Marc-Uwe Kling ausgerufene Digital Independence Day ist zur Zeit in aller Munde. Der Fokus liegt dabei hauptsächlich auf das Handeln von Individuen und deren Nutzung von amerikanischen Diensten. Doch auch Unternehmen sollten sich mit dem Thema Digitale Unabhängigkeit auseinandersetzen, insbesondere wenn sie nach ISO 27001 zertifiziert sind.
Unternehmen, die ISO 27001-zertifiziert sind, sind verpflichtet, ihre Informationssicherheitspraktiken kontinuierlich zu verbessern und Risiken zu minimieren. Dies umfasst auch die Abhängigkeit von Drittanbietern und die Sicherstellung, dass diese Anbieter ebenfalls hohe Sicherheitsstandards einhalten.
US-Cloud-Provider und SaaS gelten oft als alternativlos. Nach der alten Maxime “No one ever got fired for buying IBM” vertrauen viele Unternehmen auf diese großen Anbieter, um ihre Daten zu hosten. Dies kann jedoch zu einer erheblichen Abhängigkeit führen, die das Risiko von Datenverlust, Datenschutzverletzungen und mangelnder Kontrolle über sensible Informationen erhöht.
Das Fundament bröckelt
Der Schutz personenbezogener Daten bei der Übertragung in die USA beruht derzeit auf dem “Data Privacy Framework” (DPF), das die Datenschutzbestimmungen der EU mit den Praktiken in den USA in Einklang bringen soll. Allerdings gibt es erhebliche Bedenken hinsichtlich der Wirksamkeit dieses Abkommens.
Ein konkretes Warnsignal: Das Privacy and Civil Liberties Oversight Board (PCLOB), das US-Geheimdienste überwachen soll, wurde durch Entlassungen von Präsident Trump im Januar 2025 massiv geschwächt. Gleichzeitig hat der Europäische Gerichtshof klargestellt, dass die EU-Kommission fortlaufend prüfen muss, ob das Datenschutzniveau in den USA noch angemessen ist – woran man angesichts der politischen Lage zweifeln kann.
Der Mythos des EU Serverstandorts
Viele Unternehmen wiegen sich in falscher Sicherheit, weil ihre Daten physisch in Frankfurt oder Amsterdam liegen. Doch der US CLOUD Act macht hier einen Strich durch die Rechnung: Er verpflichtet US-Unternehmen zur Herausgabe von Daten, unabhängig vom physischen Speicherort. Solange der Anbieter (oder dessen Mutterkonzern) dem US-Recht unterliegt, ist der Serverstandort EU keine hinreichende rechtliche Schutzmaßnahme.
Die ISO 27001 Perspektive
Für Informationssicherheitsbeauftragte ergeben sich aus dieser Gemengelage konkrete Risiken für die Zertifizierung und den Betrieb, insbesondere in Bezug auf folgende Controls:
5.23 (Cloud-Dienste): Die fehlende langfristige Rechtssicherheit erschwert die Risikoakzeptanz
5.30 (Business Continuity): Ein kurzfristiges Kippen des DPF könnte zu Betriebsunterbrechungen führen
5.34 (Datenschutz): Trotz formaler Konformität droht materiell ein Verstoß gegen die DSGVO
Was jetzt?
Warten auf Schrems III ist keine Option. Unternehmen müssen proaktiv handeln, um ihre digitale Unabhängigkeit zu stärken und Risiken zu minimieren.
Was heute getan werden kann:
Europäische Alternativen: Es gibt leistungsfähige, datenschutzkonforme Anbieter in der EU. Prüfen Sie Migrationspläne.
Härten von bestehenden Lösungen: Wenn US-Clouds unvermeidbar sind, ist die Nutzung von Client-Side-Encryption (CSE) und Zero-Trust-Architekturen essenziell.
Hinterfragen von europäischen SaaS-Anbietern: Auch europäische SaaS-Tools nutzen oft US-Infrastruktur (AWS/Azure/Google). Fordern Sie Transparenz über die Sub-Dienstleister.
Risikobewertung zum Kopieren
# Risikobetrachtung: US-Clouddienste
## Executive Summary
Aufgrund der aktuellen Unsicherheiten im Bereich des transatlantischen Datentransfers und geopolitischer Spannungen, ergibt sich ein erhöhtes strategisches und regulatorisches Risiko bei der Nutzung von US-Clouddiensten, das im Rahmen des ISMS angemessen zu berücksichtigen ist.
Alternative Lösungen sollten in Betracht gezogen werden, um die Einhaltung der Datenschutzbestimmungen der EU sicherzustellen und potenzielle Risiken zu minimieren.
Mindestens sollten Maßnahmen zur Risikominderung implementiert werden. Ein Migrationsplan zu europäischen oder anderen datenschutzkonformen Anbietern sollte geprüft werden. Dies gilt auch für Abhängigkeiten von Drittanbietern, die US-Clouddienste nutzen.
## Data Privacy Framework Unsicherheiten
Das Data Privacy Framework (DPF) ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten, das den transatlantischen Datentransfer regelt. Es ersetzt das frühere Privacy Shield-Abkommen, das 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde. Das DPF zielt darauf ab, den Schutz personenbezogener Daten zu gewährleisten und gleichzeitig den freien Fluss von Daten zwischen der EU und den USA zu ermöglichen.
Das Data Privacy Framework ist derzeit in Kraft. Eine inhaltliche Überprüfung durch den Europäischen Gerichtshof im Sinne einer materiellen Neubewertung der Angemessenheit steht bislang aus.
Die Klage wurde abgewiesen, ohne dass es zu einer materiellen Neubewertung der Angemessenheit des Data Privacy Frameworks kam. Die Prüfung der Datenschutzrichtlinien in den USA unter der Trump Regierung obliegt damit weiterhin und dauerhaft bei der EU-Kommission. Sollte diese zu dem Schluss kommen, dass die Datenschutzrichtlinien in den USA nicht mehr den Anforderungen der EU entsprechen, könnte das DPF erneut für ungültig erklärt werden.
> Der hamburgische Datenschutzbeauftragte Thomas Fuchs findet gerade das besonders relevant: "Der wichtigste Punkt des Urteils scheint mir zu sein, dass das Gericht sehr deutlich gemacht hat, dass die Europäische Kommission verpflichtet ist, fortlaufend zu prüfen, ob die Voraussetzungen dieses Angemessenheitsbeschlusses weiterhin bestehen", sagt er. "Und da kann man natürlich angesichts der politischen Situation in den USA seine Zweifel haben."
[[1]](https://www.tagesschau.de/ausland/europa/eu-datenschutz-urteil-100.html)
## CLOUD Act
Der sogenannte Clarifying Lawful Overseas Use of Data Act (US CLOUD Act) verpflichtet US-amerikanische Unternehmen, auf rechtmäßige Anordnung US-Behörden Zugriff auf gespeicherte Daten zu gewähren – **unabhängig davon, in welchem Land sich diese Daten physisch befinden**.
Damit unterliegen auch Daten, die in europäischen Rechenzentren verarbeitet oder gespeichert werden, dem Zugriff nach US-Recht, sofern der Cloud-Anbieter seinen Hauptsitz oder eine beherrschende juristische Einheit in den USA hat.
Der Datenstandort innerhalb der EU allein stellt daher **keine hinreichende rechtliche Schutzmaßnahme** dar, solange der Anbieter dem US-Recht unterliegt. Dies betrifft insbesondere Szenarien, in denen personenbezogene oder geschäftskritische Daten verarbeitet werden und ein Zugriff durch US-Behörden nicht mit den Anforderungen der DSGVO vereinbar ist.
Diese extraterritoriale Wirkung des US CLOUD Act war bereits ein zentrales Argument in den Entscheidungen des Europäischen Gerichtshofs zur Ungültigkeit früherer Abkommen (Safe Harbor, Privacy Shield) und stellt weiterhin ein strukturelles Risiko dar, das durch technische oder organisatorische Maßnahmen nur eingeschränkt mitigiert werden kann.
### Restrisiko bei europäischen SaaS-Anbietern
Auch bei formal europäischen SaaS-Anbietern besteht ein vergleichbares Restrisiko, sofern diese für den Betrieb ihrer Dienste auf US-amerikanische Cloud-Infrastrukturen zurückgreifen, da der potenzielle Datenzugriff nach US-Recht in diesem Fall nicht ausgeschlossen werden kann.
## Unsicherheiten
### Executive Order 14.086
Das DPF beruht zum Teil auf [Executive Order 14.086](https://www.state.gov/executive-order-14086-policy-and-procedures) von Präsident Joe Biden. Executive Orders können jedoch von zukünftigen Präsidenten geändert oder aufgehoben werden, was zu Unsicherheiten hinsichtlich der langfristigen Stabilität des DPF führt.
### Data Protection Review Court (DPRC)
Ein Gremium, das die Überwachung der Einhaltung des DPF durch US-Behörden sicherstellen soll, deren Effektivität und institutionelle Stabilität derzeit jedoch eingeschränkt erscheinen, was Bedenken hinsichtlich des tatsächlichen Schutzes personenbezogener Daten von EU-Bürgern in den USA aufwirft.
### Privacy and Civil Liberties Oversight Board (PCLOB)
Ein Gremium, das die Aktivitäten der US-Geheimdienste begutachtet und u.a. auch das DPRC überwacht. Im Januar 2025 entließ Präsident Trump jedoch drei der Mitglieder des PCLOB [[3]](https://www.nytimes.com/2025/01/22/us/trump-privacy-civil-liberties-oversight-board.html). Das Gremium hat damit zur Zeit nur ein Mitglied.
### Kippung der vorheriger Abkommen
Sowhol das Privacy Shield als auch das EU-US Safe Harbor Abkommen wurden vom Europäischen Gerichtshof für ungültig erklärt. Dies zeigt, dass zukünftige Abkommen ebenfalls angefochten und für ungültig erklärt werden könnten, was zu erheblichen Unsicherheiten für Unternehmen führt, die auf US-Clouddienste angewiesen sind.
NOYB unter Max Schrems, die für die Ungültigkeit des Privacy Shield gesorgt haben, schätzen die Wahrscheinlichkeit einer erneuten Anfechtung des DPF als hoch ein.
> The protections in EO 14.086 were largely a 1:1 copy of an Obama EO called PPD-28, which was rejected by the CJEU in Schrems II.
### Grundsätzliche geopolitische Spannungen
Die anhaltenden geopolitischen Spannungen zwischen der EU und den USA, insbesondere unter Präsident Donald Trump, könnten die Stabilität und Zuverlässigkeit von Abkommen wie dem DPF beeinträchtigen.
## Betroffene ISO 27001 Controls
5.23 - Informationssicherheit für Nutzung von Cloud-Diensten
> Fehlende langfristige Rechtssicherheit erschwert eine angemessene Risikoakzeptanz bei Cloud-Outsourcing.
5.30 - IKT-Bereitschaft für die Geschäftskontinuität
> Ein kurzfristiger Wegfall der Rechtsgrundlage kann zu ungeplanten Betriebsunterbrechungen führen.
5.34 - Datenschutz und Schutz von personenbezogenen Daten (PbD)
> Risiko der Nicht-Einhaltung regulatorischer Anforderungen trotz formaler Konformität zum Zeitpunkt der Implementierung.
### Identifiziertes Risiko
Entzug oder Einschränkung der Rechtsgrundlage für den Transfer personenbezogener
oder geschäftskritischer Daten in die USA aufgrund der Aufhebung oder Aussetzung
des EU-US Data Privacy Framework, würde die Nutzung von US-Clouddiensten erheblich einschränken oder kurzfristig rechtlich unzulässig machen.
Aktuelle Einschätzungen von Cloud Diensten im Rahmen des ISMS beruhen auf Gültigkeit des Data Privacy Frameworks.
#### Einschätzung des Risikos
Wahrscheinlichkeit: **Mittel** | Auswirkung: **Hoch**
Die Wahrscheinlichkeit wird als mittel eingeschätzt, da das Data Privacy Framework aktuell gültig ist, jedoch aufgrund politischer und rechtlicher Abhängigkeiten eine relevante Unsicherheit innerhalb des strategischen Planungshorizonts besteht.
### Mögliche Auswirkungen
- Erzwungene Migration von Daten und Diensten zu alternativen Anbietern mit unbekannten Kosten und Aufwand
- Mögliche Bußgelder und Strafen bei Nichteinhaltung der DSGVO
- Reputationsverlust bei Kunden und Partnern
### Mögliche Maßnahmen zur Risikominderung
- Risikobehandlung durch Vermeidung bei Neumigrationen und Reduktion bestehender Abhängigkeiten
- Regelmäßige Neubewertung des Risikos im Rahmen der Managementbewertung
- Prüfung und Bewertung alternativer Cloud-Anbieter, die in der EU oder in Ländern mit angemessenem Datenschutzniveau ansässig sind
- Bei Nutzung von US-Clouddiensten:
- Implementierung zusätzlicher Sicherheitsmaßnahmen, wie z.B. Client-seitige Verschlüsselung
- Bereithalten von Migrationsplänen zu alternativen Anbietern
## Referenzen:
1. [Tagesschau: EU-Datenschutz: Gericht bestätigt Gültigkeit des Data Privacy Framework](https://www.tagesschau.de/ausland/europa/eu-datenschutz-urteil-100.html)
2. [noyb: EU-US Data Transfers: Time to prepare for more trouble to come](https://noyb.eu/en/eu-us-data-transfers-time-prepare-more-trouble-come)
3. [Privacy and Civil Liberties Oversight Board (PCLOB)](https://www.pclob.gov/Board/Index)