Thought Leadership
Die Empfehlung der Schweizer Datenschutzkonferenz Privatim, US-Hyperscaler aus dem behördlichen Umgang mit sensiblen Daten weitgehend auszuschließen, ist kein Alarmismus – es ist ein überfälliger Realitätscheck. Und er sollte auch deutschen Entscheidern zu denken geben.
Der Kern des Problems ist bekannt, wird aber gerne verdrängt: Der US-CLOUD Act ermöglicht amerikanischen Behörden den Zugriff auf Daten US-amerikanischer Anbieter – unabhängig davon, ob diese Daten physisch in Frankfurt, Zürich oder Dublin liegen. Verträge über Datenstandorte sind Makulatur, wenn der Anbieter der US-Jurisdiktion unterliegt. Die Schweizer haben das erkannt. In Deutschland diskutieren wir derweil noch über Verschlüsselungskonzepte, die dieses strukturelle Rechtsrisiko nicht beseitigen können.
Keine Rückkehr zum Rechenzentrum im Keller
Die Lösung liegt jedoch nicht im technischen Rückschritt. Wer jetzt fordert, Behörden müssten wieder eigene Server im Keller betreiben, verkennt die Realität moderner Verwaltungs-IT. Cloud-Technologie bietet unbestreitbare Vorteile: Skalierbarkeit, Kosteneffizienz, schnelle Bereitstellung, professionelle Sicherheitsinfrastruktur. Diese Vorteile aufzugeben wäre weder sinnvoll noch praktikabel.
Der entscheidende Hebel liegt in der sukzessiven Entkopplung vom US-Rechtsraum. Was Behörden brauchen, sind Cloud-Anbieter, die vollständig unter europäischer – besser noch deutscher – Jurisdiktion operieren. Anbieter ohne US-Muttergesellschaft, ohne US-Beteiligung, ohne rechtliche Hintertüren, durch die der CLOUD Act greifen könnte.
Dabei kommt dem öffentlichen Sektor eine besondere Verantwortung zu. Behörden setzen mit ihren Technikentscheidungen ein Signal für die gesamte Wirtschaft. Wenn der Staat bei sensiblen Daten auf souveräne Infrastrukturen setzt, entfaltet das eine Leuchtturmwirkung – für Unternehmen, die ähnliche Abwägungen treffen müssen, und für Bürger, die zu Recht erwarten, dass der Staat ihre Daten schützt.
Souveränität ist keine Produktkategorie
Die Marketingabteilungen der amerikanischen Hyperscaler haben den Begriff der „souveränen Cloud“ längst für sich entdeckt. Doch Souveränität lässt sich nicht durch ein Zertifikat oder eine separate Produktlinie herstellen. Sie ist eine Frage der Unternehmensstruktur und des anwendbaren Rechts.
Echte Souveränität erfordert mehr als nur einen deutschen Firmensitz. Sowohl der Anbieter als auch dessen Infrastruktur müssen vollständig europäischem Recht unterliegen. Wer als deutsches Unternehmen seine Dienste auf Systemen US-amerikanischer Hyperscaler betreibt, kann keine uneingeschränkte Datensouveränität garantieren. In solchen Fällen muss im Einzelfall sorgfältig geprüft werden, ob und wie der CLOUD Act dennoch Zugriffsmöglichkeiten eröffnet.
Die Schweizer Empfehlung wird bei unseren Nachbarn möglicherweise keine praktischen Folgen nach sich ziehen, wie der Rechtsanwalt Martin Steiger anmerkt. Aber sie setzt ein wichtiges Signal: Wer als Behörde Verantwortung für Bürgerdaten trägt, muss die Frage der Rechtszuständigkeit genauso ernst nehmen wie die der technischen Sicherheit. Und diese Erkenntnis sollte an der deutschen Grenze nicht Halt machen.
Autor: Sebastian von Bomhard, Vorstand und Gründer der SpaceNet AG
