FISA 702, CLOUD Act & Co.: US‑Überwachung killt jeden europäischen Datenschutz – was tun?

Ein Cloud-Ausfall auf Anweisung aus Washington? Eine politisch motivierte Bandbreiten-Drosselung, die kritische Infrastrukturen lahmlegt? Was nach einem dystopischen Szenario klingt, wird zunehmend wahrscheinlicher – und ist für Unternehmen, insbesondere in der Finanz- und Versicherungsbranche, ein realistisches Risikoszenario. Angesichts zunehmender geopolitischer Spannungen wird deutlich: Wer Cloud sagt, muss auch über Kontrolle, Abhängigkeiten und Souveränität sprechen. Der Rückgriff auf außereuropäische Cloud-Infrastrukturen wirft grundlegende Fragen auf, denen sich CIOs und Vorstände heute stellen müssen – bevor es zu spät ist.

von Karsten Pech und Christian Kirchberger, Forvis Mazars 

Der Wechsel von einem US-Hyperscaler hin zu einem europäischen Cloud-Provider ist ein tiefgreifender technischer Eingriff. Häufig genutzte proprietäre Dienste wie KI-Modelle, Datenpipelines oder Serverless-Funktionen lassen sich nicht ohne weiteres portieren. Unternehmen müssen bestehende Architekturen analysieren, Applikationen refaktorieren, Daten migrieren und Integrationen neu aufbauen – ohne laufende Prozesse zu stören.

Worauf Banken und Versicherer besonders achten müssen

Ein Cloud-Wechsel betrifft nicht nur Technik, sondern Geschäftsmodell, Risikobereitschaft und Compliance:

• Vendor-Lock-in vermeiden: Proprietäre Tools kritisch prüfen
• Portabilität sicherstellen: APIs und Formate müssen übertragbar sein
• Exit-Strategien verankern: Vertraglich und technisch absichern
• Multi-Cloud-Vorgehen: Redundanzen aufbauen, Resilienz erhöhen
• IT-Governance & Risikoanalyse: Frühzeitig regulatorisch einbetten

Cloud-Nutzung muss vollständig nachvollziehbar, dokumentiert und steuerbar sein – auch im Krisenfall.

Vorteile und Grenzen europäischer Lösungen

Vorteile:
für die Verarbeitung personenbezogener Daten in der EU gilt die DSGVO

Exkurs: Zwar erstreckt die DSGVO ihren internationalen und sachlichen Anwendungsbereich über die EU hinaus. Sie will auch angewendet werden, wenn (etwas verkürzt wiedergegeben) personenbezogene Daten von EU-Bürgern außerhalb der EU verarbeitet werden, sofern der datenschutzrechtlich Verantwortliche, z.B. ein Cloud-Provider der USA, seine Dienste gezielt auf dem EU-Markt anbietet, Art 3 (2) DSGVO. Ein Gericht in den USA wird die DSGVO allerdings nicht anwenden; ein Gericht der EU dagegen schon.

Weniger politische Risiken

• Bessere Kontrollierbarkeit durch lokale Partner
• Unterstützung digitaler Souveränität in kritischen Sektoren

Nachteile:

• Geringere Servicevielfalt z. B. bei KI, Machine Learning oder DevOps-Stacks
• Begrenzte internationale Skalierbarkeit
• Möglicherweise höhere Kosten bei speziellem Leistungsbedarf

Für viele Institute ist daher ein hybrider oder phasenweiser Wechsel sinnvoll – mit klar definierten Daten- und Anwendungskategorien.

Wechselbereitschaft – wie realistisch ist ein Exit?

Während ein vollständiger Wechsel zu europäischen Cloud-Anbietern derzeit selten ist, lässt sich eine zunehmende Bereitschaft zur Diversifizierung der Cloud-Strategie beobachten. Insbesondere in regulierten Branchen wie dem Finanz- und Versicherungswesen, aber auch im öffentlichen Sektor und bei Energieversorgern, werden vermehrt europäische Alternativen geprüft und punktuell implementiert.

Treiber dieser Entwicklung sind neben strategischen Überlegungen zur digitalen Souveränität vor allem regulatorische und datenschutzrechtliche Anforderungen, die durch US-basierte Hyperscaler nur eingeschränkt abgedeckt werden. So bleiben auch bei Infrastruktur in der EU Zugriffsrechte der US-Provider – insbesondere durch den US CLOUD Act – bestehen.

Auch das EuGH-Urteil „Schrems II“ hat die Rechtslage für Datenübermittlungen in die USA verschärft, wodurch Unternehmen gezwungen sind, zusätzliche technische und organisatorische Schutzmaßnahmen nachzuweisen.”

Aufsichtsbehörden wie BaFin oder Datenschutzbeauftragte fordern zunehmend transparente Auditierbarkeit, vertraglich zugesicherte Kontrollrechte, Datenlokalisierung und Exit-Unterstützung. Forderungen, die europäische Anbieter oftmals flexibler erfüllen können. Deshalb gewinnen Initiativen wie Gaia-X und souveräne Cloud-Plattformen wie die Open Telekom Cloud oder Open-Source-basierte Ansätze an Relevanz. Und erst vor wenigen Tagen hat Schwarz-Digits durch seinen Co-Head in einem Interview mit der FAZ am 10. Juni verlauten lassen, Europas souveräner Hyperscaler werden zu wollen. Schwarz Digits ist das Tech-Unternehmen der für Lidl und Kaufland bekannten Schwarz-Gruppe. Das Unternehmen setzt auf eine Cloud-Strategie und kann sich vor Aufträgen kaum retten. Bei näherem Hinsehen wird allerdings deutlich, dass selbst diese Projekte nicht vollständig unabhängig sind. Stets sind Technologiekomponenten, Know-how oder sogar Beteiligungen US-amerikanischer Unternehmen im Spiel.

Eine vollständig europäische Cloud-Alternative ohne jegliche US-Einflussnahme existiert bis heute nicht – eine Tatsache, die in strategischen Diskussionen nicht ausgeblendet werden darf.”

Erste produktive Umsetzungen lassen sich bei kommunalen IT-Dienstleistern und KRITIS-Betreibern beobachten. Banken und Versicherer evaluieren europäische Cloud-Optionen insbesondere zum Schutz ihrer Kundeninformation und Kernbankensystemen sowie zur Sicherung sonstiger streng regulierter bzw. unternehmenskritischer Geschäftsprozesse.

Zwar dominieren den Markt weiterhin die US-Anbieter, doch der Handlungsdruck zur gezielten Diversifizierung steigt spürbar.”

FISA 702 – Der blinde Fleck der Transatlantik-Cloud

Ein zentrales, bislang oft unterschätztes Risiko bei der Nutzung von Cloud-Diensten US-amerikanischer Anbieter liegt in der extraterritorialen Anwendbarkeit des Foreign Intelligence Surveillance Act, insbesondere in Sektion 702 (FISA 702). Dieses Gesetz erlaubt es US-Geheimdiensten, auf Kommunikationsdaten ausländischer Personen zuzugreifen – unabhängig davon, wo sich die Daten physisch befinden. Damit können auch Daten, die europäische Unternehmen in Rechenzentren innerhalb der EU speichern, von US-Behörden eingesehen werden, sofern der Betreiber aus Sicht des US-Gesetzes dem US-Recht unterliegt. FISA 702 hat durch den Reforming Intelligence and Securing America Act 202421 jüngst insoweit eine Verschärfung erfahren, als sein Anwendungsbereich auf alle Diensteanbieter mit Zugang zu elektronischen Kommunikationsgeräten ausgeweitet wurde. Dies stellt eine massive Herausforderung für Datenschutz und IT-Compliance dar und untergräbt technische Schutzmaßnahmen wie Verschlüsselung oder Datenlokalisierung. FISA 702 verdeutlicht die Dringlichkeit einer echten europäischen Cloud-Souveränität, die nicht nur technisch, sondern auch juristisch unabhängig agieren kann.

Ist das Datenschutzabkommen mit den USA belastbar?

Das „EU-US Data Privacy Framework“ wurde 2023 eingeführt – doch wie die Vorgänger (Safe Harbor, Privacy Shield) steht es auf wackeligem Fundament. Kritiker bemängeln u.a. weiterhin fehlende richterliche Kontrolle in den USA. Eine weitere Aushöhlung bzw. eine Kündigung durch die USA ist möglich. Wahrscheinlicher jedoch wäre ein erneutes Kippen durch den EuGH. Für Unternehmen bedeutet das: Rechtliche Stabilität bietet nur ein vollständig europäischer Cloudstack.

Risiko Handelskrieg? Preiserhöhungen und Zugriffsbeschränkungen denkbar?

Im Kontext geopolitischer Spannungen könnten US-Anbieter gezwungen sein, Dienste einzuschränken, Preise zu erhöhen oder Exportauflagen umzusetzen.”

Solche Szenarien sind derzeit hypothetisch – aber angesichts der aktuellen Zollpolitik der US-Regierung nicht ausgeschlossen. Auch eine Drosselung von Bandbreiten oder die Blockade spezifischer Dienste als politisches Druckmittel ist denkbar. Unternehmen sollten solche Risiken in ihre Cloud-Strategie und Szenarienplanung einbeziehen – insbesondere bei kritischen Anwendungen.

FISA 702: Absicherung jenseits der SLA

Standard-SLAs schützen den Kunden nicht – insbesondere nicht bei politisch motivierten Sanktionen und sonstigen Eingriffen.

Ganz grundsätzlich können vertragliche Verpflichtungen des Providers einen Kunden nur eingeschränkt schützen, weil nicht sichergestellt ist, dass der Provider seine Pflichten auch erfüllt.”

Insbesondere dort, wo der Kunde die Pflichtverletzung nicht spürt bzw. nicht nachweisen kann. Maßgeblich ist die Praxis, die oft zitierte normative Kraft des Faktischen. Nicht auszuschließen ist ferner, dass bestimmte Handlungen der teils erratisch agierenden Trump-Regierung den Tatbestand der höheren Gewalt erfüllen, der wiederum die Provider exkulpieren könnte.

Durch die Brille der Aufsichtsbehörden betrachtet und aus operativer Sicht sind Sekundäransprüche wie Schadenersatzansprüche, die ein Kunde geltend machen kann, wenn der Provider nicht performt, kaum relevant. Das Management hat im Interesse seiner Kunden und im Interesse regulierter Märkte sicherzustellen, dass die Geschäftsprozesse reibungslos funktionieren.

Es braucht zusätzliche Absicherung:

Vertragliche Vereinbarungen zur Ermöglichung von Exit und Datenzugang:

• Technische Redundanz über mehrere Anbieter
• Regelmäßige Auditierbarkeit und Monitoring
• Notfallmigrationsunterstützung innerhalb definierter Zeitrahmen

Ein proaktives Cloud-Risikomanagement – eingebettet in die IT-Governance – wird damit zur unternehmerischen Pflicht.

Fazit

Der Schwenk zu europäischen Cloudlösungen ist kein einfacher, aber im Angesicht von FISA 702 und US Cloud Act ein strategisch notwendiger Prozess. Wer frühzeitig handelt, sichert nicht nur Compliance, sondern stärkt seine digitale Resilienz und Wettbewerbsfähigkeit in einem zunehmend volatilen Umfeld. Europäische Cloud-Lösungen bieten besseren Datenschutz und bessere Datenkontrolle in einem politisch stabileren Umfeld. Karsten Pech und Christian Kirchberger, Forvis Mazars