Datensicherheit bei US-Software: Was droht, wenn die Politik unberechenbar wird? Einordnung nach der Kritik des LG Bonn

Im zugrundeliegenden Fall klagte ein Nutzer eines internationalen sozialen Netzwerks gegen den Betreiber wegen angeblicher Datenschutzverstöße im Zusammenhang mit der Speicherung seiner Daten auf Servern in den USA. Der Kläger begehrte unter anderem Schadensersatz und Auskunft über Zugriffe von US-Geheimdiensten auf seine Daten.

Das Landgericht Bonn wies die Klage ab. Es stellte klar, dass die Übermittlung personenbezogener Daten in die USA im konkreten Fall gerechtfertigt war aufgrund vertraglicher Notwendigkeit und später durch einen Angemessenheitsbeschluss der EU-Kommission. Besonders relevant ist dabei die Feststellung des Gerichts, dass Nutzer internationaler Plattformen konkludent darin einwilligen, dass ihre Daten auch außerhalb Europas gespeichert werden können, wenn dies für die Funktionsfähigkeit des Dienstes erforderlich ist. Dies gelte unabhängig davon, ob der Vertrag mit einer europäischen Tochtergesellschaft geschlossen wurde; entscheidend sei das Bewusstsein des Nutzers für die internationale Struktur und Steuerung solcher Dienste durch US-Konzerne.

Bemerkenswert an der Entscheidung ist jedoch weniger das Ergebnis als vielmehr die begleitende Grundsatzkritik an den politischen Verhältnissen in den USA unter Donald Trump. Das Gericht betont, dass spätestens seit den Enthüllungen von Edward Snowden allgemein bekannt sei, wie weitreichend staatliche Zugriffsrechte auf Daten in den USA sind und wie gering das Datenschutzniveau im Vergleich zur EU ausfällt. Es spricht von „deutlich anti-demokratisch, anti-rechtsstaatlich, autokratisch bis faschistischen Tendenzen“ in der aktuellen US-Regierung und wirft den Vereinigten Staaten vor, seit Jahren „wenig bis gar nichts dazugelernt“ zu haben. Diese politische Einschätzung mag für ein Zivilgericht ungewöhnlich sein; sie verdeutlicht aber eindrucksvoll das Misstrauen gegenüber einer uneingeschränkten Abhängigkeit von US-Anbietern bei sensiblen Daten.

Die politische Unsicherheit im transatlantischen Datenverkehr wurde zuletzt durch die Ankündigung der US-Regierung unter Donald Trump verschärft, Exportkontrollen für „kritische Software“ gegenüber China einzuführen. Auch wenn sich die USA und China inzwischen auf eine Entschärfung dieser Maßnahmen geeinigt haben, bleibt die grundsätzliche Drohung bestehen: Die US-Regierung hat gezeigt, dass sie bereit ist, den Zugang zu essenziellen Softwareprodukten als politisches Druckmittel einzusetzen. Für europäische Unternehmen bedeutet dies, dass auch künftig kurzfristige Exportbeschränkungen oder Nutzungsverbote für bestimmte Softwareprodukte nicht ausgeschlossen werden können, selbst dann, wenn die eigentlichen Serverstandorte in Europa liegen.

Diese politische Drohkulisse wirkt sich unmittelbar auf die Planungssicherheit von Unternehmen aus, die auf US-Softwarelösungen setzen. Die Definition dessen, was als „kritische Software“ gilt, bleibt vage und kann sich je nach geopolitischer Lage rasch ändern. Damit besteht ein fortwährendes Restrisiko: Selbst bei einer aktuellen Einigung zwischen den USA und China ist nicht auszuschließen, dass ähnliche Maßnahmen künftig auch gegenüber anderen Staaten oder Regionen ergriffen werden, insbesondere bei einer unberechenbar agierenden US-Regierung.

Große Anbieter wie Microsoft versuchen mit Initiativen wie der EU Data Boundary, ihren europäischen Kunden mehr Kontrolle über ihre Daten zu geben: Seit Anfang 2023 werden personenbezogene Kundendaten zentraler Microsoft-Dienste ausschließlich innerhalb der EU/EFTA gespeichert; seit Februar 2025 erfolgt auch technischer Support aus Europa heraus. Ziel ist es laut Microsoft ausdrücklich, das Risiko ungewollter Übertragungen in Drittländer zu minimieren und europäische Datenschutzanforderungen besser zu erfüllen.

Allerdings bleibt auch hier ein Restrisiko bestehen: Fehlerhafte Konfigurationen können dazu führen, dass Daten dennoch außerhalb des vorgesehenen Gebiets verarbeitet werden. Die Microsoft EU Data Boundary entbindet Unternehmen daher nicht von einer sorgfältigen datenschutzrechtlichen Prüfung. Selbst wenn sämtliche Daten physisch in Europa liegen und technische sowie organisatorische Maßnahmen getroffen werden, bestehen Restrisiken. Amerikanische Behörden können weiterhin auf diese Daten zugreifen oder deren Verarbeitung beeinflussen, solange es sich um einen US-Anbieter handelt (Stichwort: CLOUD Act). Auch andere Gesetze wie der Foreign Intelligence Surveillance Act (FISA) (wie im Fall des LG Bonn) erlauben gezielte Überwachung von Nicht-US-Bürgern außerhalb der Vereinigten Staaten.

Auch kleinere Anbieter wie etwa das mit dem deutschen Unternehmen Impossible Cloud kooperierende US-Unternehmen Nakivo wirbt damit, vollständig auf europäische Infrastruktur zu setzen. Sie bieten Funktionen wie Geofencing oder End-to-End-Verschlüsselung an und versprechen so zusätzliche Sicherheit vor Zugriffen Dritter sowie Schutz vor Ransomware-Angriffen. Dennoch gilt auch hier: Sobald Komponenten aus den USA stammen oder Software(-Updates) von dort bezogen werden müssen, kann politische Einflussnahme nicht ausgeschlossen werden. 

Rechtlich problematisch bleibt zudem:

• Der CLOUD Act verpflichtet US-Unternehmen zur Herausgabe gespeicherter Daten an amerikanische Behörden – unabhängig vom Speicherort.
• Der Foreign Intelligence Surveillance Act erlaubt weitreichende Überwachungsmaßnahmen gegen Nicht-US-Bürger.
• Politische Unwägbarkeiten erhöhen das Risiko plötzlicher Exportbeschränkungen oder regulatorischer Eingriffe.
• Das neue EU-US Data Privacy Framework soll zwar einen sicheren transatlantischen Datentransfer ermöglichen; es steht jedoch bereits wieder unter Beschuss durch Datenschutzaktivisten (Stichwort Schrems).
• Technisch-organisatorische Maßnahmen können helfen (Verschlüsselung etc.), bieten aber keinen absoluten Schutz vor staatlichem Zugriff.

Die dargestellten Risiken zeigen deutlich: Unternehmen stehen heute vor einer Vielzahl komplexer Herausforderungen beim Einsatz von Daten, wenn US-Unternehmen im Spiel sind, etwa bei Cloud-Lösungen mit Bezug zu den USA, unabhängig davon, ob sie große Anbieter wie Microsoft nutzen oder spezialisierte Alternativen wählen.

Gerade weil technische Maßnahmen allein keinen vollständigen Schutz bieten können und politische Entwicklungen jederzeit neue Unsicherheiten schaffen können, sollten Unternehmen ihre IT-Infrastruktur regelmäßig einer rechtlichen Prüfung unterziehen lassen:

• Vertragsgestaltung: Es empfiehlt sich dringend eine sorgfältige Analyse aller Verträge mit Cloud-Anbietern hinsichtlich Haftungsfragen, Support-Garantien bei politischen Eingriffen sowie Exit-Szenarien für den Fall plötzlicher Exportbeschränkungen.
• Datenschutz-Folgenabschätzung: Für viele Konstellationen ist eine umfassende Datenschutz-Folgenabschätzung geboten. Insbesondere dann, wenn sensible personenbezogene Daten verarbeitet werden oder kritische Geschäftsprozesse betroffen sind.
• Dokumentation & Transparenz: Unternehmen sollten ihre internen Prozesse dokumentieren und regelmäßig aktualisieren; dazu gehört auch eine transparente Kommunikation gegenüber Kunden über verbleibende Restrisiken.
• Technisch-organisatorische Maßnahmen: Juristische Beratung hilft dabei sicherzustellen, dass Verschlüsselungslösungen tatsächlich wirksam sind und keine Hintertüren bestehen bleiben.
• Notfallplanung: Es sollte geprüft werden, welche Handlungsoptionen bestehen (z.B. Wechsel des Anbieters), falls politische Entscheidungen kurzfristig Zugriffsmöglichkeiten einschränken oder Dienste blockiert werden.
• Compliance-Monitoring: Angesichts laufender Verfahren gegen transatlantische Datenschutzabkommen (Stichwort Schrems) empfiehlt sich ein kontinuierliches Monitoring rechtlicher Entwicklungen sowie proaktive Anpassung interner Richtlinien.

Fazit: Die Zeiten scheinbar grenzenloser Cloud-Freiheit sind vorbei, die aktuelle unberechenbar agierende US-Regierung unterstreicht dies. Geopolitische Spannungen machen IT-Sourcing zur strategischen Managementaufgabe mit erheblichem juristischen Beratungsbedarf. Wer jetzt handelt und seine Verträge sowie technischen Maßnahmen professionell prüfen lässt, kann Risiken minimieren und zugleich Vertrauen bei Kunden sowie Aufsichtsbehörden schaffen.