Risikobewertung gemäß Art. 28 DSGVO für den Einsatz eines US-Cloud-Anbietern
Die nachfolgende Risikoanalyse stützt sich auf ein weiterhin maßgebliches Rechtsgutachten der Universität zu Köln vom März 2025.
1. Ausgangslage und Scope
Geprüft wurde der Einsatz von US-Cloud-Service-Providern zur Speicherung oder Verarbeitung personenbezogener Daten. Die Anbieter unterliegen als US-Unternehmen den extraterritorialen Zugriffsbefugnissen von US-Behörden.
Die Bewertung nach Art. 28 DSGVO erfolgte hinsichtlich:
- Sicherheit der Verarbeitung
- Zugriffsrisiken
- Rechtskonformität
- Durchsetzbarkeit der Betroffenenrechte
- Wirksamkeit technischer und organisatorischer Maßnahmen (TOMs)
2. Identifizierte Risiken
2.1 Risiko: Extraterritorialer Datenzugriff durch US-Behörden
Beschreibung: US-Rechtsgrundlagen wie Section 702 FISA, SCA und der CLOUD Act ermöglichen US-Behörden den Zugriff auf Daten, unabhängig vom Speicherort, sofern der Provider in den USA ansässig oder kontrolliert ist.
Wesentliche Erkenntnis aus dem Gutachten: Die Zugriffstatbestände sind weit, gerichtlicher Rechtsschutz eingeschränkt und Provider sowie deren EU-Tochterunternehmen müssen Daten herausgeben.
Auswirkung:
- Offenlegung personenbezogener Daten ohne DSGVO-konforme Rechtsgrundlage
- Verletzung von Art. 5, 6, 32 und 44–49 DSGVO
- Erhöhtes Risiko für Bußgelder, Vertragsverletzungen und Reputationsschäden
Eintrittswahrscheinlichkeit: Hoch
Schadenshöhe: Hoch
Risikobewertung: kritisch
2.2 Risiko: Unzureichendes Schutzniveau gemäß EuGH
Beschreibung: Der EuGH hat bereits zweimal festgestellt, dass US-Überwachungsgesetze kein der EU gleichwertiges Datenschutzniveau bieten (Schrems II).
Aktueller Stand: Der im DPF enthaltene Rechtsschutz ist fragil; Section 702 FISA wurde nicht substantiell eingeschränkt.
Auswirkung:
- Datenübermittlungen in US-Clouds können nicht wirksam legitimiert werden
- Standardvertragsklauseln reichen nicht aus
- Art. 46 DSGVO Anforderungen nicht erfüllbar
Eintrittswahrscheinlichkeit: Hoch
Schadenshöhe: Hoch
Risikobewertung: kritisch
2.3 Risiko: Keine wirksamen Rechtsbehelfe für Betroffene
Beschreibung: Europäische Unternehmen und deren Kunden haben keine effektiven Rechtsmittel gegen Herausgabeanordnungen (z. B. keine standing rights im SCA).
Auswirkung:
- Verletzung der Art. 12–23 DSGVO (Betroffenenrechte)
- Transparenzverpflichtungen praktisch nicht erfüllbar
Eintrittswahrscheinlichkeit: Mittel bis hoch
Schadenshöhe: Hoch
Risikobewertung: hoch
2.4 Risiko: Umgehung technischer Maßnahmen (EO 12.333)
Beschreibung: EO 12.333 erlaubt US-Diensten die Datenerhebung auch ohne Mitwirkung des Cloud-Anbieters, z. B. durch Ausnutzen von Netzwerk-Schwachstellen.
Auswirkung:
- Unterwanderung kryptographischer oder organisatorischer Maßnahmen
- „Unbemerkte“ staatliche Zugriffe nicht ausschließbar
Eintrittswahrscheinlichkeit: Mittel
Schadenshöhe: Hoch
Risikobewertung: hoch
2.5 Risiko: Technische Selbstabschottung (Zero-Knowledge) nicht anerkannt
Beschreibung: Selbst wenn der Anbieter technisch keinen Zugriff hat, kann US-Recht (SCA, Prozessrecht, Spoliation-Prinzip) Aufbewahrungspflichten auslösen und Sanktionen verhängen, wenn Daten nicht verfügbar sind.
Auswirkung:
- Zero-Knowledge liefert keinen ausreichenden Rechtsrahmen
- Keine Garantie, dass Herausgabeanordnung verhindert werden kann
Eintrittswahrscheinlichkeit: Mittel
Schadenshöhe: Mittel bis hoch
Risikobewertung: mittel–hoch
3. Gesamtbewertung
Kriterium | Bewertung |
|---|---|
Vereinbarkeit mit Art. 28 DSGVO | nicht erfüllt |
Angemessenheit der TOMs | nicht gewährleistet |
Risikolevel | kritisch |
Restrisiko nach Maßnahmen | weiterhin hoch, strukturell bedingt |
Gesamturteil:
Der Einsatz eines US-Cloud-Anbieters zur Verarbeitung personenbezogener Daten ist nach aktueller Rechtslage nicht DSGVO-konform zu realisieren. Selbst umfangreiche technische Maßnahmen können das Risiko nicht auf ein akzeptables Niveau senken.
4. Empfohlene Maßnahmen zur Risikoreduktion
4.1 Strategische Maßnahmen
- Umstieg auf EU-basierte Cloud-Provider ohne US-Konzernbindung.
- Aufbau von datenminimierten Architekturen, pseudonymisiert und dezentral.
4.2 Technische Maßnahmen (wenn Nutzung unvermeidlich)
- Ende-zu-Ende-Verschlüsselung mit kundenseitig verwalteten Schlüsseln
- Strenge Datenklassifizierung (kritische Daten nicht in die US-Cloud)
- Differential Privacy / Tokenisierung / Anonymisierung
4.3 Organisatorische Maßnahmen
- Data Protection Impact Assessment (DSFA) verpflichtend
- Vertragliche Regelungen zur Offenlegung von behördlichen Anfragen
- Strenge Überwachung von Subprozessoren
Selbst bei Umsetzung aller Maßnahmen bleibt das Risiko nicht akzeptabel, da staatliche Zugriffe nicht abwendbar sind.
