Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Schrems II Compliance: Schutz von Datenflüssen zwischen UK und EU

Schrems II Compliance: Schutz von Datenflüssen zwischen UK und EU

von Danielle Barbour updated Oktober 10, 2025 DSGVO-Compliance
Lesezeit: 23 Minuten

Das Schrems II-Urteil des Europäischen Gerichtshofs im Juli 2020 hat das EU-US Privacy Shield für ungültig erklärt, da die US-Überwachungsgesetze – insbesondere FISA 702 und Executive Order 12333 – unzureichende Schutzmaßnahmen für die Grundrechte von EU-Datensubjekten bieten. Während die unmittelbaren Auswirkungen zunächst US-Unternehmen trafen, hat die Entscheidung weitreichende Folgen für britische Organisationen, die Datenströme zwischen Großbritannien und der Europäischen Union verwalten. Die nach dem Brexit im Juni 2021 erteilte Angemessenheitsentscheidung der Europäischen Kommission für das Vereinigte Königreich weist die gleichen strukturellen Schwächen auf, die das Privacy Shield zerstörten: US-Cloud-Anbieter mit Zugriff auf Verschlüsselungsschlüssel schaffen technische Zugangswege für amerikanische Überwachung, die keine vertragliche Schutzmaßnahme ausreichend verhindern kann.

Für britische Organisationen, die US-basierte Cloud-Anbieter nutzen und gleichzeitig einen erheblichen Datenaustausch mit EU-Partnern pflegen, schafft Schrems II eine unangenehme Realität. Standardvertragsklauseln, das wichtigste rechtliche Instrument für UK-EU-Datenübermittlungen, erfordern zusätzliche technische und organisatorische Maßnahmen, wenn Übermittlungen in Länder mit problematischen Überwachungsgesetzen erfolgen. Die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDPB) stellen klar, dass diese ergänzenden Maßnahmen Daten für Behörden „unverständlich“ machen müssen – dennoch verlassen sich die meisten britischen Organisationen auf Cloud-Architekturen, bei denen die Anbieter Zugriff auf die Verschlüsselungsschlüssel behalten, wodurch Daten für US-Behörden durch rechtlichen Zwang verständlich werden – unabhängig vom Speicherort oder von vertraglichen Schutzklauseln.

Table of Contents

Die Bedrohung reicht über Compliance-Fragen hinaus und betrifft die Aufrechterhaltung der UK-EU-Datenströme selbst. Wenn britische Organisationen Cloud-Architekturen im großen Stil übernehmen, die US-Überwachung von EU-Personenbezogenen Daten ermöglichen, werden Datenschutzaktivisten die Angemessenheitsentscheidung des Vereinigten Königreichs mit derselben Schrems II-Argumentation anfechten, die das Privacy Shield zu Fall brachte. Eine erfolgreiche Anfechtung würde den privilegierten Status Großbritanniens für EU-Datenübermittlungen beseitigen und britische Unternehmen zwingen, dieselben aufwändigen Übermittlungsmechanismen zu implementieren, die für Datenströme in Länder ohne Angemessenheitsbeschluss erforderlich sind. Britische Organisationen müssen daher prüfen, ob ihre Cloud-Anbieterbeziehungen nicht nur die aktuellen Übermittlungsanforderungen erfüllen, sondern auch die architektonischen Standards, die notwendig sind, um das Angemessenheitsregime für einen effizienten UK-EU-Datenaustausch zu erhalten.

Executive Summary

Kernaussage: Schrems II hat das Privacy Shield für ungültig erklärt, weil US-Überwachungsgesetze (FISA 702, Executive Order 12333) keine ausreichenden Schutzmechanismen für EU-Datensubjekte bieten.

Warum das relevant ist: Britische Organisationen, die US-Cloud-Anbieter nutzen, müssen ergänzende technische Maßnahmen – insbesondere kundengemanagte Verschlüsselungsschlüssel – implementieren, um UK-EU-Datenströme zu schützen und den UK-Angemessenheitsstatus zu erhalten.

wichtige Erkenntnisse

  1. Der Europäische Gerichtshof hat das Privacy Shield für ungültig erklärt, weil US-Überwachungsgesetze den Zugriff auf EU-Personenbezogene Daten ohne ausreichende Schutzmaßnahmen ermöglichen und festgestellt, dass FISA 702 und Executive Order 12333 keine ausreichenden Begrenzungen für den staatlichen Zugriff bieten und keinen effektiven gerichtlichen Rechtsschutz für EU-Datensubjekte vorsehen, deren Rechte verletzt werden.
  2. Die UK-Angemessenheit der Europäischen Kommission ist identisch verwundbar wie das zerstörte Privacy Shield, wenn britische Organisationen US-Cloud-Anbieter mit Zugriff auf Verschlüsselungsschlüssel nutzen und so technische Wege für die US-Überwachung von EU-Personenbezogenen Daten schaffen, die über britische Infrastruktur fließen.
  3. Standardvertragsklauseln erfordern ergänzende technische Maßnahmen, die Daten für Behörden unverständlich machen laut EDPB-Empfehlungen 01/2020. Anbieter-gemanagte Verschlüsselung, bei der Cloud-Anbieter Zugriff auf die Schlüssel behalten, erfüllt diese Anforderung nicht, da US-Behörden Anbieter zur Entschlüsselung zwingen können – unabhängig von vertraglichen Verboten.
  4. Transfer Impact Assessments müssen die praktische Wirksamkeit ergänzender Maßnahmen bewerten und nicht nur deren theoretisches Design. Die meisten TIAs unterschätzen, wie Anbieterzugriff auf Verschlüsselungsschlüssel technische Schutzmaßnahmen untergräbt, die vertragliche Klauseln nicht ausreichend ersetzen können.
  5. Kundengemanagte Verschlüsselungsschlüssel, bei denen Anbieter niemals Entschlüsselungsmöglichkeiten haben, erfüllen die EDPB-Anforderungen an ergänzende Maßnahmen, da Daten auch bei Herausgabeverlangen für Behörden unverständlich bleiben – der Schutz erfolgt mathematisch, nicht vertraglich.
  6. Der Erhalt der UK-Angemessenheit erfordert, dass britische Organisationen nachweisen, dass EU-Personenbezogene Daten, die UK-Systeme durchlaufen, vor US-Überwachung geschützt bleiben. Eine breite Einführung von Cloud-Architekturen, die US-Regierungszugriff ermöglichen, könnte Angemessenheitsanfechtungen auslösen und die rechtliche Grundlage des UK-EU-Datenaustauschs gefährden.

Schrems II und die Aufhebung des Privacy Shield

Was ist Schrems II? Schrems II (Rechtssache C-311/18, Urteil vom 16. Juli 2020) ist ein Urteil des Europäischen Gerichtshofs, das das EU-US Privacy Shield für ungültig erklärte und feststellte, dass Standardvertragsklauseln ergänzende technische Maßnahmen erfordern, wenn Daten in Länder mit unzureichenden Überwachungsschutzmaßnahmen übermittelt werden.

Der Fall Schrems II, offiziell Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems (C-311/18), ist die zweite erfolgreiche Anfechtung des österreichischen Datenschutzaktivisten Max Schrems gegen EU-US-Datenübermittlungsmechanismen. Das Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 erklärte das EU-US Privacy Shield für ungültig, bestätigte jedoch Standardvertragsklauseln als gültige Übermittlungsmechanismen – allerdings nur, wenn sie durch zusätzliche Schutzmaßnahmen ergänzt werden, die spezifische Risiken im Zielland adressieren.

Warum das Privacy Shield den Grundrechtstest nicht bestand

Das Gericht stellte fest, dass US-Überwachungsprogramme, insbesondere Section 702 des Foreign Intelligence Surveillance Act und Executive Order 12333, den Zugriff auf EU-Personenbezogene Daten ermöglichen, der über das „zwingend Erforderliche“ und das zur Wahrung der nationalen Sicherheit „Verhältnismäßige“ hinausgeht. Diese Programme erlauben die massenhafte Erfassung von Kommunikation ohne individuellen Verdacht, arbeiten ohne effektive gerichtliche Kontrolle für Nicht-US-Bürger und bieten keinen wirksamen gerichtlichen Rechtsschutz, der es EU-Datensubjekten ermöglicht, unrechtmäßige Überwachung anzufechten.

FISA 702 ermächtigt die US-Regierung, amerikanische Technologieunternehmen zur Herausgabe von Kommunikation von Nicht-US-Personen außerhalb der Vereinigten Staaten zu zwingen. Das FISA-Gericht, das diese Programme überwacht, prüft keine Einzelfallanträge, sondern genehmigt jährlich Zertifizierungen für breite Kategorien von Überwachungszielen. EU-Datensubjekte, deren Kommunikation unter Section 702 abgefangen wird, haben keine realistische Möglichkeit, von der Überwachung zu erfahren oder deren Rechtmäßigkeit vor US-Gerichten anzufechten.

Executive Order 12333, die die Informationsbeschaffung außerhalb der US-Gerichtsbarkeit regelt, unterliegt noch weniger Einschränkungen. Die Anordnung erlaubt die Erfassung von Kommunikation direkt aus der Internet-Infrastruktur, einschließlich Unterseekabeln und Netzknotenpunkten, ohne die begrenzte FISA-Gerichtskontrolle, die für Section 702 gilt. Für EU-Personenbezogene Daten, die US-Netzwerkinfrastruktur durchlaufen oder bei US-Unternehmen gespeichert werden, schaffen diese Überwachungsprogramme laut Gericht einen Zustand, der mit den EU-Grundrechten auf Datenschutz und Privatsphäre unvereinbar ist.

Das Problem vertraglicher Begrenzungen

Entscheidend ist, dass das Gericht feststellte, dass vertragliche Mechanismen wie das EU-US Privacy Shield das Problem von Ziellandgesetzen, die staatlichen Zugriff ermöglichen und mit EU-Grundrechten unvereinbar sind, nicht überwinden können. Die Vereinigten Staaten verpflichteten sich im Rahmen des Privacy Shield, den Datenzugriff auf das Notwendige und Verhältnismäßige zu beschränken, doch diese vertraglichen Zusagen können US-Sicherheitsgesetze, die amerikanische Unternehmen zur Herausgabe von Daten verpflichten, nicht außer Kraft setzen.

Dieses Prinzip – dass Verträge gesetzliche Verpflichtungen nicht aushebeln können – ist die Grundlage für die anhaltende Wirkung von Schrems II. Wenn vertragliche Zusagen allein Daten vor problematischem staatlichem Zugriff schützen könnten, hätte das Privacy Shield Bestand gehabt. Die Ablehnung dieses Ansatzes durch das Gericht bedeutet, dass Organisationen, die sich ausschließlich auf Standardvertragsklauseln ohne technische Zusatzmaßnahmen verlassen, dieselbe Schwachstelle aufweisen, die das Privacy Shield zu Fall brachte.

Implikationen für Cloud Service Provider

Das Schrems II-Urteil nennt Cloud-Anbieter zwar nicht explizit, aber die Auswirkungen auf US-basierte Cloud-Infrastrukturen sind eindeutig. AWS, Microsoft Azure, Google Cloud und andere amerikanische Cloud-Anbieter unterliegen denselben FISA 702- und Executive Order 12333-Befugnissen, die das Gericht als unvereinbar mit EU-Grundrechten einstufte. Diese Anbieter müssen US-Regierungsanfragen zum Datenzugriff nachkommen, und ihre vertraglichen Zusagen gegenüber Kunden können gesetzliche Verpflichtungen zur Reaktion auf Überwachungsanordnungen nicht außer Kraft setzen.

Für britische Organisationen entstehen dadurch unmittelbare Komplikationen. Daten, die bei US-Cloud-Anbietern gespeichert werden, bleiben für US-Geheimdienste über rechtliche Mechanismen zugänglich, die der Europäische Gerichtshof ausdrücklich als unzureichend abgelehnt hat. Enthalten diese Daten personenbezogene Informationen über EU-Datensubjekte – etwa Mitarbeiter von EU-Unternehmen, Kunden von EU-Firmen oder andere durch die DSGVO geschützte Personen – ermöglichen britische Organisationen durch die Nutzung von US-Cloud-Anbietern eine Überwachung, die nach EU-Recht mit Datenschutzrechten grundsätzlich unvereinbar ist.

UK-Angemessenheit und das Schrems II-Präzedenzfall

UK-Angemessenheitsstatus: Die Europäische Kommission hat dem Vereinigten Königreich am 28. Juni 2021 einen Angemessenheitsbeschluss erteilt, der uneingeschränkte Datenströme von der EU nach Großbritannien ermöglicht. Dieser Status bleibt jedoch angreifbar, wenn britische Organisationen US-Überwachung von EU-Personenbezogenen Daten durch unzureichende Cloud-Architekturen ermöglichen.

Nach dem Brexit wurde das Vereinigte Königreich zum „Drittland“ im Sinne des EU-Datenschutzrechts und benötigte einen Angemessenheitsbeschluss der Europäischen Kommission, um uneingeschränkte Datenströme aus der EU zu ermöglichen. Die Kommission erteilte dem Vereinigten Königreich am 28. Juni 2021 die Angemessenheit, da das britische Datenschutzrecht im Wesentlichen gleichwertigen Schutz wie die DSGVO bietet.

Die Verwundbarkeit der UK-Angemessenheit

Die UK-Angemessenheit weist die gleiche strukturelle Schwäche auf, die das EU-US Privacy Shield zerstörte: Wenn britische Organisationen im großen Stil technische Architekturen einführen, die US-Überwachung von EU-Personenbezogenen Daten ermöglichen, können Datenschutzaktivisten die Angemessenheit mit Schrems II-Argumentation anfechten. Die Angemessenheitsentscheidung geht davon aus, dass Daten, die ins Vereinigte Königreich übermittelt werden, nach UK-DSGVO und Data Protection Act 2018 geschützt werden – aber ist dieser Schutz noch gegeben, wenn die Daten direkt an US-Cloud-Anbieter weitergeleitet werden, die FISA 702 unterliegen?

Die Angemessenheitsentscheidung der Europäischen Kommission sieht ausdrücklich vor, dass sie überprüft werden muss, wenn sich die britischen Datenschutzstandards in einer Weise ändern, die den Schutz der Grundrechte beeinträchtigt. Eine weit verbreitete Einführung von Cloud-Architekturen, die US-Überwachung ermöglichen, könnte eine solche Änderung darstellen – nicht durch Gesetzesänderung, sondern durch faktische Erosion technischer Schutzmaßnahmen. Wenn EU-Personenbezogene Daten ins Vereinigte Königreich fließen, dort aber auf US-Cloud-Infrastruktur gespeichert werden, die US-Geheimdiensten zugänglich ist, wird die Angemessenheit zu einer technischen Hintertür, die die von Schrems II geforderten Schutzmaßnahmen umgeht.

Das Problem der Weiterübermittlung

Die UK-Angemessenheit erstreckt sich nicht automatisch auf Weiterübermittlungen aus dem Vereinigten Königreich in Drittländer. Wenn britische Organisationen EU-Personenbezogene Daten an US-Cloud-Anbieter weitergeben, handelt es sich um Weiterübermittlungen, die die Anforderungen des UK-DSGVO-Artikels 46 an geeignete Schutzmaßnahmen erfüllen müssen. Standardvertragsklauseln können hierfür die rechtliche Grundlage bieten – aber nach Schrems II sind SCCs allein unzureichend, wenn Übermittlungen in Länder mit Überwachungsgesetzen erfolgen, die der Europäische Gerichtshof als grundrechtswidrig eingestuft hat.

Dies führt zu einer Kaskade von Compliance-Anforderungen. EU-Organisationen, die Daten an britische Empfänger übermitteln, müssen sicherstellen, dass diese Empfänger geeignete Schutzmaßnahmen für Weiterübermittlungen haben. Britische Organisationen müssen Transfer Impact Assessments durchführen, um zu bewerten, ob SCCs mit ihren US-Cloud-Anbietern angesichts der US-Überwachungsgesetze ausreichenden Schutz bieten. Werden Risiken identifiziert, die vertragliche Klauseln nicht adressieren können, werden ergänzende technische Maßnahmen verpflichtend.

Das Problem: Die meisten ergänzenden Maßnahmen – Verschlüsselung während der Übertragung, Verschlüsselung im ruhenden Zustand, vertragliche Audit-Rechte – adressieren nicht die grundlegende Schwachstelle: US-Cloud-Anbieter behalten Zugriff auf die Verschlüsselungsschlüssel, sodass Daten für US-Behörden durch rechtlichen Zwang zugänglich bleiben – unabhängig vom Speicherort oder von vertraglichen Schutzklauseln.

Angemessenheit durch technische Architektur erhalten

Das Überleben der UK-Angemessenheit hängt auch davon ab, dass britische Organisationen nachweisen, dass EU-Personenbezogene Daten, die durch UK-Systeme fließen, tatsächlich vor US-Überwachung geschützt sind. Das ist nicht nur eine Compliance-Pflicht einzelner Unternehmen – es ist eine kollektive Verantwortung aller britischen Unternehmen, die von der Angemessenheit profitieren. Wenn Datenschutzaktivisten nachweisen, dass britische Organisationen routinemäßig US-Überwachung von EU-Personenbezogenen Daten durch schlechte Cloud-Architektur ermöglichen, ist die Angemessenheit existenziell bedroht.

Die Lösung erfordert technische Architektur statt vertraglicher Zusagen. Kundengemanagte Verschlüsselungsschlüssel, die den Anbietern jeglichen Zugriff entziehen, schaffen mathematische Garantien, dass US-Cloud-Anbieter auch unter rechtlichem Zwang keinen Datenzugriff ermöglichen können. Souveräne Bereitstellungsoptionen, die EU-Personenbezogene Daten auf britischer Infrastruktur halten, beseitigen das Problem der Weiterübermittlung vollständig. Diese architektonischen Ansätze adressieren das grundlegende Schrems II-Problem: staatliche Zugangswege, die vertragliche Maßnahmen nicht verhindern können.

Das Verschlüsselungsschlüssel-Problem im Schrems II-Kontext

Kritischer Punkt: Schrems II-Compliance erfordert, dass Daten für Behörden „unverständlich“ sind. Anbieter-gemanagte Verschlüsselung erfüllt diese Anforderung nicht, da Cloud-Anbieter zur Entschlüsselung gezwungen werden können. Kundengemanagte Verschlüsselungsschlüssel – bei denen Anbieter niemals Entschlüsselungsmöglichkeiten haben – erfüllen die EDPB-Anforderungen an ergänzende Maßnahmen.

Schrems II dreht sich im Kern um staatlichen Datenzugriff, und die Kontrolle über Verschlüsselungsschlüssel entscheidet, ob ein solcher Zugriff möglich ist. Können Cloud-Anbieter Kundendaten entschlüsseln, können Behörden die Anbieter zur Entschlüsselung zwingen – unabhängig von vertraglichen Verboten. Können Anbieter Kundendaten nicht entschlüsseln, weil sie nie die Schlüssel besitzen, erhalten Behörden im Falle eines Herausgabeverlangens nur unverständlichen Ciphertext.

Anbieter-gemanagte Verschlüsselung und der Unverständlichkeits-Standard

Die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses zu ergänzenden Maßnahmen legen fest, dass technische Schutzmaßnahmen Daten für jeden, der keine Zugriffsberechtigung hat – einschließlich Behörden im Zielland – „unverständlich“ machen müssen. Anbieter-gemanagte Verschlüsselung, bei der Cloud-Anbieter die Schlüssel über ihre Key Management Services kontrollieren, erfüllt diesen Standard nicht, da der Anbieter gezwungen werden kann, Daten für US-Behörden verständlich zu machen.

Die meisten Cloud-Verschlüsselungsimplementierungen nutzen anbieter-kontrollierte Hardware-Sicherheitsmodule zur Speicherung der Schlüssel. Diese HSMs bieten zwar starken Schutz gegen externe Angreifer, schützen aber nicht vor Herausgabeverlangen an den Anbieter, der das HSM kontrolliert. Wenn US-Behörden FISA 702-Anordnungen oder National Security Letters zur Datenherausgabe erlassen, können Cloud-Anbieter mit Schlüsselzugriff Daten entschlüsseln und verständlich weitergeben – die Verschlüsselung ist technisch sicher, aber für Schrems II rechtlich bedeutungslos.

Einige Anbieter bieten „kundengemanagte Schlüssel“ an, mit denen Organisationen den Schlüssel-Lebenszyklus und Richtlinien kontrollieren können. Doch oft behalten Anbieter Zugriff durch Backup-Schlüssel, Wiederherstellungsmechanismen oder administrative Privilegien, die für den Cloud-Betrieb notwendig sind. Nur wenn kundengemanagte Schlüssel-Implementierungen jeglichen Anbieterzugriff explizit und architektonisch ausschließen – also technisch unmöglich machen, dass der Anbieter Daten entschlüsselt, selbst bei Mitarbeiterkooperation und staatlichem Zwang – erfüllen sie die EDPB-Anforderung der Unverständlichkeit.

Die technischen Empfehlungen des EDPB

Die EDPB-Empfehlungen 01/2020 geben detaillierte Hinweise zu geeigneten ergänzenden technischen Maßnahmen für verschiedene Datenübermittlungsszenarien. Für Übermittlungen, bei denen der Exporteur die Kontrolle über die Verschlüsselungsschlüssel behält und der Importeur (Cloud-Anbieter) keinen Zugriff auf Klartextdaten hat, betrachtet der EDPB dies als wirksame ergänzende Maßnahme gegen staatlichen Zugriff auf verständliche Daten.

Die entscheidende Anforderung ist, dass die Verschlüsselungsschlüssel ausschließlich unter Kontrolle des Datenexporteurs bleiben, niemals in der Infrastruktur des Cloud-Anbieters gespeichert werden oder über Anbietersysteme zugänglich sind. Die Schlüssel müssen außerhalb der Anbieterumgebung generiert, in kundenkontrollierten Hardware-Sicherheitsmodulen oder Key-Management-Servern gespeichert und nur in Systemen verwendet werden, auf die der Anbieter keinen Zugriff oder Einfluss hat. Diese architektonische Trennung stellt sicher, dass Herausgabeverlangen an den Cloud-Anbieter keine Entschlüsselungsschlüssel oder verständliche Daten liefern können.

Britische Organisationen, die diese Architektur für EU-Personenbezogene Daten bei US-Cloud-Anbietern implementieren, können sowohl die SCC-Anforderungen als auch die Schrems II-Anforderungen an ergänzende Maßnahmen erfüllen. Die vertraglichen Klauseln schaffen rechtliche Verpflichtungen, während die technische Architektur sicherstellt, dass diese Verpflichtungen auch bei Herausgabeverlangen der US-Behörden eingehalten werden können. Der Anbieter kann rechtlichen US-Anforderungen nachkommen, indem er verschlüsselte Daten herausgibt, und gleichzeitig vertragliche Datenschutzverpflichtungen einhalten – denn ohne Schlüssel bleiben die Daten unverständlich.

Warum das für UK-EU-Datenströme relevant ist

Wenn britische Organisationen EU-Personenbezogene Daten erhalten und anschließend ohne ausreichende ergänzende Maßnahmen an US-Cloud-Anbieter weitergeben, schaffen sie rechtliche Risiken für sich selbst und ihre EU-Datenquellen. Die EU-Organisationen, die Daten an britische Empfänger übermitteln, müssen sicherstellen, dass für Weiterübermittlungen ausreichende Schutzmaßnahmen bestehen. Erfüllt die britische Cloud-Architektur die Schrems II-Anforderungen nicht, dürfen EU-Organisationen Daten nicht an britische Empfänger übermitteln, die solche Weiterübermittlungen planen.

Das hat auch Wettbewerbsfolgen. Britische Unternehmen ohne ausreichende Schrems II-Schutzmaßnahmen könnten erleben, dass EU-Kunden und -Partner den Datenaustausch verweigern und lieber Wettbewerber mit nachweisbaren technischen Maßnahmen wählen, die die Anforderungen an ergänzende Maßnahmen erfüllen. Finanzdienstleister, Anwaltskanzleien, Gesundheitsdienstleister und Technologieunternehmen, die auf EU-Personenbezogene Daten angewiesen sind, müssen Cloud-Infrastrukturen so gestalten, dass EU-Datenschutzbeauftragte diese in Transfer Impact Assessments genehmigen können.

Transfer Impact Assessments und ergänzende Maßnahmen

TIA-Anforderung: Britische Organisationen müssen Transfer Impact Assessments (TIAs) durchführen, um zu bewerten, ob Standardvertragsklauseln allein ausreichenden Schutz für Übermittlungen in Länder mit problematischen Überwachungsgesetzen bieten. TIAs müssen die praktische Wirksamkeit der Schutzmaßnahmen bewerten, nicht nur die vertragliche Formulierung.

Schrems II hat Standardvertragsklauseln nicht für ungültig erklärt, aber festgelegt, dass SCCs allein für Übermittlungen in Länder mit Überwachungsgesetzen, die mit EU-Grundrechten unvereinbar sind, unzureichend sind. Datenexporteure müssen Transfer Impact Assessments durchführen, um zu bewerten, ob die rechtliche und technische Realität im Zielland die vertraglichen Schutzmaßnahmen der SCCs tatsächlich durchsetzbar macht.

Was Transfer Impact Assessments bewerten müssen

Transfer Impact Assessments sind keine Checklisten. Der EDPB stellt klar, dass TIAs die praktische Wirksamkeit der Schutzmaßnahmen bewerten müssen, nicht nur deren theoretisches Design. Britische Organisationen, die EU-Personenbezogene Daten an US-Cloud-Anbieter übermitteln, müssen TIAs zu folgenden Punkten durchführen:

  • Ob die Verschlüsselung wirksamen Schutz bietet. Wenn der Anbieter Zugriff auf die Schlüssel hat, ist die Antwort nein – Behörden können die Herausgabe oder Entschlüsselung erzwingen, sodass die Verschlüsselung rechtlich bedeutungslos ist, auch wenn sie technisch sicher ist.
  • Ob vertragliche Zusagen staatlichen Zugriff verhindern. US-Sicherheitsgesetze setzen vertragliche Verpflichtungen außer Kraft, daher können Zusagen von US-Anbietern die Herausgabe nicht verhindern.
  • Ob Transparenzmechanismen die Erkennung staatlichen Zugriffs ermöglichen. National Security Letters und FISA-Anordnungen verbieten oft die Offenlegung, sodass Anbieter Kunden nicht über Datenzugriffe informieren dürfen – Erkennung ist unmöglich, Verantwortlichkeit illusorisch.
  • Ob es einen Rechtsbehelf bei unrechtmäßigem Zugriff gibt. Das Schrems II-Urteil stellte fest, dass Nicht-US-Personen keinen wirksamen gerichtlichen Rechtsschutz in US-Gerichten gegen FISA 702-Überwachung haben – Verstöße können nicht sinnvoll angefochten oder behoben werden.

Organisationen, die ehrliche TIAs für US-Cloud-Anbieterbeziehungen durchführen, kommen meist zu unangenehmen Ergebnissen: Die implementierten Schutzmaßnahmen adressieren nicht die grundlegenden Zugangswege, die Schrems II als mit EU-Grundrechten unvereinbar identifiziert hat.

Die Anforderung ergänzender Maßnahmen

Stellen TIAs fest, dass SCCs allein keinen ausreichenden Schutz bieten, werden ergänzende technische und organisatorische Maßnahmen verpflichtend. Die EDPB-Empfehlungen 01/2020 beschreiben verschiedene ergänzende Maßnahmen für unterschiedliche Umstände, aber nicht alle adressieren das Schrems II-Überwachungsproblem.

Organisatorische Maßnahmen – vertragliche Audit-Rechte, Transparenzzusagen, Datenminimierung – können staatliche Zugriffsrechte nicht aushebeln. Wenn US-Recht Überwachung ermöglicht, sind vertragliche Zusagen, keine Überwachung zu betreiben, rechtlich bedeutungslos. Audits können geheimen staatlichen Zugriff nicht erkennen, der Offenlegungspflichten unterliegt. Datenminimierung reduziert das Risiko, beseitigt aber nicht die Zugangswege zu den verbleibenden Daten.

Technische Maßnahmen bieten mehr Potenzial, aber nur, wenn sie architektonisch den Anbieterzugriff auf verständliche Daten verhindern. Transportverschlüsselung (TLS) schützt Daten während der Übertragung, aber nicht im ruhenden Zustand in der Anbieterinfrastruktur. Verschlüsselung im ruhenden Zustand mit anbieter-gemanagten Schlüsseln scheitert, weil Anbieter zur Entschlüsselung gezwungen werden können. Pseudonymisierung und Anonymisierung funktionieren nur, wenn sie wirklich irreversibel sind – was bei operativen Daten mit Realweltbezug oft unmöglich ist.

Die ergänzende Maßnahme, die Schrems II-Anforderungen zuverlässig erfüllt, ist kundengemanagte Verschlüsselung mit kryptografischer Trennung – Schlüssel werden vollständig außerhalb der Anbieterinfrastruktur generiert, gespeichert und verwaltet, sodass Anbieter technisch keinen Zugriff auf Klartextdaten haben, selbst unter staatlichem Zwang. Diese Maßnahme verlässt sich nicht auf vertragliche Zusagen oder rechtliche Schutzmechanismen, die staatliche Stellen aushebeln können. Sie schafft mathematische Gewissheit, dass Herausgabeverlangen an den Anbieter nur unverständlichen Ciphertext liefern.

Häufige TIA-Fehler

Viele britische Organisationen führen Transfer Impact Assessments durch, die Schrems II-Risiken unterschätzen oder die Wirksamkeit ergänzender Maßnahmen überschätzen. Häufige Fehler sind:

  • Angebote für „kundengemanagte Schlüssel“ der Anbieter als echte Kundenkontrolle zu behandeln, ohne zu prüfen, ob Anbieter über Backup-, Recovery- oder administrative Mechanismen Zugriff behalten.
  • Davon auszugehen, dass Daten in UK- oder EU-Regionen das US-Überwachungsrisiko eliminieren, ohne zu erkennen, dass US-Muttergesellschaften diese Regionen kontrollieren und FISA 702 unabhängig vom Speicherort gilt.
  • Sich auf Transparenzberichte der Anbieter als Beleg für begrenzten staatlichen Zugriff zu verlassen, ohne zu berücksichtigen, dass geheime Überwachungsanordnungen die Offenlegung verbieten und Transparenzberichte daher unvollständig sind.
  • Transportverschlüsselung als ergänzende Maßnahme zu implementieren, ohne zu adressieren, dass Daten zur Speicherung und Verarbeitung entschlüsselt werden müssen und dabei anbieter-gemanagte Systeme Zugriff auf Klartext haben.
  • Datenresidenz (Speicherung an einem bestimmten geografischen Ort) mit Datensouveränität (ausschließliche Kontrolle über den Datenzugriff) zu verwechseln und UK-Speicherorte als ausreichend zu betrachten, ohne US-Muttergesellschafts-Zugriffswege zu bewerten.

Diese TIA-Fehler schaffen nicht nur Compliance-Risiken für einzelne Organisationen. Wenn sie in britischen Unternehmen, die EU-Personenbezogene Daten verarbeiten, weit verbreitet sind, stärken sie die Argumente für eine Anfechtung der UK-Angemessenheit auf Basis von Schrems II.

Warum Standardvertragsklauseln nicht ausreichen

Fazit: Standardvertragsklauseln (SCCs) schaffen die notwendige rechtliche Grundlage, können aber US-Überwachungsgesetze, die vertragliche Zusagen aushebeln, nicht überwinden. Ergänzende technische Maßnahmen – insbesondere kundengemanagte Verschlüsselung ohne Anbieterzugriff – sind für Schrems II-Compliance zwingend erforderlich.

Standardvertragsklauseln, von der Europäischen Kommission 2021 genehmigt, legen detaillierte vertragliche Verpflichtungen für internationale Datenübermittlungen fest. Schrems II hat jedoch klargestellt, dass diese vertraglichen Schutzmaßnahmen unzureichend sind, wenn Ziellandgesetze staatlichen Zugriff ermöglichen, der mit EU-Grundrechten unvereinbar ist – was explizit US-Cloud-Anbieter betrifft, die FISA 702 unterliegen.

Das Problem des rechtlichen Vorrangs

SCCs verpflichten Datenimporteure, Exporteure zu informieren, wenn sie die Klauseln nicht einhalten können, etwa aufgrund von Herausgabeverlangen, die mit vertraglichen Verpflichtungen kollidieren. US-Sicherheitsgesetze verbieten jedoch oft eine solche Benachrichtigung. National Security Letters nach 18 U.S.C. § 2709 enthalten Verschwiegenheitsklauseln, die die Offenlegung untersagen. FISA-Anordnungen schränken die Offenlegung ebenfalls ein. Diese gesetzlichen Verbote setzen vertragliche Verpflichtungen zur Benachrichtigung über staatliche Datenanfragen außer Kraft.

Das führt zu einer unlösbaren Vertragssituation. US-Cloud-Anbieter können die SCC-Benachrichtigungsanforderungen nicht erfüllen, wenn Sicherheitsgesetze die Offenlegung verbieten. Sie können Herausgabeverlangen nicht ablehnen, da dies gegen US-Strafrecht verstößt. Und sie können nicht beide Verpflichtungen erfüllen – US-Überwachungsbefehlen nachkommen und vertragliche Datenschutzverpflichtungen einhalten – weil diese Verpflichtungen grundlegend kollidieren.

Das Schrems II-Urteil hat diesen Konflikt erkannt und festgestellt, dass vertragliche Maßnahmen allein keinen ausreichenden Schutz bieten, wenn Ziellandgesetze vertragliche Zusagen aushebeln. Für britische Organisationen bedeutet das: SCCs mit US-Cloud-Anbietern müssen durch technische Maßnahmen ergänzt werden, die auch dann wirksam bleiben, wenn Anbieter Herausgabeverlangen erhalten, die sie nicht ablehnen oder offenlegen dürfen.

Modul-spezifische Schwachstellen

Die 2021 eingeführten Standardvertragsklauseln umfassen vier Module für verschiedene Übermittlungsszenarien: Verantwortlicher zu Verantwortlichem, Verantwortlicher zu Auftragsverarbeiter, Auftragsverarbeiter zu Auftragsverarbeiter und Auftragsverarbeiter zu Unterauftragsverarbeiter. Cloud-Service-Provider-Beziehungen nutzen typischerweise Modul Zwei (Verantwortlicher zu Auftragsverarbeiter), wobei die britische Organisation als Verantwortlicher und der Cloud-Anbieter als Auftragsverarbeiter agiert.

Modul Zwei enthält spezifische Vorgaben, dass Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zur Datensicherheit implementieren müssen. Diese Maßnahmen müssen jedoch nicht nur die vertraglichen Anforderungen erfüllen, sondern auch den von Schrems II geforderten Praxistest bestehen. Anbieter-gemanagte Verschlüsselung erfüllt zwar die vertragliche Anforderung an die „Verschlüsselung personenbezogener Daten“, scheitert aber an der Schrems II-Anforderung, dass Verschlüsselung Daten für Behörden unverständlich macht, wenn der Anbieter die Schlüssel kontrolliert und zur Entschlüsselung gezwungen werden kann.

Die SCCs verpflichten Auftragsverarbeiter außerdem, Verantwortliche bei der Bearbeitung von Betroffenenanfragen, Datenschutz-Folgenabschätzungen und dem Nachweis der Einhaltung von Datensicherheitsverpflichtungen zu unterstützen. Nutzen Auftragsverarbeiter Verschlüsselungsschlüssel, die sie kontrollieren, haben sie technisch die Möglichkeit, diese Unterstützung zu leisten – aber genau diese Möglichkeit erlaubt ihnen auch, Behörden bei Herausgabeverlangen zu unterstützen. Die Architektur, die operative Funktionalität ermöglicht, schafft die Schwachstelle, die Schrems II als problematisch identifiziert.

Ergänzende Maßnahmen als verpflichtende Ergänzung

Die EDPB-Leitlinien machen deutlich, dass ergänzende Maßnahmen keine optionalen Verbesserungen sind – sie sind verpflichtend, wenn TIAs Risiken identifizieren, die SCCs allein nicht adressieren. Für Übermittlungen in die USA besteht aufgrund von FISA 702 und verwandten Überwachungsbefugnissen ein grundsätzlicher Bedarf an ergänzenden Maßnahmen. Organisationen, die behaupten, SCCs allein böten ausreichenden Schutz, müssen nachweisen, warum US-Überwachungsgesetze keine Risiken schaffen, die zusätzliche Schutzmaßnahmen erfordern – ein schwieriges Argument nach Schrems II.

Der Europäische Datenschutzbeauftragte geht noch weiter und schlägt vor, dass für bestimmte Übermittlungen in die USA keine ergänzenden Maßnahmen ausreichenden Schutz bieten – außer auf die Übermittlung ganz zu verzichten. Auch wenn dies eine restriktivere Auslegung als die EDPB-Empfehlungen darstellt, verdeutlicht es, wie ernst EU-Behörden die US-Überwachungsrisiken nach Schrems II nehmen.

Für britische Organisationen ist die Botschaft klar: SCCs schaffen die rechtliche Grundlage für US-Cloud-Anbieterbeziehungen, aber die technische Architektur entscheidet, ob diese Beziehungen Schrems II-Anforderungen erfüllen. Vertragliche Formulierungen zu Verschlüsselung, Sicherheitsmaßnahmen und Benachrichtigung über staatlichen Zugriff können keine kryptografische Architektur ersetzen, die Anbieterzugriff auf Klartextdaten mathematisch unmöglich macht.

Praxisbeispiele: UK-EU-Datenströme unter Schrems II

Britische Anwaltskanzlei mit EU-Mandanten: Schutz von Privilegien über Grenzen hinweg

Eine in Manchester ansässige Anwaltskanzlei vertritt Mandanten in ganz Europa in Wirtschaftsstreitigkeiten, Wettbewerbsverfahren und regulatorischen Ermittlungen. Die Kanzlei nutzte bislang Microsoft 365 für Dokumentenmanagement und Mandantenkommunikation und setzte für die Datenresidenz auf die EU-Regionen von Azure. Als die Kanzlei einen deutschen Pharmakonzern in einem Verfahren mit möglichem US-Regulierungsbezug beriet, stellte der Datenschutzbeauftragte des Mandanten die Frage, ob die Cloud-Architektur der Kanzlei die Schrems II-Anforderungen an ergänzende Maßnahmen erfüllt.

Die Sorge des Datenschutzbeauftragten war konkret: Microsoft als US-Unternehmen unterliegt FISA 702 und könnte gezwungen werden, US-Behörden Zugriff auf Mandantendokumente zu gewähren, die in Azure-EU-Regionen gespeichert sind. Selbst mit Standardvertragsklauseln und den vertraglichen Datenschutzverpflichtungen von Azure setzen US-Überwachungsgesetze diese Schutzmaßnahmen außer Kraft. Das anwaltliche Berufsgeheimnis nach deutschem Recht und die Rechte aus der EU-Grundrechtecharta könnten durch US-Überwachung, ermöglicht durch die Cloud-Architektur der Kanzlei, kompromittiert werden.

Die Kanzlei führte ein Transfer Impact Assessment für ihr Azure-Deployment durch. Das Assessment ergab, dass der Zugriff von Microsoft auf die Verschlüsselungsschlüssel genau die Schwachstelle darstellte, die der Datenschutzbeauftragte des Mandanten identifiziert hatte. Obwohl die Daten in EU-Regionen gespeichert waren, hatte Microsofts US-Muttergesellschaft die technische Möglichkeit, diese Daten unter FISA 702 zu entschlüsseln und herauszugeben. Die SCCs der Kanzlei mit Microsoft boten vertraglichen Schutz, der durch US-Sicherheitsgesetze ausgehebelt werden konnte.

Die Kanzlei implementierte Kiteworks On-Premises im eigenen britischen Rechenzentrum mit kundengemanagten Verschlüsselungsschlüsseln, die in UK-kontrollierten Hardware-Sicherheitsmodulen gespeichert werden. EU-Mandantendaten verlassen nie die britische Infrastruktur, die Schlüssel bleiben ausschließlich unter Kontrolle der Kanzlei, und Geofencing verhindert Authentifizierung von US-IP-Adressen. Nach Prüfung der neuen Architektur genehmigte die Datenschutzbeauftragte des deutschen Pharmakonzerns diese als Schrems II-konform – die technische Architektur macht Daten für Microsoft, US-Behörden oder andere ohne die UK-kontrollierten Schlüssel der Kanzlei unverständlich.

Britisches Finanzdienstleistungsunternehmen: Schutz von EU-Kundendaten

Ein in London ansässiges Vermögensverwaltungsunternehmen betreut vermögende Privatpersonen und Family Offices in Großbritannien und der EU. Das Unternehmen nutzte bislang Salesforce für das Kundenmanagement und Google Workspace für die operative Kommunikation und ging davon aus, dass vertragliche Zusagen und Zertifizierungen ausreichenden Datenschutz für EU-Kundendaten bieten.

Beim Markteintritt in Deutschland und Frankreich äußerten Compliance-Berater potenzieller Kunden Schrems II-Bedenken. Die Speicherung von EU-Kundendaten bei US-Cloud-Anbietern, die FISA 702 unterliegen, schuf potenzielle Risiken durch US-Überwachung. Selbst wenn diese Überwachung legitime nationale Sicherheitsinteressen verfolgt, bedeutet die massenhafte Datenerhebung, dass EU-Kundendaten zufällig erfasst und gespeichert werden können – genau das Problem, das der Europäische Gerichtshof in Schrems II als grundrechtswidrig einstufte.

Das Unternehmen reagierte zunächst mit der Implementierung von Standardvertragsklauseln mit Salesforce und Google, führte Transfer Impact Assessments durch und dokumentierte, dass Daten in EU-Regionen gespeichert werden. Die Compliance-Berater potenzieller Kunden stellten jedoch fest, dass diese Maßnahmen das Grundproblem nicht adressierten: Die US-Muttergesellschaften, die die EU-Regionen kontrollieren, behalten Zugriff auf die Verschlüsselungsschlüssel und können Herausgabeverlangen nachkommen. Die SCCs boten vertraglichen Schutz, der durch US-Überwachungsgesetze ausgehebelt werden konnte. Die TIAs dokumentierten Risiken, ohne sie ausreichend zu adressieren.

Das Unternehmen implementierte Kiteworks für das Kundenmanagement und die Kommunikation sensibler Daten und führte kundengemanagte Verschlüsselung mit Schlüsseln ein, die in UK-kontrollierter Infrastruktur generiert und gespeichert werden. EU-Kundendaten fließen durch diese souveräne Architektur und nicht mehr durch US-Cloud-Systeme. Die Transfer Impact Assessments des Unternehmens dokumentieren nun technische ergänzende Maßnahmen gemäß EDPB-Empfehlungen 01/2020 – Verschlüsselung, die Daten für Cloud-Anbieter unverständlich macht, mit kryptografischer Schlüsselkontrolle, die staatliche Zugangswege verhindert, die vertragliche Maßnahmen nicht ausschließen können.

Die Architektur ermöglichte es dem Unternehmen, deutsche und französische Kunden zu gewinnen, deren Datenschutzbeauftragte nachweisbare Schrems II-Compliance fordern. Bei der regelmäßigen Überprüfung der UK-Angemessenheit zeigt die EU-schützende Architektur des Unternehmens, dass britische Organisationen robusten Datenschutz für EU-Personenbezogene Daten gewährleisten können und so die Argumente für den Erhalt der Angemessenheit stärken.

Britischer Gesundheitsdienstleister: grenzüberschreitende Forschungskollaboration

Ein britischer NHS-Trust nimmt an multinationaler klinischer Forschung teil, bei der Patientendaten mit deutschen und schwedischen Forschungseinrichtungen geteilt werden. Die Zusammenarbeit nutzte bislang Microsoft Teams und SharePoint für das Forschungsdatenmanagement und setzte auf Microsofts EU-Regionen und Standardvertragsklauseln für die rechtliche Compliance. Bei einer Schrems II-Prüfung internationaler Kooperationen durch den Datenschutzbeauftragten der deutschen Forschungseinrichtung wurde die Cloud-Architektur des britischen Trusts kritisch bewertet.

Die Forschung umfasst Gesundheitsdaten, die unter UK-DSGVO Artikel 9 und die besonderen Kategorien der EU-DSGVO fallen. Der Datenschutzbeauftragte der deutschen Einrichtung stellte fest, dass die Kontrolle und der Zugriff auf die Verschlüsselungsschlüssel durch Microsofts US-Muttergesellschaft Risiken schaffen, die SCCs allein nicht adressieren können. Würden US-Behörden FISA 702-Anordnungen an Microsoft für Daten zu Forschungssubjekten mit potenzieller nationaler Sicherheitsrelevanz erlassen – auch nur am Rande –, müsste Microsoft Zugriff auf EU-Gesundheitsdaten in seinen Systemen gewähren.

Das Ethikkomitee der deutschen Einrichtung, beraten durch den Datenschutzbeauftragten, kam zu dem Schluss, dass die Teilnahme an Forschung unter Nutzung von US-Cloud-Infrastruktur Risiken schafft, die mit den Grundrechten der Forschungssubjekte nach Schrems II unvereinbar sind. Entweder musste die Zusammenarbeit ausreichende ergänzende technische Maßnahmen implementieren oder die deutsche Einrichtung würde sich aus dem Forschungsprojekt zurückziehen.

Der NHS-Trust prüfte ergänzende Maßnahmen. Pseudonymisierung allein war unzureichend, da für die Forschung ein Bezug zu einzelnen Probanden notwendig war. Verschlüsselung im ruhenden Zustand mit Microsofts Key Management scheiterte, weil Microsoft unter Herausgabeverlangen entschlüsseln konnte. Organisatorische Maßnahmen – Audits, Transparenzzusagen – konnten US-Gesetze, die vertragliche Schutzmaßnahmen aushebeln, nicht überwinden.

Der Trust implementierte Kiteworks für das Forschungsdatenmanagement mit kundengemanagten Verschlüsselungsschlüsseln, die ausschließlich in NHS-kontrollierter Infrastruktur gespeichert werden. Forschungsdaten von EU-Einrichtungen fließen durch britische souveräne Architektur, auf die weder US-Cloud-Anbieter noch US-Behörden Zugriff auf Klartextdaten haben. Der Datenschutzbeauftragte der deutschen Einrichtung genehmigte die Architektur als Schrems II-konform, sodass die Forschungskollaboration fortgesetzt werden konnte.

Britisches Technologieunternehmen: SaaS-Plattform für EU-Kunden

Ein britisches Softwareunternehmen bietet eine SaaS-Plattform für Personalmanagement an Kunden in ganz Europa an. Die Plattform lief bislang auf AWS-Infrastruktur in EU-Regionen, wobei sich das Unternehmen als europäische Alternative zu US-Wettbewerbern positionierte. Als Kunden Schrems II-Compliance-Nachweise anforderten, stellte das Unternehmen fest, dass seine AWS-Architektur genau die Schwachstellen aufwies, die Kunden vermeiden wollten.

Die Datenschutzbeauftragten der EU-Kunden stellten fest, dass AWS als US-Unternehmen, das FISA 702 unterliegt, Zugriff auf die Verschlüsselungsschlüssel hat und so eine Herausgabe an Behörden unabhängig von der Datenresidenz in EU-Regionen ermöglichen kann. Die Standardvertragsklauseln des britischen Unternehmens mit den Kunden enthielten Zusagen zum Schutz vor unbefugtem Zugriff – aber wie sollten diese Zusagen eingehalten werden, wenn der Infrastruktur-Anbieter des Unternehmens US-Behörden Zugriff auf Kundendaten gewähren konnte?

Die Position des Unternehmens als europäische Alternative zu US-Wettbewerbern beruhte darauf, EU-Kundendaten tatsächlich vor US-Überwachung zu schützen. Die AWS-Infrastruktur bedeutete jedoch, dass Kundendaten genauso FISA 702 ausgesetzt waren wie bei US-Wettbewerbern. Das Marketingversprechen europäischer Datenschutz wurde durch die technische Architektur nicht eingelöst.

Das Unternehmen gestaltete seine Plattform neu und wechselte zu britischer souveräner Cloud-Infrastruktur mit kundengemanagten Verschlüsselungsschlüsseln. EU-Kundendaten werden mit Schlüsseln verschlüsselt, die vollständig außerhalb der Kontrolle von AWS generiert, verwaltet und gespeichert werden. Das Unternehmen kann Datenschutzbeauftragten der Kunden nun nachweisen, dass die Architektur die Schrems II-Anforderungen an ergänzende Maßnahmen erfüllt – auf der Plattform gespeicherte Daten bleiben für US-Cloud-Anbieter und US-Behörden unverständlich, sodass die europäischen Datenschutzversprechen technisch überprüfbar und nicht nur vertraglich zugesichert sind.

Vergleich: Kiteworks vs. US-Hyperscale-Cloud-Anbieter

Schrems II-Dimension Kiteworks US-Hyperscale-Cloud-Anbieter
Kontrolle über Verschlüsselungsschlüssel Kundengemanagte Schlüssel ohne Kiteworks-Zugriff; Schlüssel niemals in der Anbieterinfrastruktur Anbieter-gemanagtes KMS mit Anbieterzugriff; kundengemanagte Schlüssel bieten oft Wiederherstellungsmöglichkeiten für den Anbieter
FISA 702-Exponierung Keine Exponierung bei On-Premises- oder britischer souveräner Cloud-Bereitstellung; Kiteworks kann nicht unter FISA 702 gezwungen werden US-Muttergesellschaften unterliegen FISA 702, unabhängig vom Speicherort oder der regionalen Bereitstellung
Unverständlichkeit für Behörden Daten bleiben für US-Behörden unverständlich; verschlüsselter Ciphertext ist ohne kundengemanagte Schlüssel nutzlos Daten sind für US-Behörden durch Anbieterzugriff auf Schlüssel verständlich; Herausgabeverlangen liefern Klartext
SCC-Compliance Technische Architektur unterstützt SCC-Verpflichtungen; kein Konflikt zwischen vertraglichen Verpflichtungen und US-Recht Vertragliche SCC-Verpflichtungen stehen im Konflikt mit US-Sicherheitsgesetzen, die Datenherausgabe erzwingen
Ergänzende Maßnahmen Kundengemanagte Verschlüsselung erfüllt die technischen Anforderungen der EDPB-Empfehlung 01/2020 Anbieter-gemanagte Verschlüsselung erfüllt die EDPB-Anforderung der Unverständlichkeit nicht; ergänzende Maßnahmen unzureichend
Transfer Impact Assessment TIAs können wirksame technische Schutzmaßnahmen gegen US-Überwachung dokumentieren TIAs müssen nicht abgedeckte Risiken durch Anbieterzugriff auf Schlüssel und US-Überwachungsgesetze identifizieren
Schutz der UK-EU-Datenströme Architektur schützt EU-Personenbezogene Daten vor US-Überwachung und unterstützt den Erhalt der UK-Angemessenheit Architektur ermöglicht US-Überwachung von EU-Daten über britische Systeme und gefährdet die Angemessenheit
Non-Disclosure Orders Nicht anwendbar; Anbieter hat keine Zugriffsmöglichkeit, die Behörden erzwingen könnten Unterliegt National Security Letters und FISA-Verschwiegenheitsklauseln, die Kundenbenachrichtigung verhindern
Rechtsschutz Rechte von EU-Datensubjekten werden nicht durch US-Überwachungsgesetze kompromittiert, da Kiteworks diesen nicht unterliegt EU-Datensubjekte haben keinen effektiven Rechtsschutz gegen FISA 702-Überwachung – das zentrale Schrems II-Problem
Weiterübermittlungsbelastung Britische Organisationen, die EU-Daten erhalten, können ausreichende Schutzmaßnahmen für Weiterübermittlungen implementieren Britische Organisationen schaffen Weiterübermittlungsprobleme für EU-Datenquellen, wenn sie unzureichende US-Cloud-Architektur nutzen

Fazit: Die technische Architektur bestimmt die Schrems II-Compliance

Schrems II hat die internationale Datenübermittlungs-Compliance grundlegend verändert, indem vertragliche Schutzmaßnahmen allein als unzureichend gegen staatliche Überwachung im Zielland eingestuft wurden. Für britische Organisationen, die Datenströme zwischen Großbritannien und der EU unter Nutzung von US-Cloud-Anbietern verwalten, schafft das Urteil rechtliche, operative und strategische Anforderungen, die sich nicht allein durch vertragliche Formulierungen erfüllen lassen.

Der Europäische Gerichtshof hat nicht entschieden, dass Übermittlungen in die USA unmöglich sind – er hat entschieden, dass solche Übermittlungen ergänzende Maßnahmen erfordern, die Daten für US-Behörden unverständlich machen. Diese technische Anforderung kann nicht durch vertragliche Zusagen, Compliance-Zertifikate oder organisatorische Maßnahmen erfüllt werden, die durch Überwachungsgesetze ausgehebelt werden können. Sie erfordert eine kryptografische Architektur, bei der Cloud-Anbieter niemals die Verschlüsselungsschlüssel besitzen, die zur Entschlüsselung der Daten notwendig wären – selbst unter rechtlichem Zwang.

Die UK-Angemessenheit der Europäischen Kommission bietet effiziente Mechanismen für UK-EU-Datenströme, doch dieser privilegierte Status ist gefährdet, wenn britische Organisationen US-Überwachung von EU-Personenbezogenen Daten durch unzureichende Cloud-Architektur ermöglichen. Datenschutzaktivisten haben das EU-US Privacy Shield mit Schrems II-Argumentation erfolgreich angefochten; sie könnten dieselben Argumente gegen die UK-Angemessenheit vorbringen, wenn britische Unternehmen technische Architekturen einführen, die genau die Überwachung ermöglichen, die Schrems II als grundrechtswidrig eingestuft hat.

Für britische Organisationen führt der Weg zu Schrems II-Compliance über technische Architektur statt vertraglichen Optimismus. Kundengemanagte Verschlüsselungsschlüssel ohne Anbieterzugriff erfüllen die EDPB-Anforderungen an ergänzende Maßnahmen, indem sie mathematische Garantien schaffen, die auch staatlichen Zwang überdauern. Souveräne Bereitstellungsoptionen, die EU-Personenbezogene Daten auf britischer Infrastruktur halten, beseitigen Weiterübermittlungsprobleme vollständig. Diese architektonischen Ansätze erfüllen nicht nur Compliance-Anforderungen – sie erhalten das Angemessenheitsregime, das effizienten UK-EU-Datenaustausch ermöglicht und allen britischen Unternehmen mit Europageschäft zugutekommt.

Schrems II-Compliance wird nicht durch Dokumentation erreicht – sie wird durch Architektur geschaffen. Britische Organisationen, die diesen Unterschied erkennen, können Cloud-Infrastrukturen aufbauen, die EU-Personenbezogene Daten tatsächlich schützen und gleichzeitig operative Effizienz gewährleisten. Wer sich auf vertragliche Zusagen von US-Anbietern mit Schlüsselzugriff verlässt, schafft Risiken für sich selbst, seine EU-Partner und letztlich für die UK-Angemessenheit insgesamt.

Wie Kiteworks Schrems II-Compliance für britische Organisationen ermöglicht

Kiteworks erfüllt die Schrems II-Anforderungen an ergänzende Maßnahmen durch eine Architektur, die die EDPB-Empfehlungen 01/2020 umsetzt. Kundeneigene Verschlüsselungsschlüssel ohne Anbieterzugriff stellen sicher, dass Daten auch bei FISA 702-Herausgabeverlangen für US-Behörden unverständlich bleiben. FIPS 140-3 Level 1-validierte Verschlüsselungsalgorithmen in Kombination mit S/MIME, OpenPGP und TLS 1.3 schützen Daten über den gesamten Lebenszyklus, während die kryptografische Schlüsselkontrolle staatlichen Zugriff mathematisch unmöglich macht – unabhängig von rechtlichen Anforderungen.

Flexible, sichere Bereitstellungsoptionen – On-Premises, britische souveräne Cloud oder Air-Gap-Umgebungen – eliminieren das US-Jurisdiktionsrisiko vollständig. Wird Kiteworks außerhalb der US-Infrastruktur betrieben, kann es nicht durch FISA 702, National Security Letters oder andere extraterritoriale Überwachungsbefugnisse gezwungen werden. Granulares Geofencing erzwingt Zugriffsbeschränkungen und verhindert Authentifizierung von US-IP-Adressen, während Jurisdiktionskontrollen sicherstellen, dass nur autorisierte britische oder EU-Mitarbeiter Zugriff auf EU-Personenbezogene Daten erhalten.

Das einheitliche Private Data Network von Kiteworks erweitert die Schrems II-Compliance auf alle Kommunikationskanäle für Inhalte: sichere E-Mail, sicheres Filesharing, Managed File Transfer, sichere Web-Formulare, SFTP und mehr. Umfassende Prüfprotokolle dokumentieren alle Datenzugriffe, unterstützen Transfer Impact Assessments und belegen die Wirksamkeit ergänzender Maßnahmen. Die Integration mit SIEM-Lösungen ermöglicht ein Echtzeit-Monitoring der Verarbeitung von EU-Personenbezogenen Daten.

Kiteworks ermöglicht britischen Organisationen, sowohl die Anforderungen der Standardvertragsklauseln als auch die technischen ergänzenden Maßnahmen des EDPB zu erfüllen, schützt UK-EU-Datenströme und unterstützt den Erhalt der UK-Angemessenheit durch nachweisbare technische Schutzmaßnahmen gegen US-Überwachung von EU-Personenbezogenen Daten.

Erfahren Sie mehr über den Schutz von EU-Personenbezogenen Daten in Übereinstimmung mit der DSGVO und anderen gesetzlichen Compliance-Anforderungen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Schrems II hat am 16. Juli 2020 das EU-US Privacy Shield für ungültig erklärt, weil der Europäische Gerichtshof festgestellt hat, dass US-Überwachungsgesetze – insbesondere FISA 702 und Executive Order 12333 – staatlichen Zugriff auf EU-Personenbezogene Daten ohne ausreichende Schutzmaßnahmen für die Grundrechte der Betroffenen ermöglichen. Das Urteil ist für britische Organisationen relevant, da sie bei der Übermittlung von EU-Personenbezogenen Daten an US-Cloud-Anbieter denselben Compliance-Anforderungen unterliegen. Standardvertragsklauseln (SCCs) bleiben zwar gültig, erfordern aber ergänzende technische Maßnahmen, die Daten für US-Behörden unverständlich machen. Die meisten britischen Organisationen, die US-Cloud-Anbieter mit Schlüsselzugriff nutzen, erfüllen diese Anforderung nicht – das schafft rechtliche Risiken und gefährdet die Legitimität des UK-EU-Datenaustauschs.

Standardvertragsklauseln (SCCs) sind bilaterale Verträge zwischen Datenexporteuren und -importeuren mit spezifischen Datenschutzverpflichtungen, während das EU-US Privacy Shield ein Rahmen-Angemessenheitsbeschluss war, der uneingeschränkte Übermittlungen an zertifizierte US-Organisationen ermöglichte. Schrems II hat SCCs als gültige rechtliche Mechanismen bestätigt, aber klargestellt, dass vertragliche Schutzmaßnahmen allein nicht ausreichen, wenn Ziellandgesetze staatliche Überwachung ermöglichen, die mit EU-Grundrechten unvereinbar ist. US-Sicherheitsgesetze setzen vertragliche Zusagen außer Kraft, sodass SCC-Bestimmungen zu Benachrichtigung und Rechtsbehelf praktisch nicht durchsetzbar sind. Ergänzende technische Maßnahmen – insbesondere Verschlüsselung mit kundengemanagten Schlüsseln ohne Anbieterzugriff – werden verpflichtend, um Daten für Behörden unverständlich zu machen, deren Herausgabeverlangen vertragliche Klauseln nicht verhindern können.

Die EDPB-Empfehlungen 01/2020 geben detaillierte Hinweise zu ergänzenden Maßnahmen für internationale Datenübermittlungen, bei denen Standardvertragsklauseln (SCCs) allein keinen ausreichenden Schutz bieten. Die Empfehlungen legen fest, dass technische Maßnahmen Daten für jeden, der keine Zugriffsberechtigung hat – einschließlich Behörden im Zielland – „unverständlich“ machen müssen. Für Übermittlungen in die USA mit Cloud-Anbietern verlangt der EDPB Verschlüsselung, bei der Datenexporteure die Schlüssel kontrollieren und Importeure keinen Zugriff auf Klartextdaten haben. Anbieter-gemanagte Verschlüsselung, bei der Cloud-Anbieter Zugriff auf die Schlüssel behalten, erfüllt diese Anforderung nicht, da US-Behörden Anbieter zur Entschlüsselung zwingen können. Die Empfehlungen sind verbindliche Leitlinien der EU-Datenschutzbehörden, was Schrems II-Compliance in der Praxis tatsächlich erfordert.

TIA-Prozess: Transfer Impact Assessments müssen die praktische Wirksamkeit der Schutzmaßnahmen bewerten, nicht nur die vertragliche Formulierung. Zentrale Fragen: Hat Ihr Cloud-Anbieter Zugriff auf die Verschlüsselungsschlüssel? Können US-Behörden die Entschlüsselung erzwingen? Verhindern Verschwiegenheitsgesetze die Benachrichtigung der Kunden? Kundengemanagte Verschlüsselung adressiert diese Risiken; anbieter-gemanagte Schlüssel nicht.

Transfer Impact Assessments müssen die praktische Wirksamkeit der Schutzmaßnahmen bewerten, nicht nur deren theoretisches Design oder vertragliche Formulierungen. Britische Organisationen sollten prüfen, ob ihr Cloud-Anbieter Zugriff auf die Verschlüsselungsschlüssel hat, den US-Behörden zur Entschlüsselung zwingen könnten. TIAs sollten bewerten, ob vertragliche Zusagen tatsächlich eingehalten werden können, wenn US-Überwachungsgesetze vertragliche Verpflichtungen aushebeln. Die Assessments müssen berücksichtigen, ob Verschwiegenheitsklauseln in Sicherheitsgesetzen Anbieter daran hindern, Kunden über staatlichen Datenzugriff zu informieren. Schließlich sollten TIAs dokumentieren, welche ergänzenden technischen Maßnahmen identifizierte Risiken adressieren – kundengemanagte Verschlüsselung ohne Anbieterzugriff erfüllt die EDPB-Anforderungen, während organisatorische Maßnahmen wie Audit-Rechte oder Transparenzzusagen staatliche Zugriffsrechte nicht aushebeln können, die vertragliche Schutzmaßnahmen nicht verhindern können.

Ja – Angemessenheitsrisiko: Die UK-Angemessenheit könnte angefochten werden, wenn Datenschutzaktivisten nachweisen, dass britische Organisationen US-Überwachung von EU-Personenbezogenen Daten durch unzureichende Cloud-Architekturen ermöglichen. Die gleiche Schrems II-Argumentation, die das EU-US Privacy Shield zu Fall brachte, gilt, wenn britische Unternehmen US-Überwachung ermöglichen, die der Europäische Gerichtshof als grundrechtswidrig eingestuft hat.

Die UK-Angemessenheit ist potenziell angreifbar, wenn Datenschutzaktivisten nachweisen, dass EU-Personenbezogene Daten, die ins Vereinigte Königreich übermittelt werden, anschließend an US-Cloud-Anbieter weitergegeben werden, die Überwachung ermöglichen, die Schrems II als grundrechtswidrig eingestuft hat. Die Angemessenheitsentscheidung geht davon aus, dass UK-DSGVO und Data Protection Act 2018 im Wesentlichen gleichwertigen Schutz wie die EU-Standards bieten, aber eine breite Einführung von US-Cloud-Architekturen, die US-Überwachung ermöglichen, untergräbt diesen Schutz faktisch. Datenschutzaktivisten haben das EU-US Privacy Shield erfolgreich angefochten, indem sie unzureichende Schutzmaßnahmen gegen US-Überwachung nachgewiesen haben; sie könnten ähnliche Argumente gegen die UK-Angemessenheit vorbringen, wenn britische Organisationen genau die Überwachung ermöglichen, die Schrems II abgelehnt hat. Der Erhalt der UK-Angemessenheit erfordert den Nachweis, dass EU-Personenbezogene Daten tatsächlich vor US-Zugriff geschützt bleiben – die technischen Architekturentscheidungen britischer Unternehmen sind daher für den Erhalt der Angemessenheit kollektiv relevant.

Implementierungsschritte: 1) Prüfen Sie, ob Ihr Cloud-Anbieter Zugriff auf die Verschlüsselungsschlüssel hat. 2) Implementieren Sie kundengemanagte Verschlüsselung mit Schlüsseln außerhalb der Anbieterinfrastruktur. 3) Ziehen Sie eine souveräne Bereitstellung (On-Premises oder britische Private Cloud) für EU-Personenbezogene Daten in Betracht. 4) Dokumentieren Sie technische Maßnahmen in Transfer Impact Assessments. 5) Implementieren Sie Geofencing, das den Zugriff aus US-Jurisdiktionen auf EU-Daten verhindert.

Die Umsetzung wirksamer ergänzender Maßnahmen erfordert technische Architekturänderungen, nicht nur Verbesserungen der Dokumentation. Britische Organisationen sollten prüfen, ob ihre Cloud-Anbieter Zugriff auf die Verschlüsselungsschlüssel behalten und, falls ja, kundengemanagte Verschlüsselung implementieren, bei der Schlüssel vollständig außerhalb der Anbieterinfrastruktur generiert, gespeichert und verwaltet werden. Organisationen sollten souveräne Bereitstellungsoptionen – On-Premises oder britische Private Cloud – in Betracht ziehen, die das US-Jurisdiktionsrisiko für EU-Personenbezogene Daten vollständig eliminieren. Transfer Impact Assessments sollten die Wirksamkeit dieser technischen Schutzmaßnahmen dokumentieren, um Daten für US-Behörden unverständlich zu machen und die Anforderungen der EDPB-Empfehlungen 01/2020 zu erfüllen. Schließlich sollten Organisationen Geofencing und Zugriffskontrollen implementieren, die sicherstellen, dass EU-Personenbezogene Daten nicht aus US-Jurisdiktionen abgerufen werden können – das verhindert sowohl operativen Zugriff als auch staatliche Überwachung aus den USA. Diese technischen Maßnahmen bieten den ergänzenden Schutz, den Schrems II verlangt und den vertragliche Klauseln allein nicht gewährleisten können.

Weitere Ressourcen

 

  • Blogbeitrag  
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook  
    Datensouveränität und DSGVO
  • Blogbeitrag  
    Vermeiden Sie diese Fallstricke bei der Datensouveränität
  • Blogbeitrag  
    Datensouveränität Best Practices
  • Blogbeitrag  
    Datensouveränität und DSGVO [Verständnis von Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks