Immer mehr deutsche und europäische Unternehmen sowie staatliche Stellen vermeiden es daher, personenbezogene Daten und sicherheitsrelevante Informationen auf US-amerikanischen (Cloud-)Servern zu speichern, um sie vor dem Zugriff US-amerikanischer Sicherheitsbehörden zu schützen. Ob die Daten auf europäischen Servern US-amerikanischer Unternehmen jedoch sicher sind, ist mehr als fraglich. Dieser Beitrag stellt die Befugnisse der US-amerikanischen Sicherheitsbehörden zum Zugriff auf in den USA gespeicherte Daten unter dem US-amerikanischen Recht dar, bevor er die – überraschend große – Reichweite dieser Befugnisse auf in der EU gespeicherte Daten untersucht.
Zu Beginn des Diskurses steht die Frage, welche Vereinigten Staaten überhaupt von den Datenschutzstandards in der EU betroffen sind und welche Rechtsrahmen den Zugriff auf personenbezogene Daten regeln. Nach dem Schrems-II-Urteil des EuGH wurden die US-Überwachungsbefugnisse als geeignetes Datenschutzniveau für den transatlantischen Datenverkehr infrage gestellt, insbesondere weil US-Behörden auf umfassende Datenbestände zugreifen können, oft ohne ausreichende rechtsstaatliche Beschränkungen. Mit dem Data Privacy Framework und dem darauf basierenden Angemessenheitsbeschluss der EU-Kommission 2023 wurde zwar eine rechtliche Brücke geschaffen, die den transatlantischen Datentransfer in vielen Fällen erleichtert. Dennoch bleiben die strukturellen Merkmale der US-Überwachungsgesetze bestehen, sodass das zentrale Spannungsfeld fortbesteht: Einerseits die Notwendigkeit wirtschaftlicher Globalisierung und sichere Datenströme, andererseits der Schutz der Grundrechte auf Privatsphäre und Datenschutz.
Die Befugnisse der US-amerikanischen Sicherheitsbehörden erstrecken sich über verschiedene Rechtsgrundlagen und Behördenstrukturen. Unter US-amerikanischem Recht ermöglichen Regelwerke wie der Foreign Intelligence Surveillance Act (FISA), der USA PATRIOT Act sowie weitere weniger publizierte Rechtsnormen den Geheimdiensten den Zugriff auf Kommunikationsinhalte, Metadaten und andere Arten von Daten, sofern bestimmte Voraussetzungen erfüllt sind. Die Praxis umfasst unter anderem heftige Debatten über Massendatenüberwachung, Zweckbindung, Verhältnismäßigkeit und Rechtsmittel. Kritiker weisen immer wieder darauf hin, dass die Grenzen zwischen nationaler Sicherheit, Strafverfolgung und wirtschaftlicher Nutzung von Daten fließend sein können und dass Sicherheitsbedenken oft Vorrang vor individuellen Rechten erhalten.
Auf EU-Ebene verfolgten die Kommission und nationale Aufsichtsbehörden mit der Einführung des EU-US Data Privacy Framework (DPF) einen neuen Mechanismus, um den Datentransfer in die USA zu legitimieren. Der 2023er Angemessenheitsbeschluss soll mehr Rechtssicherheit und klare Schutzmaßnahmen bieten, darunter zusätzliche Rechtsmittel, Transparenzpflichten und strengere Prüfmechanismen für US-Dienstleister.