(Teil 5 der Reihe „Digitale Souveränität – kein Buzzword-Thema”)
Eine kurze Erinnerung: Woher wir kommen
Wir schreiben jetzt schon eine Weile über digitale Souveränität. Angefangen mit unserem eigenen Ausstieg aus Microsoft 365, unsere Beweggründe, Gedanken in der Planungsphase und unsere Vorgehensweise zur Migration. Dann neue Kratzer im Lack der heilen US-Dienstleister-Welt mit Microsoft unter Eid – mit dem schönen Ergebnis, dass ein Microsoft-Vertreter vor dem französischen Senat freimütig einräumte, den Schutz europäischer Daten vor US-Behördenzugriffen nicht garantieren zu können. Ein weiteres Highlight, das nicht unerwähnt bleiben konnte: Die Herausgabe von BitLocker-Keys an das FBI. Und zuletzt Bayerns Finanzminister Füracker, der mit seinem virtuellen DeLorean DMC-12 Microsoft kurzerhand in die 1960er-Jahre teleportierte und dabei den geplanten, milliardenschweren Bayern-Microsoft-Rahmenvertrag verteidigte – entgegen dem, was das BayDiG (Bayerische Digitalgesetz) eigentlich verlangt.
Man könnte meinen, irgendwann gehen uns die Geschichten aus. Pustekuchen.
Der US-Kongress interessiert sich für Brüsseler E‑Mails
Wer die letzten Monate aufmerksam verfolgt hat, dem ist folgende Entwicklung nicht entgangen: Der von Republikanern geführte House Judiciary Committee in Washington – maßgeblich angetrieben von Jim Jordan – hat US-Plattformen wie Meta, Google und Co. mit Herausgabeverlangen überzogen. Was die Abgeordneten interessierte: die interne Kommunikation zwischen diesen Firmen und EU-Regulierern rund um die Durchsetzung von DSA und DMA.
Die Plattformen haben – größtenteils widerstandslos – geliefert. Massenweise E‑Mails, Screenshots, interne Notizen. Und damit landeten plötzlich Namen und Kommunikationsinhalte von EU-Kommissionsmitarbeitenden in einem 160-seitigen US-Kongressbericht. Der Bericht identifiziert und markiert – wie netzpolitik.org dokumentiert – „eine ganze Reihe von Kommissionsmitarbeitenden”, die an DSA-Workshops teilnahmen oder anderweitig an der Durchsetzung beteiligt waren. Mit Namen. In einem offiziellen US-Kongressdokument.
Willkommen im Jahr 2026.
Die EU-Kommission und die DSGVO: Ein Déjà-vu
Die Reaktion der EU-Kommission war zweistufig. Erstens das Offensichtliche: eine Erinnerung an US-Technologieunternehmen, dass die personenbezogenen Daten ihrer in Europa tätigen Mitarbeitenden unter europäisches Datenschutzrecht fallen. Also unter genau jene DSGVO, die diese Firmen schon so lange kennen und einhalten sollten. Nicht weitergeben ohne Rechtsgrundlage. Nicht einfach auf Zuruf eines Kongressausschusses herausgeben.
Klingt selbstverständlich. Ist es auch. War offenbar trotzdem nötig, es noch einmal zu sagen.
Der Europäische Datenschutzausschuss (EDPB) hat in seiner aktualisierten Guidance von Januar 2026 noch einmal klargestellt, dass gerade die Übermittlung von Beschäftigtendaten an US-Unternehmen besondere Sorgfalt erfordert – und dass eine DPF-Zertifizierung (Data Privacy Framework) allein dafür nicht ausreicht. Auch das: eigentlich bekannt. Offenbar aber nicht überall angekommen.
Zweitens, und das ist das eigentlich bemerkenswerte Detail: Prabhat Agarwal, der Leiter des DSA-Durchsetzungsteams der Kommission, hat öffentlich bestätigt, dass sein Team inzwischen verschwindende Nachrichten auf Signal verwendet. Sein Team beschreibe die Arbeit, so Agarwal gegenüber Politico, als „more adversarial than before” – adversarialer, konfrontativer als bisher. Und handelt entsprechend.
Kurze Übersetzung: Die Behörde, die EU-Digitalrecht durchsetzen soll, vertraut für ihre eigene interne Kommunikation nicht mehr den Kanälen, über die sie bisher kommuniziert hat – weil Inhalte aus genau diesen Kanälen in Washington gelandet sind.
Das ist kein Vorwurf an die Kommission. Das ist eine nüchterne Risikoabwägung, wie wir sie unseren Kunden auch empfehlen. Aber es ist gleichzeitig ein Bild, das man sich merken sollte.
Wer hat die Daten rausgegeben – und welche eigentlich?
Das ist die Frage, die in der ganzen Debatte gerne unter den Tisch fällt. Nicht die EU-Kommission hat die Daten herausgegeben. Es waren die US-Plattformen selbst – Meta, Google und Co. –, die auf die Herausgabeverlangen des Kongresses reagiert haben.
Was genau? Keine öffentlichen Posts, keine Pressemitteilungen, keine Inhalte, die sowieso jeder lesen kann. Sondern das hier: private, dienstliche E‑Mails zwischen EU-Kommissionsmitarbeitenden und den Compliance-Teams der Plattformen. Bilateral geführte Fachdiskussionen. Koordinationsnachrichten aus geschlossenen Workshop-Formaten. Kurz: genau die Art von Kommunikation, die niemand als „öffentlich” verstanden hat – und die trotzdem bei einem US-Unternehmen als Gesprächspartner oder Infrastrukturbetreiber gespeichert war. Und damit in dessen US-Rechtssphäre lag.
Jetzt kurz innehalten und den eigenen Alltag betrachten:
Der Personalamtsleiter bespricht mit dem Bürgermeister per Teams-Chat den Stand eines laufenden Disziplinarverfahrens. Der Einkauf schickt die noch nicht freigegebenen Ausschreibungsunterlagen per Outlook an den externen Berater. Die Kämmerei teilt einen Haushaltsentwurf vor der öffentlichen Beratung über SharePoint. Der Geschäftsführer stimmt sich mit dem Prokuristen über eine strategische Weichenstellung per E‑Mail ab.
All das sind keine öffentlichen Inhalte. All das ist trotzdem bei Microsoft oder Google & Co gespeichert – Unternehmen, die US-amerikanischem Recht unterliegen. Und der CLOUD Act von 2018 verpflichtet US-Unternehmen zur Herausgabe von Daten auf behördliche Anfrage, unabhängig davon, ob die Daten physisch in Frankfurt, Dublin oder anderswo liegen.
Ob das im konkreten Fall tatsächlich passiert, ist eine andere Frage. Dass es passieren kann – und, wie der aktuelle Fall zeigt, auch passiert –, ist keine Theorie mehr. Es ist die derzeitige Lage.
Die EU-Kommission hat das verstanden. Deshalb schreibt ihr DSA-Durchsetzungsteam jetzt auf Signal.
Der Hausjurist schläft gut. Der ISB nicht. Und die Organisationsleitung? Die weiß von nichts.
Es gibt eine Reaktion auf solche Meldungen, die wir oft erleben: Der Auftragsverarbeitungsvertrag ist unterschrieben. Das Data Privacy Framework greift. Die Standardvertragsklauseln sind aktuell. Also: alles in Ordnung, weiter so.
Das mag formal stimmen. Ein sauberer AVV, ein (noch) gültiger Transfermechanismus wie das DPF, eine ordentliche DSFA – das stellt Aufsichtsbehörden ruhig und gibt dem Hausjuristen oder externen Kanzlei etwas in die Hand. Auf dem Papier ist das Schutzniveau nachgewiesen. Der Datenschutzbeauftragte gibt seinen Daumen hoch. Grünes Licht. Perfekt. Allet is jutti.
Und dann gibt es die IT, die sagt: „Hurra, ab in die MS 365 Cloud. Alles easy, alles super, alles toll. Die USA und Microsoft sind unsere Freunde.” Was sie damit meint: Es läuft, die Mitarbeitenden sind happy, der Helpdesk hat weniger zu tun – und der DSB hat auf dem Papier ja auch sein Okay gegeben. Kann man der IT kaum verübeln.
Der ISB schaut derweil auf etwas anderes. Er fragt nicht: „Sind die personenbezogenen Daten ausreichend geschützt?” Er fragt: „Welche schützenswerten Informationen liegen überhaupt in dieser Infrastruktur – und wer könnte theoretisch drauf zugreifen?”
Das greift sehr viel weiter als es der Datenschutz tut. Denn der aktuelle Fall betrifft nicht nur Beschäftigtendaten oder Kundendaten im DSGVO-Sinne. Er betrifft interne Strategiediskussionen. Vergabevorbereitungen. Haushaltsentwürfe vor der öffentlichen Beratung. Vertragsverhandlungen. Lageeinschätzungen. Interna, die keinen Personenbezug haben – und die trotzdem niemand gerne in einer US-Kongressakte wiederfindet.
Die DSGVO schützt personenbezogene Daten. Sie schützt nicht die Ausschreibungsunterlagen, die der Einkauf gerade per Teams-Chat mit dem externen Berater bespricht. Sie schützt nicht die strategische Planung, die der Vorstand letzte Woche per SharePoint geteilt hat. Sie schützt nicht das, was intern per Outlook / Exchange 365 über eine laufende Vergabe kommuniziert wird.
Und hier liegt das eigentlich unbequeme Schweigen in diesem Raum: Der ISB trägt die Unruhe – aber er trägt sie stellvertretend. Denn die eigentliche Verantwortung für die Informationssicherheit einer Organisation liegt nicht beim ISB. Sie liegt beim Bürgermeister, beim Landrat, beim Geschäftsführer, beim Inhaber. Die unterschreiben am Ende. Die haften. Die verantworten.
Nur: Die schlafen gerade gut. Weil der Datenschutz Daumen hoch gemacht hat. Weil die IT sagt, alles läuft. Weil schlimmstenfalls niemand ihnen erklärt hat, dass formaljuristische Absicherung und echte Informationssicherheit zwei verschiedene Paar Schuhe sind – und dass die Meldung aus Brüssel dieser Tage eigentlich eine Meldung an sie ist, nicht an ihre Datenschutzbeauftragten oder Informationssicherheitsbeauftragten.
Wir wollen hier niemandem den Zeigefinger heben. Wir wollen Gedanken anstoßen, die in dieser Diskussion gerne untergehen – oder, schlimmer noch, bewusst unterschlagen werden. Weil sie unbequem sind. Weil sie Entscheidungen in Frage stellen, die längst getroffen wurden. Weil das Upgrade auf Teams vor drei Jahren einfach so viel reibungsloser war als jede (wirklich geprüfte?) Alternative.
Der ISB schwitzt. Und braucht langsam ein Saunatuch.
Formaljuristische Absicherung und echte Informationssicherheit sind zwei verschiedene Dinge. Das eine beruhigt den Anwalt und den DSB. Das andere beruhigt den ISB. Und im Moment hat der ISB gute Gründe, unruhig zu sein bzw. sich ein Saunatuch zu holen. Insider wissen es eh: “Hab immer ein Handtuch dabei!”
Das Muster ist bekannt. Die Reaktion leider auch.
Was uns an dieser Geschichte so beschäftigt: Sie überrascht uns nicht. Dass die rechtskonforme Nutzung US-amerikanischer Cloud-Dienste nie auf wirklich sicherem Fundament stand, ist kein neuer Befund. Der CLOUD Act existiert seit 2018. FISA Section 702 ist meist auch bekannt. Dass US-Behörden und US-Gerichte auf Daten zugreifen können, die bei US-Unternehmen liegen – egal wo auf der Welt –, steht seit Jahren in jedem ernsthaften Transfer Impact Assessment.
Es ist dabei eine kleine Ironie der Datenschutzgeschichte, dass die Abkommen, die den transatlantischen Datentransfer jeweils „endgültig” auf rechtssichere Beine stellen sollten, inzwischen nach Gerichtsurteilen durchnummeriert werden – und zwar nach dem Mann, der sie zu Fall gebracht hat. Safe Harbour fiel durch Schrems I. Privacy Shield fiel durch Schrems II. Das aktuelle Data Privacy Framework wartet noch auf seine Nummer. Ob und wann sie kommt, weiß niemand – aber die politische Großwetterlage zwischen Washington und Brüssel macht die Frage nicht gerade akademischer.
Und doch schließt Bayern gerade einen neuen Microsoft-Rahmenvertrag, der die Abhängigkeit für die nächsten Jahre zementiert. Entgegen dem BayDiG. Verteidigt mit Fakten, die nicht stimmen. Wir hatten darüber geschrieben.
Jetzt also der nächste Akt: Die EU-Kommission erinnert US-Firmen daran, dass die DSGVO gilt – und schreibt intern auf Signal.
Man muss das irgendwie lustig finden. Oder zum Weinen. Beides ist legitim.
Microsoft Teams, Outlook, SharePoint und viele weitere Dienstleister und Services: Was Sie jetzt konkret prüfen sollten
Risikoanalyse. Ehrliche Bestandsaufnahme. Fragen stellen, die unbequem sind:
- Über welche Dienste läuft die sensible Kommunikation Ihrer Organisation – auch jene ohne Personenbezug?
- Wer ist technisch in der Lage, diese Inhalte herauszugeben – und unter welchen Bedingungen wäre er dazu verpflichtet?
- Weiß die Organisationsleitung, was der ISB weiß? Oder schläft sie gut, weil der Datenschutz grünes Licht gegeben hat?
- Gibt es für kritische Kommunikationswege Alternativen, die nicht in einer US-Rechtssphäre liegen?
Vielleicht stellt sich heraus, dass die Abhängigkeiten, in denen Ihre Organisation steckt, wirklich alternativlos sind. Vielleicht stellt sich aber auch heraus, dass sie es nur geworden sind, weil man nie ernsthaft nachgeschaut hat.
Die EU-Kommission schreibt jetzt auf Signal. Vielleicht ist das der Moment, in dem auch anderswo jemand anfängt, Fragen zu stellen – am besten bevor es einen Grund gibt, das bereut zu haben.
Souveränität beginnt im Kopf – und in der Schulung
Der Fall aus Brüssel zeigt: Wer die Risiken nicht kennt, kann sie nicht managen. Damit Ihre Belegschaft und die Leitungsebene nicht erst durch Schlagzeilen aufgeschreckt werden, haben wir in der a.s.k. Akademie spezifische Module entwickelt.
Ob Grundschulungen zum Datenschutz, Informationssicherheit für Mitarbeiter und Führungskräfte oder ganz aktuell unsere KI-Grundlagenschulung nach Art. 4 AI Act – wir bereiten die komplexen Themen u.a. auch der digitalen Souveränität so auf, dass sie in der Praxis ankommen.
Der Knaller: Unser Gesamtpaket gibt es zum jährlichen Festpreis – inklusive aller neuen Inhalte, die wir laufend ergänzen.
Individuell: Auf Wunsch passen wir die Inhalte exakt auf Ihre internen Richtlinien an.
Schauen Sie sich unser Angebot auf ask-akademie.de an und machen Sie Ihr Team fit für die digitale Welt von morgen.
Hahn IT Services, Schwaig
No responses yet