Seit gestern Abend geht eine Meldung durch die IT- und Datenschutz-Community, die auf den ersten Blick wie ein rein amerikanisches Verfassungsthema klingt, auf den zweiten Blick aber unmittelbare Relevanz für jeden hat, der in Deutschland oder Europa mit Microsoft 365, Azure oder anderen US-Cloud-Diensten arbeitet.
Wir möchten die Situation für Sie einordnen, transparent kommunizieren, was das für Sie bedeutet und vor allem: Ruhe bewahren.
Der Oberste Gerichtshof der USA (Supreme Court) hat in der Rechtssache Trump v. Slaughter (Az. 25-332) entschieden, dass die bisherige gesetzlich verankerte Unabhängigkeit der Federal Trade Commission (FTC) verfassungswidrig ist. Hintergrund ist die sogenannte „Unitary Executive Theory“, der zufolge der US-Präsident die uneingeschränkte Kontrolle über alle Bundesbehörden haben muss. Auslöser war die Entlassung zweier demokratischer FTC-Kommissare durch Präsident Trump zu Beginn seiner zweiten Amtszeit, ohne die gesetzlich vorgeschriebenen Gründe.
Was das für den Datenschutz bedeutet: Die FTC war das zentrale Rückgrat des EU-US Data Privacy Frameworks (DPF), des seit 2023 gültigen Abkommens, das den transatlantischen Datentransfer rechtlich absichert. Die EU-Kommission verweist in ihrem Angemessenheitsbeschluss gleich 259-mal auf die FTC als unabhängige Kontrollinstanz. Fällt diese Unabhängigkeit weg, fällt auch die argumentative Grundlage des Abkommens.
Noch in der Nacht hat Max Schrems, Gründer der Datenschutzorganisation NOYB und bekannt als „Schrems I“ und „Schrems II“ vor dem EuGH, ein formelles Schreiben an die EU-Kommission geschickt und diese aufgefordert, den Angemessenheitsbeschluss geordnet aufzuheben.
Zunächst die beruhigende Nachricht: Es passiert heute nichts automatisch. Das EU-US Data Privacy Framework ist formal weiterhin in Kraft. Solange die EU-Kommission es nicht selbst widerruft oder der EuGH es für nichtig erklärt, drohen Unternehmen keine sofortigen Bußgelder oder Strafen.
Die DSGVO betrifft ausschließlich personenbezogene Daten. Nicht-personenbezogene oder rein geschäftliche Daten dürfen weiterhin uneingeschränkt fließen. Auch unvermeidbare Datenübermittlungen, z. B. für Buchungen oder internationale Kommunikation, bleiben über Ausnahmeregeln (Art. 49 DSGVO) legal.
Was uns aber beschäftigt: Auch Unternehmen, die auf Standardvertragsklauseln (SCCs) oder verbindliche Unternehmensregeln (BCRs) statt auf das DPF gesetzt haben, stehen vor einer Neubewertung. Denn auch in diesen Instrumenten wird regelmäßig auf US-Kontrollinstanzen verwiesen, darunter der „Data Protection Review Court“, der seinerseits auf einer präsidialen Exekutivverordnung basiert und nach der Logik des Supreme-Court-Urteils ebenfalls angreifbar wäre.
Die EU-Kommission wird sich mit einer formellen Reaktion voraussichtlich eher Zeit lassen. Ein geordneter, schneller Rückzug aus dem Abkommen ist politisch und wirtschaftlich kaum vorstellbar.
NOYB und Max Schrems werden erwartungsgemäß in absehbarer Zeit eine Klage vor dem Europäischen Gerichtshof (EuGH) einreichen. Das letzte Verfahren dieser Art (Schrems II, 2015–2020) dauerte knapp fünf Jahre bis zum Urteil. Auch diesmal ist realistisch mit einem mehrjährigen Prozess zu rechnen, also einer Phase der Rechtsunsicherheit bis voraussichtlich 2030.
Was das bedeutet: Es ist kein Sprint, sondern ein Marathon. Entscheidungen sollten überlegt und nicht in Panik getroffen werden
Unabhängig davon, wie sich die Rechtslage in den kommenden Monaten und Jahren entwickelt, eines ist klar: Unternehmen, die Microsoft 365 einsetzen, sollten die aktuelle Situation zum Anlass nehmen, ihre eigene Handlungsfähigkeit zu überprüfen. Nicht in Panik, aber mit dem nötigen Ernst.
Aus unserer Sicht als IT-Dienstleister im Microsoft-Umfeld gibt es drei Parameter, die dabei entscheidend sind:
Wer die Schlüssel zu seinen Daten nicht selbst hält, verlässt sich darauf, dass andere sie schützen. Mit dem Customer Key in Microsoft 365 behalten Unternehmen die Hoheit über ihre eigenen Verschlüsselungsschlüssel. Microsoft selbst hat damit keinen Zugriff auf die Daten, unabhängig von behördlichem Druck oder rechtlichen Entwicklungen auf US-Ebene. Das ist eine der wirksamsten technischen Maßnahmen, um Datensouveränität aktiv zu gestalten.
Auch beim Support durch Microsoft-Mitarbeiter sollten Unternehmen Kontrolle behalten. Die Customer Lockbox stellt sicher, dass jeder Zugriff auf Ihre Daten durch Microsoft-Personal explizit von Ihnen genehmigt werden muss. Kein stiller Zugriff, keine Hintertür, sondern vollständige Nachvollziehbarkeit für Audits und Compliance-Anforderungen.
Digitale Souveränität endet nicht bei der Verschlüsselung, sie schließt die Frage ein, ob ein Unternehmen im Ernstfall auch wechseln oder die eigene Infrastruktur zurückgewinnen könnte. Daten müssen exportierbar sein, Prozesse dokumentiert, Abhängigkeiten bekannt. Das ist keine theoretische Notfallplanung, sondern eine Anforderung, die Aufsichtsbehörden und Auditoren zunehmend aktiv einfordern. Wer hier keine Antwort hat, riskiert nicht nur regulatorischen Gegenwind, er verliert schlicht Handlungsspielraum.
Diese drei Bausteine bilden aus unserer Sicht das Fundament einer resilienten Microsoft-365-Strategie. Sie sind keine Sonderlösungen für Hochsicherheitsumgebungen, sondern sinnvolle Standards für jedes Unternehmen, das personenbezogene Daten in der Cloud verarbeitet und dabei langfristig rechtssicher aufgestellt sein möchte.
Möchten Sie wissen, wie es bei Ihnen aktuell aussieht? Wir stehen für eine unverbindliche Bestandsaufnahme zur Verfügung. Nehmen Sie gerne direkt Kontakt auf.
Nicht in Panik verfallen. Die rechtliche Lage ist komplex, aber nicht akut bedrohlich für Ihren laufenden Betrieb.
Wir empfehlen für die nächsten Wochen:
Fazit
Rechtsunsicherheit ist kein Stillstand
Die Lage ist ernst zu nehmen, aber sie ist beherrschbar. Wer jetzt die richtigen Maßnahmen ergreift, hält die Kontrolle in den eigenen Händen: über seine Schlüssel, seine Daten und seine Handlungsfähigkeit.
Wir werden die Entwicklungen rund um NOYB, EU-Kommission und EuGH weiterhin eng verfolgen und Sie zeitnah informieren, sobald sich die Lage konkretisiert.
Bei Fragen stehen wir Ihnen jederzeit zur Verfügung.
Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an
Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.