[datensicherheit.de, 13.04.2026] Die rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA steht 2026 offensichtlich vor einer Belastungsprobe: „Transatlantische Datenströme werden zunehmend zum Bestandteil internationaler Handelskonflikte“, so Ari Albertini, CEO von FTAPI, in seiner aktuellen Stellungnahme. Für Unternehmen in Deutschland wachse damit die Rechtsunsicherheit, da die Stabilität aktueller Abkommen zur Datenübermittlung massiv von politischen Weichenstellungen in Washington D.C. abhänge. „Damit entwickelt sich die Frage der Digitalen Souveränität – also der Fähigkeit, selbstbestimmt über die eigenen Daten zu verfügen, – von einer juristischen Pflichtaufgabe zu einer Kernfrage der strategischen Risikovorsorge!“, betont Albertini.

Foto: FTAPI

Ari Albertini: Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt

Rechtsunsicherheit beim Datenschutz als Standortrisiko

Zwar sollten internationale Abkommen den Datenfluss regeln, doch bleibt der Grundkonflikt zwischen europäischem Datenschutz gemäß DSGVO und US-Gesetzen wie dem „US CLOUD Act“ bisher ungelöst – letzterer erlaubt nämlich US-Behörden den Zugriff auf Daten selbst dann, wenn diese physisch auf Servern innerhalb Europas gespeichert sind. Für deutsche Unternehmen entsteht dadurch laut Albertini eine doppelte Belastung:

1. Regulatorisches Risiko
   Sollten Abkommen fallen, droht ein Rechtsvakuum. Ohne souveräne Alternativen drohten dann langwierige Verfahren und Sanktionen von bis zu vier Prozent des weltweiten Jahresumsatzes.
2. Operative Abhängigkeit
   Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in diesem Zusammenhang vor einer schleichenden „Cyber Dominance“. Dieser Begriff beschreibt die Macht von Software-Herstellern, durch die Kontrolle über proprietäre Systeme dauerhaft Einfluss auf die Infrastruktur ihrer Kunden auszuüben.

In einer vernetzten Wirtschaft werde diese Abhängigkeit zum „Single Point of Failure“: Ein plötzlicher Stopp oder eine Einschränkung essenzieller „Cloud“-Dienste aus politischen Gründen könnte kritische Geschäftsprozesse binnen kürzester Zeit lähmen und die Wettbewerbsfähigkeit des gesamten Standorts gefährden.

FTAPI-Checkliste: In drei Schritten zur Datenhoheit

Um die Handlungsfähigkeit unabhängig von geopolitischen Entwicklungen zu wahren, empfiehlt FTAPI folgendes Vorgehen:

Schritt 1: Bestandsaufnahme und Abhängigkeiten prüfen!

Unternehmen müssten ihre Software-Landschaft analysieren:

• „Wo werden geschäftskritische US-Lösungen genutzt, die einen schnellen Wechsel verhindern (,Vendor-Lock-in’)?“

• Der „EU Data Act“ biete hierzu den rechtlichen Hebel, um die Übertragbarkeit von Daten gegenüber Providern einzufordern und technische Wechselhürden abzubauen.

Schritt 2: Risikobasierte Maßnahmen ableiten!

Migration: Für sensible Bereiche wie Personalwesen oder Forschung wird der Wechsel zu europäischen Anbietern mit Gerichtsstand in der EU empfohlen.

• Vertragliche Leitplanken: Wo US-Anbieter alternativlos sind, sollte auf die Fixierung der „EU Data Residency“ (Speicherung in der EU) bestanden werden. Dies biete zwar keinen Schutz vor dem „CLOUD Act“, erschwere aber den unbefugten Zugriff auf administrativer Ebene.
• Exit-Strategien: Für den Ernstfall müssten Notfallpläne existieren, um Daten zeitnah in souveräne „Cloud“-Umgebungen umzuziehen.

Schritt 3: Technologische Schutzschirme implementieren!

Echte Unabhängigkeit entsteht erst durch Technik, nicht durch Verträge:

• Zero-Knowledge-Prinzip: Der Einsatz von Verschlüsselung, bei welcher der Anbieter technisch keinen Zugriff auf die Schlüssel hat, stelle sicher, dass Daten selbst bei einer Herausgabepflicht im Drittstaat unlesbar blieben.
• Standards nutzen: Die Bevorzugung von Software mit offenen Schnittstellen (APIs) verhindere die dauerhafte technologische Bindung an einen einzelnen Hersteller.
• Datensparsamkeit: Automatisierte Abläufe sollten so eingestellt sein, dass nur das für den Prozess absolut notwendige Minimum an Daten geteilt werde.

Souveränität als Wettbewerbsvorteil: Schutz der eigenen Daten und der operativen Handlungsfreiheit

„Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt!“, betont Albertini.

• Er führt weiter aus: „In der Praxis bedeutet das: Wir dürfen uns nicht allein auf politische Abkommen verlassen! Unternehmen müssen ihre Resilienz durch eine Kombination aus rechtlicher Absicherung und technischen Standards aktiv steuern.“
• Die aktuelle Debatte markiere das Ende der technologischen Naivität. Echte Souveränität lasse sich nicht allein durch Verträge herbeiführen, sondern müsse durch „strategisches Mapping“ und moderne Verschlüsselung aktiv hergestellt werden.

Albertinis Fazit: „Unternehmen, die diese Unabhängigkeit als Wettbewerbsvorteil begreifen, schützen nicht nur ihre Daten, sondern ihre gesamte operative Handlungsfreiheit in einem volatilen globalen Markt.“

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld / Michael Scheffler rät Unternehmen zur „Zero Trust“-Policy

datensicherheit.de, 12.07.2019
U.S. CLOUD Act: EDSA positioniert sich zu Auswirkungen / Stellv. BfDI, Jürgen H. Müller, berichtet von Ergebnissen der letzten Sitzung des Europäischen Datenschutzausschusses

[datensicherheit.de. 04.06.2021] Laut dem Branchenverband Bitkom hat die EU-Kommission am 4. Juni 2021 neue Standarddatenschutzklauseln vorgelegt, „die internationale Datentransfers rechtssicherer machen sollen“. Hintergrund sei das Urteil des Europäischen Gerichtshofs (EuGH) aus dem Sommer 2020, welches das „Privacy Shield“, das den Datenaustausch zwischen der EU und den USA geregelt habe, „für ungültig erklärt hat und mit dem zusätzliche Vorgaben für internationale Datentransfers aufgestellt wurden“. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, nimmt Stellung zu den neuen Standarddatenschutzklauseln:

Bitkom: Neue Klauseln lösen jedoch Problematik der Einzelfallprüfung nicht

„Die EU will mit den neuen Standarddatenschutzklauseln mehr Rechtssicherheit für Unternehmen mit einer Datenverarbeitung in den USA oder anderen Drittstaaten schaffen. Das ist ein richtiger Schritt“, betont Dehmel.
Für global tätige Unternehmen sei es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln könnten. Die neuen Klauseln lösten jedoch die Problematik der Einzelfallprüfung nicht.

Bitkom warnt vor Überforderung der Unternehmen

Dehmel gibt zu bedenken: „Zugleich stehen Unternehmen nun vor einen riesigen Umstellungsaufwand, ohne dass ihnen erspart wird, die Datenflüsse in die sogenannten Drittstaaten in jedem Einzelfall zu bewerten.“
Dazu kämen weiter Unklarheiten in den neuen Regelungen: „So sollen die Unternehmen zusätzliche Schutzmaßnahmen implementieren, um die Datenströme abzusichern – welche das genau sein sollen bleibt aber der internen Bewertung überlassen.“ Dies könnten viele Unternehmen kaum stemmen.

Bewertung des Datenschutzniveaus in anderen Ländern laut Bitkom hochkomplexe Aufgabe

Die Bewertung des Datenschutzniveaus in anderen Ländern sei eine hochkomplexe Aufgabe, die Umstellung von technischen Maßnahmen durch die heute vernetzt arbeitende Wirtschaft mit großem Aufwand verbunden. Dehmel fordert: „Wir brauchen politische Lösungen für den Drittstaatentransfer – nicht nur für den essenziellen Datenaustausch zwischen den USA und der EU.“
Für die Zukunft werde es entscheidend sein, dass mehr grundsätzliche sogenannte Adäquanzentscheidungen für wichtige Drittstaaten den Datenaustausch dauerhaft absicherten und die Unternehmen von der Einzelfallprüfung befreiten.

Bitkom-Klarstellung: Datenverarbeitung allein nur in Europa technisch und praktisch kaum umsetzbar

Die häufig genannte Forderung, Daten einfach ausschließlich in Europa zu verarbeiten, sei dabei keine Lösung. „Sie ist sowohl technisch als auch praktisch kaum umsetzbar“, so Dehmel. Vor allem für länderübergreifend oder global agierende Unternehmen und Organisationen mit Standorten in verschiedenen Regionen sei der Datenaustausch für die tägliche Arbeit essenziell.
„Europäische Unternehmen aus dem Gesundheitsbereich mit Forschungszentren in den USA oder Indien sind davon genauso betroffen wie IT-Unternehmen, die den 24h-Support global und damit über alle Zeitzonen absichern“, erläutert Dehmel.

Weitere Informationen zum Thema:

bitkom, Rebekka Weiß
Positionspapier / Verbändebrief zum Erhalt des internationalen Datentransfers nach Schrems II

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil / Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert / Umetikettierung des Vorgängerinstruments des Privacy Shield – Safe Harbor – mit nur marginalen Verbesserungen führte zu keinem Umdenken der Regierung der USA

[datensicherheit.de, 02.06.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) ein. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug dabei nur sehr schwer herstellen – aber die Augen zu verschließen sei keine Lösung.

HmbBfDI

Prof. Dr. Johannes Caspar: Schlüssel für Grundrecht Informationeller Selbstbestimmung in den Empfängerstaaten

Anforderungen laut EuGH-Entscheidung Schrems II vom 16. Juli 2020

Im Rahmen einer länderübergreifenden Kontrolle werden demnach Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel sei die breite Durchsetzung der Anforderungen des EuGH in seiner „Schrems II“-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).
Darin habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten. Der Einsatz der sogenannten Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten sei ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“.

Behörden müssen nach Schrems II unzulässige Transfers aussetzen oder verbieten

Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe. „Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an.“ Dabei werde es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.
Jede Aufsichtsbehörde entscheide individuell, in welchen dieser Themenfelder sie tätig wird. Der Gerichtshof habe seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“

Schrems II und Umsetzung des Grundsatzes der Digitalen Souveränität

Die Aufsichtsbehörden seien sich der „besonderen Herausforderungen, die das EuGH-Urteil zu ,Schrems II‘ für die Unternehmen in Deutschland und Europa mit sich bringt“, bewusst. Sie stehen laut HmbBfDI für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, „soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist“. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug hier nur sehr schwer herstellen. „Aber die Augen zu verschließen ist keine Lösung“, betont Prof. Dr. Johannes Caspar, der HmbBfDI.
Häufig werde ein grenzüberschreitender Datenverkehr bereits durch die Nutzung von handelsüblichen Diensten zur Bürokommunikation ausgelöst, ohne dass ein direkter internationaler Austausch der Daten im Geschäftsverkehr durch die jeweiligen Unternehmen überhaupt bezweckt werde. Gerade zur Bürokommunikation oder der Datenspeicherung könne gewöhnlich auf Dienste ohne unzulässige Drittstaatenübermittlung zurückgegriffen werden. Die Umsetzung des Grundsatzes der Digitalen Souveränität werde diese Möglichkeiten in Europa künftig weiter erleichtern.

Schrems II setzt für viele Unternehmen nicht selbst zu verantwortende Hürden

Die Fragebogenaktion solle nun insoweit vor allem dazu beitragen, den Unternehmen Lösungen mit angemessenem Datenschutzniveau zu unterbreiten. Das „Schrems II“-Urteil setze für viele Unternehmen Hürden, aus Gründen, für die sie letztlich nicht selbst verantwortlich seien. Es sei daher immer wieder daran zu erinnern, „dass der Schlüssel für das Grundrecht der Informationellen Selbstbestimmung in den Empfängerstaaten liegt“.
Gerade die Politik in den USA sollte laut HmbBfDI erkennen: „Geeignete Garantien gegenüber dem Zugriff der US-Sicherheitsbehörden zum Schutz der übermittelten Daten sowie ein wirksamer Rechtsschutz für Menschen aus der EU sind zentrale Voraussetzung für einen freien Datenverkehr. Eine Lösung liegt im beiderseitigen Interesse.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Koordinierte Prüfung internationaler Datentransfers

datensicherheit.de, 13.05.2021
Schrems II: Informationsoffensive in Rheinland-Pfalz / Wer bei Datenübermittlungen in Drittländer noch nicht auf Rechtslage nach dem Urteil Schrems II reagiert hat, sollte umgehend handeln

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 29.04.2019] Im konkreten Fall handelt es sich um eine Musterverwaltungsvereinbarung zwischen den EU Wertpapier- und Marktaufsichtsbehörden, vertreten durch die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und ihren internationalen Partnerbehörden, vertreten durch die Internationale Organisation der Wertpapieraufsichtsbehörden (IOSCO). Zuvor hatte bereits der Europäische Datenschutzausschuss eine positive Stellungnahme zur Verwaltungsvereinbarung abgegeben.

Die Vereinbarung ist Voraussetzung für den rechtmäßigen Datenaustausch mit Finanzaufsichtsbehörden in Drittstaaten. Sie sieht geeignete Datenschutzgarantien vor und enthält durchsetzbare und wirksame Rechte der betroffenen Personen. Die datenschutzkonforme Umsetzung der Vereinbarung unterliegt der fortlaufenden Kontrolle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Weitere Informationen zum Thema;

Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
BfDI genehmigt multilaterale Verwaltungsvereinbarung zum Datentransfer zwischen Finanzaufsichtsbehörden

datensicherheit.de, 22.02.2019
BfDI beantwortet Fragen der Bundestagsabgeordneten zum EU-US Privacy Shield

datensicherheit.de, 31.01.2019
BfDI: Festakt zum Amtswechsel in Bonn

datensicherheit.de, 23.01.2019
BfDI Ulrich Kelber zum EDSA-Auftakttreffen 2019

[datensicherheit.de, 03.11.2011] Cyber-Ark präsentiert eine neue Version seiner „Sensitive Information Management Suite“. Diese „All-in-One-Lösung“ für den sicheren und effizienten Datenaustausch über das Internet soll jetzt auch mobile Geräte wie Apples „iPad“ unterstützen.
Die zunehmende Verbreitung mobiler Geräte habe zu neuen Herausforderungen im Bereich Datensicherheit geführt. Immer mehr Unternehmen erlaubten ihren Mitarbeitern die Nutzung privater Geräte wie „iPads“ oder anderer mobiler Geräte für berufliche Zwecke. Die Gefahren des Datenverlusts oder -diebstahls seien dadurch dramatisch gestiegen. IT-Abteilungen beschäftigten sich heute deshalb zunehmend mit der Integration solcher Geräte in die unternehmenseigene IT-Security-Architektur.
Eine Lösung für den sicheren Datenaustausch bei der Nutzung mobiler Geräte wie des „iPad“ von Apple will Cyber-Ark ab sofort mit seiner neuen Version der „Sensitive Information Management Suite“ anbieten. Es handele sich bei dieser Lösungssuite um eine vollständig integrierte Software-Anwendung für den sicheren manuellen und automatischen Datenaustausch über das Internet. Die Lösung basiere auf der patentierten Sicherheitsplattform „Digital Vault“, einem virtuellen, digitalen „Datentresor“, der als zentrale Datendrehscheibe für die einfache, effiziente und sichere Übermittlung von Informationen fungiere.
Durch die zunehmende Verwendung privater mobiler Geräte für berufliche Aufgaben hätten sich die Gefahren des Datenverlustes für Unternehmen deutlich erhöht. Diese brauchten deshalb Lösungen, die diese potenziellen Datenleck-Risiken beseitigten. In der neuen Version der „Sensitive Information Management Suite“ deckten sie nun auch diese Anforderung ab, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn.

Weitere Informationen zum Thema:

Cyber-Ark
Cyber-Ark sichert Datentransfer bei mobilen Geräten