Jahrelang funktionierte die Welt nach einer einfachen Annahme: Daten haben einen physischen Aufenthaltsort. Befanden sie sich auf einem Server in Dublin, unterlagen sie irischem und europäischem Recht. Diese Annahme brach 2018 zusammen, als die Vereinigten Staaten den CLOUD Act verabschiedeten – ein Gesetz, das US-Behörden Zugang zu Daten gewährt, die von amerikanischen Unternehmen kontrolliert werden, unabhängig davon, wo diese Daten physisch auf der Welt gespeichert sind. Einige Jahre später antwortete Brüssel mit einem eigenen Schutzinstrument: dem Data Act, der nun vollständig anwendbar ist und versucht, den extraterritorialen Zugriff von Behörden aus Drittländern auf in der Europäischen Union gespeicherte Daten einzuschränken.
Im Folgenden wird erläutert, was diese beiden Texte tatsächlich vorsehen, wo sie miteinander kollidieren und warum der einzig wirklich robuste Schutz gegenüber diesem Konflikt die technische Unmöglichkeit des Zugriffs bleibt.
Der amerikanische CLOUD Act: Zugriff auf Basis der Kontrolle, nicht des Standorts
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act), im März 2018 verabschiedet, änderte das US-Recht durch Hinzufügung von 18 U.S. Code § 2713. Dieser Text verpflichtet jeden Anbieter elektronischer Kommunikationsdienste oder Fernverarbeitungsdienstleistungen, Inhalte von Kommunikationen oder damit zusammenhängende Aufzeichnungen aufzubewahren, zu sichern oder offenzulegen, sofern sich diese Daten in seinem Besitz, seiner Obhut oder unter seiner Kontrolle befinden – unabhängig davon, ob sich diese Daten innerhalb oder außerhalb der Vereinigten Staaten befinden.
Genau diese letzte Klausel verändert alles. Das maßgebliche Kriterium ist nicht mehr der physische Standort des Servers, sondern die von der Muttergesellschaft über ihre Tochtergesellschaften ausgeübte Kontrolle. Ein amerikanisches Unternehmen, das Rechenzentren in Europa betreibt, unterliegt daher weiterhin amerikanischen Anforderungen, selbst für Daten, die vollständig auf europäischem Boden gespeichert sind.
Der europäische Data Act: eine rechtliche Schranke gegen extraterritorialen Zugriff
Die Verordnung (EU) 2023/2854, bekannt als Data Act, trat am 11. Januar 2024 in Kraft und ist seit dem 12. September 2025 vollständig anwendbar, wobei bestimmte Bestimmungen bis 2026 und 2027 gestaffelt sind. Sein Artikel 32 regelt unmittelbar die Frage des internationalen staatlichen Zugriffs auf Daten.
Der Text legt eine klare Regel fest: Jede Entscheidung oder jedes Urteil eines Gerichts oder einer Verwaltungsbehörde eines Drittlandes, das von einem Anbieter von Datenverarbeitungsdiensten die Übermittlung oder den Zugang zu nicht personenbezogenen Daten verlangt, die in der Europäischen Union gespeichert sind, wird nur anerkannt und ist nur vollstreckbar, wenn es auf einer internationalen Übereinkunft beruht, wie etwa einem Rechtshilfeabkommen (MLA), das zwischen dem antragstellenden Land und der Union oder zwischen diesem Land und dem betreffenden Mitgliedstaat in Kraft ist.
In Ermangelung einer solchen Übereinkunft sieht Artikel 32 einen zweiten, aber streng geregelten Weg vor: Die ausländische Entscheidung kann nur vollstreckt werden, wenn das Rechtssystem des Drittlandes verlangt, dass die Anfrage begründet, verhältnismäßig und hinreichend spezifisch ist – etwa durch eine klare Verbindung zu bestimmten Personen oder Straftaten – und wenn die begründete Einwände des Empfängers der Überprüfung durch ein zuständiges Gericht dieses Drittlandes unterworfen werden können.
Eine direkte rechtliche Kollision
Das Problem ist unmittelbar: Der CLOUD Act verlangt eine Offenlegung auf der Grundlage der von der Muttergesellschaft ausgeübten Kontrolle, ohne eine dem europäischen Recht vergleichbare Verhältnismäßigkeitsbedingung. Der Data Act hingegen macht die Anerkennung einer solchen Anforderung vom Bestehen einer internationalen Übereinkunft oder von präzisen Verfahrensgarantien abhängig. Ein amerikanisches Unternehmen, das in Europa tätig ist und von einer amerikanischen Behörde aufgefordert wird, in der Union gespeicherte Daten zu übermitteln, befindet sich daher zwischen zwei widersprüchlichen rechtlichen Verpflichtungen: dem amerikanischen Mandat nachzukommen und dabei Unionsrecht zu verletzen, oder den Data Act einzuhalten und sich den Konsequenzen einer Weigerung in den Vereinigten Staaten auszusetzen.
Diese Spannung ist nicht theoretischer Natur. Sie wurde bereits vom Gerichtshof der Europäischen Union (CJEU) in zwei wegweisenden Entscheidungen dokumentiert: Schrems I (2015) und Schrems II (2020). Im Urteil Schrems II stellte der CJEU fest, dass die amerikanische Überwachung im Rahmen von Section 702 des FISA (Foreign Intelligence Surveillance Act) und der Executive Order 12333 die vom Unionsrecht geforderten Mindestgarantien im Sinne des Verhältnismäßigkeitsgrundsatzes nicht erfüllt und daher nicht als auf das unbedingt Notwendige beschränkt angesehen werden kann. Das Gericht stellte auch das Fehlen eines wirksamen gerichtlichen Rechtsbehelfs für betroffene Personen aus der Union fest, was gegen Artikel 47 der Charta der Grundrechte verstößt. Diese Entscheidung hat den Rahmen des Privacy Shield für ungültig erklärt, der bis dahin den Datentransfer zwischen der EU und den USA regelte.
Das strukturelle Risiko: Harvest Now, Decrypt Later
Über den Jurisdiktionskonflikt hinaus lastet eine noch heimtückischere Bedrohung auf Daten, die in Infrastrukturen unter amerikanischem Recht gespeichert sind: die sogenannte Strategie Harvest Now, Decrypt Later (HNDL). Das Prinzip besteht darin, dass ein Geheimdienst oder ein feindlicher staatlicher Akteur heute verschlüsselte Daten abfängt und speichert, in Erwartung ausreichender Quantenrechenkapazitäten, um sie in der Zukunft entschlüsseln zu können.
Diese Strategie verwandelt jede langfristige Abhängigkeit von einer amerikanischen Cloud-Infrastruktur in eine aufgeschobene Sicherheitsschuld: Was heute vertraulich ist, kann in zehn oder fünfzehn Jahren lesbar werden, ohne dass der Angreifer zusätzliche Maßnahmen ergreifen muss – nur Zeit und Geduld sind erforderlich.
Warum nur die technische Unmöglichkeit eine echte Garantie darstellt
Die Rechtsanalyse führt zu einer von vielen Compliance-Experten geteilten Schlussfolgerung: So solide der rechtliche Rahmen des Data Act auch ist, er bleibt ein Text, den geopolitische Kräfteverhältnisse und diplomatischer Druck umgehen, verzögern oder neu interpretieren können. Der einzige Schutz, der von keiner künftigen Verhandlung abhängt, ist die technische Unmöglichkeit der Vollstreckung.
Eine Zero-Knowledge-Architektur, bei der der Dienstleister weder den Besitz noch die Obhut der Entschlüsselungsschlüssel hat, macht eine Anforderung materiell wirkungslos. Man kann nicht zur Herausgabe von etwas gezwungen werden, das man nie besessen hat.
Dies ist die Logik, die Ökosysteme wie Arpokrat strukturiert:
- Jurisdiktionelle Neutralisierung: Die Infrastruktur wird in der Schweiz gehostet, unter dem Regime des Bundesgesetzes über den Datenschutz (DSG/FADP), außerhalb des direkten Anwendungsbereichs der Extraterritorialität des CLOUD Act
- Fehlende Obhut: Die Zero-Knowledge-Architektur entzieht dem Dienstleister jede Möglichkeit, Schlüssel oder Inhalte herauszugeben, die er nie besessen hat
- Reduzierung des Identitäts-Fußabdrucks: Durch die Abschaffung der Pflicht zur Registrierung per Telefonnummer oder E-Mail-Adresse – Kennungen, die die auf Section 702 des FISA gestützte Überwachung leicht verfolgen kann – hört der Nutzer auf, ein identifizierbarer Abonnent zu sein, und wird zu einem anonymen kryptographischen Schlüssel
Die Verwahrungskette endet nicht bei der Nachrichtenverschlüsselung
Ein in Compliance-Analysen oft unterschätzter Punkt: Es reicht nicht aus, den Inhalt einer Kommunikation zu verschlüsseln, wenn das zugrunde liegende Betriebssystem – sei es Android oder iOS – weiterhin Metadaten oder Telemetrie auf Kernel-Ebene erfasst und an Server unter US-amerikanischer Jurisdiktion sendet. Der Schutz von Geheimnissen erfordert eine vollständige Schließung der Verwahrungskette, vom Inhalt bis zur materiellen Hardware-Infrastruktur selbst.
Aus diesem Grund impliziert digitale Souveränität auch eine Reflexion über das verwendete Betriebssystem, nicht nur über Messaging-Anwendungen. Degoogelte Systeme, bei denen Module wie Bluetooth oder GNSS-Geolokalisierung direkt auf Kernel-Ebene deaktiviert werden können, eliminieren physische Angriffsvektoren, die keine Anwendungsverschlüsselung kompensieren kann.
Post-Quanten-Kryptographie: ein bereits eingeschlagener Horizont
Angesichts der durch die HNDL-Strategie dargestellten Bedrohung wird die Einführung von Post-Quanten-Kryptographie-Standards (PQC) zu einer Notwendigkeit für jeden, der die Vertraulichkeit sensibler Daten langfristig gewährleisten möchte – sei es Geschäftsgeheimnisse, berufliche Korrespondenz oder Gesundheitsdaten. Eine nach heutigen klassischen Standards als robust geltende Verschlüsselung garantiert nicht, dass sie den in den nächsten fünfzehn Jahren erwarteten Quantenrechenkapazitäten standhalten wird.
Der Konflikt zwischen dem Data Act und dem CLOUD Act veranschaulicht eine umfassendere Realität: Digitale Souveränität kann nicht mehr allein auf Gesetzestexten aufgebaut werden, so solide sie auch sein mögen. Sie erfordert eine Schließung der Verwahrungskette auf jeder Ebene – vom Verschlüsselungsprotokoll bis zur Hosting-Jurisdiktion, einschließlich des Betriebssystems selbst. Dieser mehrschichtige Ansatz, anstatt eines Vertrauens, das auf einem einzigen regulatorischen Rahmen beruht, definiert heute eine echte digitale Souveränität durch Konzeption.
