Der Artikel »Tech-Konzerne auf dem Prüfstand: Digitale Souveränität oder Souveränitäts-Washing?« von Benjamin Schilz für tagesspiegel.de erklärt verständlich, welche gesetzlichen Regeln für US-Unternehmen gelten – selbst wenn sie Souveränität versprechen.

Drei US-Regularien machen im Ernstfall auch EU-Server gläsern:

  • Die FISA Section 702 erlaubt US-Geheimdiensten wie NSA und FBI den Zugriff auf Kommunikationsinhalte und Metadaten, sofern diese über US-Dienste laufen oder auf deren Infrastruktur gespeichert sind. Microsoft darf betroffene Kunden über die Kooperation nicht informieren.

  • Der CLOUD Act (2018) verpflichtet US-Unternehmen, auf richterliche Anordnung auch Daten herauszugeben, die sich physisch außerhalb der USA befinden. Die Betroffenen erfahren nicht vom Zugriff. Ein Widerspruch zum Artikel 48 der DSGVO, der Auskünfte an Drittstaaten nur bei bilateralen Abkommen zulässt.

  • Der Executive Order 12333 erlaubt US-Geheimdiensten die massenhafte und anlasslose Sammlung ausländischer Kommunikationsdaten, auch wenn diese lediglich „transitieren“ – also über Backbone-Infrastruktur oder Content Delivery Networks (CDNs) der USA geleitet werden. Für den Zugriff ist keine richterliche Kontrolle erforderlich.

Ebenso bringt er auf den Punkt, was echte Souveränität ausmacht.

Eine souveräne Cloud-Infrastruktur setzt drei Faktoren voraus: vollständige technologische Auditierbarkeit, rechtliche Exklusivität im Geltungsbereich der EU und operative Steuerbarkeit ohne Rückkanäle in Drittstaaten.