Analyse: Extraterritoriale Zugriffsrechte der USA und ihre Bedeutung für europäische Unternehmen

von | Nov. 26, 2025 | Analyse, Digitale Souveränität, EU

1. Einleitung

Die globale Digitalisierung führt dazu, dass Daten grenzüberschend verarbeitet werden und Unternehmen zunehmend Cloud-Dienste, Softwarekomponenten oder IT-Infrastrukturen aus verschiedenen Rechtsräumen einsetzen.

Dabei entsteht ein strukturelles Spannungsfeld, insbesondere zwischen der europäischen Datenschutzordnung (DSGVO) und den extraterritorialen Zugriffsrechten der USA.

Im Zentrum stehen zwei US-Gesetze:

  • CLOUD Act
  • FISA Section 702

Beide entfalten weitreichende Wirkungen auch außerhalb der USA, unabhängig vom physischen Speicherort der Daten.

FISA FISC
2. US-Rechtsgrundlagen mit extraterritorialer Wirkung

2.1 CLOUD Act (2018)

Der CLOUD Act verpflichtet US-Anbieter und ausländische Unternehmen mit relevanter US-Präsenz zur Herausgabe elektronischer Daten an US-Behörden – selbst dann, wenn diese Daten ausschließlich in der EU gespeichert sind. Betroffen sind unter anderem:
  • US-Unternehmen (z. B. Microsoft, Google, Amazon)
  • Europäische Unternehmen mit US-Tochtergesellschaften
  • Europäische Anbieter, die US-Dienstleister oder US-Technologie einbinden
  • Globale Konzerne mit Holdingstrukturen in den USA
  • Unternehmen, die US-basierte Sicherheits-, Logging-, Monitoring-, AI- oder Supportdienste nutzen

2.2 FISA Section 702

FISA 702 gestattet den US-Nachrichtendiensten den Zugriff auf elektronische Kommunikation von Nicht-US-Personen, sofern die Daten bei einem Anbieter liegen, der der US-Jurisdiktion unterliegt. Besondere Merkmale:
  • Kein individueller Tatverdacht erforderlich
  • Zielpersonen müssen Nicht-US-Bürger sein (also auch europäische Politiker, Unternehmen, Führungskräfte)
  • Keine Benachrichtigung des Betroffenen
  • Gesetzliche Geheimhaltungspflichten („gag orders“)

3. Betroffene Unternehmensgruppen in Europa

Die extraterritorialen Zugriffsrechte treffen unterschiedliche Arten von Unternehmen in Europa:

3.1 Europäische Unternehmen mit Niederlassungen in den USA

Eine Tochtergesellschaft oder ein Repräsentanzbüro in den USA kann genügen, um Zugriffsrechte und Herausgabepflichten auszulösen.

3.2 Europäische Anbieter, die US-Komponenten nutzen

Beispiele von solchen Komponenten oder Herstellern sind unter anderem:
  • CDN-Systeme (z. B. Akamai, Cloudflare)
  • Logging- und Monitoring-Tools (z. B. Datadog, Splunk, New Relic)
  • Security-Services (z. B. CrowdStrike, Okta)
  • AI-Modelle oder APIs (z. B. OpenAI, AWS AI, Google AI)

3.3 Unternehmen, die indirekt US-Dienste einbinden

Sub-Processor, Hosting-Arrangements, ausgelagerte Supportleistungen oder globale Toolchains mit US-Bausteinen können ebenfalls dazu führen, dass US-Recht anwendbar wird.

3.4 Unternehmen mit komplexen internationalen Strukturen

Konzernrechtliche Kontrolle (Ownership, Control) kann ebenfalls Verpflichtungen gegenüber US-Behörden auslösen, selbst wenn die operativen Einheiten und Daten primär in Europa angesiedelt sind.

4. Der Foreign Intelligence Surveillance Court (FISC)

4.1 Rolle und Verfahren

Der FISC ist ein US-Gericht, dass die Überwachungsmaßnahmen nach FISA genehmigt. Das Verfahren ist geprägt durch:
  • Nicht-öffentliche Verfahrensführung
  • Einseitige Antragstellung ausschließlich durch US-Behörden
  • Keine Anhörung der betroffenen Unternehmen oder Personen
  • Klassifizierte Entscheidungen
  • Keine Information der Betroffenen über erfolgte Zugriffe
  • Keine Klagemöglichkeit für Nicht-US-Personen
Das Verfahren dient damit der formalen Legitimation von Maßnahmen der US-Nachrichtendienste. Es entspricht nicht dem europäischen Verständnis einer gerichtlichen Kontrolle mit beidseitiger Rechtsprüfung.

4.2 Ernennung der Richter

Die Richter des FISC werden ausschließlich vom Chief Justice des US Supreme Court ernannt. Es findet keine öffentliche Anhörung, keine Bestätigung durch den Senat und keine unabhängige externe Überprüfung statt.

4.3 Genehmigungsquote

Die Statistiken des Office of the Director of National Intelligence (ODNI) zeigen:
  • 2023: 2.105 Anträge nach FISA Section 702 – 100% wurden genehmigt.
  • In den vergangenen Jahren lag die Genehmigungsquote regelmäßig bei über 98 %.
  • Die Ablehnungsquote seit 1978 liegt insgesamt unter 1 %.
Abgelehnte Anträge werden in der Praxis häufig nach minimalen Anpassungen erneut eingereicht und anschließend bewilligt. Der FISC ist damit aus europäischer Perspektive weniger eine unabhängige Kontrollinstanz, sondern primär eine formalrechtliche Genehmigungsinstanz für Maßnahmen der US-Regierung.

5. Was gilt als „foreign intelligence information“?

FISA definiert „foreign intelligence information“ sehr weit. Hierunter fallen nicht nur klassisch sicherheitsrelevante Daten, sondern auch:
  • Politische Informationen über ausländische Regierungen oder Regierungsmitglieder
  • Diplomatische Kommunikation
  • Wirtschaftliche Informationen, die die Interessen der USA betreffen
  • Daten über Forschung, Technologie und Innovation
  • Informationen über kritische Infrastrukturen
  • Informationen zur Energie- und Versorgungssicherheit
  • Außenhandel, Exportkontrollen und strategische Industrien
  • Fragen der öffentlichen Sicherheit („public safety“) im weiten Sinn
Wirtschaftliche oder technologische Daten europäischer Unternehmen können daher als „foreign intelligence information“ klassifiziert werden, wenn sie aus Sicht der USA außen-, wirtschafts- oder sicherheitspolitisch relevant sind.

6. Politische Informationsbeschaffung und dokumentierte Fälle

Die USA betrachten politische und wirtschaftliche Informationsbeschaffung als Teil legitimer Auslandsaufklärung. Ein bekanntes Beispiel ist die Überwachung der Kommunikation der deutschen Bundeskanzlerin durch die NSA. Die durch Edward Snowden veröffentlichten Dokumente legen nahe, dass das Mobiltelefon der Bundeskanzlerin über Jahre hinweg überwacht wurde. Spätere öffentliche Erklärungen der US-Regierung, wonach man „derzeit“ keine Kommunikation der Bundeskanzlerin mehr überwache, implizieren, dass eine frühere Überwachung stattgefunden hat. Aus Sicht des US-Rechts gilt:
  • Die Bundeskanzlerin ist eine Nicht-US-Person.
  • Politische Informationen über eine ausländische Regierungschefin sind „foreign intelligence information“.
  • Ausländische Regierungsmitglieder sind legitime Ziele der Auslandsaufklärung.
Entsprechende Maßnahmen können – sofern sie unter FISA fallen – grundsätzlich auch durch FISC-Beschlüsse gedeckt sein, wenn dargelegt wird, dass ein außen-, wirtschafts- oder sicherheitspolitischer Zusammenhang besteht.

7. Unterschiede zur europäischen Rechtsstaatlichkeit

7.1 Transparenz und Benachrichtigung

In der EU ist die Benachrichtigung betroffener Personen bei staatlichen Zugriffen grundsätzlich vorgesehen, auch wenn Ausnahmen existieren. In den USA bestehen gesetzliche Verbote für Anbieter, über bestimmte Zugriffe zu informieren (Gag Orders).

7.2 Rechtsschutz

EU-Bürger können gegen staatliche Maßnahmen den Rechtsweg zu unabhängigen Gerichten beschreiten. Für Nicht-US-Personen besteht kein effektiver Rechtsschutz gegen Maßnahmen nach FISA 702.

7.3 Grundrechte

In der Europäischen Union ist der Schutz personenbezogener Daten ein Grundrecht (Art. 8 EU-Grundrechtecharta). In den USA existiert kein gleichwertiger verfassungsrechtlicher Datenschutz für Ausländer.

7.4 Kontrollmechanismen

In der EU bestehen mehrstufige unabhängige Kontrollinstanzen und Aufsichtsbehörden. In den USA kontrolliert ein Geheimgericht mit einseitigem Verfahren und begrenzter externer Kontrolle die Maßnahmen der Nachrichtendienste.

8. Vereinbarkeit mit der DSGVO

Die extraterritoriale Wirkung von FISA 702 und CLOUD Act führt zu einer strukturellen Rechtsunsicherheit im Verhältnis zur DSGVO.

8.1 Drittlandübermittlungen

Zugriffe nach US-Recht, die Daten europäischer Unternehmen betreffen, können als Datenübermittlungen in ein Drittland gelten. Solche Übermittlungen sind häufig nicht durch die Mechanismen der Art. 46 oder Art. 49 DSGVO gedeckt, insbesondere wenn Betroffene nicht informiert werden und kein Rechtsschutz besteht.

8.2 EU-US Data Privacy Framework (DPF)

Das EU-US Data Privacy Framework soll einen Mechanismus zur Legitimierung von Datenübermittlungen in die USA bieten. Es ändert jedoch weder FISA 702 noch den CLOUD Act. Der Rechtsschutz für EU-Bürger bleibt eingeschränkt, und verschiedene europäische Aufsichtsbehörden und Fachjuristen äußern Zweifel an der langfristigen Bestandssicherheit des DPF. Daraus ergibt sich ein erhebliches Compliance-Risiko für europäische Unternehmen, die auf US-jurisdizierte Dienste angewiesen sind.

9. Risiken für europäische Unternehmen

9.1 Rechtliche Risiken

Unkontrollierbare Zugriffe nach US-Recht können als unzulässige Drittlandübermittlungen im Sinne der DSGVO gewertet werden. Dies kann zu Ermittlungen durch Aufsichtsbehörden, Bußgeldern in signifikanter Höhe, Untersagungsverfügungen für bestimmte Cloud-Dienste sowie zu Nachbesserungspflichten in bestehenden Kundenverträgen führen.

9.2 Sicherheitsrisiken

Intransparente Zugriffe gefährden die Vertraulichkeit und Integrität sensibler Informationen. Besonders kritisch ist dies für Forschungsergebnisse, Produkt-Roadmaps, Sicherheitsarchitekturen, Daten zu kritischer Infrastruktur oder vertrauliche Verwaltungsdaten. Ein unerkannter Zugriff kann Sicherheitskonzepte unterlaufen und bestehende Risikoanalysen faktisch entwerten.

9.3 Wirtschaftliche Risiken

Werden zentrale Geschäftsprozesse auf Anbieter gestützt, die fremden Rechtsordnungen unterliegen, kann dies zu strategischen Nachteilen führen: Wettbewerber oder staatliche Stellen können Einblick in Preisstrukturen, Angebotsstrategien, Innovationsprojekte oder Lieferketten erhalten. Gleichzeitig erschweren proprietäre Plattformen den Wechsel zu alternativen Anbietern (Lock-in) und erhöhen die Verhandlungsmacht des Providers bei Preisen, Vertragsbedingungen und Funktionsumfang.

9.4 Reputationsrisiken

In stark regulierten Branchen – etwa Gesundheit, Energie, Finanzwesen oder öffentlicher Sektor – erwarten Kunden, Partner und Aufsichtsbehörden nachvollziehbare Datenflüsse und überprüfbare Kontrollmechanismen. Bekannt gewordene Zugriffe ausländischer Behörden können zu Vertrauensverlust, Verlust von Ausschreibungen, negativer Berichterstattung und einer dauerhaften Schwächung der eigenen Marke führen.

10. Strategische Bedeutung für Europa

Die Fragestellung ist weniger technischer Natur, sondern eine Frage der Rechtsarchitektur und der strategischen Abhängigkeiten. Europa steht vor der Aufgabe:
  • die Kontrolle über Unternehmens- und Staatsdaten langfristig zu sichern,
  • Compliance-Risiken mit Blick auf Drittlandzugriffe zu minimieren,
  • unabhängige und interoperable digitale Infrastrukturen aufzubauen und zu betreiben,
  • die digitale Souveränität und Resilienz europäischer Gesellschaften und Volkswirtschaften zu stärken.
Souveräne europäische Dienste und Technologien sind damit kein rein politisches Anliegen, sondern eine strategische und wirtschaftliche Notwendigkeit.

11. Empfehlungen

11.1 Für Unternehmen

  • Analyse der gesamten Datenlieferkette inklusive Sub-Prozessoren und externer Dienstleister.
  • Reduktion unnötiger Abhängigkeiten von Diensten, die US-Jurisdiktion auslösen.
  • Bevorzugung europäischer Cloud- und Kollaborationssysteme mit ausschließlicher EU-Jurisdiktion.
  • Architekturentscheidungen zugunsten offener Standards, Interoperabilität und technischer Exit-Strategien, um Lock-in-Effekte zu minimieren.

11.2 Für Politik und Verwaltung

  • Förderung und Aufbau souveräner IT-Infrastrukturen auf europäischer Ebene.
  • Klare Leitlinien und Standards im Umgang mit Drittlandzugriffen und extraterritorialen Gesetzen.
  • Unterstützung europäischer Standardisierung und Zertifizierungsrahmen für vertrauenswürdige IT-Dienste.
  • Förderung unabhängiger europäischer Sicherheits-, Kollaborations- und Datenplattformen.

Fazit

US-Gesetze wie FISA 702 und der CLOUD Act ermöglichen umfassende Datenzugriffe, die auch europäische Unternehmen betreffen können, selbst wenn Daten ausschließlich in Europa gespeichert sind. Diese Zugriffe können politische, wirtschaftliche, technologische oder sicherheitsrelevante Informationen umfassen und stehen im Spannungsverhältnis zur DSGVO und zu europäischen Grundrechtsstandards. Solange die strukturellen Unterschiede zwischen der US-amerikanischen und der europäischen Rechtsordnung bestehen, bleibt die Nutzung US-jurisdizierter IT-Dienste ein erhebliches rechtliches, sicherheitstechnisches und strategisches Risiko. Die Entwicklung und Nutzung souveräner, interoperabler und europäischer IT-Infrastrukturen ist daher ein zentraler Baustein für wirtschaftliche Stabilität, digitale Resilienz und die Wahrung europäischer Handlungsfähigkeit.
 

Mehr zum Thema Digitale Souveränität

Unser Policy Brief zum Thema Digitale Souveränität