Datenrecht.at

Wenn europäische Behörden, Krankenhäuser oder Banken auf digitale Infrastrukturen aus Drittstaaten angewiesen sind, stößt das geltende Recht oft an seine Grenzen. Moderne Regulierung läuft in der Praxis ins Leere, wenn Aufsichtsbehörden intransparente IT-Systeme, die ausländischem Recht unterliegen, weder effektiv prüfen noch bei Bedarf eingreifen können. Um diese strukturellen Abhängigkeiten zu beenden und die rechtliche Kontrolle zurückzugewinnen, hat die EU-Kommission heute das „European Technological Sovereignty Package“ vorgestellt.
Das Paket zielt darauf ab, dass Europa seine kritischen Technologien künftig selbst entwickelt und kontrolliert. Das Vorhaben umfasst vier zentrale Säulen:

• Chips Act 2.0: Um Lieferketten rechtlich und faktisch abzusichern, werden die europäischen Produktionskapazitäten für fortschrittliche Halbleiter und KI-Komponenten massiv ausgebaut.
• Cloud and AI Development Act: Dieses Gesetz schafft einen einheitlichen EU-Rahmen zur Bewertung der Cloud-Souveränität. Es definiert klare Kriterien, um sogenanntes „Sovereignty Washing“ – also irreführende Werbeversprechen von Anbietern über deren Datensouveränität – rechtssicher zu unterbinden.
• Open Source Strategy: Durch die gezielte Förderung offener, transparenter Software-Alternativen sollen Unternehmen und Verwaltungen aus der Abhängigkeit einzelner Anbieter („Vendor Lock-in“) befreit werden, was die technologische Überprüfbarkeit erhöht.
• Energie Fahrplan: Da europäische Rechenzentren bereits 2,5 % des EU-Stromverbrauchs ausmachen, wird deren nachhaltige Integration in die Energienetze strategisch geregelt, um Engpässe zu vermeiden.

Für Unternehmen, insbesondere in stark regulierten Sektoren, soll dieser Vorstoß vor allem eines erzielen: mehr Rechtssicherheit. Wenn digitale Kerninfrastrukturen den europäischen Regeln entsprechen, sinken (laut Kommission) der Compliance-Aufwand und damit verbundene rechtliche Risiken erheblich. Wie die EU-Kommission in ihrer Pressemitteilung betont, schafft Europa hier einen Rahmen, der technologischen Fortschritt mit rechtlicher Überprüfbarkeit und eigenen Werten verbinden soll. Die Gesetzwerdung (und die Reaktion der USA) bleibt - wie immer - abzuwarten.
Quellen: Pressemitteilung (ip_26_1187)
Fragen und Antworten (qanda_26_1188)

Im soeben erschienenen Jahrbuch 25 Datenschutzrecht, herausgegeben von Bergauer/Gosch findet sich ein ausführlicher Beitrag, den ich als Erstautor (ua auch zur Digitalen Souveränität) mitverfassen durfte: Kastelitz/Tercero/Löffler, Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO, 29-57

Die Europäische Kommission hat am 19.11.2025 eine wichtige Hilfestellung für die Umsetzung des Data Act veröffentlicht (Pressemeldung EN):

Zum einen unverbindliche Mustervertragsklauseln für den Datenzugriff und die Datennutzung, zum anderen Standardvertragsklauseln für Cloud-Computing-Verträge (pdf):

• Model Contractual Terms (MCTs): Für den Datenaustausch im Rahmen der Kapitel II und III des Data Act wurden drei Sätze von Mustervertragsklauseln entworfen, um die drei Beziehungen abzudecken, in denen der Datenaustausch verpflichtend ist, nämlich zwischen Dateninhabern, Nutzern und Datenempfängern von Daten, die bei der Nutzung vernetzter Produkte generiert werden.
• Standard Contractual Clauses (SCCs): Drei Standardvertragsklauseln (SCCs) übertragen die Bestimmungen von Kapitel VI (Cloud-Wechsel) in Vertragsbedingungen, die in Datenverarbeitungsverträge eingefügt werden können:

  • SCC Switching & Exit (Bestimmungen zum Wechsel),

  • SCC Termination (Bestimmungen zur Vertragsbeendigung),

  • SCC Security & Business continuity (Bestimmungen zu Sicherheit und Geschäftskontinuität während des Wechsels, einschließlich der Benachrichtigung des Anbieters über signifikante Vorfälle).

Gerade für SMEs (aber auch größere Entitäten) lohnt sich der Blick in das Dokument, um auf die Anforderungen des Data Act zu reagieren und (bestehende) Verträge zu optimieren bzw. zu erstellen.

Zum Data Act hat die Kommission bereits FAQs und eine Leitlinie zu Fahrzeugdaten (maßgeschneiderte Ratschläge zur Umsetzung von Kapitel II DA) veröffentlicht.

PS: Im demnächst erscheinenden Jahrbuch Datenschutzrecht 25, herausgegeben von Bergauer/Gosch, erscheint ein umfassender Beitrag von mir (als Erstautor) und Kolleg*innen zum Thema “Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO”.

In Europa wächst die Besorgnis über einen potenziellen „Kill Switch“ aus den USA. Dieser Begriff beschreibt die Möglichkeit der US-Regierung, Europas Zugang zu US-amerikanischen Cloud-Diensten und anderen Technologien einseitig zu kappen. Obwohl ein solches Szenario als unwahrscheinlich gilt, wäre es grundsätzlich möglich - Instrumente hierfür existieren z.B. im International Emergency Economic Powers Act (IEEPA), wie der ehemalige Chief of the Cyber and National Security Unit at the White House ausführlich ausführt.

Diese Bedrohung befeuert Europas Streben nach digitaler Souveränität, dessen praktische Umsetzung u.a. in der Entwicklung „souveräner Clouds“ liegt, die vor US-Gesetzen wie dem CLOUD Act geschützt sind. Doch der Weg ist steinig: US-Hyperscaler wie Google, Microsoft und Amazon dominieren den europäischen Markt, ihre „europäischen” Angebote werden von manchen sogar als „Souveränitäts-Washing“ kritisiert. Selbst vermeintliche „Datengrenzen“ von US-Anbietern weisen nämlich z.T. wenig beachtete Ausnahmen auf, die Datenübertragungen in die USA zur Folge haben (oder auch Zugriffe aus den USA mittels CLOUD Act oder anderer Instrumentarien, siehe dazu z.B. Prof. Vladeck für die dt. DSK) und somit die Datensouveränität in Frage stellen. Zudem sind proprietäre Cloud-Systeme strukturell von Updates aus den USA abhängig, was bei einem Entzug der Unterstützung schnell zu Sicherheitslücken führen könnte. BSI-Präsidentin Plattner hält die vollständige digitale Souveränität für Deutschland derzeit für unerreichbar, betont aber die Wichtigkeit von Kontrollmechanismen. Langfristig setzt Europa auf den Aufbau eigener Alternativen, um strategische Abhängigkeiten zu mindern und einer „digitalen Scheidung“ entgegenzuwirken - siehe u.a. den Bericht „EuroStack – Eine europäische Alternative für digitale Souveränität“, der aufzeigt, wie die EuroStack-Initiative dazu beitragen kann, die Abhängigkeit Europas zu verringern.

Für besonders Interessierte empfehle ich diese Anfragebeantwortung der dt. Bundesregierung zum Thema “Digitale Souveränität und Nutzung von Open Source bei Clouds der Bundesverwaltung und der Status der Deutschen Verwaltungscloud-Strategie”.

The Expert Group on B2B data sharing and cloud computing contracts recently published (nomen est omen) its “Final Report of the Expert Group on B2B data sharing and cloudcomputing contracts” (pdf).

According to Article 41 of the Data Act the Commission should recommend non-binding model contractual terms on data access and use (‘MCTs’) and standard contractual clauses for cloud computing contracts (‘SCCs’) - that’s what this report is about, apparently without an express recommendation by the Commission.

The experts of the Expert group analysed chapters II-IV of the Data Act and drafted the following MCTs to help implement these provisions:

• Data Holder to User

• User to Data Recipient

• Data Holder to Data Recipient

• Data Sharer to Data Recipient

Additionally, the report contains non-binding standard contractual clauses for cloud computing contracts to assist parties in drafting such agreements.

Wie in diesem Blog berichtet, hat der Europäische Datenschutzbeauftragte (EDSB) eine verbindliche Entscheidung hinsichtlich des Einsatzes von MS356 durch die Europäische Kommission erlassen. Der EDSB analysierte darin den Einsatz von MS365 durch die Europäische Kommission im Detail (EDSB 8.3.2024, Case 2021-0518, https://www.edps.eur … use-microsoft-365_en). Gegen diese Entscheidung des EDSB sind sowohl die Europäische Kommission als auch Microsoft Ireland Operations vor das EuG gezogen, siehe Rechtssachen T-262/24 und T-265/24; Stand 24.6.2024 sind noch keine weiteren Dokumente veröffentlicht.

Seit Jahren ist ein Trend hin zur Auslagerung von IT-Services („IT-Outsourcing“) via Cloud Computing an spezialisierte Dritte (oft als Software as a Service - SaaS) festzustellen. Bei diesen Cloud-Anbietern handelt es sich meist um global agierende Unternehmen, die zwar idR allgemeine Branchenstandards der IT-Sicherheit beachten, jedoch laut den Aussagen einiger Datenschutzbehörden nicht immer (durchgängig) europäische bzw. nationale datenschutzrechtliche Anforderungen an den Datenschutz erfüllen. Hier obliegt es dem datenschutzrechtlichen Verantwortlichen, vor Vertragsabschluss sorgfältig zu prüfen, ob der gewählte Cloud-Anbieter diese Voraussetzungen wirklich mitbringt. Denn der Verantwortliche darf nur geeignete Auftragsverarbeiter einsetzen und muss nachweisen können, dass er die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat („Rechenschaftspflicht“, Art 5 Abs 2 DSGVO). Insbesondere ist ein Vertrag über die Auftragsverarbeitung (AVV) mit dem IT-Dienstleister abzuschließen, der bestimmte Anforderungen erfüllen muss (siehe insb Art 28 Abs 3 und 4 DSGVO).

Im Fokus mehrerer Datenschutzbehörden stand und steht aktuell der Einsatz von Microsoft 365 (MS365). Jüngst hat der Europäische Datenschutzbeauftragte (EDSB) eine verbindliche Entscheidung hinsichtlich des Einsatzes von MS356 durch die Europäische Kommission erlassen. Der EDSB analysiert darin den Einsatz von MS365 durch die Europäische Kommission im Detail (EDSB 8.3.2024, Case 2021-0518, https://www.edps.europa.e … ions-use-microsoft-365_en).

Aber auch Max Schrems mit seiner Datenschutz-NGO noyb hat unlängst zwei Beschwerden hinsichtlich der Verwendung von MS365 Education in Schulen bei der österreichischen Datenschutzbehörde eingebracht (https://noyb.eu/de/micros … -blames-your-local-school).

Unter diesen Prämissen sollte die Einführung von MS365 bei Verantwortlichen auch aus Datenschutzsicht engmaschig begleitet werden, weitere Hinweise findet man u.a. bei der deutschen Datenschutzkonferenz (https://datenschutzkonfer … S365_abschlussbericht.pdf) und in einer Handreichung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) und sechs weiterer Datenschutzaufsichtsbehörden (https://www.lfd.niedersac … mit-microsoft-225722.html) - es bleibt spannend, da der LfD Niedersachsen die Einführung von Microsoft Teams in der Landesverwaltung Niedersachsen, mit Blick auf die Ausgestaltung der Auftragsverarbeitungsvereinbarung, für akzeptabel hält (https://www.lfd.niedersac … niedersachsen-231856.html).

Oftmals lohnt ein Blick über den Tellerrand bzw. über die Grenze:
Die Datenschutzbeauftragte des Kantons Zürich hat neben einem Leitfaden und einer Checkliste für den Einsatz von Mi­cro­soft 365 in (Schweizer) Ge­mein­den auch ein kurzes Informationsvideo veröffentlicht - so stellt man sich eine gelungene Hilfestellung seitens einer Datenschutzbehörde vor. Ob damit tatsächlich eine durchgehend datenschutzkonforme Verwendung von MS365 erfolgen kann, wird die künftige Judikatur zeigen - jedenfalls deckt der Leitfaden viele neuralgische Punkte ab, welche auch unter der unionsrechtlichen Datenschutzgesetzgebung (DSGVO) von Relevanz sind.