Verschlüsselung : Wie Kommunikation ohne Data Privacy Framework sicher bleibt

Das EU-US-Data Privacy Framework – jener politische Kompromiss, der nach dem Scheitern von Safe Harbor und Privacy Shield den transatlantischen Datentransfer retten soll – war von Beginn an ein fragiles Konstrukt. Es sollte die massiven Überwachungsbefugnisse der US-Geheimdienste mit den Anforderungen des EU-Datenschutzrechts versöhnen.

Nach dem erneuten Amtsantritt von Donald Trump und der Entlassung mehrerer Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) wird nun deutlich: Die USA setzen verstärkt auf nationale Interessen, Datenschutz und Transparenz geraten dabei ins Hintertreffen. Das PCLOB, eigentlich geschaffen, um US-Überwachungsprogramme rechtsstaatlich zu kontrollieren und eine Vereinbarkeit mit europäischen Standards sicherzustellen, verliert zunehmend seine Kompetenzen.

Gerade das PCLOB war in der Angemessenheitsentscheidung der EU-Kommission zentral: In der Begründung für das Data Privacy Framework wurde es 31 Mal als Garant für eine „im Wesentlichen gleichwertige“ Datenschutzaufsicht erwähnt. Nun zeigt sich, wie zerbrechlich diese Absicherung ist. Mit wenigen Personalentscheidungen kann ein US-Präsident Schutzmechanismen aushebeln, auf die europäische Unternehmen ihre Compliance stützen.

Die aktuelle Entwicklung macht eine unbequeme Wahrheit sichtbar: Politische Abkommen bieten keine verlässliche Grundlage für Datenschutz. Wer auf diplomatische Garantien vertraut, baut auf Sand. Die einzige tragfähige Antwort auf diese Unsicherheit liegt in der Technik selbst.

Technik statt Vertrauen: So muss sichere Kommunikation heute aussehen

Die zentrale Frage lautet: Wie gehen wir mit der Unsicherheit um? Europäische Unternehmen brauchen eine resiliente Sicherheitsarchitektur, die unabhängig von geopolitischen Schwankungen funktioniert.

Sichere Kommunikation ist heute keine „Nice-to-have“-Option mehr, sondern eine grundlegende Voraussetzung für digitalen Selbstschutz. Wer unverschlüsselt kommuniziert oder Daten über US-Clouds mit unklarem Zugriff verarbeitet, geht erhebliche Risiken ein – rechtlich, wirtschaftlich und reputativ.

Unser Appell an Europas Unternehmen und Behörden lautet daher: Warten Sie nicht auf das nächste Urteil aus Luxemburg. Bauen Sie Ihre digitale Infrastruktur so, dass sie auch dann noch funktioniert, wenn das Data Privacy Framework erneut kippen sollte. In einer Welt, in der Daten eine strategische Ressource sind, ist sichere Kommunikation nicht nur ein Wettbewerbsfaktor, sondern die Basis unserer digitalen Souveränität.

Zero Trust wird zur Pflicht

Moderne Kommunikationssysteme müssen nach dem Zero-Trust-Prinzip aufgebaut sein. Jede Interaktion – ob Nutzer, Gerät oder Anwendung – muss konsequent überprüft werden. Vertrauen wird nie vorausgesetzt, sondern immer technisch abgesichert.

Zero Trust reduziert die Angriffsfläche erheblich. Selbst wenn einzelne Zugangsdaten kompromittiert oder bestimmte Komponenten ausfallen, bleibt die Integrität des Systems gewahrt. Statt auf Firewalls und vermeintlich sichere Netzwerkgrenzen zu setzen, überprüft Zero Trust kontinuierlich jede Identität, jedes Gerät und jede Aktion.

Innerhalb der Kommunikation bedeutet das: Es gibt keine „vertrauenswürdigen Zonen“ mehr. Jede Nachricht, jede Datei und jede Sitzung wird verschlüsselt, authentifiziert und überwacht.

Dieser Ansatz schützt nicht nur effektiv vor Cyberangriffen, sondern stärkt auch die Widerstandsfähigkeit gegenüber geopolitischen Risiken – etwa wenn Cloud-Provider oder nationale Behörden Zugriff auf Daten verlangen, der nicht mit der DSGVO vereinbar ist.

Ende-zu-Ende-Verschlüsselung ist der Goldstandard

Ebenso zentral ist eine echte Ende-zu-Ende-Verschlüsselung (End-to-end-Encryption, E2EE). Sie bedeutet, dass nur Sender und Empfänger eine Nachricht lesen können. Selbst Betreiber von Kommunikationsplattformen haben keinen Zugriff auf die Inhalte. Für Unternehmen und Behörden ist diese Technologie unverzichtbar, wenn sie personenbezogene Daten verarbeiten – und zwar unabhängig davon, ob ein Angreifer ein Cyberkrimineller oder ein ausländischer Geheimdienst ist.

Allerdings hält nicht jede angebliche E2EE-Lösung, was sie verspricht. Entscheidend ist, dass die Verschlüsselung standardmäßig aktiviert ist, die Schlüsselverwaltung sicher implementiert wird und keine Hintertüren für Dritte existieren.

Europäisches Hosting für volle Kontrolle

Eine zentrale Schwäche vieler Cloud-Dienste liegt darin, dass Daten physisch oder rechtlich in den USA verarbeitet werden können – selbst wenn der Server in Frankfurt steht. Der sogenannte „Cloud Act“ erlaubt US-Behörden den Zugriff auf Daten von US-Anbietern, auch wenn diese Daten außerhalb der USA gespeichert sind.

Deshalb sollten europäische Unternehmen auf Anbieter setzen, die nicht nur in Europa hosten, sondern auch unabhängig von US-Recht agieren können. Das bedeutet konkret: europäische Eigentümerstrukturen, Hosting in zertifizierten Rechenzentren innerhalb der EU und klare Verträge, die den DSGVO-Schutz absichern.

Digitale Souveränität durch Technik, nicht durch Diplomatie

Die Erfahrung der letzten Jahre zeigt: Datenschutzversprechen auf politischer Ebene können jederzeit kippen. Organisationen dürfen ihre Compliance-Strategien nicht auf externe Garantien bauen. Unternehmen, die heute beginnen, ihre Datentransfers zu überprüfen, Zero-Trust-Architekturen einzuführen und wo möglich auf europäische Alternativen zu setzen, schaffen sich die notwendige Resilienz – unabhängig davon, wie lange das Data Privacy Framework noch Bestand hat.

Benjamin Schilz ist CEO beim Messenger-Anbieter Wire, der seinen Firmensitz in der Schweiz hat. Vor seiner Rolle bei Wire gründete er das Cybersecurity- und Cloud-Management-Unternehmen Acorus Networks, das später mit Volterra fusionierte. Anschließend war er als Vice President für Infrastruktur und Betrieb beim Technologieunternehmen F5 tätig.