Einem politischen und rechtlichen Kartenhaus droht der Einsturz. Mit der Entscheidung des Obersten Gerichtshofs der USA in der Rechtssache Trump v Slaughter (Az. 25–332) hat die konservative Mehrheit der Richter die Unabhängigkeit der Federal Trade Commission (FTC) für verfassungswidrig erklärt. Was nach einer rein innenpolitischen Debatte über die Machtfülle des US-Präsidenten aussieht, entpuppt sich bei genauem Hinsehen als Sprengsatz für die europäische Digitalwirtschaft. Denn die vermeintliche Unabhängigkeit der FTC war lange Zeit das rechtliche Fundament, auf dem der Datenverkehr zwischen der EU und den USA ruhte.

Hintergrund des aktuellen Konflikts ist die sogenannte „Unitary Executive Theory“. Dieser radikalen Verfassungsauslegung folgend muss der US-Präsident die uneingeschränkte Kontrolle über alle Bundesbehörden verfügen. Der Supreme Court erklärte nun alle gesetzlichen Regelungen, die Behörden vor dem direkten Durchgriff des Weißen Hauses schützen, für unzulässig.

Für den transatlantischen Datenschutzrahmen könnte das gravierende Folgen haben. Seit dem Jahr 2000 stützt sich die EU-Kommission bei ihren Abkommen zum Datenexport mit den USA maßgeblich auf die FTC als kontrollierendes Organ. Das Problem dabei ist struktureller Natur: Das EU-Vertragsrecht und die Grundrechtecharta schreiben vor, dass die Überwachung des Datenschutzes durch unabhängige Behörden erfolgen muss. Da Drittstaaten ein „im Wesentlichen gleichwertiges“ Datenschutzniveau zu garantieren haben, galt diese Pflicht zur Unabhängigkeit auch für die US-Aufsicht.

Desaster mit Ansage für den EU-Datenschutz?

Im aktuellen Angemessenheitsbeschluss der EU, dem heftig umstrittenen EU-US Data Privacy Framework von 2023, beruft sich die EU-Kommission sage und schreibe 259 Mal auf die Kontrollfunktion der FTC. Mit dem neuen Urteil untersteht diese Behörde jetzt jedoch prinzipiell direkt den politischen Weisungen des US-Präsidenten. Die mühsam konstruierte Argumentation, die USA böten unabhängige Aufsicht, dürfte damit über Nacht hinfällig geworden sein.

Max Schrems, Gründer der Datenschutzorganisation Noyb, sieht die Brüsseler Regierungsinstitution damit in der Pflicht. Da es in den USA schlicht keine unabhängigen Behörden mehr gebe, hat Noyb die Kommission formell aufgefordert, die Angemessenheitsentscheidung für die USA in einem geordneten Prozess aufzuheben. Sie habe unter dem Druck der Wirtschaft ein rechtliches Luftschloss gebaut, das nun in sich zusammenfalle. Es sei an der Zeit, Verantwortung zu übernehmen und einen koordinierten Ausstieg der europäischen Wirtschaft aus der US-Cloud-Infrastruktur einzuleiten. Schrems hat bereits zweimal vor dem Europäischen Gerichtshof (EuGH) Übereinkünfte zum EU-US-Datentransfer zu Fall gebracht.

Grenzen der unmittelbaren Auswirkungen

Die juristische Tragweite des Urteils ist noch nicht ganz absehbar. Seine praktischen Auswirkungen gelten aber nicht als unbegrenzt. Zwar hat sich die faktische Basis des EU-Beschlusses offenbar aufgelöst. Formal bleibt das Abkommen aber so lange in Kraft, bis die EU-Kommission es selbst widerruft oder der schon mit dem Rahmenwerk beschäftigte EuGH es für nichtig erklärt. Firmen, die sich auf die Übereinkunft stützen, drohen also keine sofortigen Strafen.

Ferner betrifft die Datenschutzgrundverordnung (DSGVO) ausschließlich personenbezogene Daten. Rein geschäftliche oder nicht-personenbezogene Informationen dürfen weiter ungehindert fließen. Auch absolut notwendige Datenübermittlungen – etwa für eine Hotelbuchung im Ausland – bleiben über die Ausnahmeregelungen des Artikels 49 der DSGVO legal. Verboten ist indes das systematische und strukturelle Auslagern europäischer Datenbestände an US-Anbieter ohne zwingenden Grund.

Allerdings hängen auch Firmen in der Luft, die das Rahmenabkommen umgehen und auf alternative Instrumente wie Standardvertragsklauseln (SCCs) oder verbindliche Unternehmensregeln (BCRs) setzen. Diese Instrumente verlangen von Unternehmen eine interne Risikoanalyse. In diesen Folgenabschätzungen wird regelmäßig auf US-Prüfinstanzen wie den „Data Protection Review Court“ verwiesen. Doch dieses von der Biden-Regierung ins Leben gerufene Gremium ist kein echtes Gericht, sondern eine Behörde innerhalb des US-Justizministeriums. Ihre Unabhängigkeit beruht nur auf einer präsidialen Exekutivverordnung. Nach der Logik des Supreme Court könnte auch diese von Trump jederzeit kassiert werden.

Firmen, die mit Vertragsklauseln arbeiten, sollten ihre Risikoanalysen deshalb aktualisieren. Rein rechtlich dürften sie dabei kaum noch zu positiven Ergebnissen gelangen.

Kehrtwende beim Supreme Court

Anlass für das US-Verfahren war die Entlassung der beiden demokratischen FTC-Kommissare Rebecca Slaughter und Alvaro Bedoya durch Trump zu Beginn seiner zweiten Amtszeit 2025. Der Republikaner feuerte beide ohne Angabe gesetzlich vorgeschriebener Gründen wie Dienstvergehen oder Pflichtverletzung, weil ihre Arbeit nicht den Prioritäten seiner Regierung entsprach. Während die Vorinstanzen diese Entlassungen noch als rechtswidrig einstuften, vollzog der Supreme Court eine Kehrtwende und verwarf seine eigene, fast ein Jahrhundert alte Rechtsprechung zum Schutz unabhängiger Aufsichtsbehörden.

Die Fronten für den nächsten datenschutzrechtlichen Großkonflikt sind damit abgesteckt. Da ein geordneter Rückzug der EU-Kommission aus dem Abkommen unwahrscheinlich erscheint, bereitet Noyb bereits den Klageweg vor. Bis der EuGH in zwei bis drei Jahren endgültig entscheidet, droht der europäischen Digitalwirtschaft eine Phase der Rechtsunsicherheit.

(mki)

Im April wurde bekannt, dass das Bundesdigitalministerium (BMDS) die Telekom und SAP beauftragt hat, einen Prototyp einer Bürger-App für ganz Deutschland zu entwickeln. Im Interview mit c’t erläutert der zuständige Staatssekretär Markus Richter nun die Pläne im Detail: Wie die „Deutschland-App“ Bürger durch Anträge leiten soll und welche Rolle generative KI dabei spielt. Außerdem gibt Richter einen Ausblick auf die nächsten Schritte hin zur digitalen Brieftasche EUDI-Wallet und zum Deutschland-Stack, der Zukunfts-IT der öffentlichen Verwaltungen.

c’t: Herr Richter, ab 2027 wollen Sie mit der Deutschland-App den Staat schlanker, bürgernäher und verständlicher machen. Laut Ihrem Chef, Digitalminister Karsten Wildberger, wird die App „krass“. Aber wie soll sie konkret funktionieren?

Markus Richter: Ziel ist, dass die App mithilfe von künstlicher Intelligenz, einer Crawler-Technik und einem Assistenzsystem den Zugang zur Verwaltung erleichtert. Die App greift auf die bestehenden Dienste der Behörden zu. Die Bürger interagieren also nur mit der App und können leichter Verwaltungsleistungen beantragen. Wir sind gerade dabei, einen Prototyp zu erstellen.

Das war die Leseprobe unseres heise-Plus-Artikels „Interview zur Deutschland-App: Wie KI komplizierte Anträge entwirren soll“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Amazon.com bietet nun die vorübergehende Einbettung eigener Mitarbeiter bei großen Kunden der Amazon Web Services (AWS) an. Sie sollen bei den Kunden KI-Agenten zusammenstellen und installieren, die dann AWS-Dienste nutzen. Diese Hausbesucher nennt Amazon Forward Deployed Engineers (FDE), eine von Palantir übernommene Marketingbezeichnung.

Ziel ist natürlich, den Absatz zu beschleunigen, aber auch Kunden an AWS zu binden. Sind die KI-Agenten erst einmal tief in der IT einer großen Organisation integriert, wird der Wechsel zu einem Mitbewerber aufwändig und damit teuer. Speziell in sensiblen Bereichen wie Behörden, Geldinstituten und streng regulierten Branche wie dem Finanzwesen sollen die AWS-FDEs eingebettet werden.

Am Anfang steht regelmäßig der Aufbau sogenannter knowledge graphs; die beim jeweiligen Kunden vorhandenen Informationen werden so zusammengestellt, dass die AWS-Agenten sie leicht verarbeiten können. Nicht zuletzt soll das menschliche Mitarbeiter leichter ersetzbar machen: Die „Expertise lebt im Code des Kunden, nicht in Organisationswissen, das ausscheiden kann“, formuliert AWS-Vizepräsidentin Francessca Vasquez.

Amazon: „Kein traditionelles Consulting”

Amazon richtet bei AWS eine eigene FDE-Abteilung ein und nimmt dafür nach eigenen Angaben eine Milliarde US-Dollar in die Hand. Die FDEs sollen weltweit tätig werden, auch im deutschen Sprachraum, wie das Unternehmen gegenüber heise online bestätigt hat. Konkrete Angaben zur Gebührenstruktur macht Amazon bislang nicht. Sie soll sich jedoch auf „business outcomes and deliverables” konzentrieren, nicht auf verrechnete Mannstunden oder traditionelle Consulting-Vergütungen.

AWS FDE richtet sich an große Kunden, die über KI-Experimente hinaus sind und KI für echte Geschäftsprozesse einsetzen möchten. Der Datenkonzern verspricht, dass das FDE-System nicht auf Abhängigkeit, sondern auf Selbständigkeit der Kunden abstelle. Mit Fortschritt des jeweiligen Projekts würden die IT-Mitarbeiter des Kunden schrittweise von Beobachtern zu Teilnehmern und schließlich zu selbständigen Betreibern der KI-Agenten. Gleichzeitig

Erstkunden des FDE-Angebots sind den Angaben zufolge Ricoh, eine amerikanische Fluggesellschaft, zwei amerikanische Sportligen, Cox Automotive und das Allen Institute. Letzteres ist eine von Microsoft-Mitgründer Paul Allen und seiner Frau Jody gegründete neurowissenschaftliche Forschungseinrichtung.

(ds)