Das Compliance-Paradox
Organisationen setzen Anonymisierungstools ein, um die GDPR-Compliance zu erreichen. Das Tool ist die technische Maßnahme gemäß Artikel 32, die persönliche Daten vor unbefugtem Zugriff schützt. Das Tool soll die Lösung sein. Aber wenn das Tool EU-Personenbezogene Daten auf Nicht-EU-Servern verarbeitet, verursacht das Tool selbst den Verstoß, den es verhindern sollte.
Die Geldstrafe der niederländischen Datenschutzbehörde im August 2024 in Höhe von 290 Millionen Euro gegen Uber – die zu diesem Zeitpunkt größte Geldstrafe wegen eines Verstoßes gegen die EU-Datenübertragung – war speziell für die Übertragung europäischer Fahrerdaten (Namen, Standortdaten, Zahlungsinformationen, Identitätsdokumente) auf die US-Server von Uber ohne angemessene GDPR Artikel 46-Schutzmaßnahmen. Die Übertragung war systematisch und fortlaufend. Das Ergebnis der DPA: Das Betriebsmodell von Uber, das auf US-Serverinfrastruktur zur Verarbeitung von EU-Fahrerdaten angewiesen war, war ein kontinuierlicher Verstoß gegen die GDPR.
Das Muster von Uber gilt auch für Anonymisierungstools: Ein in den USA ansässiges SaaS-Tool, das EU-Personenbezogene Daten auf US-Infrastruktur zur Verarbeitung erhält, beteiligt sich an derselben Art von Übertragung, für die die niederländische DPA Uber sanktioniert hat. Der Zweck (Anonymisierung statt Fahrtenmanagement) ändert die rechtliche Analyse nicht.
Die Anerkennung der DPO-Community
Die professionelle DPO-Community hat dieses Paradox seit dem Urteil Schrems II (2020), das den EU-US Privacy Shield für ungültig erklärte und feststellte, dass die US-Serverinfrastruktur presumptiv unzureichend für EU-Personenbezogene Datenübertragungen ohne zusätzliche Schutzmaßnahmen ist, mit zunehmender Häufigkeit signalisiert. Das Urteil Schrems II schuf die Analyse: Für jedes in den USA ansässige Tool, das EU-Personenbezogene Daten erhält, muss die Organisation die rechtliche Grundlage für die Übertragung dokumentieren.
Die kumulierten GDPR-Geldstrafen beliefen sich bis 2025 auf 5,65 Milliarden Euro (GDPR.eu). Verstöße gegen grenzüberschreitende Übertragungen belaufen sich jetzt im Durchschnitt auf 18 Millionen Euro pro Durchsetzungsmaßnahme (DLA Piper 2025). Der Durchsetzungsweg bedeutet, dass das Compliance-Paradox kein theoretisches Problem ist – es hat bedeutende Durchsetzungsmaßnahmen hervorgebracht und wird weiterhin bedeutende Durchsetzungsmaßnahmen produzieren.
Die EU-First-Architektur
Die Lösung erfordert entweder EU-basierte Serverinfrastruktur für die Anonymisierungsverarbeitung (die Daten verlassen niemals die EU) oder eine Zero-Knowledge-Architektur (keine personenbezogenen Daten erreichen den Server), oder beides.
Allein das Hosting in der EU – ein in den USA eingetragenes Unternehmen, das auf EU-Servern hostet – ist möglicherweise nicht ausreichend. Die Schrems II-Analyse gilt für US-Unternehmen, die den US-Überwachungsgesetzen unterliegen, unabhängig vom Serverstandort: FISA Abschnitt 702 und Exekutivverordnung 12333 gelten für US-Unternehmen und deren Tochtergesellschaften, was bedeutet, dass ein US-Elternunternehmen mit in der EU gehosteten Servern gezwungen werden kann, den Zugriff auf Daten zu gewähren, die auf diesen EU-Servern gespeichert sind.
Die Zero-Knowledge-Architektur beseitigt das Problem des Serverstandorts: Wenn keine personenbezogenen Daten den Server erreichen, ist die Gerichtsbarkeit des Servers irrelevant. Die anonymisierten Daten, die den Server erreichen – verschlüsselte Tokens, maskierte Werte, irreversibel transformierte Daten – sind keine personenbezogenen Daten gemäß GDPR und unterliegen nicht der Übertragungsanalyse.
Quellen:
- Niederländische DPA August 2024: 290 Millionen Euro Geldstrafe gegen Uber wegen Verstoßes gegen die EU-Datenübertragung
- DLA Piper 2025: Grenzüberschreitende GDPR-Verstöße belaufen sich im Durchschnitt auf 18 Millionen Euro pro Durchsetzungsmaßnahme
- GDPR.eu: Kumulative GDPR-Geldstrafen erreichen bis 2025 5,65 Milliarden Euro