Die DSGVO als Reaktion auf Snowden: Eine Theorie über symbolische Datensouveränität und ihre Grenzen -

Überwachung und Datenschutz

Eine Theorie der symbolischen Gegenwehr

Im Juni 2013 erschütterte Edward Snowden mit seinen Enthüllungen das Fundament des digitalen Vertrauens. Was folgte, war nicht nur ein politischer Skandal, sondern ein tektonisches Beben im Verhältnis zwischen Bürgern, Staaten und Technologiekonzernen. Die Reaktion der Europäischen Union ließ nicht lange auf sich warten: Die Datenschutz-Grundverordnung wurde mit neuem Nachdruck vorangetrieben und 2018 in Kraft gesetzt. Doch war diese Reaktion mehr als ein symbolischer Akt? Diese Analyse untersucht die These, dass die DSGVO zwar eine direkte Antwort auf die Snowden-Enthüllungen darstellt, ihre Wirksamkeit gegen globale Überwachung jedoch von Anfang an strukturell begrenzt war.

Juni 2013: Der Moment, in dem die Illusion zerbrach

Als Edward Snowden im Juni 2013 seine Identität preisgab, hatte er bereits Monate zuvor begonnen, Geheimdokumente der National Security Agency zu kopieren. Insgesamt sollen es 1,7 Millionen Dokumente gewesen sein, die er der Dokumentarfilmerin Laura Poitras und dem Guardian-Journalisten Glenn Greenwald übergab. Was diese Dokumente offenbarten, übertraf selbst die kühnsten Befürchtungen von Datenschützern.

Das PRISM-Programm ermöglichte der NSA direkten Zugriff auf die Server von Microsoft, Yahoo, Google, Facebook, Apple, Skype, YouTube und weiteren Tech-Giganten. Laut den Snowden-Dokumenten wurden allein im März 2013 97 Milliarden Datenpunkte aus weltweiten Computernetzwerken gesammelt. Das Programm XKeyscore erlaubte es NSA-Analysten, nahezu jeden Aspekt der Internetnutzung einer Person zu durchsuchen – E-Mails, Suchanfragen, besuchte Websites, soziale Medien.

Noch perfider: Das Programm “Muscular” zeigte, dass die NSA sich direkt in die firmeninternen Leitungen von Google und Yahoo gehackt hatte, um Daten abzufangen, bevor sie überhaupt verschlüsselt wurden. Die Geheimdienste zapften systematisch transatlantische Glasfaserkabel an. Das britische Pendant GCHQ betrieb mit “Tempora” ein noch umfassenderes Überwachungsprogramm, bei dem Tausende Deep Packet Inspection-Boxen an Internetknotenpunkten installiert wurden.

Deutschland gehörte zu den am intensivsten überwachten Ländern. Im März 2013 wurden über PRISM ähnlich viele Daten aus Deutschland gesammelt wie aus Saudi-Arabien, dem Irak oder China. Zwischen Dezember 2012 und Januar 2013 erfasste die NSA die Metadaten von 60 Millionen Telefonanrufen in Spanien, 70 Millionen in Frankreich. Selbst das Mobiltelefon von Bundeskanzlerin Angela Merkel wurde abgehört.

Die politische Reaktion: Empörung ohne Konsequenz

Die unmittelbare Reaktion der europäischen Politik war Empörung. Angela Merkels berühmter Satz “Abhören unter Freunden, das geht gar nicht” wurde zum geflügelten Wort. Doch auf die verbale Entrüstung folgten keine tatsächlichen Konsequenzen für die transatlantischen Beziehungen.

Als 2014 die Bundesregierung von der Opposition gedrängt wurde, Edward Snowden als Zeugen vor den NSA-Untersuchungsausschuss zu laden, lehnte sie dies mit Verweis auf “nationale Interessen” ab. Die USA hatten gedroht, Deutschland nicht mehr mit Informationen zur terroristischen Gefahrenabwehr zu versorgen. Das Bundesverfassungsgericht gab der Opposition zwar recht, dass Snowden eingeladen werden dürfe – die Bundesregierung tat es dennoch nie.

Noch absurder: Als der parlamentarische NSA-Untersuchungsausschuss 2015 bei der NSA-Zusammenarbeit des BND illegale Kooperationen aufdeckte, wurde das BND-Gesetz reformiert. Aber nicht so, wie man erwarten würde. Die enthüllten illegalen Tätigkeiten wurden nicht unterbunden, sondern legalisiert. Die Rechtsverstöße wurden einfach zu “keine Rechtsverstöße” umdefiniert, indem die Befugnisse des BND entsprechend ausgeweitet wurden.

Die politische Botschaft war klar: Europa war empört, aber nicht bereit, echte Konsequenzen zu ziehen, die das Verhältnis zu den USA hätten belasten können.

Der DSGVO-Beschleunigungseffekt: Wie Snowden ein sterbendes Gesetz wiederbelebte

Hier kommt die Datenschutz-Grundverordnung ins Spiel. Und ihre Geschichte ist aufschlussreich für das Verständnis, was die DSGVO wirklich ist – und was nicht.

Die Verhandlungen zur DSGVO hatten 2012 begonnen, also ein Jahr vor den Snowden-Enthüllungen. Doch bis 2013 standen sie vor dem Scheitern. Der Berichterstatter Jan Philipp Albrecht hatte einen datenschutzfreundlichen Entwurf vorgelegt, der vielen Akteuren zu weit ging. Die Internetwirtschaft hatte massive Lobbyanstrengungen in Bewegung gesetzt, um die Reform abzuschwächen oder zu verhindern. Die Verhandlungen hatten sich festgefahren.

Dann kam Snowden. Und alles änderte sich.

Die öffentliche Empörung über die anlasslose Massenüberwachung sorgte dafür, dass das Europäische Parlament der Datenschutzaufsicht plötzlich ein wirksames Sanktionsinstrumentarium an die Hand gab. Ohne Edward Snowden wäre die DSGVO vermutlich ein zahnloses Regelwerk geblieben. Nach einer antiamerikanischen Empörungswelle verhandelten die EU-Parlamentarier die DSGVO 2013 zügig fertig und verschärften sie sogar. Ende 2015 einigten sich Mitgliedstaaten, Kommission und Parlament auf die Reform.

Die Entstehung der Datensouveränität als juristisches Konzept auf globaler Ebene kann auf das PRISM-Programm zurückgeführt werden. Europa wollte ein Signal setzen: Die Daten europäischer Bürger sollten nicht länger schutzlos amerikanischen Geheimdiensten und Technologiekonzernen ausgeliefert sein.

Die DSGVO als symbolische Antwort: Starke Regeln, schwache Durchsetzung

Die DSGVO, die am 25. Mai 2018 in Kraft trat, ist ohne Zweifel ein ambitioniertes Regelwerk. Sie etabliert strenge Grundsätze für die Verarbeitung personenbezogener Daten, gibt Betroffenen umfangreiche Rechte und ermöglicht Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro.

Auf dem Papier ist die DSGVO ein mächtiges Instrument. In der Praxis zeigt sich jedoch ein anderes Bild. Ein strukturelles Problem wird dabei besonders deutlich: Die DSGVO regelt die Datenverarbeitung durch Unternehmen und öffentliche Stellen. Sie regelt nicht die Befugnisse von Geheimdiensten.

Wie Datenschutzexperten betonen: “Die Datenschutz-Grundverordnung wird niemanden wirksam vor den von Edward Snowden enthüllten Überwachungsprogrammen schützen. Die einzige Möglichkeit, das zu tun, wäre direkt die Gesetze anzugehen, die die Kompetenzen der Geheimdienste regeln.”

Die DSGVO ist eine Laterne, die überall leuchtet – nur nicht dort, wo Snowden seine Erkenntnisse gemacht hat. Sie wird keine Einschränkung von PRISM erzwingen können. Sie wird XKeyscore nicht aufhalten. Sie wird nicht verhindern, dass Unterseekabel angezapft werden.

Der fundamentale Widerspruch: US-Cloud Act gegen DSGVO

Und dann kam 2018 – im selben Jahr, in dem die DSGVO in Kraft trat – ein weiterer Schlag gegen jede Illusion von Datensouveränität: Der US-Cloud Act.

Der Clarifying Lawful Overseas Use of Data (CLOUD) Act wurde am 23. März 2018 verabschiedet, wenige Wochen vor Inkrafttreten der DSGVO. Dieser zeitliche Zusammenhang ist kein Zufall. Der Cloud Act entstand als Reaktion auf einen Rechtsstreit zwischen Microsoft und der US-Regierung. Die Frage war: Muss Microsoft Kundendaten, die auf Servern in Irland gespeichert sind, ohne gerichtlichen Beschluss an US-Behörden herausgeben?

Die Antwort des Cloud Act: Ja. Denn Microsoft ist ein US-Unternehmen, unabhängig davon, wo die Server stehen.

Der Cloud Act ermächtigt US-Behörden, von amerikanischen Kommunikations- und Cloud-Dienstleistern die Herausgabe von Daten zu verlangen, die sich in deren Besitz, Obhut oder Kontrolle befinden – unabhängig vom physischen Speicherort der Daten. Auch wenn die Daten in europäischen Rechenzentren liegen, können US-Behörden deren Herausgabe erzwingen, solange der Anbieter oder dessen Mutterkonzern US-amerikanisch ist.

Dies steht in direktem Widerspruch zur DSGVO, insbesondere zu Artikel 48, der vorsieht, dass Datenübermittlungen in Drittländer nur auf Grundlage internationaler Abkommen oder Rechtshilfeverträge erfolgen dürfen. Der Cloud Act umgeht diese Regelungen vollständig.

Die Zwickmühle europäischer Unternehmen

Für europäische Unternehmen, die Cloud-Dienste von US-Anbietern nutzen, entsteht dadurch ein unlösbares Dilemma:

Erfüllen sie eine Anforderung nach dem Cloud Act, verstoßen sie gegen die DSGVO. Der Europäische Datenschutzausschuss hat klargestellt: Eine Herausgabe personenbezogener Daten allein auf Grundlage von behördlichen Aufforderungen aus den USA auf Basis des Cloud Act ist in der Regel unzulässig. Ein Verstoß gegen Artikel 48 DSGVO kann mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden.

Verweigern sie die Herausgabe, verstoßen sie gegen US-Recht und riskieren rechtliche Konsequenzen in den USA.

US-Tochtergesellschaften europäischer Unternehmen befinden sich in einer besonders absurden Situation: Sie müssen Anfragen der US-Mutter grundsätzlich ablehnen, solange diese nicht nach Artikel 48 DSGVO zulässig sind. Gleichzeitig kann die Muttergesellschaft in den USA dazu gezwungen werden, auf die Daten zuzugreifen.

Microsoft hat bestätigt, dass das Unternehmen nicht ausschließen kann, zur Herausgabe von Daten gezwungen zu werden – auch wenn diese in Europa gespeichert sind. Die Beachtung europäischer Gesetze wie der DSGVO tritt aus amerikanischer Sicht hinter das nationale Recht der USA zurück.

Die Illusion der Datenlokalisierung

Ein häufiges Missverständnis lautet: “Wenn die Daten in europäischen Rechenzentren liegen, sind sie sicher vor dem Cloud Act.” Das ist falsch.

Wie Experten betonen: “Entscheidend ist nicht der Speicherort, sondern die Gerichtsbarkeit des Unternehmens.” US-Firmen wie Microsoft, Google oder Amazon bleiben dem US-Recht unterworfen – auch mit EU-Datenzentren.

Der Cloud Act macht den Serverstandort als Schutzfaktor obsolet. Die reine Lokalisierung der Rechenzentren in der EU reicht nicht aus. Der entscheidende Faktor ist die rechtliche Kontrolle über das Unternehmen, das die Daten verarbeitet.

Selbst sogenannte “EU Sovereign Cloud”-Angebote großer US-Konzerne bieten keinen vollständigen Schutz, solange die zugrundeliegende Unternehmensstru ktur US-amerikanisch bleibt. Ein Rechtsgutachten der Universität zu Köln im Auftrag des Bundesinnenministeriums bestätigte 2024/2025: US-Behörden verfügen über weitreichende, extraterritoriale Zugriffsrechte auf Daten, die die Grundprinzipien der EU-Datensouveränität fundamental untergraben – unabhängig vom physischen Speicherort.

Die begrenzte Wirksamkeit: Schrems II und seine Folgen

Die Problematik zeigte sich besonders deutlich im Schrems-II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020. Der EuGH erklärte das Privacy Shield-Abkommen zwischen der EU und den USA für ungültig, weil es keinen ausreichenden Schutz vor dem Zugriff US-amerikanischer Behörden bietet.

Das Urteil war ein Erfolg für den Datenschutz – und gleichzeitig ein Eingeständnis der Ohnmacht. Denn es änderte nichts an den faktischen Zugriffsrechten der USA. Es machte lediglich deutlich, dass die bisherigen rechtlichen Konstruktionen nicht funktionieren.

Sieben Jahre nach Inkrafttreten der DSGVO ist die Bilanz ernüchternd. Nur 12 Prozent der Deutschen haben den Eindruck, dass ihre Daten heute besser geschützt sind als vor 2018. Besonders kritisch wird die Umsetzung bei US-Plattformen gesehen: Nur 8 Prozent finden, dass Dienste wie Google, Facebook, Instagram oder Amazon seit der Einführung der DSGVO besser mit den Daten ihrer Nutzer umgehen.

Drei Viertel der Bevölkerung machen sich weiterhin Sorgen, dass Geheimdienste auf ihre persönlichen Daten im Internet zugreifen und sie auswerten. An der umfassenden Überwachungsstrategie hat sich vermutlich wenig geändert – aber den Geheimdiensten stehen heute durch KI völlig neue technische Möglichkeiten zur Verfügung, um immer größere Datenmengen immer detaillierter auszuwerten.

Die strukturellen Grenzen der DSGVO

Die DSGVO hat durchaus Erfolge zu verzeichnen. Europäische Aufsichtsbehörden verhängten 2022 Bußgelder in Höhe von insgesamt 1,6 Milliarden Euro. Die DSGVO hat sich weltweit als Referenzmodell etabliert – kalifornische, brasilianische und indische Datenschutzgesetze orientieren sich an ihr.

Aber in Bezug auf das Kernproblem, das Snowden aufgedeckt hat – die systematische Massenüberwachung durch Geheimdienste und deren Zugriff auf Daten über US-Technologiekonzerne – bleibt die DSGVO weitgehend wirkungslos.

Die Gründe sind strukturell:

Jurisdiktionelle Grenzen: Die DSGVO ist EU-Recht. Sie kann nicht regeln, was US-Behörden tun dürfen. Solange Geheimdienste auf Grundlage nationaler Gesetze handeln, bleiben sie außerhalb der Reichweite der DSGVO.
Durchsetzungsprobleme: Auch wenn die DSGVO Bußgelder gegen Unternehmen verhängen kann, die unrechtmäßig Daten weitergeben – wenn ein Unternehmen nach dem Cloud Act zur Weitergabe gezwungen wird, hilft das den Betroffenen nicht.
Informationsasymmetrie: Der Cloud Act erlaubt “gag orders”, die Unternehmen verbieten, über Datenanfragen zu informieren. Betroffene erfahren oft nie, dass ihre Daten herausgegeben wurden.
Marktmacht: Die dominierenden Cloud-Anbieter (AWS, Microsoft Azure, Google Cloud) sind alle amerikanisch. Europäische Alternativen existieren, haben aber nur einen Bruchteil des Marktanteils.

Die Theorie der symbolischen Datensouveränität

Zusammengenommen ergibt sich folgendes Bild:

Die Snowden-Enthüllungen offenbarten, dass die USA und ihre Verbündeten systematisch weltweite Kommunikation überwachen und gezielt Sicherheitslücken in Hardware und Software ausnutzen, um Backdoors einzurichten. Die Europäische Union reagierte darauf mit der Verschärfung und Beschleunigung der DSGVO.

Diese Reaktion war politisch notwendig. Europa musste zeigen, dass es nicht tatenlos zusieht, wie die Daten seiner Bürger ausgespäht werden. Die DSGVO war eine symbolische Demonstration von Datensouveränität – der Versuch, durch rechtliche Regulierung einen Schutzraum zu schaffen.

Aber diese Schutzwirkung bleibt strukturell begrenzt, weil:

Der US-Cloud Act und andere nationale Gesetze weiterhin amerikanischen Unternehmen erlauben, auf Daten weltweit zuzugreifen, unabhängig vom Speicherort
Die DSGVO keine Handhabe gegen Geheimdienste hat
Die Marktdominanz US-amerikanischer Tech-Konzerne Alternativen erschwert
Geheimdienstliche Überwachung durch internationale Abkommen legitimiert wird

Die DSGVO stellt also eine rechtlich verbindliche Reaktion dar. Sie hat den Datenschutz in Europa gestärkt, Standards gesetzt und Bewusstsein geschaffen. Aber ihre Wirksamkeit im globalen Kontext der Überwachung bleibt eingeschränkt – nicht weil die Regeln schwach wären, sondern weil die Machtverhältnisse dies so erzwingen.

Was hätte Europa anders machen können?

Aus der Perspektive eines Datenschützers stellt sich die Frage: Was wären die Alternativen gewesen?

1. Echte digitale Souveränität durch eigene Infrastruktur

Europa hätte massiv in den Aufbau eigener Cloud-Infrastruktur und Tech-Konzerne investieren können. Projekte wie Gaia-X sollten dies leisten, blieben aber hinter den Erwartungen zurück. Ohne eigene technologische Basis bleibt Europa abhängig.

2. Härtere Konsequenzen für US-Unternehmen

Die DSGVO hätte US-Cloud-Dienste, die dem Cloud Act unterliegen, grundsätzlich für unzulässig erklären können. Das wäre rechtlich konsequent gewesen – aber politisch und wirtschaftlich kaum durchsetzbar.

3. Diplomatischer Druck

Europa hätte die Snowden-Affäre nutzen können, um auf ein verbindliches transatlantisches Datenschutzabkommen zu drängen, das die Rechte europäischer Bürger wirklich schützt. Stattdessen wurden symbolische Abkommen wie Privacy Shield geschlossen, die der EuGH später kassierte.

4. Schutz für Whistleblower

Europa hätte Edward Snowden Asyl gewähren können. Das wäre das klarste Signal gewesen: Wir stehen für Transparenz und Grundrechtsschutz. Stattdessen wurde Snowden nach Russland gedrängt – eine moralische Bankrotterklärung.

Die heutige Realität: Resignation oder Widerstand?

Zehn Jahre nach Snowden zeigt sich: Die Überwachung ist nicht weniger geworden, sie ist nur sophistizierter. Künstliche Intelligenz ermöglicht die Auswertung von Datenmengen, die 2013 noch Science-Fiction waren. Die Geschäftsmodelle der Tech-Konzerne basieren weiterhin auf maximaler Datenextraktion.

Aber es gibt auch Erfolge:

Verschlüsselung ist zum Standard geworden. Bereits 2014 hatte sich der verschlüsselte Webtraffic verdoppelt, bis 2019 waren etwa 75 Prozent des globalen Webtraffics verschlüsselt.
Tools wie Signal, Tor und Tutanota haben durch die Snowden-Leaks einen enormen Aufschwung erlebt.
Das Bewusstsein für Datenschutz ist gestiegen.
Die DSGVO hat einen globalen Goldstandard gesetzt.

Edward Snowden selbst äußerte sich kritisch zum Geschäftsmodell von Amazon, Google und Facebook: “Ihr Geschäftsmodell ist Missbrauch. Wir haben ein System etabliert, das die Bevölkerung zum Wohle der Privilegierten verwundbar macht.”

Fazit: Eine wichtige, aber unvollständige Antwort

Die These, dass die DSGVO eine direkte Reaktion auf die Snowden-Enthüllungen war, lässt sich empirisch belegen. Ohne Snowden wäre die DSGVO wahrscheinlich gescheitert oder verwässert worden. Die Empörung über die Massenüberwachung gab dem europäischen Datenschutz die notwendige politische Legitimation.

Die These, dass die DSGVO eine symbolische Demonstration von Datensouveränität darstellt, ist ebenfalls plausibel. Europa wollte zeigen: Wir lassen uns nicht alles gefallen. Wir setzen eigene Standards.

Die These, dass die Schutzwirkung der DSGVO gegen geheimdienstliche Überwachung strukturell begrenzt bleibt, ist die ernüchternde Wahrheit. Solange amerikanische Gesetze wie der Cloud Act amerikanischen Unternehmen extraterritoriale Zugriffsrechte gewähren, solange Europa technologisch abhängig bleibt, solange Geheimdienste außerhalb demokratischer Kontrolle operieren – solange bleibt die DSGVO eine wichtige, aber unvollständige Antwort.

Die DSGVO schützt europäische Bürger besser vor Datenmissbrauch durch Unternehmen. Sie schafft Transparenz, gibt Betroffenenrechte und ermöglicht Sanktionen. Aber vor der systematischen Überwachung durch Geheimdienste, vor dem Cloud Act, vor den Machtstrukturen der globalen Überwachungsarchitektur – davor kann sie nur begrenzt schützen.

Als Datenschützer und Journalist muss man dies klar benennen. Nicht um die DSGVO zu diskreditieren, sondern um ehrlich zu sein: Der Kampf für echte Datensouveränität und gegen Massenüberwachung ist noch lange nicht gewonnen. Die DSGVO war ein wichtiger Schritt. Aber sie war nicht der letzte.

Europa steht vor der Wahl: Entweder akzeptiert es die anhaltende Abhängigkeit und beschränkt sich auf symbolische Regulierung. Oder es investiert massiv in technologische Souveränität, erzwingt härtere Konsequenzen für Datentransfers in Drittstaaten und erkämpft sich echte digitale Selbstbestimmung.

Die Snowden-Enthüllungen haben gezeigt, was auf dem Spiel steht. Die DSGVO hat gezeigt, dass Europa handeln kann. Jetzt muss Europa zeigen, ob es auch den Mut hat, diesen Kampf wirklich zu Ende zu führen.

Weiterführende Quellen:

DSGVO Snowden NSA Cloud Act Datenschutz Überwachung Datensouveränität