Die vorliegende Masterarbeit untersucht die datenschutzrechtlichen Konflikte zwischen der Europäischen Datenschutz-Grundverordnung (DSGVO), dem US-amerikanischen CLOUD Act sowie dem chinesischen Cybersicherheits- und Datenschutzrecht. Im Mittelpunkt steht die Frage, wie Unternehmen in einem globalisierten digitalen Umfeld mit divergierenden staatlichen Zugriffsbefugnissen, extraterritorialen Rechtsansprüchen und unterschiedlichen Anforderungen an Datenübermittlungen umgehen können.
Die Arbeit analysiert zunächst die jeweiligen Rechtsrahmen und identifiziert zentrale Konfliktlinien, die insbesondere bei internationalen Cloud-Services, konzerninternen Datenübermittlungen und staatlichen Auskunftsersuchen entstehen. Darauf aufbauend werden praxisrelevante Risiken für Unternehmen herausgearbeitet und anhand von Experteninterviews empirisch untermauert.
Abschließend entwickelt die Studie konkrete Strategien und Best Practices, mit denen Unternehmen datenschutzrechtliche Vorgaben harmonisieren und rechtliche Unsicherheiten reduzieren können – darunter technische, organisatorische und vertragliche Maßnahmen sowie übergeordnete völkerrechtliche Lösungsansätze. Die Arbeit leistet damit einen Beitrag zum besseren Verständnis globaler Datenschutzkonflikte und zeigt Wege auf, wie verantwortungsvolle Datenverarbeitung trotz widersprüchlicher internationaler Rechtsnormen möglich ist.
Inhaltsverzeichnis
- Disclaimer
- Danksagung
- Abstract
- Tabellenverzeichnis
- Abkürzungsverzeichnis
- 1 Einleitung
- 1.1 Problemstellung und Relevanz
- 1.2 Zielsetzung der Arbeit
- 1.3 Forschungsfragen
- 1.4 Aufbau der Arbeit
- 2 Methodik
- 2.1 Auswahl und Begründung des methodischen Vorgehens
- 2.2 Abgrenzung gegenüber alternativen Methoden
- 2.3 Quellenlage und Materialbasis
- 2.4 Methodenkritik und Grenzen
- 3 Rechtsrahmen im internationalen Datenschutz
- 3.1 Die Datenschutz-Grundverordnung (DSGVO)
- 3.1.1 Der Anwendungsbereich der DSGVO
- 3.1.2 Regelungen zur Datenübermittlung in Drittländer
- 3.1.3 Durchsetzungsmechanismen und Sanktionen
- 3.2 Der CLOUD Act der USA
- 3.2.1 Transatlantische Vorgeschichte
- 3.2.2 Zielsetzung
- 3.2.3 Extraterritoriale Wirkung
- 3.2.4 Rechtsfolgen im Falle einer Zuwiderhandlung
- 3.3 Das chinesische Datenschutzrecht
- 3.3.1 Rechtlicher Hintergrund und Zielsetzung
- 3.3.2 Anwendungsbereich und betroffene Unternehmen
- 3.3.3 Anforderungen an die Datenverarbeitung und -übermittlung
- 3.3.4 Durchsetzungsmechanismen und Sanktionen
- 3.4 Zusammenfassender Vergleich
- 3.1 Die Datenschutz-Grundverordnung (DSGVO)
- 4 Analyse zentraler Herausforderungen für Unternehmen
- 4.1 Normkollisionen und rechtliche Unsicherheit
- 4.1.1 EU vs. USA: DSGVO und CLOUD Act im Widerspruch
- 4.1.2 EU vs. China: Souveränitätsprinzip, Datenexporte und Zugriffsvorbehalte
- 4.1.3 USA vs. China: Zugriffskonflikte und digitale Machtprojektion
- 4.1.4 Europäische Zugriffsgesetze: Die E-Evidence-Verordnung als Spannungsquelle
- 4.2 Praktische Auswirkungen auf die Unternehmenspraxis
- 4.3 Erfahrungsberichte aus der Praxis (Experteninterviews) - Herausforderungen
- 4.4 Zusammenfassung der Zentralen Herausforderungen
- 4.1 Normkollisionen und rechtliche Unsicherheit
- 5 Strategien zur Harmonisierung
- 5.1 Ausgangslage und Zielsetzung
- 5.2 Rechtsrahmen und völkerrechtliche Lösungsansätze
- 5.2.1 Völkerrechtliche Prinzipien und bilaterale Abkommen
- 5.2.2 Multilaterale Standards und Rolle internationaler Organisationen
- 5.2.3 Bewertung der rechtlichen Harmonisierungsmöglichkeiten
- 5.3 Unternehmensstrategien zur Risikominimierung
- 5.3.1 Governance und Compliance
- 5.3.2 Technische Maßnahmen
- 5.3.3 Vertragsgestaltung und Auftragsverarbeitung
- 5.3.4 Internationale Kohärenz und Drittstaatenanforderungen
- 5.3.5 Strategische Dienstleisterwahl und Exit-Strategien
- 5.4 Praxisbeispiele und Expertenempfehlungen
- 5.4.1 Der Microsoft-Fall
- 5.4.2 Experteninterviews
- 5.5 Zusammenfassung der Strategien zur Risikominimierung
- 6 Forschungsergebnisse
- 6.1 Regulatorische Anforderungen und Konfliktlagen
- 6.2 Auswirkungen auf unternehmensinterne Prozesse
- 6.3 Identifizierte Strategien und Maßnahmen
- 7 Interpretation und Handlungsempfehlungen
- 7.1 Bewertung der Strategien im Lichte der Literatur
- 7.2 Grenzen der Harmonisierung
- 7.3 Handlungsempfehlungen für Unternehmen
- 8 Fazit und Ausblick
- 8.1 Zusammenfassung und Beantwortung der Forschungsfragen
- 8.2 Limitationen der Arbeit
- 8.3 Ausblick und zukünftiger Forschungsbedarf
- Literaturverzeichnis
- Anhang
- A. Hinweise zur Darstellung der Expertinnen- und Experteninterviews im Anhang
- A.1 Übersicht der geführten Interviews
- A.2 Interviewleitfaden A - DSGVO (EU-Perspektive)
- A.2.1 Experteninterview A
- A.3 Interviewleitfaden B - Cloud Act (US-Perspektive)
- A.3.1 Experteninterview B
- A.4 Interviewleitfaden C - PIPL & Co. (China-Perspektive)
- A.4.1 Experteninterview C
Zielsetzung & Themen
Diese Masterarbeit untersucht internationale Datenschutzkonflikte zwischen der Europäischen Union, den Vereinigten Staaten von Amerika und der Volksrepublik China, indem sie die datenschutzrechtlichen Konfliktlinien zwischen der Datenschutz-Grundverordnung (DSGVO), dem US-amerikanischen CLOUD Act und dem chinesischen Datenschutzrecht systematisch analysiert. Das primäre Ziel ist es, die praktischen Auswirkungen dieser Konflikte für international tätige Unternehmen mit Hauptsitz in der EU herauszuarbeiten und Strategien zur Harmonisierung und Risikominimierung zu identifizieren.
- Vergleichende Analyse der Rechtsrahmen: DSGVO, CLOUD Act und chinesisches Datenschutzrecht (PIPL, DSL, CSL).
- Identifikation struktureller Unterschiede, Überschneidungen und Konfliktpotenziale im internationalen Datenschutz.
- Analyse der praktischen Auswirkungen von Normkollisionen auf global agierende Unternehmen, insbesondere mit EU-Hauptsitz.
- Entwicklung und Bewertung von Strategien zur Harmonisierung datenschutzrechtlicher Konflikte und zur Minimierung rechtlicher Risiken.
- Einbeziehung praxisnaher Perspektiven durch leitfadengestützte Experteninterviews.
- Bewertung völkerrechtlicher Lösungsansätze und multilateraler Standards zur Konfliktentschärfung.
Auszug aus dem Buch
4.1.1 EU vs. USA: DSGVO und CLOUD Act im Widerspruch
In der rechtswissenschaftlichen Literatur wurde bereits umfassend die Problematik der Übermittlung personenbezogener Daten aus der EU in die USA behandelt. Dafür gibt es mehrere mögliche Erklärungen. Zum einen sind die EU und die USA jeweils die größten Handelspartner des anderen, was den Forschungsschwerpunkt nachvollziehbar macht. Zum anderen haben US-amerikanische Tech-Giganten die Datenökonomie über Jahre hinweg dominiert und dementsprechend verstärkte Aufmerksamkeit auf sich gezogen. Diese transatlantische Konstellation bildet daher den Ausgangspunkt für zahlreiche rechtliche und wirtschaftliche Spannungsfelder im internationalen Datenschutz. Besonders deutlich treten diese Konflikte dort zutage, wo sich extraterritoriale Anwendungsansprüche mit nationalen Zugriffsbefugnissen überschneiden, etwa im Verhältnis zwischen DSGVO und dem US-amerikanischen CLOUD Act.
Die extraterritoriale Anwendung datenschutzrechtlicher Normen durch die EU und die USA führt in der Unternehmenspraxis zu erheblichen Konflikten, insbesondere im Zusammenhang mit dem staatlichen Zugriff auf personenbezogene Daten. Die DSGVO erstreckt sich gemäß Art. 3 Abs. 2 auch auf außereuropäische Unternehmen, die Waren oder Dienstleistungen in der EU anbieten oder das Verhalten betroffener Personen beobachten. Damit beansprucht die Verordnung nicht nur räumlich, sondern auch inhaltlich eine weitreichende Wirkung über die Grenzen der Union hinaus. Die extraterritoriale Anwendung der DSGVO auf Datenverarbeitungen außerhalb der EU wird zunehmend als Ausdruck eines erweiterten unionsrechtlichen Schutzanspruchs verstanden. Dabei handelt es sich weniger um eine klassische Form extraterritorialer Jurisdiktion, sondern vielmehr um eine territoriale Erweiterung des Anwendungsbereichs, die durch die enge Verknüpfung internationaler Datenflüsse mit dem europäischen Binnenmarkt gerechtfertigt wird. Dieses Verständnis gründet auf dem in Art. 8 der Charta der Grundrechte der EU verankerten Recht auf Schutz personenbezogener Daten, das auch eine fortwirkende Schutzwirkung im Falle grenzüberschreitender Datenübermittlungen umfasst.
Zusammenfassung der Kapitel
Kapitel 1 (Einleitung): Erläutert die Problemstellung, Zielsetzung und die zugrundeliegenden Forschungsfragen der Arbeit.
Kapitel 2 (Methodik): Beschreibt die qualitative, analytische Vorgehensweise, die auf rechtsvergleichender Methodik und Experteninterviews basiert, sowie deren Grenzen.
Kapitel 3 (Rechtsrahmen im internationalen Datenschutz): Stellt die zentralen Inhalte und Besonderheiten der DSGVO, des CLOUD Act und des chinesischen Datenschutzrechts vor und vergleicht sie, um strukturelle Widersprüche zu identifizieren.
Kapitel 4 (Analyse zentraler Herausforderungen für Unternehmen): Analysiert Normkollisionen und praktische Auswirkungen der Regelwerke auf international tätige Unternehmen, ergänzt durch Einblicke aus Experteninterviews.
Kapitel 5 (Strategien zur Harmonisierung): Widmet sich bestehenden und potenziellen Strategien zur Bewältigung datenschutzrechtlicher Anforderungen, einschließlich technischer, organisatorischer und rechtlicher Maßnahmen.
Kapitel 6 (Forschungsergebnisse): Fasst die Ergebnisse der Analyse zusammen, indem regulatorische Anforderungen, Konfliktlagen und Auswirkungen auf unternehmensinterne Prozesse systematisch dargestellt werden.
Kapitel 7 (Interpretation und Handlungsempfehlungen): Interpretiert und bewertet die identifizierten Strategien im Licht der Literatur, zeigt Grenzen der Harmonisierung auf und leitet Handlungsempfehlungen für Unternehmen ab.
Kapitel 8 (Fazit und Ausblick): Zieht ein Fazit der Arbeit, beantwortet die Forschungsfragen, reflektiert Limitationen und gibt einen Ausblick auf zukünftigen Forschungsbedarf.
Schlüsselwörter
DSGVO, CLOUD Act, China, grenzüberschreitende Datenverarbeitung, Datenschutzkonflikte, Compliance, Datenlokalisierung, Souveränität, Rechtsunsicherheit, Risikominimierung, Experteninterviews, Datenschutz-Folgenabschätzung (TIA), Standardvertragsklauseln (SCCs).
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit untersucht internationale Datenschutzkonflikte zwischen der Europäischen Union, den Vereinigten Staaten von Amerika und der Volksrepublik China und analysiert Strategien zu deren Harmonisierung.
Was sind die zentralen Themenfelder?
Die zentralen Themenfelder sind der Vergleich der Rechtsrahmen von DSGVO, CLOUD Act und chinesischem Datenschutzrecht, die Auswirkungen auf international tätige Unternehmen, die Identifikation von Normkollisionen sowie die Entwicklung von Strategien zur Risikominimierung und Harmonisierung.
Was ist das primäre Ziel oder die Forschungsfrage?
Das primäre Ziel ist es, die datenschutzrechtlichen Konfliktlinien zwischen den drei genannten Rechtsordnungen systematisch zu analysieren und praktische Auswirkungen sowie Handlungsoptionen für EU-basierte Unternehmen herauszuarbeiten. Die zentralen Forschungsfragen adressieren konkrete Anforderungen, Auswirkungen auf Datenübermittlung und Compliance sowie Strategien zur Harmonisierung.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einem qualitativ-analytischen Vorgehen, das eine rechtsvergleichende Methodik mit empirisch gestützten Experteninterviews kombiniert.
Was wird im Hauptteil behandelt?
Der Hauptteil behandelt die detaillierte Vorstellung und den Vergleich der Rechtsrahmen (DSGVO, CLOUD Act, chinesisches Datenschutzrecht), die Analyse zentraler Herausforderungen und Normkollisionen für Unternehmen sowie die Darstellung und Bewertung von Strategien zur Harmonisierung und Risikominimierung.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird durch Schlüsselwörter wie DSGVO, CLOUD Act, China, grenzüberschreitende Datenverarbeitung, Datenschutzkonflikte, Compliance und Datenlokalisierung charakterisiert.
Welche grundlegenden Unterschiede bestehen zwischen den Datenschutzmodellen der EU, USA und China?
Die EU verfolgt ein grundrechtsbasiertes Datenschutzmodell (DSGVO), die USA prioritäten nationale Sicherheitsinteressen (CLOUD Act), während China ein staatszentriertes Modell mit strikten Lokalisierungspflichten und umfassenden staatlichen Zugriffsbefugnissen (PIPL, DSL, CSL) implementiert.
Warum stellt der US-amerikanische CLOUD Act ein besonderes Spannungsfeld zur DSGVO dar?
Der CLOUD Act verpflichtet US-Anbieter, Daten auch außerhalb der USA an US-Behörden herauszugeben, was im Widerspruch zu Art. 48 DSGVO steht, der die Offenlegung personenbezogener Daten gegenüber Drittstaaten ohne völkerrechtliche Grundlage untersagt.
Welche Rolle spielen Experteninterviews in dieser Arbeit und welche Erkenntnisse wurden daraus gewonnen?
Experteninterviews liefern praxisnahe Perspektiven zu datenschutzrechtlichen Herausforderungen und Lösungsansätzen, ergänzen die theoretische Analyse und zeigen auf, dass Unternehmen oft mit unvorhersehbaren rechtlichen Entwicklungen und der Komplexität internationaler Datenflüsse kämpfen.
Welche konkreten Handlungsempfehlungen werden Unternehmen zur Risikominimierung gegeben?
Empfohlen werden juristische Absicherungen (SCCs, TIA), technische Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Datenräume), organisationsinterne Governance und Schulungen, strategische Dienstleisterwahl sowie flexible Compliance-Strukturen für Drittstaatenanforderungen.
- Arbeit zitieren
- Büsra Gürbüz (Autor:in), 2025, Harmonisierung von Datenschutzkonflikten zwischen der DSGVO, dem CLOUD Act und dem chinesischen Datenschutzrecht, München, GRIN Verlag, https://www.grin.com/document/1676106
