OpenAI, das Pentagon und der Zugriff auf deine Daten
Seit März 2026 kooperiert OpenAI offiziell mit dem US-Verteidigungsministerium – und stellt damit erneut die Frage: Wie sicher sind Daten von Nicht-US-Bürgern bei US-KI-Diensten wie ChatGPT? Zwar betont der Deal, dass die Technologie nicht für inländische Massenüberwachung genutzt werden darf. Doch für Nutzer:innen außerhalb der USA ändert der Vertrag nichts an den bestehenden Risiken. US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der CLOUD Act ermöglichen Behörden weiterhin den Zugriff auf Chats, Metadaten und IP-Adressen – ohne richterliche Kontrolle, ohne konkreten Verdacht und ohne Benachrichtigung der Betroffenen.
Der öffentlich bekannte Vertrag regelt primär die Nutzung der KI-Technologie für Analyse- und Sicherheitszwecke (z. B. Cybersicherheit). Er erlaubt keine neuen Rechte zum Datenzugriff, bestätigt aber, dass OpenAI – wie alle US-Unternehmen – an FISA und den CLOUD Act gebunden bleibt. Das bedeutet: Daten von Nicht-US-Bürgern können weiterhin auf Basis dieser Gesetze angefordert werden, sobald ein „nationaler Sicherheitszweck“ geltend gemacht wird. Die nachträglich eingefügten Schutzklauseln gelten nur für US-Bürger und ändern nichts an der Rechtslage für Ausländer:innen.
Wie US-Recht und Pentagon-Verträge deine Daten schutzlos stellen
Fourth Amendment (Vierter Verfassungszusatz der USA):
Der Fourth Amendment (Vierter Verfassungszusatz der USA) schützt ausschließlich US-Bürger vor willkürlicher Überwachung – für Nicht-US-Bürger:innen gilt dieser Schutz nicht. Stattdessen ermöglicht FISA Section 702 die anlasslose Erfassung von Daten, sobald ein vager Bezug zu „ausländischer Aufklärung“ (z. B. „internationaler Terrorismus“ oder „Spionage“) behauptet wird. Die Definitionen sind extrem dehnbar: Kein individueller Verdacht und keine richterliche Vorabkontrolle sind erforderlich. Das Foreign Intelligence Surveillance Court (FISC) genehmigt jährlich pauschale Sammelbefugnisse, die es US-Behörden erlauben, Kommunikationsdaten (Chats, Metadaten, E-Mails) von Ausländern zu erfassen, wenn ein „ausländischer Nachrichtendienstzweck“ konstruiert wird. US-Unternehmen wie OpenAI müssen diesen Anfragen nachkommen und dürfen Betroffene nicht informieren. Ergänzend zwingt der CLOUD Act (2018) zur Herausgabe von Daten – auch dann, wenn sie auf Servern im Ausland (z. B. in der EU) gespeichert sind, selbst wenn dies lokalen Datenschutzgesetzen wie der DSGVO widerspricht. In der Praxis bedeutet das: Sobald US-Behörden einen „nationalen Sicherheitszweck“ geltend machen, sind Daten von Nicht-US-Bürgern faktisch frei zugänglich – ohne Transparenz, ohne rechtliche Handhabe und ohne Möglichkeit zur Gegenwehr.Foreign Intelligence Surveillance Act (FISA, 1978):
FISA Section 702 erlaubt US-Behörden die geheime und anlasslose Überwachung von Nicht-US-Bürger:innen, wenn ein Bezug zu „ausländischer Aufklärung“ (z. B. „internationaler Terrorismus“, „Spionage“ oder „Cyberangriffe“) behauptet wird – ohne individuellen Verdacht oder richterliche Einzelfallprüfung. Unternehmen wie OpenAI müssen auf solche Anfragen reagieren, dürfen Betroffene nicht informieren und haben keine rechtliche Handhabe, sich zu wehren. Die Definition einer „Bedrohung der nationalen Sicherheit“ ist absichtlich vage und wird in der Praxis oft politisch oder strategisch ausgelegt: So reichen bereits indirekte Verbindungen zu „foreign powers“ oder „foreign intelligence information“, um Zugriffe zu rechtfertigen. Das Foreign Intelligence Surveillance Court (FISC) genehmigt diese Sammelbefugnisse jährlich im Voraus – ohne dass konkrete Ziele oder Verdachtsmomente vorliegen müssen. Kritiker wie die Electronic Privacy Information Center (EPIC) weisen darauf hin, dass diese Praxis Massenüberwachung ermöglicht, während US-Unternehmen aufgrund des CLOUD Act selbst Daten aus EU-Servern herausgeben müssen, sobald die US-Regierung einen „ausländischen Nachrichtendienstzweck“ geltend macht.National Security Act & DoD-Direktiven:
Diese Gesetze und internen Direktiven geben US-Geheimdiensten wie NSA und CIA weitreichende Befugnisse, Daten weltweit zu sammeln und auszuwerten – ohne transparente rechtliche Grenzen oder unabhängige Aufsicht. Die formulierte Einschränkung, dass Maßnahmen einen „definierten ausländischen Nachrichtendienstzweck“ („foreign intelligence purpose“) erfüllen müssen, ist in der Praxis keine Hürde: Da Begriffe wie „nationale Sicherheit“ oder „ausländische Bedrohung“ absichtlich vage definiert sind, lassen sich fast alle Datenabfragen damit rechtfertigen. Besonders bei Nicht-US-Bürgern reicht bereits der Verdacht einer indirekten Verbindung zu „foreign powers“ oder „internationalem Terrorismus“, um Überwachungsmaßnahmen zu legitimieren. Die geheime Durchführung und das Fehlen einer unabhängigen Kontrolle (z. B. durch Gerichte oder öffentliche Aufsichtsgremien) machen Missbrauch praktisch unmöglich nachweisbar. Selbst der US-Kongress erhält nur eingeschränkte Einblicke – geschweige denn Betroffene oder die ÖffentlichkeitOpenAIs Vertrag mit dem Pentagon:
Der öffentlich einsehbare Deal regelt ausschließlich die Nutzung von OpenAIs KI-Technologie für militärische Analyse- und Sicherheitszwecke (z. B. Cybersicherheit oder Logistikunterstützung) – nicht jedoch den Zugriff auf Nutzerdaten. Der Vertrag schafft keine neuen Rechtsgrundlagen für Überwachung, bestätigt aber ausdrücklich, dass OpenAI als US-Unternehmen an bestehende Gesetze wie FISA Section 702 und den CLOUD Act gebunden bleibt. Praktisch bedeutet das: Daten von Nicht-US-Bürgern können weiterhin auf Basis dieser Gesetze angefordert werden, sobald US-Behörden einen „nationalen Sicherheitszweck“ geltend machen. Die nachträglich eingefügte Klausel „consistent with applicable laws“ (inkl. FISA) unterstreicht, dass OpenAI kooperieren muss, wenn Behörden einen solchen Zweck behaupten – ohne dass der Deal selbst die rechtlichen Hürden für Datenzugriffe verändert. Wichtig: Die im Vertrag genannten „safeguards“ gelten nur für US-Bürger; für Ausländer ändert sich nichts an den Risiken durch FISA oder den CLOUD Act. Selbst der explizite Ausschluss von „domestic surveillance“ betrifft nicht die Überwachung von Nicht-US-Personen.
Was das konkret für Nicht-US-Bürger bedeutet:
Die Rechtslage ist eindeutig: Deine Daten (Chats, Metadaten, IP-Adressen) unterliegen keinem Schutz und können jederzeit an US-Behörden weitergegeben werden – ohne deinen Wissen oder deiner Zustimmung. OpenAI ist gesetzlich verpflichtet, FISA-Anfragen geheim zu halten und darf dich nicht warnen, selbst wenn es wollte. Die US-Regierung legt eigenmächtig fest, was als „nationaler Sicherheitszweck“ gilt – ein Begriff, der absichtlich so vage definiert ist, dass selbst Journalist:innen, Aktivist:innen oder normale Nutzer:innen ins Visier geraten können, besonders wenn sie aus Ländern stammen, die die USA als „problemisch“ einstuft, oder Themen behandeln, die als „unliebsam“ gelten (z. B. Kritik an US-Politik, Whistleblowing oder Menschenrechtsfragen).
Wie alle US-Tech-Konzerne (Google, Microsoft, Meta) muss OpenAI auf rechtlich bindende Anfragen nach FISA oder dem CLOUD Act reagieren – der Pentagon-Vertrag ändert daran nichts. Als US-Unternehmen hat OpenAI keine rechtliche Möglichkeit, solche Anfragen abzulehnen. Daten von Nicht-US-Bürgern sind damit faktisch frei zugänglich, sobald Behörden einen „ausländischen Nachrichtendienstzweck“ behaupten. Betroffene erfahren nie von der Weitergabe, und OpenAI darf sie nicht informieren. Die Kombination aus FISA Section 702, CLOUD Act und den DoD-Richtlinien schafft ein System, in dem Transparenz fehlt, Kontrollmechanismen nicht greifen und Betroffene keine Handhabe gegen den Zugriff haben.
Fazit: Datenschutz bei US-KI-Diensten ist für Nicht-US-Bürger eine Illusion
Die aktuelle Rechtslage – geprägt durch FISA Section 702, den CLOUD Act und die Richtlinien des US-Verteidigungsministeriums – beweist: Für Nutzer:innen außerhalb der USA existiert kein wirksamer Schutz vor dem Zugriff US-amerikanischer Geheimdienste auf ihre Daten. Diese Gesetze ermöglichen einen intransparenten, fast unbegrenzten Datenabgriff, gestützt auf vage Begriffe wie „nationale Sicherheit“, die willkürlich ausgelegt werden. OpenAIs Vertrag mit dem Pentagon bestätigt diese Praxis: Daten von Nicht-US-Bürgern bleiben für US-Behörden leicht zugänglich, ohne dass Betroffene davon erfahren oder sich wehren könnten.
Für Unternehmen und Privatpersonen in der EU hat das konkrete Konsequenzen:
- Sensible Daten (z. B. interne Kommunikation, Projektinhalte, personenbezogene Informationen) sind bei der Nutzung US-amerikanischer KI-Dienste nicht vor staatlicher Überwachung sicher.
- Compliance-Risiken drohen, wenn Daten nach DSGVO besonders geschützt werden müssen, US-Recht (FISA/CLOUD Act) aber Zugriffe erlaubt – selbst bei Speicherung auf EU-Servern.
- Der EU-US Data Privacy Framework (2023), der Datentransfers in die USA erleichtern soll, löst das Problem nicht: Er erlaubt zwar die Übermittlung personenbezogener Daten, bietet aber keinen Schutz vor FISA-Zugriffen. Datenschutzbehörden wie der Europäische Datenschutzausschuss (EDSA) und NGOs (z. B. EPIC) kritisieren, dass der Framework die Massenüberwachung durch US-Geheimdienste nicht wirksam einschränkt. Für EU-Unternehmen bleibt die Nutzung US-amerikanischer KI-Dienste damit ein DSGVO-Risiko – besonders bei sensiblen Daten wie Gesundheitsdaten, Kundenkommunikation oder internen Dokumenten
Um Datensouveränität zu wahren, sollten Unternehmen und Privatpersonen auf europäische KI-Lösungen (z. B. Mistral AI, Lumo von Proton) oder lokal gehostete Open-Source-Modelle ausweichen. Diese unterliegen nicht US-Recht und bieten nachweisbar mehr Kontrolle über die Verarbeitung personenbezogener Daten. Wer rechtliche Sicherheit und Transparenz priorisiert, sollte US-KI-Dienste kritisch prüfen – oder auf Anbieter setzen, die technisch und rechtlich außerhalb des Einflussbereichs US-amerikanischer Geheimdienste operieren.