US-Exit? Dem US-EU Data Privacy Framework droht das Aus

US-Präsident Donald Trump hat nicht erst mit seiner Zollpolitik Maßnahmen ergriffen, die Auswirkungen auf die europäische Wirtschaft haben. Insbesondere der rechtssichere Datentransfer zwischen der EU und den USA wankt – das Data Privacy Framework (DPF) droht wegzubrechen.

Status Quo Datenübermittlung in die USA: das Data Privacy Framework

Im Juli 2023 trat das Data Privacy Framework auf Grundlage der Executive Order 14086 des ehemaligen US-Präsidenten Joe Biden in Kraft – und bildete die Basis einer angemessenen Datenübermittlung zwischen der EU und den USA. Dieser Beschluss veranlasste die EU-Kommission in einem weiteren Angemessenheitsbeschluss dazu, den USA ein Datenschutzniveau zu bescheinigen, das dem der EU entspricht.

Die aktuelle Rechtsgrundlage für die Übermittlung und den Schutz personenbezogener Daten in die USA droht nun jedoch wegzubrechen.

Unter anderem beschloss Donald Trump am 20. Januar 2025, alle Executive Orders der Biden-Administration innerhalb einer Frist von 45 Tagen zu überprüfen und gegebenenfalls aufzuheben. Die Frist ist inzwischen zwar abgelaufen – ein Fortbestehen der Executive Order ist dadurch jedoch nicht garantiert.

Ein weiteres zentrales Element für die Angemessenheitsentscheidung ist die Einrichtung des „Privacy and Civil Liberties Oversight Board“ (PCLOB). Dies ist ein unabhängiges Aufsichtsgremium, welches eine unabhängige Kontrolle über die Überwachungstätigkeiten der US-Regierung ausüben und die Einhaltung der von der EU geforderten Schutzmechanismen gewährleisten sollte. Insbesondere spielt es eine entscheidende Rolle bei der Einhaltung des Data Privacy Frameworks, indem es Beschwerden europäischer Bürger zu Datenschutzverletzungen prüft.

Medienberichten zufolge wurden jedoch die demokratischen Mitglieder aus diesem Gremium entlassen, wodurch das Gremium seine Beschlussfähigkeit einbüßte. Das PCLOB, ein zentrales Element, um rechtsstaatliche Kontrolle zu gewährleisten, ist damit faktisch handlungsunfähig. Aktuell ist unklar, ob neue Mitglieder nachnominiert werden. Somit sind die USA ohne ein funktionierendes Aufsichtsorgan nicht in der Lage nachzuweisen, dass ihre Überwachungsmethoden mit den Vorgaben der EU bzgl. Datenschutzstandard übereinstimmen. Womöglich besiegelt dies das endgültige Aus des DPF bei einer anstehenden Überprüfung.

Weiterhin verfügte Donald Trump mit einem Erlass vom 18.02.2025 („Ensuring Accountability for All Agencies“), dass unabhängige Behörden wie die Handelsaufsicht FTC (Federal Trade Commission) wichtige Entscheidungen durch das Weiße Haus überprüfen lassen müssen. Dies führt zu weiteren Rechtsunsicherheiten.

Juristische Reaktionen der EU

Unabhängig von den beschriebenen Entwicklungen hat der Angemessenheitsbeschluss der EU-Kommission zunächst Bestand. Er entfällt erst, wenn er von der EU-Kommission aufgehoben oder vom EuGH für unwirksam erklärt wird – beides ist bisher nicht geschehen.

Nach Art. 45 Abs. 4 DSGVO ist die EU-Kommission verpflichtet, die Entwicklungen in Drittländern zu überwachen, die den Angemessenheitsbeschluss und damit das DPF beeinflussen könnten.

Es mehren sich jedoch die Stimmen, die das EU-US Data Privacy Framework für nicht (mehr) datenschutzkonform halten und eine gerichtliche Klärung durch den EuGH anstreben.

Was Unternehmen jetzt konkret tun sollten

Abwarten ist keine Option. Auch wenn das Data Privacy Framework formal noch gilt, braucht es vorbereitende Schritte, wenn Unternehmen nach wie vor personenbezogene Daten auf Grundlage des DPF in die USA übermitteln. Die meisten Informationen zur Bewertung der Situation sollten ohnehin vorliegen.

• Prüfen Sie anhand Ihres Verarbeitungsverzeichnisses, welche Daten in die USA übermittelt werden.
• Prüfen Sie, welche Tools und Dienstleister im Einsatz sind, die sich auf das DPF als Grundlage für die Datenübertragung beziehen.
• Wägen Sie ab, ob ein Wechsel des Dienstleisters / Tools hin zu einer europäischen Alternative möglich erscheint.
• Prüfen Sie, ob mit US-Dienstleistern ggf. Standardvertragsklauseln (SCC) vorliegen oder sich diese zeitnah abschließen lassen.
• Etablieren Sie klare interne Zuständigkeiten, um im Fall der Fälle schnell zu reagieren und abzuschätzen, ob das Schutzniveau beim konkreten Einsatz ausreichend ist.

Welche Alternativen gibt es?

Sollte der Angemessenheitsbeschluss fallen, sind Standardvertragsklauseln für viele Unternehmen der einzig wirksame Weg eines Datentransfers in die USA. Darin verpflichten sich die Dienstleister, ein bestimmtes Datenschutzniveau einzuhalten. Im Rahmen dessen werden die Unternehmen auch verpflichtet, zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung oder Pseudonymisierung) mit den Dienstleistern abzustimmen. Hier ist fraglich, wie vor allem kleine und mittelständische Unternehmen dies ggü. den US-Dienstleistern durchsetzen können.

Zusätzlich zu den SCCs ist jedoch auch ein sogenanntes Transfer Impact Assessment (TIA) erforderlich, in dem die rechtliche als auch die faktische Datenschutzsituation in dem Drittstaat bewertet wird. Kann nicht belegbar festgestellt werden, dass in dem Drittland ein der EU vergleichbares Datenschutzniveau gewährleistet ist, wäre der Datentransfer beziehungsweise der Zugriff aus dem Drittland rechtswidrig.  Mit Blick auf die aktuelle politische Lage in den USA erscheint es nicht unmöglich, jedoch fraglich, ob das Ergebnis einer TIA sein kann, dass der Datentransfer in die USA unproblematisch möglich ist.

Sollte das Data Privacy Framework wegfallen oder ausgesetzt werden, erscheint das TIA als Prüfpflicht als nahezu unüberwindliche Hürde bei der transatlantischen Datenübermittlung.

Auch eine Beauftragung der europäischen Töchter von US-Unternehmen umgeht das vorgezeigte Problem nicht gänzlich. Unter anderem führt der CLOUD-Act dazu, dass US-Unternehmen gezwungen werden können, auf Anfrage auch bei ihren europäischen Töchtern gespeicherte Daten an die US-Sicherheitsbehörden herauszugeben. Um diesen Zugriff aus den USA zu verhindern, könnten Unternehmen jedoch ihre Daten mit einem eigenem Schlüssel Verschlüsseln und somit dafür sorgen, dass bei den Dienstleistern ausschließlich pseudonyme Daten hinterlegt sind.

Unabhängig davon gibt es verschiedene Projekte und Webseiten, die sich mit europäischen Alternativen zu digitalen Dienstleistungen und Produkten beschäftigen. Eine Webseite ist zum Beispiel https://european-alternatives.eu/de. Das Projekt rund um Constantin Graf listet Alternativen für die gängigsten Online Services aus den USA.