{"id":3326,"date":"2025-04-16T13:29:12","date_gmt":"2025-04-16T11:29:12","guid":{"rendered":"https:\/\/www.ecovis.com\/datenschutzberater\/?p=3326"},"modified":"2025-04-16T13:29:12","modified_gmt":"2025-04-16T11:29:12","slug":"us-exit-dem-us-eu-data-privacy-framework-droht-das-aus","status":"publish","type":"post","link":"https:\/\/www.ecovis.com\/datenschutzberater\/us-exit-dem-us-eu-data-privacy-framework-droht-das-aus\/","title":{"rendered":"US-Exit? Dem US-EU Data Privacy Framework droht das Aus"},"content":{"rendered":"<p>US-Pr\u00e4sident Donald Trump hat nicht erst mit seiner Zollpolitik Ma\u00dfnahmen ergriffen, die Auswirkungen auf die europ\u00e4ische Wirtschaft haben. Insbesondere der rechtssichere Datentransfer zwischen der EU und den USA wankt \u2013 das Data Privacy Framework (DPF) droht wegzubrechen.<\/p>\n<h3>Status Quo Daten\u00fcbermittlung in die USA: das Data Privacy Framework<\/h3>\n<p>Im Juli 2023 trat das Data Privacy Framework auf Grundlage der <a href=\"https:\/\/www.state.gov\/executive-order-14086-policy-and-procedures\/\" target=\"_blank\" rel=\"noopener\">Executive Order 14086<\/a> des ehemaligen US-Pr\u00e4sidenten Joe Biden in Kraft \u2013 und bildete die Basis einer angemessenen Daten\u00fcbermittlung zwischen der EU und den USA. Dieser Beschluss veranlasste die EU-Kommission in einem weiteren Angemessenheitsbeschluss dazu, den USA ein Datenschutzniveau zu bescheinigen, das dem der EU entspricht.<\/p>\n<p>Die aktuelle Rechtsgrundlage f\u00fcr die \u00dcbermittlung und den Schutz personenbezogener Daten in die USA droht nun jedoch wegzubrechen.<\/p>\n<p>Unter anderem <a href=\"https:\/\/www.whitehouse.gov\/presidential-actions\/2025\/01\/initial-rescissions-of-harmful-executive-orders-and-actions\/\" target=\"_blank\" rel=\"noopener\">beschloss Donald Trump am 20. Januar 2025<\/a>, alle Executive Orders der Biden-Administration innerhalb einer Frist von 45 Tagen zu \u00fcberpr\u00fcfen und gegebenenfalls aufzuheben. Die Frist ist inzwischen zwar abgelaufen \u2013 ein Fortbestehen der Executive Order ist dadurch jedoch nicht garantiert.<\/p>\n<p>Ein weiteres zentrales Element f\u00fcr die Angemessenheitsentscheidung ist die Einrichtung des \u201ePrivacy and Civil Liberties Oversight Board\u201c (PCLOB). Dies ist ein unabh\u00e4ngiges Aufsichtsgremium, welches eine unabh\u00e4ngige Kontrolle \u00fcber die \u00dcberwachungst\u00e4tigkeiten der US-Regierung aus\u00fcben und die Einhaltung der von der EU geforderten Schutzmechanismen gew\u00e4hrleisten sollte. Insbesondere spielt es eine entscheidende Rolle bei der Einhaltung des Data Privacy Frameworks, indem es Beschwerden europ\u00e4ischer B\u00fcrger zu Datenschutzverletzungen pr\u00fcft.<\/p>\n<p><a href=\"https:\/\/news.bloomberglaw.com\/privacy-and-data-security\/trump-terminates-trio-of-democrats-from-privacy-oversight-board\" target=\"_blank\" rel=\"noopener\">Medienberichten<\/a> zufolge wurden jedoch die demokratischen Mitglieder aus diesem Gremium entlassen, <a href=\"https:\/\/therecord.media\/democrat-pclob-members-defy-white-house-call-for-resignation\" target=\"_blank\" rel=\"noopener\">wodurch das Gremium seine Beschlussf\u00e4higkeit einb\u00fc\u00dfte<\/a>. Das PCLOB, ein zentrales Element, um rechtsstaatliche Kontrolle zu gew\u00e4hrleisten, ist damit faktisch handlungsunf\u00e4hig. Aktuell ist unklar, ob neue Mitglieder nachnominiert werden. Somit sind die USA ohne ein funktionierendes Aufsichtsorgan nicht in der Lage nachzuweisen, dass ihre \u00dcberwachungsmethoden mit den Vorgaben der EU bzgl. Datenschutzstandard \u00fcbereinstimmen. Wom\u00f6glich besiegelt dies das endg\u00fcltige Aus des DPF bei einer anstehenden \u00dcberpr\u00fcfung.<\/p>\n<p>Weiterhin verf\u00fcgte Donald Trump mit einem Erlass vom 18.02.2025 (\u201e<a href=\"https:\/\/www.whitehouse.gov\/presidential-actions\/2025\/02\/ensuring-accountability-for-all-agencies\/\" target=\"_blank\" rel=\"noopener\">Ensuring Accountability for All Agencies<\/a>\u201c), dass unabh\u00e4ngige Beh\u00f6rden wie die Handelsaufsicht FTC (Federal Trade Commission) wichtige Entscheidungen durch das Wei\u00dfe Haus \u00fcberpr\u00fcfen lassen m\u00fcssen. Dies f\u00fchrt zu weiteren Rechtsunsicherheiten.<\/p>\n<h3>Juristische Reaktionen der EU<\/h3>\n<p>Unabh\u00e4ngig von den beschriebenen Entwicklungen hat der Angemessenheitsbeschluss der EU-Kommission zun\u00e4chst Bestand. Er entf\u00e4llt erst, wenn er von der EU-Kommission aufgehoben oder vom EuGH f\u00fcr unwirksam erkl\u00e4rt wird \u2013 beides ist bisher nicht geschehen.<\/p>\n<p>Nach Art. 45 Abs. 4 DSGVO ist die EU-Kommission verpflichtet, die Entwicklungen in Drittl\u00e4ndern zu \u00fcberwachen, die den Angemessenheitsbeschluss und damit das DPF beeinflussen k\u00f6nnten.<\/p>\n<p>Es mehren sich jedoch die Stimmen, die das EU-US Data Privacy Framework f\u00fcr nicht (mehr) datenschutzkonform halten und eine gerichtliche Kl\u00e4rung durch den EuGH anstreben.<\/p>\n<h3>Was Unternehmen jetzt konkret tun sollten<\/h3>\n<p>Abwarten ist keine Option. Auch wenn das Data Privacy Framework formal noch gilt, braucht es vorbereitende Schritte, wenn Unternehmen nach wie vor personenbezogene Daten auf Grundlage des DPF in die USA \u00fcbermitteln. Die meisten Informationen zur Bewertung der Situation sollten ohnehin vorliegen.<\/p>\n<ul>\n<li>Pr\u00fcfen Sie anhand Ihres Verarbeitungsverzeichnisses, welche Daten in die USA \u00fcbermittelt werden.<\/li>\n<li>Pr\u00fcfen Sie, welche Tools und Dienstleister im Einsatz sind, die sich auf das DPF als Grundlage f\u00fcr die Daten\u00fcbertragung beziehen.<\/li>\n<li>W\u00e4gen Sie ab, ob ein Wechsel des Dienstleisters \/ Tools hin zu einer europ\u00e4ischen Alternative m\u00f6glich erscheint.<\/li>\n<li>Pr\u00fcfen Sie, ob mit US-Dienstleistern ggf. Standardvertragsklauseln (SCC) vorliegen oder sich diese zeitnah abschlie\u00dfen lassen.<\/li>\n<li>Etablieren Sie klare interne Zust\u00e4ndigkeiten, um im Fall der F\u00e4lle schnell zu reagieren und abzusch\u00e4tzen, ob das Schutzniveau beim konkreten Einsatz ausreichend ist.<\/li>\n<\/ul>\n<h3>Welche Alternativen gibt es?<\/h3>\n<p>Sollte der Angemessenheitsbeschluss fallen, sind Standardvertragsklauseln f\u00fcr viele Unternehmen der einzig wirksame Weg eines Datentransfers in die USA. Darin verpflichten sich die Dienstleister, ein bestimmtes Datenschutzniveau einzuhalten. Im Rahmen dessen werden die Unternehmen auch verpflichtet, zus\u00e4tzliche Schutzma\u00dfnahmen (z.\u202fB. Verschl\u00fcsselung oder Pseudonymisierung) mit den Dienstleistern abzustimmen. Hier ist fraglich, wie vor allem kleine und mittelst\u00e4ndische Unternehmen dies gg\u00fc. den US-Dienstleistern durchsetzen k\u00f6nnen.<\/p>\n<p>Zus\u00e4tzlich zu den SCCs ist jedoch auch ein sogenanntes Transfer Impact Assessment (TIA) erforderlich, in dem die rechtliche als auch die faktische Datenschutzsituation in dem Drittstaat bewertet wird. Kann nicht belegbar festgestellt werden, dass in dem Drittland ein der EU vergleichbares Datenschutzniveau gew\u00e4hrleistet ist, w\u00e4re der Datentransfer beziehungsweise der Zugriff aus dem Drittland rechtswidrig.\u00a0 Mit Blick auf die aktuelle politische Lage in den USA erscheint es nicht unm\u00f6glich, jedoch fraglich, ob das Ergebnis einer TIA sein kann, dass der Datentransfer in die USA unproblematisch m\u00f6glich ist.<\/p>\n<p>Sollte das Data Privacy Framework wegfallen oder ausgesetzt werden, erscheint das TIA als Pr\u00fcfpflicht als nahezu un\u00fcberwindliche H\u00fcrde bei der transatlantischen Daten\u00fcbermittlung.<\/p>\n<p>Auch eine Beauftragung der europ\u00e4ischen T\u00f6chter von US-Unternehmen umgeht das vorgezeigte Problem nicht g\u00e4nzlich. Unter anderem f\u00fchrt der CLOUD-Act dazu, dass US-Unternehmen gezwungen werden k\u00f6nnen, auf Anfrage auch bei ihren europ\u00e4ischen T\u00f6chtern gespeicherte Daten an die US-Sicherheitsbeh\u00f6rden herauszugeben. Um diesen Zugriff aus den USA zu verhindern, k\u00f6nnten Unternehmen jedoch ihre Daten mit einem eigenem Schl\u00fcssel Verschl\u00fcsseln und somit daf\u00fcr sorgen, dass bei den Dienstleistern ausschlie\u00dflich pseudonyme Daten hinterlegt sind.<\/p>\n<p>Unabh\u00e4ngig davon gibt es verschiedene Projekte und Webseiten, die sich mit europ\u00e4ischen Alternativen zu digitalen Dienstleistungen und Produkten besch\u00e4ftigen. Eine Webseite ist zum Beispiel <a href=\"https:\/\/european-alternatives.eu\/de\" target=\"_blank\" rel=\"noopener\">https:\/\/european-alternatives.eu\/de<\/a>. Das Projekt rund um Constantin Graf listet Alternativen f\u00fcr die g\u00e4ngigsten Online Services aus den USA.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>US-Pr\u00e4sident Donald Trump hat nicht erst mit seiner Zollpolitik Ma\u00dfnahmen ergriffen, die Auswirkungen auf die europ\u00e4ische Wirtschaft haben. Insbesondere der rechtssichere Datentransfer zwischen der EU und den USA wankt \u2013 das Data Privacy Framework (DPF) droht wegzubrechen. Status Quo Daten\u00fcbermittlung in die USA: das Data Privacy Framework Im Juli 2023 trat das Data Privacy Framework [&hellip;]<\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-3326","post","type-post","status-publish","format-standard","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3326","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=3326"}],"version-history":[{"count":1,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3326\/revisions"}],"predecessor-version":[{"id":3327,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3326\/revisions\/3327"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=3326"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=3326"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=3326"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}