EU-US-Datenschutzrahmen durch Trump bald Geschichte?
Das transatlantische Datenabkommen, offiziell bekannt als EU-US Data Privacy Framework (DPF), soll eine stabile Grundlage für den Austausch personenbezogener Daten zwischen der EU und den USA schaffen. Ob hierdurch wirklich ein angemessenes Datenschutzniveau gewährleistet wird, haben Kritiker schon in der Vergangenheit häufig bezweifelt. Durch den Amtsantritt des US-Präsidenten Donald Trump am 20.01.2025 verfestigen sich diese Zweifel noch weiter, sodass der EU-US-Datenschutzrahmen bald Geschichte sein könnte. Besonders betroffen ist das Kontrollgremium „Privacy and Civil Liberties Oversight Board“ (PCLOB), dessen Handlungsfähigkeit und Unabhängigkeit bedroht ist.
Grundlagen des internationalen Datenaustauschs
Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass für die Übertragung von personenbezogenen Daten von der EU in einen Drittstaat ein im Vergleich mit den europäischen Vorgaben angemessenes Datenschutzniveau gewährleistet sein muss. Das kann beispielsweise durch den Abschluss von Standardvertragsklauseln geschehen. Die EU-Kommission kann aber auch einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen. Dieser bestätigt, dass ein Drittland, ein angemessenes Schutzniveau aufweist. Dann ist der internationale Datentransfer unter erleichterten Bedingungen möglich ist. Zurzeit gibt es solche mit 16 Ländern, darunter die Schweiz, Kanada, Neuseeland und auch die USA.
Datenaustausch mit den USA schon immer problematisch
Der Europäische Gerichtshof (EuGH) hat in den vergangenen Jahren wiederholt Angemessenheitsbeschlüsse der EU-Kommission für die USA gekippt. So erklärte er 2015 Safe-Harbour und 2020 Privacy-Shield für ungültig. Ein zentraler Grund dafür war das aus europäischer Sicht unzureichende Datenschutzniveau in den Vereinigten Staaten. Kritik bestand insbesondere im Hinblick auf die weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von Nicht-US-Bürgern.
EU-US-Datenschutzrahmen im Überblick
Der DPF sollte endgültig eine stabile Rechtsgrundlage schaffen und ist im Juli 2023 in Kraft getreten. Damit wurde die USA wieder zu einem sicheren Drittland erklärt. Eine präsidentielle Verfügung (Executive Order) vom damaligen US-Präsidenten Joe Biden sollte die Rechtsgrundlage stärken, indem neue Rechtsbehelfsstelle geschaffen wurden, über die betroffene EU-Bürger Beschwerden gegen eine mögliche missbräuchliche Datenverarbeitung in den USA einreichen können.
Außerdem führte sie eine erweiterte Aufsicht über die US-Geheimdienste ein. Hierzu gehört auch das mit fünf Personen besetzte und eigentlich unabhängige Privacy and Civil Liberties Oversight Board (PCLOB). Der Europäische Datenschutzausschuss hatte Ende letzten Jahres einen Bericht angenommen, in dem Fortschritte, aber auch Verbesserungsbedarf zum DPF festgestellt wurden.
Handlungsfähigkeit des PCLOB bedroht
Das PCLOB als zentrales Element des Datenschutzrahmens ist grundsätzlich durch eine gesetzliche Verankerung gesichert. Die effektive Kontrolle hängt jedoch maßgeblich von der vollständigen Besetzung des Gremiums und seiner tatsächlichen Unabhängigkeit ab.
Die Trump-Administration soll allerdings die drei demokratischen Mitglieder des PCLOB aufgefordert haben, bis Ende letzter Woche ihr Amt niederzulegen, so die New York Times. Andernfalls drohe ihre Entlassung. Eine Unterbesetzung könnte das Gremium in seiner Handlungsfähigkeit hindern. Zudem wirft der Vorgang grundsätzliche Fragen zur Beständigkeit und Verlässlichkeit dieses Kontrollmechanismus auf.
Rechtlichen Konstruktion des Abkommens unstabil
Die Schwächen des DPF waren bereits bei seiner Einführung Gegenstand intensiver Kritik. Besonders die Abhängigkeit von der Executive Orders, die im Gegensatz zu Kongress-Gesetzen leicht von nachfolgenden Regierungen widerrufen werden kann, wurde von Datenschützern und EU-Abgeordneten scharf bemängelt.
Max Schrems, der damals wesentlich für die Nichtigkeitserklärung der beiden vorherigen Datenschutzabkommen verantwortlich war, bezeichnet in einem Blogbeitrag seiner Datenschutzorganisation noyb das Abkommen als „auf Sand gebaut“. Er erklärt, dass es sich zwar beim PCLOB nur um einen einzelnen Baustein des Datenschutzrahmens handle, mit den aktuellen Entwicklungen allerdings der Beginn einer schrittweisen Aushöhlung des Abkommens eingeleitet worden sein könnte.
Trump habe nämlich angekündigt, dass er in den nächsten 45 Tagen sämtliche Verfügungen des ehemaligen Präsidenten überprüfen und bei Bedarf widerrufen wolle. Insofern stände es beispielsweise auch um den „Data Protection Review Court“, der rechtlich noch schwächer verankert sei, sehr schlecht. Ganz allgemein meint er auch, dass es sich bei US-Aufsichtsbehörden regelmäßig um Exekutivorgane handle, bei denen eine Unabhängigkeit ohnehin fraglich sei.
Folgen für Unternehmen
Für Unternehmen, die auf transatlantischen Datenaustausch angewiesen sind, ergeben sich bereits jetzt erhebliche Unsicherheiten. Zunächst gilt zwar das Abkommen formal weiter, bis eine der Parteien es annulliert. Sollte das DPF jedoch für ungültig erklärt werden, könnte dies sowohl für große als auch für kleine und mittelständische Unternehmen in sämtlichen Branchen fatale Auswirkungen haben. Ohne das Abkommen müsste beispielsweise die Verwendung von US-Cloud-Anbietern, wie Apple, Microsoft und Google sofort eingestellt werden, meint Schrems. Deshalb sollten Unternehmen bereits jetzt sorgfältig prüfen, ob ihre Datentransfers den Anforderungen der DSGVO entsprechen, und gegebenenfalls auf alternative Maßnahmen wie Standardvertragsklauseln oder Binding Corporate Rules zurückgreifen.
Politisch angespannte Lage
Der Beitrag von noyb weist noch auf einen weiteren relevanten Punkt hin. Unabhängig von den Rechtsunsicherheiten für Unternehmen, stünde auch die EU-Kommission aus „diplomatischer Perspektive in einer schwierige[n] Lage“. Entscheidet sie sich, das Abkommen schnell aufzuheben, so könnte „die Trump-Administration […] dies als Grund nehmen, einen ersten großen Streit mit der EU zu beginnen“. Andererseits sollte sie handeln, wenn ein angemessenes Datenschutzniveau nicht mehr besteht.
Fazit
Die aktuellen Entwicklungen zeigen, dass der EU-US-Datenschutzrahmen durch Trump bald Geschichte sein könnte. Erneut verdeutlicht sich die Fragilität der rechtlichen Grundlage für den transatlantischen Datenaustausch. Während die EU-Kommission auf politische Zusagen und schwache Mechanismen wie Executive Orders setzte, wird die Realität durch die dynamische politische Landschaft in den USA bestimmt. Unternehmen sollten die Entwicklungen genau beobachten und sich auf mögliche rechtliche Änderungen zeitnah vorbereiten. Als Externe Datenschutzbeauftragte beraten wir Sie hierbei gerne.
