Telefonwerbung ohne Einwilligung
7. Februar 2025
Verbot von DeepSeek
21. Februar 2025
Telefonwerbung ohne Einwilligung
7. Februar 2025
Verbot von DeepSeek
21. Februar 2025

Der transatlantische Datenaustausch zwischen der EU und den USA steht erneut vor großen Herausforderungen. Mit der Amtsübernahme des neuen US-Präsidenten Donald Trump drohen rechtliche Unsicherheiten, die insbesondere das EU-US Data Privacy Framework (DPF) betreffen. Dieses Abkommen, das seit Juli 2023 in Kraft ist, soll eigentlich eine stabile Grundlage für den Austausch personenbezogener Daten schaffen. Doch die politischen Veränderungen in den USA könnten diese Bemühungen zunichtemachen.

Das Data Privacy Framework auf wackeligen Füßen

Das DPF basiert auf Zusagen der US-Regierung, die der ehemalige Präsident Joe Biden durch eine Executive Order (präsidentielle Verfügung) festgelegt hat. Diese Verfügungen sind jedoch nicht gesetzlich verankert und können von nachfolgenden Regierungen leicht widerrufen werden. Genau das scheint nun zu passieren: Trump hat angekündigt, innerhalb der nächsten 45 Tage alle Verfügungen seines Vorgängers zu überprüfen und gegebenenfalls zu annullieren. Dies betrifft auch das DPF und seine zentralen Elemente, wie das „Privacy and Civil Liberties Oversight Board“ (PCLOB), ein Gremium, das die Einhaltung der Datenschutzstandards überwachen soll.

Das PCLOB, das eigentlich unabhängig agieren sollte, steht bereits unter Druck. Berichten zufolge hat die Trump-Administration drei demokratische Mitglieder des Gremiums aufgefordert, ihr Amt niederzulegen. Eine Unterbesetzung könnte die Handlungsfähigkeit des PCLOB erheblich einschränken und die ohnehin fragile Rechtsgrundlage des DPF weiter schwächen.

Warum der Datenaustausch mit den USA immer wieder problematisch ist

Der transatlantische Datenaustausch war schon in der Vergangenheit ein heißes Thema. Der Europäische Gerichtshof (EuGH) hat bereits zwei Vorgängerabkommen – Safe Harbor (2015) und Privacy Shield (2020) – für ungültig erklärt. Der Grund: Das Datenschutzniveau in den USA entsprach nicht den europäischen Standards, insbesondere aufgrund der weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von Nicht-US-Bürgern.

Das DPF sollte diese Probleme lösen, indem es neue Rechtsbehelfsmöglichkeiten für EU-Bürger schuf und die Aufsicht über die US-Geheimdienste stärkte. Doch Kritiker wie Max Schrems, der maßgeblich an der Nichtigkeitserklärung der vorherigen Abkommen beteiligt war, sehen das DPF als „auf Sand gebaut“. Schrems warnt, dass die aktuellen Entwicklungen den Beginn einer schrittweisen Aushöhlung des Abkommens markieren könnten.

Was bedeutet das für Unternehmen?

Für Unternehmen, die auf den transatlantischen Datenaustausch angewiesen sind, ergeben sich erhebliche Unsicherheiten. Zwar gilt das DPF formal weiter, bis es offiziell für ungültig erklärt wird. Doch sollten sich Unternehmen bereits jetzt Gedanken machen, auf welcher Rechtsgrundlage sie Daten in die USA transferieren.

Eine Alternative zum DPF sind Standardvertragsklauseln, die von der EU-Kommission vorformuliert wurden und beide Vertragsparteien verpflichten, ein angemessenes Datenschutzniveau einzuhalten. Auch Binding Corporate Rules (BCRs) können eine Option sein, insbesondere für international tätige Konzerne.

Laut einer Bitkom-Umfrage haben jedoch nur 45 Prozent der Unternehmen einen genauen Überblick darüber, in welchen Ländern ihre Daten verarbeitet werden. Von diesen Unternehmen transferieren 63 Prozent Daten ins Ausland, 42 Prozent davon auch in die USA. Sollte das DPF gekippt werden, könnten viele Unternehmen gezwungen sein, ihre Datentransfers neu zu organisieren – eine Herausforderung, die insbesondere kleine und mittelständische Unternehmen vor große Probleme stellen würde.

Die politischen und rechtlichen Unsicherheiten werden voraussichtlich noch einige Zeit bestehen bleiben. Umso wichtiger ist es, dass Unternehmen proaktiv handeln und sich nicht von möglichen rechtlichen Änderungen überraschen lassen.