Erst seit anderthalb Jahren gibt es mit dem EU US Data Privacy Framework wieder eine Grundlage für einen problemlosen Datentransfer in die USA und damit die einfache Nutzung amerikanischer Dienstleister.
Leider führen aktuelle politische Entwicklungen dazu, dass dieses Abkommen in Frage gestellt werden muss.
Warum das so ist und welche Auswirkungen das haben kann, erfahren Sie im folgenden Artikel.
Hintergrund
Ausführliches zum EU US Data Privacy Framework erfahren Sie im Whitepaper zum Thema.
Grundsätzlich muss bei Datenübermittlungen in Länder außerhalb der Europäischen Union sichergestellt sein, dass die Daten dort den gleichen Schutz genießen wie innerhalb der EU.
Dafür sieht die Datenschutz-Grundverordnung verschiedene Maßnahmen vor, eine davon ist ein Angemessenheitsbeschluss der Europäischen Kommission, in dem sie das Datenschutzniveau eines anderen Landes prüft und für ausreichend hält.
Aktuelle Grundlage des Angemessenheitsbeschlusses für die USA ist das sogenannte EU US Data Privacy Framework, welches das dritte Abkommen ist, nachdem die beiden vorherigen Abkommen ‚Safe Harbour‘ und ‘Privacy Shield‘ vom EuGH für unzulässig erklärt wurden.
Hauptgrund für die Unzulässigkeit war in beiden Fällen, dass die US-Geheimdienste rechtlich in der Lage sind, US-Unternehmen zu zwingen, ihnen Zugriff auf Daten auch von Europäern zu gewähren, selbst wenn diese außerhalb der USA gehostet werden, ohne dass sich die europäischen Nutzer gerichtlich dagegen wehren können.
Um dem entgegenzuwirken, wurde im EU-USA-Datenschutzrahmen ein eigenes Gericht in den USA geschaffen, das den Datenschutz überprüfen kann und an das sich betroffene EU-Bürger wenden können, zudem wurden die Zugriffsbefugnisse der US-Behörden durch eine Executive Order eingeschränkt. Außerdem sollen die Überwachungsaktivitäten durch ein eigenes Gremium, das Privacy and Civil Liberties Oversight Board (PCLOB), aktiv kontrolliert werden.
Aktuelle Entwicklungen
Dass sich unter dem neuen US-Präsidenten Donald Trump vieles verändert hat, dürfte niemandem entgangen sein, der sich auch nur ein wenig mit aktuellen Themen beschäftigt.
Seit seinem Amtsantritt werden im Eiltempo weitreichende Veränderungen des Status quo vorgenommen. Eine dieser Maßnahmen war die Entlassung von drei demokratischen Mitgliedern des PCLOB am 27. Januar 2025. Damit verbleibt nur noch ein republikanisches Mitglied, so dass das Gremium derzeit nicht beschlussfähig ist. Wann die vakanten Sitze neu besetzt werden, ist derzeit völlig unklar und kann durchaus noch einige Zeit in Anspruch nehmen.
Ohne diese Aufsicht fehlt der Nachweis, dass die Praktiken der US-Geheimdienste mit den europäischen Datenschutzstandards vereinbar sind.
Darüber hinaus hat Trump per Executive Order angeordnet, dass alle Entscheidungen der Vorgängerregierung Biden, die die nationale Sicherheit betreffen, überprüft und gegebenenfalls aufgehoben werden.
Dies würde auch die Executive Order 14086 betreffen, welche die Überwachungstätigkeiten der Geheimdienste einschränken und Datenschutzgarantien gewähren soll.
Sollte diese in der Folge aufgehoben oder deutlich abgeschwächt werden, würde dies auch das EU-US Privacy Framework stark in Frage stellen.
Besorgniserregend sind auch Berichte, wonach das neu gegründete Department of Government Efficiency (DOGE) unter der Leitung von Elon Musk weitreichenden Zugriff auf zahlreiche Regierungsdatenbanken erhalten soll.
Darüber hinaus geben Äußerungen von Präsident Trump und anderen Verantwortlichen der aktuellen US-Regierung Anlass zur Sorge, dass diese Regelungen wie die DSGVO oder den Digital Services Act grundsätzlich als unzulässige Hürden ansehen und aktiv dagegen vorgehen wollen.
Mögliche Folgen
Die geschilderten Entwicklungen lassen bereits jetzt erhebliche Zweifel daran aufkommen, dass die Angemessenheitsentscheidung der Europäischen Kommission, wonach die Daten europäischer Bürgerinnen und Bürger in den USA hinreichend geschützt sind, noch Bestand hat.
So ist es grundsätzlich jederzeit möglich, dass die EU-Kommission von sich aus oder aufgrund politischen Drucks ihre Entscheidung revidieren muss.
Auch kann nicht ausgeschlossen werden, dass sich der EuGH erneut mit dem Abkommen befasst und es wie seine Vorgänger zu Fall bringt.
Solange das Abkommen besteht, können sich Unternehmen darauf berufen, der Nutzung von US-Dienstleistern wie Google, Facebook & Co. steht also derzeit nichts im Wege.
Sollte es jedoch beendet werden, befindet man sich wieder im rechtlichen Niemandsland.
Zwar sieht die DSGVO einige Alternativen zur Angemessenheitsentscheidung vor, diese sind aber entweder wenig praktikabel, wie die Einholung einer Einwilligung, bei der explizit auf die Risiken der Übermittlung in die USA hingewiesen werden muss, oder selbst problematisch.
Als in der Vergangenheit das Privacy Shield durch den EuGH gekippt wurde, haben viele US-Anbieter auf die sogenannten Standardvertragsklauseln umgestellt. Dabei handelt es sich um von der EU vorgegebene Klauseln, deren Einbindung einen ausreichenden Datenschutz gewährleisten soll.
Allerdings können diese den Datenzugriff der US-Geheimdienste nicht verhindern, da die US-Unternehmen sonst gegen US-Recht verstoßen würden.
Fazit
Noch hat das EU-USA Privacy Framework Bestand, US-amerikanische Dienstleister können also grundsätzlich ohne Probleme eingesetzt werden.
Die aktuellen Entwicklungen lassen jedoch Zweifel aufkommen, ob dies auf Dauer so bleibt, auch wenn es keine genaue Prognose gibt, ob und zu welchem Zeitpunkt dieses gekippt wird.
Alle Unternehmen, die US-Dienstleister einsetzen, sind daher gut beraten, sich frühzeitig Gedanken zu machen. Es empfiehlt sich, deren Einsatz grundsätzlich zu überprüfen und wenn möglich europäische Alternativen zu nutzen.
