IT-Recht / Cybersicherheit / Datenschutz
Ende des Data Privacy Frameworks?
Wie geht mit US-Cloud-Diensten in der EU weiter geht
14. März 2025
Bild:
N I F T Y A R T ✍🏻 / unsplash.com
Ab Juli 2020 herrschte nach der Aufhebung des sogenannten „EU-US Privacy Shields“ durch das „Schrems II“-Urteil des EuGH eine tiefgreifende Unsicherheit für Unternehmen hinsichtlich des transatlantischen Datentransfers. Erst zum Jahreswechsel 2022/23 konnte diese rechtliche Lücke durch das „EU-US Data Privacy Framework“ (DPF) geschlossen werden.
Maßgebend für diesen neuen Rahmen war ein US-Dekret des damaligen Präsidenten Joe Biden, welches darauf ausgerichtet war, die vom EuGH im Rahmen der Schrems I und II Rechtsprechung identifizierten Schwachstellen zu adressieren und aufzulösen.
Dieser neue Rechtsrahmen zielte darauf ab, datenschutzrechtliche Grundsätze bei der Übermittlung personenbezogener Daten in die USA festzusetzen. Kernaspekte waren mitunter die Einschränkung der Zugriffsmöglichkeiten amerikanischer Geheimdienste sowie die Installation eines unabhängigen und unparteilichen Rechtsbehelfsverfahren für Einzelpersonen vor dem neu eingerichteten “Data Protection Review Court” (DPRC).
Insbesondere wurde zudem das "Privacy and Civil Liberties Oversight Board" eingerichtet, das eine zentrale Rolle bei der Überwachung des EU-US Data Privacy Framework ausübt: Zu seinen Aufgaben gehört es, die Einhaltung der Datenschutzrichtlinien durch US-Geheimdienste sowie die Beschwerdeverfahren zu kontrollieren
Hierdurch erhielten Unternehmen – bei entsprechender Umsetzung und rechtlicher Implementierung – Rechtssicherheit beim Einsatz von Software und IT-Tools bzw. Cloud-Diensten aus den USA.
Januar 2025: Trump-Administration
Bereits kurz nach der Amtseinführung Donald Trumps am 20. Januar 2025 wurden die Mitglieder des PCLOB zum Rücktritt aufgefordert.
In Folge könnten zukünftige Vereinbarungen zum Datenschutz zwischen der EU und den USA in Frage gestellt werden, da das PCLOB entscheidend dazu beiträgt, die Standards des Data Privacy Frameworks eingehalten werden. Mithin besteht die Gefahr, dass das die Durchsetzungsfähigkeit des und das Vertrauen in das Data Privacy Frameworks erschüttert wird und dieses als Rechtsgrundlage für den rechtssicheren transatlantischen Datenverkehr scheitert.
Hintergrund der Rücktrittsforderung durch die Trump-Administration war eine abweichende rechtliche Auslegung und Interpretation der "Unitary Executive Theory". Aus dieser "Theorie der einheitlichen Exekutive" soll laut Trump-Administration folgen, dass die vollständige Kontrolle über die Exekutive beim Präsidenten liege. Autonome und unabhängige Aufsichtsgremien sollen damit nicht vereinbar und damit unzulässig sein.
Dieses Verständnis von Staat und (fehlender) Gewaltenteilung kollidiert zutiefst mit den demokratischen Grundsätzen von EU und Mitgliedstaaten. Vielmehr schaffen diese gerade durch unabhängige Gremien und Aufsichtsinstitute Sicherheit und Vertrauen.
Datensicherheit ungleich Datenschutz
In der Debatte um US-Cloud-Dienste werden zwei Begriffe oft fälschlicherweise synonym verwendet: Datensicherheit (Security) und Datenschutz (Privacy).
Während Datensicherheit ein wichtiger Bestandteil von Datenschutz ist, beschreib es vorrangig den Schutz vor Zugriff durch Dritte. Folgt man diesem Verständnis adressiert Datenschutz die rechtliche Komponente. Hierbei geht es primär um die Frage, wer unter welchen rechtlichen Rahmenbedingungen personenbezogene Daten verarbeitet werden dürfen.
Was müssen Unternehmen beim Datentransfer in die USA beachten?
Zuvorderst: Ruhe bewahren.
Das dem Data Privacy Framework zu Grunde liegende Dekret Joe Bidens wurde (noch) nicht aufgehoben; auch besteht das Data Privacy Framework im Übrigen (noch) fort. Auch kommt es im Kerne nicht hierauf, sondern auf den Angemessenheitsbeschluss seitens der EU an. Dieser besteht nach wie vor fort.
Sicherheiten können im Einzelfall zudem als "all-Back-Lösung „SCCs“, also „Standard Contract Clauses“ sowie Einzelabreden mit IT-Dienstleistern sowie eine entsprechende Gestaltung von Datenschutzerklärungen und technisch-organisatorischen Maßnahmen (TOMen) bieten.
Zudem sehen wir bereits jetzt, dass US-Anbieter ihre Datenschutzerklärungen, Vertragsbedingungen und Geschäftsmodelle anpassen, um ein etwaiges Scheitern des Data Privacy Frameworks abzufedern.
zum autor
Alexander Graf Rachut, LL.M.
ist Gründer der Rechtsanwaltskanzlei fennec. und Lehrbeauftragter für Informationsrecht an der Carl von Ossietzky Universität Oldenburg im Modul Cybersicherheitsrecht.
Als Rechtsanwalt, Wirtschaftsmediator und Rechtsinformatiker berät und vertritt er insbesondere Startups, KMU und Unternehmen im Schnittfeld von IT- und IP-Recht.
