EU – U.S. Data Privacy Framework in Gefahr?

Das DPF basiert auf der von Präsident Joe Biden erlassenen Executive Order 14086. Diese Verordnung sollte europäischen Bürger*innen stärkere Datenschutzgarantien bieten und die Überwachung durch US-Behörden einschränken. Sie war Bidens Antwort auf das Urteil des Europäischen Gerichtshofs (EuGH), das den Vorgänger des DPF, das Privacy Shield, für ungültig erklärte.

Trumps Haltung: Ein Risiko für das DPF

In seiner ersten Amtszeit zeigte Trump wenig Interesse an Datenschutzbelangen und internationaler Zusammenarbeit. Eine Einstellung, die auch die ersten Stunden seiner zweiten Amtszeit kennzeichnete. Stichwort: Rücknahme der AI Executive Order seines Vorgängers Biden. Eine passende Randnotiz ist der Rücktritt von Paul Rosenzweig als Special Advocate des Data Protection Review Courts, unmittelbar nach Amtsantritt von Präsident Trump. Vor diesem Hintergrund erscheint es wahrscheinlich, dass Trump EO 14086 annullieren könnte – ein Schritt, der erneut Unsicherheiten für den transatlantischen Datenaustausch schaffen würde.

Tech-Giganten als Keyplayer

Unternehmen wie Google, Meta, Amazon und Microsoft begrüßten das DPF als Möglichkeit, Rechtssicherheit für ihre transatlantischen Datenströme zu schaffen. Ein Scheitern des Abkommens würde diese Unternehmen jedoch vor große Herausforderungen stellen. Alternativen wie Standardvertragsklauseln sind komplex und teuer, was den Druck auf Trump erhöhen könnte, auf eine Annullierung der Biden Executive Order zu verzichten.

Rechtskonforme Alternativen für den Datentransfer

Sollte das DPF scheitern, stehen Unternehmen dennoch einige rechtskonforme Möglichkeiten für den Datentransfer in die USA zur Verfügung. Diese Alternativen erfordern jedoch eine sorgfältige Umsetzung, um den Anforderungen der DSGVO gerecht zu werden:

1. Standardvertragsklauseln (SCCs):
   SCCs sind von der EU-Kommission genehmigte Verträge, die den Schutz personenbezogener Daten bei der Übermittlung in Drittländer gewährleisten. Unternehmen müssen jedoch zusätzliche technische und organisatorische Maßnahmen umsetzen, um ein angemessenes Schutzniveau sicherzustellen, insbesondere wenn staatliche Zugriffe auf Daten drohen.

2. Binding Corporate Rules (BCRs):
   Multinationale Unternehmen können interne Datenschutzregelungen implementieren, die von einer Datenschutzbehörde genehmigt werden. Diese Regeln ermöglichen einen sicheren Datenaustausch innerhalb eines Unternehmensverbunds.

3. Einwilligung der betroffenen Person:
   Der Datentransfer kann auf der ausdrücklichen, informierten Einwilligung der betroffenen Person basieren. Diese Option ist jedoch auf Einzelfälle beschränkt und nicht für großflächige Datenübertragungen geeignet.

4. Ausnahmeregelungen gemäß Art. 49 DSGVO:
   In bestimmten Fällen, wie der Erfüllung eines Vertrags oder aus wichtigen Gründen des öffentlichen Interesses, kann ein Datentransfer ohne zusätzliche Schutzmaßnahmen stattfinden. Diese Optionen sind jedoch eng auszulegen.

5. Lokalisation und Pseudonymisierung:
   Unternehmen könnten Daten in der EU speichern und lediglich pseudonymisierte oder anonymisierte Daten in die USA übertragen. Dies reduziert das Risiko von Datenschutzverletzungen erheblich und könnte regulatorische Anforderungen erfüllen.

Fazit: Ein Plan B rückt in den Vordergrund

Verantwortliche müssen dringend alternative Mechanismen für den Datentransfer prüfen. Ohne das DPF drohen erhebliche wirtschaftliche und rechtliche Risiken. Die 1,2 Milliarden-Euro-Strafe gegen Meta im Jahr 2023, wegen rechtswidrigem Transfer von Benutzerdaten in die USA, verdeutlicht, wie schwerwiegend die Folgen fehlender Rechtssicherheit sein können.

Unternehmen müssen sich bereits jetzt auf mögliche Szenarien vorbereiten, in denen kein Angemessenheitsbeschluss mehr existiert. Die Nutzung von SCCs, BCRs oder alternativen Schutzmaßnahmen kann helfen, den Datenaustausch rechtskonform aufrechtzuerhalten und regulatorische Risiken zu minimieren.