Trump und die DSGVO: Steht der Datentransfer zwischen der EU und den USA vor dem Aus?

Thore Severin 27. Februar 2025 Honicon_DE  

Rechtssichere Datentransfers zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) bilden das Rückgrat des internationalen digitalen Handels. Unzählige Unternehmen in Europa verlassen sich täglich auf US-basierte Cloud-Dienste, Kommunikationsplattformen und Datenanalysen. Doch was passiert, wenn die rechtliche Grundlage für diesen Datenaustausch plötzlich ins Wanken gerät? Genau dieses Szenario droht derzeit – und der Auslöser ist eine politische Entscheidung von Donald Trump.

Trump
Quelle: https://www.spiegel.de/ausland/donald-trump-vor-us-wahl-ueber-deutschland-die-denken-wir-sind-dumme-menschen-a-f64cdb59-580b-472d-b9c8-7db8e3d1de5b

Die Vorgeschichte: Schrems I, Schrems II und die Suche nach Stabilität

Der transatlantische Datentransfer war in den vergangenen Jahren immer wieder Gegenstand rechtlicher Auseinandersetzungen. Insbesondere zwei Urteile des Europäischen Gerichtshofs (EuGH), angestoßen vom österreichischen Datenschutzaktivisten Max Schrems, haben die Datenschutzlandschaft zwischen der EU und den USA nachhaltig verändert.

Im Jahr 2015 kippte der EuGH im sogenannten Schrems-I-Urteil das „Safe Harbor“-Abkommen. Dieses Abkommen hatte es Unternehmen ermöglicht, Daten rechtlich unproblematisch in die USA zu übertragen. Der EuGH stellte jedoch fest, dass das Datenschutzniveau in den USA nicht den europäischen Standards entsprach und dass EU-Bürger dort keinen ausreichenden Rechtsschutz gegen Überwachung durch US-Behörden genießen.

Als Reaktion darauf wurde das „Privacy Shield“-Abkommen eingeführt. Doch auch dieses hielt nicht lange stand: 2020 erklärte der EuGH im Rahmen des Schrems-II-Urteils auch dieses Abkommen für ungültig. Begründet wurde die Entscheidung mit der anhaltenden Überwachungspraxis in den USA, die weiterhin nicht mit den Datenschutzanforderungen der DSGVO vereinbar war. Damit standen europäische Unternehmen erneut vor einem großen Problem: Wie können Daten rechtssicher in die USA übertragen werden?

Um die entstandene Lücke zu schließen und einen stabilen Rechtsrahmen für den transatlantischen Datentransfer zu schaffen, unterzeichnete der damalige US-Präsident Joe Biden die Executive Order 14086. Diese führte einen zweistufigen Rechtsbehelfsmechanismus ein und etablierte das Privacy and Civil Liberties Oversight Board (PCLOB) als unabhängiges Aufsichtsgremium. Ziel war es, die im Schrems-I- und Schrems-II-Urteil aufgeführten Kritikpunkte auszuräumen und so die Grundlage für einen neuen Angemessenheitsbeschluss der EU-Kommission zu schaffen.

Neuer Präsident, neue Probleme: Trumps Eingriff in den Datenschutzrahmen

Nur wenige Tage nach seinem Amtsantritt sorgte Donald Trump für Aufsehen. Am 27. Januar 2025 entließ er drei der fünf Mitglieder des PCLOB1. Dieser Schritt hat gravierende Folgen. Das Board, das als zentrale Instanz für die Kontrolle von Datenschutzverletzungen durch US-Behörden fungieren sollte, ist damit nicht mehr beschlussfähig. Eine Mehrheitsentscheidung unter den verbleibenden zwei Mitgliedern ist nicht möglich – das Gremium ist praktisch handlungsunfähig.

Das Problem: Der Angemessenheitsbeschluss der EU basiert zu einem erheblichen Teil auf der Funktionsfähigkeit des PCLOB.2 Mit der Entlassung der Mitglieder wird der entscheidende Rechtsbehelfsmechanismus untergraben. Unternehmen, die sich bislang auf diesen Beschluss verlassen haben, um Daten rechtssicher in die USA zu übertragen, könnten bald vor einem rechtlichen Vakuum stehen.

Die Bedeutung des Angemessenheitsbeschlusses

Ein Angemessenheitsbeschluss der EU-Kommission bescheinigt einem Drittland, ein mit der EU vergleichbares Datenschutzniveau zu bieten.3 Solange ein solcher Beschluss besteht, können Unternehmen Daten ohne zusätzliche Prüfungen in dieses Land übertragen. Der aktuelle Beschluss zugunsten der USA war ein Hoffnungsschimmer für viele Firmen, die nach dem Schrems-II-Urteil vor großen Herausforderungen standen.

Doch mit der aktuellen politischen Entwicklung in den USA wächst der Druck auf die EU-Kommission und den EuGH. Sollte der EuGH zu dem Schluss kommen, dass der unter Trump geschaffene Zustand die Datenschutzrechte von EU-Bürgern gefährdet, könnte der Angemessenheitsbeschluss aufgehoben werden. Das wäre ein schwerer Schlag für den internationalen Datenverkehr und würde zahlreiche Geschäftsprozesse massiv beeinträchtigen.

Was steht für Unternehmen auf dem Spiel?

Ohne gültige Rechtsgrundlage wäre der Datentransfer in die USA nicht mehr zulässig.4 Für viele Unternehmen, die auf US-basierte Clouddienste setzen, hätte das erhebliche Konsequenzen. E-Mail-Provider, CRM-Systeme, HR-Plattformen und viele weitere Anwendungen wären betroffen. Besonders problematisch wäre dies für Unternehmen, die auf Dienste von Anbietern wie Microsoft, Google oder Amazon Web Services (AWS) angewiesen sind.

Die Unsicherheit darüber, ob der Angemessenheitsbeschluss Bestand hat, setzt Unternehmen unter Zugzwang. Schon jetzt sollten Verantwortliche überlegen, wie sie Datenflüsse anpassen können, um nicht in eine rechtliche Grauzone zu geraten.

Mögliche Handlungsoptionen für Unternehmen

Angesichts der unsicheren Lage ist es für Unternehmen ratsam, nicht erst eine mögliche Entscheidung des EuGH abzuwarten. Vielmehr sollten sie proaktiv Maßnahmen ergreifen, um vorbereitet zu sein.

Eine Möglichkeit besteht darin, auf die sogenannten Standardvertragsklauseln (Standard Contractual Clauses, SCCs) der EU zurückzugreifen. Diese von der EU-Kommission bereitgestellten Vertragsmuster regeln die Rechte und Pflichten bei der Datenübertragung in Drittländer. Unternehmen, die sich auf SCCs stützen, müssen jedoch eine umfassende Risikobewertung vornehmen und sicherstellen, dass das Datenschutzniveau in dem Drittland dem der EU entspricht. Angesichts des handlungsunfähigen PCLOB dürfte dies jedoch schwer nachzuweisen sein.

Alternativ könnten Unternehmen auf nicht cloudbasierte Lösungen umsteigen. On-Premise-Systeme, bei denen Daten auf eigenen Servern innerhalb der EU gespeichert werden, bieten eine rechtlich sichere Option. Allerdings sind solche Systeme oft mit hohen Implementierungskosten verbunden und bieten nicht die Flexibilität moderner Cloud-Dienste.

Eine weitere Option ist die Nutzung europäischer Cloud-Anbieter. Unternehmen wie Nextcloud, OVHcloud oder T-Systems bieten datenschutzkonforme Lösungen, die vollständig innerhalb der EU betrieben werden. Dies könnte insbesondere für Unternehmen attraktiv sein, die besonderen Wert auf Datenschutz legen und internationale Rechtsrisiken minimieren möchten.

Wie wahrscheinlich ist ein Eingreifen des EuGH?

Die Wahrscheinlichkeit, dass der EuGH den Angemessenheitsbeschluss prüft und gegebenenfalls aufhebt, ist nicht gering. Datenschutzbehörden wie der Europäische Datenschutzausschuss (EDPB) haben bereits signalisiert, die aktuelle Lage genau zu beobachten. Sollte das PCLOB nicht binnen weniger Monate wieder arbeitsfähig werden, steigt der Druck auf die EU-Kommission, den Beschluss auszusetzen oder zurückzunehmen.

Für Unternehmen bedeutet dies, dass sie sich auf mögliche Änderungen einstellen sollten. Zwar könnte es eine Übergangsfrist geben, doch je nach politischer Lage kann eine Entscheidung schneller fallen als erwartet.

Unternehmen sollten jetzt handeln

Um nicht von einer möglichen Entscheidung des EuGH überrascht zu werden, sollten Unternehmen ihre Datenflüsse zeitnah überprüfen. Dabei gilt es zu klären, welche Daten in die USA übertragen werden, auf welchen Rechtsgrundlagen diese Transfers basieren und welche Alternativen es gibt. Unternehmen, die bislang auf den Angemessenheitsbeschluss setzen, sollten sich mit den Standardvertragsklauseln vertraut machen und prüfen, ob eine Umstellung auf europäische Anbieter oder On-Premise-Lösungen sinnvoll ist.

Auch sollte überlegt werden, wie bestehende Verträge mit US-Anbietern angepasst werden können. Nicht selten bieten große Technologieunternehmen inzwischen Rechenzentren in Europa an, die für bestimmte Kunden buchbar sind. Solche Lösungen könnten helfen, rechtliche Risiken zu minimieren.

Kommt die nächste Datenschutzkrise?

Mit der Entlassung von drei Mitgliedern des PCLOB droht dem transatlantischen Datentransfer ein erneuter Rückschlag. Sollte der EuGH den Angemessenheitsbeschluss aufheben, wäre dies das dritte Mal innerhalb von zehn Jahren, dass eine rechtliche Grundlage für den Datenverkehr zwischen der EU und den USA wegfällt. Für Unternehmen wäre das ein massiver Einschnitt in ihre Geschäftsprozesse.

Auch wenn noch keine endgültige Entscheidung gefallen ist, sollten Unternehmen nicht abwarten. Wer sich jetzt vorbereitet, Alternativen prüft und Verträge anpasst, kann im Ernstfall schnell reagieren und rechtliche Konsequenzen vermeiden. Es bleibt abzuwarten, ob die US-Regierung unter Trump die Situation entschärft oder ob der EuGH ein weiteres Mal den transatlantischen Datentransfer auf den Prüfstand stellt. Sicher ist nur eines: Die Debatte um Datenschutz und Datentransfers zwischen der EU und den USA wird uns noch eine Weile begleiten.

  1. https://cdt.org/insights/what-the-pclob-firings-mean-for-the-eu-us-data-privacy-framework/ abgerufen am 26.02.2025 ↩︎
  2. https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html abgerufen am 26.02.2025 ↩︎
  3. https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html abgerufen am 26.02.2025 ↩︎
  4. https://germany.representation.ec.europa.eu/news/datenverkehr-zwischen-der-eu-und-den-usa-europaische-kommission-erlasst-neuen-2023-07-10_de abgerufen am 26.02.2025 ↩︎

Autor: Thore Severin

Thore Severin
Archiv des Autors aufrufen