Wer einen US-Dienstleister nutzt, muss damit rechnen, dass die Daten entweder auf Servern in den USA verarbeitet werden oder zumindest für US-Behörden zugänglich sind.
Dabei sind zwei wesentliche Regelwerke zu beachten: Das EU-US Data Privacy Framework (DPF) und der CLOUD-Act.
Der CLOUD-Act, den Präsident Trump 2018 in Kraft setzte, regelt den Datenzugriff von US-Strafverfolgungsbehörden auf Daten von US-Dienstleistern, selbst wenn diese Daten innerhalb der EU bzw. des EWR gespeichert sind. Für den Zugriff ist kein Transfer in die USA erforderlich, weshalb dieser Aspekt hier nicht weiter betrachtet wird.
Wenn es jedoch um den Datentransfer in die USA und die dortige Speicherung geht, dann ist das EU-US DPF maßgeblich.
Die Schwächung des EU-US DPF
Zentraler Bestandteil ist die Executive Order (EO) 14086, die das EU-US DPF erst ermöglicht hat.
Die EO sieht in einer zweiten Stufe das Privacy and Civil Liberties Oversight Board (PCLOB) vor – ein unabhängiges Aufsichtsgremium, das die Strategien der Exekutive und ihre Umsetzung hinsichtlich des Schutzes der Privatsphäre und der bürgerlichen Freiheiten überprüft. Nun wurden jedoch die demokratischen Mitglieder aus diesem Gremium entlassen.
Dadurch ist das PCLOB nicht mehr arbeitsfähig und die Wirksamkeit der EO 14086 steht infrage. Es ist unklar, ob neue Mitglieder nachnominiert werden. Das verbleibende Mitglied scheint da hoffnungsvoll gestimmt, dass die Arbeit fortgesetzt werden kann und verwies darauf, dass es in der Vergangenheit bereits ähnliche Situationen gegeben habe.
Ob das DPF weiterhin eine tragfähige Rechtsgrundlage für den Datentransfer in die USA darstellt, liegt nun bei der EU-Kommission. Nach Art. 45 Abs. 4 DSGVO ist sie verpflichtet, die Entwicklungen in Drittländern zu überwachen, die den Angemessenheitsbeschluss und damit das DPF beeinflussen könnten.
Der Angemessenheitsbeschluss der EU-Kommission zum EU-US DPF selbst stellt in Art. 3 klar, dass die Kommission regelmäßig bewerten muss, ob das Datenschutzniveau für in die USA übermittelte personenbezogene Daten weiterhin Bestand hat. Eine erste Evaluierung fand im Oktober 2024 statt. Hier hat die EU-Kommission zwar angemerkt, dass es Verbesserungsbedarf gibt, etwa bei Gewährleistung von Transparenz, Verhältnismäßigkeit und Notwendigkeit im Rahmen der Datenzugriffspraktiken der Geheimdienste. Das PCLOB kommt mehrmals im Text vor, ausdrücklich wird von drei Mitgliedern gesprochen, und nimmt nach Einschätzung der EU-Kommission eine aktive Rolle in der Umsetzung des EO ein. In seiner nächsten Evaluierung muss sich die EU-Kommission nun damit auseinandersetzen, ob das PCLOB weiterhin verlässlich seine Arbeit im Bezug auf das DPF erfüllen kann.
Was ist zu tun?
Zunächst stellt sich u. a. die innenpolitische Situation in den USA als unübersichtlich dar. Daher lassen sich aus dem Agieren der neuen amerikanischen Regierung keine belastbaren Schlussfolgerungen für die Zukunft ableiten. Allerdings lässt sich wohl feststellen, dass der Kooperationswille der aktuellen US-Regierung mit der EU weniger stark ausgeprägt ist als unter der Vorgängerregierung.
Unternehmen können sich also nicht darauf verlassen, dass alles so bleibt wie bisher.
Daher sollten folgende Maßnahmen in Erwägung gezogen werden:
- Prüfung der US-Dienstleister: Unternehmen sollten analysieren, welche ihrer Dienstleister mit Sitz in den USA personenbezogene Daten verarbeiten.
- Alternative Rechtsgrundlagen: Falls die EU-Kommission den Angemessenheitsbeschluss für das DPF widerruft, bleiben als rechtliche Grundlage noch die Standarddatenschutzklauseln (SCCs). Diese erfordern jedoch gemäß Klausel 14 eine Datentransfer-Folgenabschätzung. Dabei muss nachgewiesen werden, dass der Datenimporteur ein mit der EU vergleichbares Datenschutzniveau gewährleisten kann. Falls dies nicht dargelegt werden kann, ist der Datentransfer rechtswidrig.
- Erwägung alternativer Anbieter: Für zukünftige Projekte ist es ratsam, auch Dienstleister aus sicheren Drittländern oder der EU/EWR in Betracht zu ziehen. Dies kann mögliche datenschutzrechtliche Risiken in der Zukunft vermeiden.
13. März 2025 @ 11:23
Der wissenschaftliche Dienst des Deutschen Bundestages hat bereits 2020 festgestellt, dass in den USA drei Gesetze gelten, die US-Behörden beliebigen Zugriff auf sämtliche Daten aller US-Firmen ermöglichen, Speicherort ist dabei gleichgültig. Neben dem o.g. CLOUD Act sind dies der ältere FISA sowie der Patriot Act. https://www.bundestag.de/resource/blob/796102/ea53ffe8e08a9ab11e270719263d8c53/WD-3-181-20-pdf-data.pdf