IT-Recht / Cybersicherheit / Datenschutz
Teil I: Ende des Data Privacy Frameworks?
Wie geht mit US-Cloud-Diensten in der EU weiter geht
Rückblick
Es ist Juli 2020. Nach der Aufhebung des sog. "EU-US-Privacy-Shields" durch das "Schrems II" Urteil des EuGH herrscht für Unternehmen große Unsicherheit bezüglich des Datentransfers in die USA. Erst zum Jahreswechsel 2022/23 wird diese Lücke durch das "EU-US Data Privacy Framework" geschlossen werden.
Maßgebend war dabei ein US-Dekret des vormaligen US-Präsidenten Joe Biden, das direkt die Bedenken des EuGH in seiner "Schrems II"-Entscheidung geäußert hatte. Das Data Privacy Framework stellte so den Versuch dar, die vom EuGH identifizierten Schwachstellen im Datenschutz bei transatlantischen Datenübertragungen zu adressieren und aufzulösen.
Dieser Rechtsrahmen zielte darauf ab, datenschutzrechtliche Grundsätze bei der Übermittlung personenbezogener Daten in die USA festzusetzen. Kernaspekte waren mitunter die Einschränkung des Zugriffs amerikanischer Geheimdienste auf Daten sowie ein entsprechendes unabhängiges und unparteiliches Rechtsbehelfsverfahren für Einzelpersonen vor dem neu eingerichteten “Data Protection Review Court” (DPRC).
Insbesondere wurde das "Privacy and Civil Liberties Oversight Board" eingerichtet, das eine zentrale Rolle bei der Überwachung des EU-U.S. Data Privacy Framework ausübt: Zu seinen Aufgaben gehört es, die Einhaltung der Datenschutzrichtlinien durch US-Geheimdienste sowie die Beschwerdeverfahren zu kontrollieren
Hierdurch erhielten Unternehmen – bei entsprechender Umsetzung und rechtlicher Implementierung – Rechtssicherheit insbesondere beim Einsatz von Software und IT-Tools bzw. Cloud-Diensten aus den USA.
pixabay.com // geralt
Januar 2025: Trump-Administration
Bereits kurz nach der Amtseinführung Donald Trumps am 20. Januar 2025 wurden die Mitglieder des PCLOB zum Rücktritt aufgefordert. Hierdurch besteht die Gefahr, dass das die Durchsetzungsfähigkeit des und das Vertrauen in das Data Privacy Frameworks erschüttert wird.
In Folge könnten zukünftige Vereinbarungen zum Datenschutz zwischen der EU und den USA in Frage gestellt werden, da das PCLOB entscheidend dazu beiträgt, die Standards des Data Privacy Frameworks eingehalten werden.
Hintergrund der Rücktrittsforderung durch die Trump-Administration ist, eine abweichende rechtliche Auslegung und Interpretation der "Unitary Executive Theory". Aus dieser "Theorie der einheitlichen Exekutive" soll folgen, dass die vollständige Kontrolle über die Exekutive beim Präsidenten liegt, sodass autonome und unabhängige Aufsichtsgremien als nicht vereinbar und damit unzulässig gelten sollen.
Dieses Verständnis von Staat und Gewaltenteilung kollidiert mit dem von EU und Mitgliedstaaten. Vielmehr schaffen letztere durch unabhängige Gremien und Aufsichtsinstitute Sicherheit und Vertrauen.
In Folge droht, da das Data Privacy Framework gerade auf unabhängige Kontrollmechanismen setzt, die Grundlage für einen rechtssicheren transatlantischen Datenverkehr zu scheitern.
Was können Unternehmen nun tun?
Zuvorderst: Ruhe bewahren.
Das dem Data Privacy Framework zu Grunde liegende Dekret Joe Bidens wurde (noch) nicht aufgehoben; auch besteht das Data Privacy Framework im Übrigen (noch) fort.
Sicherheiten könn(t)en im Einzelfall „SCCs“, also „Standard Contract Clauses“ sowie Einzelabreden mit IT-Dienstleistern sowie eine entsprechende Gestaltung von Datenschutzerklärungen und technisch-organisatorischen Maßnahmen (TOMen) bieten.
Zudem sehen wir bereits jetzt, dass US-Anbieter ihre Datenschutzerklärungen und Vertragsbedingungen anpassen, um ein etwaiges Scheitern des Data Privacy Frameworks abfedern zu können.
Stand:
21.02.2025
zum autor
Alexander Graf-Rachut
ist Gründer der Rechtsanwaltskanzlei fennec und Lehrbeauftragter für IT-Recht an der Carl von Ossietzky Universität Oldenburg im Modul Cybersicherheitsrecht.
Als Rechtsanwalt, Wirtschaftsmediator und Rechtsinformatiker berät und vertritt er insbesondere Start-Ups, KMU und Unternehmen im Schnittfeld von IT- und IP-Recht.
