Ist das EU-US Data Privacy Framework (DPF) am Ende? Folgen für Unternehmen

2023 erklärte die EU-Kommission, dass durch das EU-US Data Privacy Framework (DPF) ein angemessenes Datenschutzniveau bei Empfängern in den USA geschaffen wird, soweit diese entsprechend zertifiziert sind. Dies gibt Unternehmen Rechtssicherheit, wenn Sie personenbezogene Daten an Anbieter übertragen, die in den USA sitzen. Hiermit wurde ein lange schwelender Zustand rechtlicher Unsicherheit beseitigt, der entstanden war, nachdem der EuGH in seiner “Schrems II” Entscheidung die zuvor bestehende Regelung gekippt hatte.

Maßnahmen der Trump-Regierung im Jahr 2025 gefährden jedoch die Zukunft des DPF. Wird es für ungültig erklärt, kann dies schwere Konsequenzen für all jene Unternehmen bedeuten, die US-amerikanische Dienste wie beispielsweise Cloud-Dienste von Google, Amazon oder Microsoft nutzen. Unter Umständen ist für eine komplette Rechtssicherheit künftig sogar eine komplette Neubewertung von Prozessen unter Ausschluss von US-Unternehmen notwendig. Unternehmen sollten sich daher schnellstmöglich auf alle Szenarien vorbereiten.

Das EU-US Data Privacy Framework im Überblick

Das EU-US Data Privacy Framework (DPF) ist das dritte Abkommen zwischen der EU und den USA, das einen Rechtsrahmen für die Übermittlung personenbezogener Daten, von der EU in die USA setzt. Die beiden vorherigen Abkommen, namentlich das Safe-Harbor-Framework und das Data-Privacy-Shield, waren bereits Jahre zuvor jeweils vom Europäischen Gerichtshof (EuGH) einkassiert worden mit der Folge, dass die Nutzung von US-Diensten bei der Verarbeitung personenbezogener Daten meist in eine rechtliche Grauzone fiel.

Das DPF ermöglicht es US-Unternehmen eine Zertifizierung zu erlangen, die die rechtlichen Hürden für die Verarbeitung von personenbezogenen Daten aus der EU erheblich erleichtert. Dafür müssen sie eine Reihe von Kriterien erfüllen, durch die ein der EU gleichgestellter Schutz personenbezogener Daten sichergestellt werden soll.

Sinn und Zweck des Abkommens ist es, Unternehmen auf EU-Seite Rechtssicherheit bei der Übermittlung von personenbezogenen Daten in die USA zu geben und die Nutzung US-basierter Dienste aus der rechtlichen Grauzone zu holen. 

Das DPF räumt EU-Bürgern Rechte gegenüber teilnehmenden US-Unternehmen ein, um etwa Auskunft über zur eigenen Person gespeicherte und verarbeitete Daten zu erhalten und die Löschung dieser zu beantragen. Gleichzeitig werden die Rechte von US-Sicherheitsdiensten beschränkt, auf die personenbezogenen Daten von EU-Bürgern zuzugreifen. Mechanismen zur Streitbeilegung werden im Abkommen ebenfalls festgelegt.

Um die Einhaltung des Abkommens auf US-Seite sicherzustellen, hatte der ehemalige Präsident Joe Biden die Executive Order 14086 erlassen. Diese hat vor allem zum Gegenstand, die Grundsätze von Erforderlichkeit und Verhältnismäßigkeit bei dem Zugriff durch US-Sicherheitsdienste auf personenbezogene Daten bei privaten Anbietern einzuführen. Gleichzeitig wurde das Privacy and Civil Liberties Oversight Board (PCLOB) mit der Aufgabe betreut, die Einhaltung dieser Regeln zu überwachen und eine Kontrollfunktion bezüglich der vereinbarten Beschwerdeverfahren einzunehmen. Die Arbeit dieses Gremiums ist dabei einer der entscheidenden Gründe, aus welchen die EU-Kommission das Abkommen für angemessen erklärt hat.

Darum könnte das DPF schon 2025 scheitern

Die neue US-Regierung unter Donald Trump hat bereits kurz nach Übernahme der Amtsgeschäfte im Januar 2025 mehrere Maßnahmen veranlasst, die wichtige Voraussetzungen für die Angemessenheitserklärung des Abkommens in Zweifel ziehen.

Zum einen könnte die besagte EO 14086 im Rahmen einer Neubewertung zurückgenommen werden. Einen entsprechenden Erlass zur Prüfung dieser und ähnlicher Erlässe der Vorgängerregierung hatte Trump bereits am 20. Januar angeordnet. Zwar wurde der Erlass nicht innerhalb der hierfür selbst gesetzten Frist von 45 Tagen aufgehoben, doch das Risiko ist weiterhin gegeben. 

Ebenfalls schwerwiegend wirkt sich die kurzfristige Entlassung von Mitgliedern des PCLOB aus. Das Kontrollgremium ist dadurch in seiner Arbeit entscheidend geschwächt, da das Gremium nun seiner Entscheidungsvoraussetzungen (Mehrheitsentscheidung mehrerer Mitglieder) entbehrt. Derzeit ist unklar, ob es überhaupt noch in der Lage ist, seinen Aufgaben bei der Kontrolle des DPF nachzukommen. Ohne funktionierende Kontrolle durch das PCLOB erscheint ein Widerruf des Angemessenheitsbeschlusses durch die EU-Kommission jedoch zunehmend wahrscheinlich.

Hinzu kommt, dass das generelle Staatsverständnis von Donald Trump mit den Vorgaben der EU an einen wirkungsvollen Datenschutz bereits im Grundsatz kollidiert. Dafür wären starke und unabhängige Kontrollgremien unabdingbar. Diese stehen jedoch im Widerspruch zum autoritären Staatsverständnis von Donald Trump, der zudem weitaus kritischer gegenüber der EU auftritt als seine Vorgänger. Die Gräben zwischen den USA und der EU werden sich damit wahrscheinlich ausweiten.

Nimmt man alle Faktoren zusammen, erscheint ein Widerruf des Angemessenheitsbeschlusses für das Data Privacy Framework wahrscheinlich und könnte womöglich noch im Jahre 2025 erfolgen.

Welche Folgen hätte ein Scheitern des Abkommens für Unternehmen?

Ein Widerruf des Angemessenheitsbeschlusses für das EU-US Data Privacy Framework durch die EU-Kommission hätte unmittelbare Konsequenzen für alle Unternehmen, die US-basierte Dienste für die Verarbeitung personenbezogener Daten nutzen.

Die USA würden damit nicht weiter als sicheres Drittland nach Art. 45 DSGVO eingeordnet werden, selbst wenn eine Zertifizierung teilnehmender Unternehmen auf US-Seite besteht. Die Nutzung von US-Dienstleistern würde damit erneut in eine rechtliche Grauzone fallen.

Die direkte Folge wäre, dass europäische Unternehmen für jeden eingesetzten US-basierten Anbieter geeignete Garantien, z. B. EU-Standarddatenschutzklauseln, vereinbaren sowie unter Umständen ein Transfer Impact Assessment durchführen und daraus zusätzliche Maßnahmen ableiten müssten.

Unternehmen, die sich vollkommen absichern möchten, wären damit gezwungen, bei der Verarbeitung von personenbezogenen Daten ausschließlich europäische Unternehmen oder Unternehmen in anderen sicheren Drittstaaten zu beauftragen. Da jedoch insbesondere im Bereich der Cloud-Dienstleistungen viele Anbieter in den USA beheimatet sind, sind viele Unternehmen mit potenziell dramatischen Änderungen interner Prozesse und der IT-Infrastruktur konfrontiert.

Lassen Sie sich professionell beraten

Unternehmen, die auf US-Anbieter setzen, steht eine Phase der Unsicherheit bevor. Um sich bestmöglich vor den Folgen eines Scheiterns des EU-US Data Privacy Frameworks zu schützen, sollten Sie umgehend reagieren und Ihre Datentransferszenarien unbedingt einer Neubewertung unterziehen.

Als Sofortmaßnahme sollten zunächst alle relevanten Transfers identifiziert werden. Zusätzlich empfehlen wir, bei der Einführung neuer Dienstleister dieses erhebliche Risiko im Auge zu behalten und soweit möglich auch Alternativen zu eruieren. Eine gute Übersicht mit alternativen Anbietern zu beliebten US-Diensten findet sich beispielsweise auf dieser Webseite. Natürlich müssen auch diese vor Einführung alle einer (datenschutz-)rechtlichen Prüfung unterzogen werden. Und zugegeben, teilweise sind US-Tools noch sehr schwer ersetzbar. Also in Ruhe beobachten, Plan machen und einen kühlen Kopf bewahren!

Als Experten für Datenschutz und Compliance stehen wir Ihnen auch in unsicheren Zeiten zur Seite. Wir helfen Ihnen, Ihre jetzige Situation zu bewerten und Ihrem Unternehmen im Hinblick auf den Datenschutz komplette Rechtssicherheit zu bieten.

In einem Erstgespräch skizzieren wir Ihnen gerne erste Lösungsansätze. Wir freuen uns auf Ihren Kontakt!

_{Hinweis: Leistungen, die dem Rechtsdienstleistungsgesetz unterfallen, werden von der Kanzlei Two Towers Legal erbracht.}