heise PlusAbo
Anzeige

Nach Trump-Entscheidung: Kippt das Abkommen für Datenübermittlungen in die USA?

Nachdem Donald Trump drei Mitglieder der Datenschutzaufsichtsbehörde PCLOB entlassen hat, sägt noyb erneut am EU-US-Datenschutzabkommen.

vorlesen Druckansicht 26 Kommentare lesen
Die Datenübertragung zwischen EU und USA ist seit Jahren ein umkämpftes Thema.

(Bild: iX)

Lesezeit: 6 Min.
iX Magazin
Von
  • Stefan Hessel
  • Christina Kiefer
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Nach seiner offiziellen Ernennung hat US-Präsident Donald Trump die drei demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) zum Rücktritt aufgefordert, was die Behörde nun bestätigt hat. Das PCLOB ist eine unabhängige Datenschutzaufsichtsbehörde in den USA und ein wichtiges Element bei der Legitimierung von Datenübermittlungen im Rahmen des EU-US-Datenschutzrahmens (Transatlantic Data Privacy Framework, kurz TADPF). Die ersten beiden Versuche eines Datenübermittlungsabkommens zwischen der EU und den USA – Safe Harbour und Privacy Shield – scheiterten in der Vergangenheit nach Klagen der Datenschutz-NGO noyb vor dem Europäischen Gerichtshof.

Stefan Hessel
Stefan Hessel

Stefan Hessel ist Rechtsanwalt und Salary-Partner bei reuschlaw in Saarbrücken. Als Head of Digital Business berät er nationale und internationale Unternehmen zu Datenschutz, Cybersicherheit und IT-Recht.

Christina Kiefer
Christina Kiefer

Christina Kiefer ist Rechtsanwältin und Senior Associate in der Digital Business Unit bei reuschlaw.

Im Rücktritt der drei Mitglieder sieht noyb jetzt ein erstes Loch im TADPF. Dieses Abkommen zwischen der EU-Kommission und der US-Regierung ist die zentrale Grundlage für den seit dem 10. Juni 2023 geltenden Angemessenheitsbeschluss für Datentransfers in die USA. Damit wurde ein jahrelanger Zustand der Rechtsunsicherheit beendet. Verantwortliche, die personenbezogene Daten in die USA übermitteln, müssen seitdem keine zusätzlichen Garantien vereinbaren, wenn der Empfänger in den USA nach dem EU-US-Datenschutzrahmen zertifiziert ist. Fällt der Angemessenheitsbeschluss weg, droht erneut erhebliche Rechtsunsicherheit für Unternehmen auf beiden Seiten des Atlantiks.

Die Rolle des PCLOB


Das PCLOB prüft unter anderem, ob Maßnahmen zur nationalen Sicherheit ein angemessenes Datenschutzniveau gewährleisten. Damit soll sichergestellt werden, dass diese keine unverhältnismäßigen Auswirkungen auf die Privatsphäre und die bürgerlichen Freiheiten haben. Solche unabhängigen Kontrollgremien kollidieren jedoch mit Trumps Verfassungsverständnis. Nach der von Trump vertretenen Unitary Executive Theory steht die gesamte Exekutive unter der alleinigen Kontrolle des Präsidenten. Demnach hat der Präsident auch das Recht, alle Exekutivbeamten zu ernennen, zu entlassen und ihre Arbeit zu kontrollieren. Von den daraus abgeleiteten Befugnissen hat Trump in den ersten Tagen seiner Amtszeit bereits umfassenden Gebrauch gemacht.

Zwischenzeitlich hat das PCLOB mitgeteilt, dass die betroffenen Mitglieder durch das Weiße Haus entlassen wurden. Die Behörde ist nach eigener Aussage jedoch in der Lage, ihre Arbeit fortzusetzen und erwartet die Ernennung neuer Mitglieder. Folgt man dieser Lesart, könnte die Abberufung lediglich dem Zweck dienen, durch neue republikanische Vertreter einen stärkeren Einfluss der Trump-Administration auf das PCLOB sicherzustellen. Der maximal fünfköpfige Vorstand benötigt drei aktive Mitglieder, um arbeitsfähig zu sein. Eine republikanische Nachnominierung würde die Existenz des PCLOB als unabhängiges Aufsichtsgremium daher nicht berühren.

Executive Order als wackelige Grundlage


Das PCLOB nimmt bestimmte Aufgaben wahr, die zur Aufrechterhaltung des EU-US-Datenschutzrahmens gemäß der Executive Order 14086 erforderlich sind. Bei der Executive Order 14086 handelt es sich um eine von Präsident Joe Biden im Jahr 2022 verabschiedete präsidiale Anordnung. Als solche kann sie jedoch jederzeit durch eine neue Executive Order eines amtierenden Präsidenten geändert oder aufgehoben werden. Es bleibt daher abzuwarten, ob und wann Donald Trump Änderungen vornehmen wird.

Videos by heise

Eine der am 20. Januar 2025 unterzeichneten Executive Orders sieht vor, alle Entscheidungen Bidens zur nationalen Sicherheit innerhalb von 45 Tagen zu überprüfen und gegebenenfalls aufzuheben. Hierauf stützt noyb die Bedenken, dass das aktuelle Datenabkommen vor dem Aus stehen könnte: "Da das gesamte Abkommen auf den Executive Orders von Biden basiert, könnte Trump alle Schlüsselelemente des Abkommens mit einer einzigen Unterschrift streichen." Schreibt noyb im eigenen Blog und schließt daraus: "Das würde Datentransfers zwischen der EU und den USA mit sofortiger Wirkung illegal machen."

Kippt der Datenschutzrahmen?

Ob der EU-US-Datenschutzrahmen davon betroffen sein wird, bleibt abzuwarten. Man darf nicht übersehen, dass auch ein US-Präsident nicht völlig losgelöst von den anderen demokratischen Institutionen regiert. Ein anderes Dekret von Donald Trump wurde beispielsweise umgehend von einem US-Bundesrichter gestoppt. Zudem handelt es sich bei den 46 am ersten Tag unterzeichneten Dekreten teilweise eher um Trump-PR als um inhaltlich fundierte Handlungsanweisungen. Es bleibt daher offen, ob ein Szenario, in dem der bestehende Angemessenheitsbeschluss gefährdet ist, überhaupt eintritt. Dagegen spricht, dass der EU-US-Datenschutzrahmen im Gegensatz zu den von Trump aufgehobenen KI-Regulierungen keine unmittelbare Belastung für US-Unternehmen darstellt. Eine Gefährdung des transatlantischen Datenverkehrs würde jedoch die wirtschaftlichen Aktivitäten von US-Unternehmen auf dem EU-Markt gefährden.

Was uns Europäer die ersten Tage lehren sollten

Klar ist, dass eine Aushöhlung des EU-US-Datenschutzrahmens ein Risiko für den bestehenden Angemessenheitsbeschluss und damit für den transatlantischen Datentransfer darstellt. Die weitere Entwicklung wird auch davon abhängen, ob die EU-Kommission Mittel und Wege findet, mit Donald Trump umzugehen und im Sinne Europas auf ihn einzuwirken. Denkbare Druckmittel sind neben dem verstärkten Einsatz europäischer Lösungen insbesondere die Forderung an US-Unternehmen, ihr Europageschäft über EU-Niederlassungen abzuwickeln und eine ausschließliche Datenverarbeitung im Europäischen Wirtschaftsraum zu gewährleisten.

Sollte der Angemessenheitsbeschluss trotz aller Bemühungen fallen, können Verantwortliche immerhin noch auf Standardvertragsklauseln zurückgreifen. Datentransfers in die USA werden dadurch zwar nicht unmöglich, aber mit deutlich höherem Aufwand verbunden sein. Datenexporteure müssen dann im Einzelfall prüfen, ob die Klauseln unter Berücksichtigung der Rechtslage und Rechtspraxis im Drittland ein angemessenes Datenschutzniveau gewährleisten. Ist dies nicht der Fall, müssen zusätzliche Schutzmaßnahmen ergriffen werden. Wer noch keinen vollständigen Überblick über seine Datenübermittlungen in die USA und andere Drittländer hat, sollte sich diesen schnellstmöglich verschaffen.

Die offizielle Mitteilung des PCLOB findet sich hier. Die Stellungnahme von noyb im Blog der NGO.

(pst)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten