„EU-US Datentransfer: Droht das nächste Schrems-Urteil?“

Die Zukunft des EU-US Data Privacy Framework (DPF) steht auf der Kippe. Unter Präsident Donald Trump gerät das erst 2023 in Kraft getretene Abkommen, das den transatlantischen Datentransfer regelt, zunehmend unter Druck. Mit der Entlassung von Mitgliedern des Privacy and Civil Liberties Oversight Board (PCLOB) und der angekündigten Überprüfung von Datenschutzmaßnahmen durch die Trump-Administration droht eine erneute Rechtsunsicherheit – ähnlich wie im Fall des Privacy Shield (Schrems II-Entscheidung), das durch den EuGH 2020 für unwirksam erklärt wurde und für Aufregung sorgte.

Aktuelle Entwicklungen unter der Trump-Administration

Im Januar 2025 forderte die Trump-Administration die Rücktritte der drei demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB), eines zentralen Gremiums zur Überwachung der Einhaltung von Datenschutzbestimmungen durch US-Geheimdienste. Diese Maßnahme führte dazu, dass das PCLOB seine Beschlussfähigkeit verlor und seine Fähigkeit zur effektiven Kontrolle de facto nicht mehr besteht. ​Zusätzlich ordnete Präsident Trump eine umfassende Überprüfung aller nationalen Sicherheitsentscheidungen der vorherigen Regierung an, einschließlich derjenigen, die dem DPF zugrunde lagen. Diese Entwicklungen werfen Fragen hinsichtlich der Stabilität und Zuverlässigkeit des DPF auf und könnten das Vertrauen der EU in das Abkommen beeinträchtigen.​

Mögliche Konsequenzen für Unternehmen

Mit diesen Maßnahmen der US-Regierung steht das DPF – wieder einmal – gefährdet. Einem Widerruf durch den EuGH wie zuletzt 2020 sind damit Tür und Tor geöffnet. Sollte das DPF außer Kraft gesetzt werden, stehen Unternehmen, die auf transatlantische Datenübertragungen angewiesen sind, vor erheblichen Herausforderungen. Sie müssten auf alternative Mechanismen wie Standardvertragsklauseln (SCC) sowie Binding Corporate Rules (BCR) zurückgreifen, um den Datentransfer rechtlich abzusichern.

Zu beachten ist, dass auch bei der Verwendung von Standardvertragsklauseln zusätzlich ein sogenanntes „Transfer Impact Assessment“ (TIA) durchgeführt werden muss. Bei einem TIA handelt es sich um eine Risikoabschätzung für die Datensicherheit bei einem Transfer in ein Drittland, welche Pflichtbestandteil seit Dezember 2022 zum Abschluss von SCC sind. All diese alternativen Maßnahmen erfüllen zwar die formellen Voraussetzungen für den Datentransfer, sind jedoch mit einem deutlich erhöhten Verwaltungsaufwand und potenziellen Rechtsunsicherheiten verbunden. Zudem könnten europäische Datenschutzbehörden strengere Kontrollen durchführen, was wiederum das Risiko von Bußgeldern und Reputationsschäden erhöht.​

Vorbereitungsmaßnahmen für Unternehmen

Um auf mögliche Änderungen vorbereitet zu sein und ein Chaos wie nach dem Wegfall des Privacy Shields zu vermeiden, sollten Unternehmen proaktiv folgende Schritte einleiten:

1. Risikobewertung durchführen: Analysieren Sie die Abhängigkeit Ihres Unternehmens von transatlantischen Datenübertragungen und identifizieren Sie potenzielle Schwachstellen.​
2. Alternative Datenübertragungsmechanismen prüfen: Evaluieren Sie die Implementierung von SCC oder BCR, um den Datentransfer auch ohne DPF rechtlich abzusichern.​
3. Datenschutzmaßnahmen verstärken: Setzen Sie auf Verschlüsselung, Pseudonymisierung und vor allem auf Anonymisierung, um die Sicherheit personenbezogener Daten zu gewährleisten und den Missbrauch durch unbefugte Dritte zu erschweren.​
4. Datenlokalisierung in Betracht ziehen: Prüfen Sie die Möglichkeit, Daten innerhalb der EU zu speichern und zu verarbeiten, um Abhängigkeiten von transatlantischen Übertragungen zu reduzieren.​
5. Rechtliche Beratung einholen: Konsultieren Sie Datenschutzexperten, um sicherzustellen, dass Ihre Maßnahmen den aktuellen rechtlichen Anforderungen entsprechen und Ihr Unternehmen bestmöglich geschützt ist.​

Durch proaktive Planung und Implementierung geeigneter Maßnahmen können Unternehmen die Risiken minimieren, die mit möglichen Änderungen des DPF verbundenen Risiken minimieren und ihre Geschäftstätigkeit weiterhin rechtskonform und effizient gestalten.

Können wir Ihnen weiterhelfen?

Falls Sie Unterstützung in rechtlichen Fragen oder bei der Umsetzung von Datenschutzmaßnahmen benötigen, stehen wir Ihnen gerne zur Verfügung. Kontaktieren Sie uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de.