EU-U.S. Data Privacy Framework: Umgang mit den kommenden politischen Veränderungen in den USA

Problematik des EU-U.S. Data Privacy Framework

Das EU-U.S. Data Privacy Framework, seit Juli 2023 in Kraft, steht möglicherweise an einem kritischen Wendepunkt. Mit der bevorstehenden Amtsübernahme Donald Trumps als US-Präsident und seiner angekündigten umfassenden Neuausrichtung der amerikanischen Politik könnten die Grundpfeiler dieser transatlantischen Vereinbarung über den sicheren Transfer personenbezogener Daten an Unternehmen in den USA gefährdet werden.

Hintergrund ist, dass die rechtliche Architektur des EU-U.S. Data Privacy Framework maßgeblich auf der Executive Order 14086 („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“) von US-Präsident Joe Biden vom 7. Oktober 2022 fußt. Diese Executive Order wurde gezielt konzipiert, um die Anforderungen zu erfüllen, die der Europäische Gerichtshof in seinem richtungsweisenden Schrems-II-Urteil (C-311/18 vom 16. Juli 2020) für ein angemessenes Datenschutzniveau von Datentransfers personenbezogener Daten in die USA formuliert hatte.

Zwei wesentliche Säulen prägen das durch die Executive Order geschaffene Schutzniveau: Erstens unterliegt der Datenzugriff durch US-Nachrichtendienste nunmehr strikten Notwendigkeits- und Verhältnismäßigkeitskriterien. Zweitens wurde ein Rechtsschutzsystem etabliert, das europäischen Bürgern bei vermuteten unrechtmäßigen Datenerhebungen zu Zwecken der nationalen Sicherheit ein unabhängiges und unparteiisches Überprüfungsverfahren garantiert (bemerkenswert ist in diesem Kontext übrigens, dass bis November 2024 nur eine einzige Beschwerde im Rahmen dieses Rechtsbehelfsverfahrens eingereicht wurde).

Die geschilderte rechtliche Architektur des EU-U.S. Data Privacy Framework ist gleichzeitig seine zentrale Schwachstelle. Executive Orders sind Verwaltungsanordnungen des US-Präsidenten, die ohne Beteiligung des Kongresses sowohl erlassen als auch widerrufen werden können. Die Executive Order 14086, auf der das EU-U.S. Data Privacy Framework maßgeblich basiert, könnte somit von US-Präsident Trump nach seinem Amtsantritt durch eine einfache Gegenorder aufgehoben oder substanziell modifiziert werden.
Dieser Umstand schafft eine nicht zu unterschätzende Rechtsunsicherheit für den transatlantischen Datentransfer. Unternehmen und Organisationen, die sich auf das EU-U.S. Data Privacy Framework als Rechtsgrundlage für ihre Datenübermittlungen in die USA stützen, müssen sich dieser inhärenten Instabilität bewusst sein. Ein Widerruf der Executive Order 14086 würde unmittelbar die rechtliche Grundlage für die Angemessenheitsentscheidung der EU-Kommission erschüttern und könnte – ähnlich wie bei den Vorgängerregelungen Safe Harbor und Privacy Shield – zu einer erneuten Krise des transatlantischen Datentransfers führen.

Die bisherigen transatlantischen Datentransfer-Regelungen – Safe Harbor und Privacy Shield – scheiterten an der gerichtlichen Überprüfung durch den Europäischen Gerichtshof. Beim aktuellen Data Privacy Framework schien daher die größte Bedrohung ebenfalls von einer möglichen Klage vor dem EuGH auszugehen. Diese Einschätzung erfährt nun eine überraschende Wendung: Die unmittelbarste Gefahr für den Fortbestand des EU-U.S. Data Privacy Framework droht nicht aus Luxemburg, sondern aus Washington.
Die potenzielle Aufhebung der zugrundeliegenden Executive Order durch den künftigen US-Präsidenten könnte das gesamte Regelungswerk schneller zu Fall bringen als jedes Gerichtsverfahren vor dem EuGH. Während ein Verfahren vor dem Europäischen Gerichtshof typischerweise mehrere Jahre in Anspruch nimmt und seine Ausgestaltung durch rechtliche Argumentation beeinflusst werden kann, könnte eine präsidiale Gegenorder das EU-U.S. Data Privacy Framework praktisch über Nacht seiner rechtlichen Grundlage berauben.

Unternehmen und Institutionen sind daher dringend aufgefordert, die konkreten Folgen dieser politischen Neuausrichtung für ihre Datentransfers in die USA zu analysieren, die weitere Entwicklung zu beobachten und entsprechende Vorkehrungen zu treffen.

Organisationen sollten proaktiv handeln

Angesichts der politischen Unwägbarkeiten empfiehlt sich für Unternehmen ein zweigleisiger Ansatz bei der rechtlichen Absicherung ihrer transatlantischen Datentransfers.

Parallel zur Nutzung des EU-U.S. Data Privacy Framework sollten für alle Datentransfers Standardvertragsklauseln (Standard Contractual Clauses, SCCs) implementiert und kontinuierlich gepflegt werden. Diese „Backup-Strategie“ schafft ein zusätzliches Fundament für rechtskonforme Datenübermittlungen.

Die SCCs bieten als von der EU-Kommission bereitgestelltes Instrument den entscheidenden Vorteil, dass sie unabhängig von politischen Entwicklungen in den USA Bestand haben. Während das EU-U.S. Data Privacy Framework durch eine präsidiale Entscheidung seine Gültigkeit verlieren könnte, bleiben die SCCs als eigenständige vertragliche Grundlage bestehen. Unternehmen, die beide Instrumente parallel nutzen, können damit im Fall eines Wegfalls des EU-U.S. Data Privacy Framework ihre Datentransfers auf SCCs stützen.

Hierzu aber noch ein Hinweis:

Die parallele Implementierung von SCCs bietet zwar eine wichtige rechtliche Absicherung, ist jedoch kein Allheilmittel. Sollte das EU-U.S. Data Privacy Framework durch eine präsidiale Order fallen, würde dies die grundsätzlichen Bedenken hinsichtlich des Datenschutzniveaus in den USA wieder in den Vordergrund rücken. In diesem Fall müssten Unternehmen bei der Nutzung von SCCs einen deutlich höheren Begründungsaufwand leisten, um die Angemessenheit des Datenschutzniveaus zu dokumentieren.
Insbesondere wären dann im Rahmen der nach Schrems II Urteil des EuGH ohnehin erforderlichen Transfer Impact Assessments (TIAs) entsprechend ausführliche Begründungen erforderlich, und zwar wären insbesondere auch die Zugriffsrechte US-amerikanischer Behörden noch kritischer zu würdigen. Ohne die Schutzgarantien der Executive Order 14086 müssten Unternehmen in jedem Fall deutlich umfangreichere zusätzliche Absicherungsmaßnahmen nachweisen, um ein dem europäischen Niveau vergleichbares Datenschutzniveau zu gewährleisten.