Datenaustausch EU-USA: Rückkehr zur Rechtsunsicherheit droht

2023 hatte die EU-Kommission den rechtssicheren Datenaustausch zwischen der EU und den USA bestätigt und für Klarheit gesorgt. Mit seinen jüngsten Vorwürfen gegen die EU sorgt US-Präsident Donald Trump für Aufsehen. Rechtsanwalt und Datenschutzexperte Wilfried Reiners rät Unternehmen, nicht kalt erwischt zu werden, wenn die EU die bisherige Regelung wieder kippt.

Rechtsanwalt Wilfried Reiners ist Geschäftsführer der PRW Legal Tech GmbH, ein auf Datenschutz und Compliance spezialisierter Dienstleister. CRN hat PRW vergangenes Jahr als bestes Start-up des Jahres mit einem CRN Channel Award ausgezeichnet.

Wir erinnern uns: Personenbezogene Daten dürfen grundsätzlich nur dann an Drittländer -Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) - übermittelt werden, wenn das durch die Datenschutz-Grundverordnung (DSGVO) gewährleistete Schutzniveau nicht untergraben wird. Auf der Grundlage der Privacy Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Mit Urteil vom 16. Juli 2020 (Rechtssache C 311/18 – "Schrems II") hat der Europäische Gerichtshof (EuGH) diesen Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt. Eine Übergangsfrist hatte das Gericht nicht eingeräumt. Die Verunsicherung in den Organisationen über den Einsatz von US IT-Produkten war groß.

Am 10.Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des "Privacy Shields") angenommen. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen. Die Frage ist, wie lange noch?

Wer die aktuellen Entwicklungen in den USA verfolgt, muss einen möglichen Wegfall des EU-U.S. Data Privacy Frameworks (DPF) in Betracht ziehen.

Trump: EU "to screw the United States"

Am 26. Februar 2025 erklärte US-Präsident Donald Trump: "The European Union was formed to screw the United States". Der Satz "to screw the United States" ist umgangssprachlich und hat eine negative Bedeutung. Das Verb "to screw" kann je nach Kontext verschiedene Bedeutungen haben, darunter "betrügen", "übervorteilen", "schädigen", "reinlegen" oder noch Schlimmere, aber keine positive Bedeutung.

Der polnische Premierminister Donald Tusk, der für sein Land zugleich den EU-Ratsvorsitz inne hält, wies Trump zwar in die Schranken, aber wie lange kann sich eine EU-Kommission an den Angemessenheitsbeschluss gebunden fühlen? Wenn der Angemessenheitsbeschluss zurückgezogen wird, hätte dies erhebliche Auswirkungen auf den rechtssicheren Datenaustausch zwischen der EU und den USA. Hier ein kleiner Überblick, was uns dann wieder bevorstehen könnte:

Datenübertragungen in die USA dürfen nicht mehr auf das DPF gestützt werden.
Eine Übergangszeit wird es nicht geben.
Unternehmen müssten alternative Lösungen zur Absicherung der Datenströme implementieren.
Es drohen Compliance-Risiken und möglicherweise hohe Bußgelder bei nicht konformer Datenübertragung.

Sollte das DPF wegfallen, stehen folgende Alternativen zur Verfügung:

Die Standardvertragsklauseln (SCC - Standard Contractual Clauses) wären weiterhin eine zulässige Grundlage, erfordern jedoch zusätzliche technische und organisatorische Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung), hinzu kommt ein TIA (Transfer Impact Assessment).
Für international agierende Konzerne können Binding Corporate Rules (BCR) eine Möglichkeit darstellen. Sie bedürfen einer Genehmigung durch die zuständigen Datenschutzbehörden.
In einigen Fällen kann die Nutzung von Anbietern mit ausschließlichem EU-Hosting eine praktikable Alternative sein. Für Anwender, z. B. von Microsoft 365, Google Cloud, AWS, kann dies zur Herausforderung werden.

Empfohlene Maßnahmen für Organisationen (Unternehmen und öffentlicher Bereich)

Die Organisationen sollten eine proaktive Risikoanalyse durchführen, um nicht so überrascht zu sein, wie nach Schremms II.
Die relevanten Dienstleister (z. B. Microsoft 365, Google Cloud, AWS) sollten ermittelt und die bestehenden Vertragsgrundlagen geprüft und gegebenenfalls angepasst werden.
Es sollten Beratungen mit Datenschutzexperten eingeplant werden, um individuelle Lösungen zu erarbeiten. Dabei wäre zu prüfen, ob und wenn ja, in welchem Umfang, die Organisation personenbezogene Daten in die USA überträgt.
Auch wenn dies schwierig wird, sollte die Entwicklung einer Strategie für alternative Datentransfers, um weiterhin DSGVO-konform zu bleiben, ebenfalls geprüft werden.
Wer der Problematik aus dem Weg gehen möchte, sollte prüfen, ob es originär europäische Dienstleister gibt, die die benötigten Anforderungen erfüllen.

Und dann ist da noch eine Idee

Bestimmte irische Unternehmen könnten sich vollständig unabhängig erklären und sich von ihrer Muttergesellschaft in den USA lossagen.

Den Gastbeitrags für CRN hat Rechtsanwalt Wilfried Reiners von PRW Legal Tech verfasst.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden

Die renommierten CRN Channel Award 2025 für Hersteller, Distributoren, IT-Dienstleister, Managerinnern und Manager: Jetzt bewerben – alle Infos hier