width=”7098″ height=”3993″ sizes=”(max-width: 7098px) 100vw, 7098px”>Mit dem teils schroffen Vorgehen der Trump-Regierung steht das EU-US Data Privacy Framework auf wackligen Füßen.Alexander Supertramp – shutterstock.com Nicht nur die im Rahmen einer Durchführungsverordnung durch US-Präsident Donald Trump verhängten Strafzölle belasten derzeit das Verhältnis zwischen den Vereinigten Staaten und der Europäischen Union. Auch die Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA ist – erneut – in Gefahr. Gemeinsam mit Dr. Hauke Hansen, Rechtsanwalt und Partner der Kanzlei FPS in Frankfurt/Main, klären wir die aktuelle Situation rund um das EU-US Data Privacy Framework („DPF“). Zudem prüfen wir rechtliche und technische Optionen. Nachdem der EuGH im zweiten Schrems-Urteil 2020 die EU-US-Datenschutzvereinbarung „Privacy Shield“ für unwirksam erklärt hatte, bildet aktuell das EU-US Data Privacy Framework (DPF) die Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA. Grundlage des DPF ist unter anderem die Executive Order 14086 des Ex-US-Präsidenten Biden. Dieses hat die EU-Kommission zum Anlass genommen, in einem weiteren Angemessenheitsbeschluss den USA ein Datenschutzniveau zu bescheinigen, das dem der EU entspricht. Grundlage für den Schutz der Daten bricht weg Inzwischen ist allerdings zweifelhaft, ob die Executive Order 14086 der Biden-Regierung Bestand haben wird. Zum einen hat Trump am 20. Januar 2025 beschlossen, alle Executive Orders der Biden-Administration innerhalb von 45 Tagen zu überprüfen und gegebenenfalls aufzuheben. Das betrifft auch die Executive Order 14086 – wenngleich die 45-Tage-Frist inzwischen abgelaufen ist. Zum anderen ist zentraler Bestandteil der Executive Order 14086 die Einrichtung des „Privacy and Civil Liberties Oversight Board“ (PCLOB). Dabei handelt(e) es sich um ein unabhängiges Aufsichtsgremium, das die Strategien der Exekutive und ihre Umsetzung hinsichtlich des Schutzes der Privatsphäre und der bürgerlichen Freiheiten überprüft. Medienberichten zufolge wurden jedoch die demokratischen Mitglieder aus diesem Gremium entlassen. Wie Datenschutzexperte Hansen erklärt, sei dadurch das PCLOB nicht mehr arbeitsfähig und die Wirksamkeit der Executive Order 14086 in Frage gestellt. So ist unklar, ob neue Mitglieder nachnominiert werden. Aber die Bewertung, ob das DPF weiterhin eine tragfähige Rechtsgrundlage für den Datentransfer in die USA darstellt, liegt bei der EU-Kommission. Nach Art. 45 Abs. 4 DSGVO ist sie verpflichtet, die Entwicklungen in Drittländern zu überwachen, die den Angemessenheitsbeschluss und damit das DPF beeinflussen könnten. Die EU hatte bereits in einer Evaluierung im Oktober 2024 angemerkt, dass es beim Datenschutzniveau für in die USA übermittelte, personenbezogene Daten Verbesserungsbedarf gibt. Diesen sah sie etwa bei Gewährleistung von Transparenz, Verhältnismäßigkeit und Notwendigkeit im Rahmen der Datenzugriffspraktiken der Geheimdienste. Auch das PCLOB kommt mehrmals im Text vor – es nimmt nach Einschätzung der EU-Kommission eine aktive Rolle in der Umsetzung der Executive Order 14086 ein. Letztendlich wurde der Angemessenheitsbeschluss aber aufrechterhalten. In seiner nächsten Evaluierung müsse sich die EU-Kommission aber nun damit auseinandersetzen, ob das PCLOB weiterhin verlässlich seine Arbeit in Bezug auf das DPF erfüllen kann, gibt Rechtsanwalt Hansen zu bedenken. Welche Alternativen gibt es? Eine rechtliche Alternative, sich abzusichern, sind dem Datenschutzexperten zufolge Standardvertragsklauseln (Standard Contractual Clauses = SCC). Darin verpflichten sich die Dienstleister, ein bestimmtes Datenschutzniveau einzuhalten. Die SCC könnten grundsätzlich auch dann eine Rechtsgrundlage für den Datentransfer in Staaten außerhalb der EU darstellen, so Hansen, wenn der Angemessenheitsbeschluss aufgehoben oder für unwirksam erklärt wird. Allerdings weist er darauf hin, dass die SCC auch ein Transfer Impact Assessment („TIA“) erforderten, in dem die rechtliche als auch die faktische Datenschutzsituation in dem Drittstaat bewertet wird. Kann nicht belegbar festgestellt werden, dass in dem Drittland ein der EU vergleichbares Datenschutzniveau gewährleistet ist, wäre der Datentransfer beziehungsweise der Zugriff aus dem Drittland rechtswidrig. Angesichts der aktuellen politischen Situation in den USA dürfte es derzeit zwar nicht ausgeschlossen, aber schwer sein, in einem TIA zu dem Ergebnis zu kommen, dass der Datentransfer, beziehungsweise der Zugriff durch die USA unproblematisch ist, so Hansen. Achtung, CLOUD Act! Verträge mit den europäischen Töchtern der US-Dienstleister abzuschließen, reichen aus Sicht des Datenschutzexperten nicht aus – selbst wenn sich die Dienstleister viel Mühe geben, die Zugriffe ihrer US-Mütter auf die Daten vollständig oder zumindest weitestgehend auszuschließen – Stichwort EU Data Boundary. Diverse US-Gesetze, insbesondere der 2018 von Trump in Kraft gesetzte CLOUD-Act, würden US-Unternehmen zwingen, Daten, die bei ihren europäischen Töchtern gespeichert sind, auf Anfrage von US-Sicherheitsbehörden herauszugeben, erklärt Hansen. Ein Zugriff aus den USA könne also rechtlich nicht gänzlich ausgeschlossen werden. Es gibt aber auch technische Lösungen, so der Rechtsanwalt. So könnten europäische Unternehmen darüber nachdenken, durch Verschlüsselung der Daten mit einem eigenen Key dafür zu sorgen, dass bei den Dienstleistern ausschließlich verschlüsselte Daten liegen. Mit dieser Möglichkeit, den CLOUD Act auszuhebeln, werben bereits Anbieter wie Eperi. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft nach eigenen Angaben zusammen mit Hyperscalern, wie eine Sicherheitsarchitektur ausgestaltet werden muss, um einen Klartextzugriff durch den Cloud-Provider selbst zu unterbinden. Handeln oder abwarten? Allerdings weist Hansen darauf hin, dass Unternehmen angesichts des noch in Kraft stehenden Angemessenheitsbeschlusses und der derzeit zurückhaltenden Praxis der deutschen Aufsichtsbehörden auch noch die Möglichkeit hätten, das Data Privacy Framework als rechtmäßig zu bewerten. Wenn es zu den US-Dienstleistern keine Alternativen gibt und diese an Bord gehalten werden sollen, besteht derzeit wohl noch die Möglichkeit, dies als rechtskonform zu bewerten. Umgekehrt warnt er jedoch, längerfristig darauf zu vertrauen: Für die EU-Kommission gebe es inzwischen genügend Argumente, US-Dienstleister mit Verweis auf mangelnden Datenschutz auszuschließen.
Was tun, wenn das EU-US Data Privacy Framework fällt?
width="7098" height="3993" sizes="(max-width: 7098px) 100vw, 7098px">Mit dem teils schroffen Vorgehen der Trump-Regierung steht das EU-US Data Privacy Framework auf wackligen Füßen.Alexander Supertramp – shutterstock.com Nicht nur die im Rahmen einer Durchführungsverordnung durch US-Präsident Donald Trump verhängten Strafzölle belasten derzeit das Verhältnis zwischen den Vereinigten Staaten und der Europäischen Union. Auch die Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA ist – erneut – in Gefahr. Gemeinsam mit Dr. Hauke Hansen, Rechtsanwalt und Partner der Kanzlei FPS in Frankfurt/Main, klären wir die aktuelle Situation rund um das EU-US Data Privacy Framework („DPF“). Zudem prüfen wir rechtliche und technische Optionen. Nachdem der EuGH im zweiten Schrems-Urteil 2020 die EU-US-Datenschutzvereinbarung „Privacy Shield“ für unwirksam erklärt hatte, bildet aktuell das EU-US Data Privacy Framework (DPF) die Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA. Grundlage des DPF ist unter anderem die Executive Order 14086 des Ex-US-Präsidenten Biden. Dieses hat die EU-Kommission zum Anlass genommen, in einem weiteren Angemessenheitsbeschluss den USA ein Datenschutzniveau zu bescheinigen, das dem der EU entspricht. Grundlage für den Schutz der Daten bricht weg Inzwischen ist allerdings zweifelhaft, ob die Executive Order 14086 der Biden-Regierung Bestand haben wird. Zum einen hat Trump am 20. Januar 2025 beschlossen, alle Executive Orders der Biden-Administration innerhalb von 45 Tagen zu überprüfen und gegebenenfalls aufzuheben. Das betrifft auch die Executive Order 14086 – wenngleich die 45-Tage-Frist inzwischen abgelaufen ist. Zum anderen ist zentraler Bestandteil der Executive Order 14086 die Einrichtung des „Privacy and Civil Liberties Oversight Board“ (PCLOB). Dabei handelt(e) es sich um ein unabhängiges Aufsichtsgremium, das die Strategien der Exekutive und ihre Umsetzung hinsichtlich des Schutzes der Privatsphäre und der bürgerlichen Freiheiten überprüft. Medienberichten zufolge wurden jedoch die demokratischen Mitglieder aus diesem Gremium entlassen. Wie Datenschutzexperte Hansen erklärt, sei dadurch das PCLOB nicht mehr arbeitsfähig und die Wirksamkeit der Executive Order 14086 in Frage gestellt. So ist unklar, ob neue Mitglieder nachnominiert werden. Aber die Bewertung, ob das DPF weiterhin eine tragfähige Rechtsgrundlage für den Datentransfer in die USA darstellt, liegt bei der EU-Kommission. Nach Art. 45 Abs. 4 DSGVO ist sie verpflichtet, die Entwicklungen in Drittländern zu überwachen, die den Angemessenheitsbeschluss und damit das DPF beeinflussen könnten. Die EU hatte bereits in einer Evaluierung im Oktober 2024 angemerkt, dass es beim Datenschutzniveau für in die USA übermittelte, personenbezogene Daten Verbesserungsbedarf gibt. Diesen sah sie etwa bei Gewährleistung von Transparenz, Verhältnismäßigkeit und Notwendigkeit im Rahmen der Datenzugriffspraktiken der Geheimdienste. Auch das PCLOB kommt mehrmals im Text vor – es nimmt nach Einschätzung der EU-Kommission eine aktive Rolle in der Umsetzung der Executive Order 14086 ein. Letztendlich wurde der Angemessenheitsbeschluss aber aufrechterhalten. In seiner nächsten Evaluierung müsse sich die EU-Kommission aber nun damit auseinandersetzen, ob das PCLOB weiterhin verlässlich seine Arbeit in Bezug auf das DPF erfüllen kann, gibt Rechtsanwalt Hansen zu bedenken. Welche Alternativen gibt es? Eine rechtliche Alternative, sich abzusichern, sind dem Datenschutzexperten zufolge Standardvertragsklauseln (Standard Contractual Clauses = SCC). Darin verpflichten sich die Dienstleister, ein bestimmtes Datenschutzniveau einzuhalten. Die SCC könnten grundsätzlich auch dann eine Rechtsgrundlage für den Datentransfer in Staaten außerhalb der EU darstellen, so Hansen, wenn der Angemessenheitsbeschluss aufgehoben oder für unwirksam erklärt wird. Allerdings weist er darauf hin, dass die SCC auch ein Transfer Impact Assessment („TIA“) erforderten, in dem die rechtliche als auch die faktische Datenschutzsituation in dem Drittstaat bewertet wird. Kann nicht belegbar festgestellt werden, dass in dem Drittland ein der EU vergleichbares Datenschutzniveau gewährleistet ist, wäre der Datentransfer beziehungsweise der Zugriff aus dem Drittland rechtswidrig. Angesichts der aktuellen politischen Situation in den USA dürfte es derzeit zwar nicht ausgeschlossen, aber schwer sein, in einem TIA zu dem Ergebnis zu kommen, dass der Datentransfer, beziehungsweise der Zugriff durch die USA unproblematisch ist, so Hansen. Achtung, CLOUD Act! Verträge mit den europäischen Töchtern der US-Dienstleister abzuschließen, reichen aus Sicht des Datenschutzexperten nicht aus – selbst wenn sich die Dienstleister viel Mühe geben, die Zugriffe ihrer US-Mütter auf die Daten vollständig oder zumindest weitestgehend auszuschließen – Stichwort EU Data Boundary. Diverse US-Gesetze, insbesondere der 2018 von Trump in Kraft gesetzte CLOUD-Act, würden US-Unternehmen zwingen, Daten, die bei ihren europäischen Töchtern gespeichert sind, auf Anfrage von US-Sicherheitsbehörden herauszugeben, erklärt Hansen. Ein Zugriff aus den USA könne also rechtlich nicht gänzlich ausgeschlossen werden. Es gibt aber auch technische Lösungen, so der Rechtsanwalt. So könnten europäische Unternehmen darüber nachdenken, durch Verschlüsselung der Daten mit einem eigenen Key dafür zu sorgen, dass bei den Dienstleistern ausschließlich verschlüsselte Daten liegen. Mit dieser Möglichkeit, den CLOUD Act auszuhebeln, werben bereits Anbieter wie Eperi. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft nach eigenen Angaben zusammen mit Hyperscalern, wie eine Sicherheitsarchitektur ausgestaltet werden muss, um einen Klartextzugriff durch den Cloud-Provider selbst zu unterbinden. Handeln oder abwarten? Allerdings weist Hansen darauf hin, dass Unternehmen angesichts des noch in Kraft stehenden Angemessenheitsbeschlusses und der derzeit zurückhaltenden Praxis der deutschen Aufsichtsbehörden auch noch die Möglichkeit hätten, das Data Privacy Framework als rechtmäßig zu bewerten. Wenn es zu den US-Dienstleistern keine Alternativen gibt und diese an Bord gehalten werden sollen, besteht derzeit wohl noch die Möglichkeit, dies als rechtskonform zu bewerten. Umgekehrt warnt er jedoch, längerfristig darauf zu vertrauen: Für die EU-Kommission gebe es inzwischen genügend Argumente, US-Dienstleister mit Verweis auf mangelnden Datenschutz auszuschließen.
Was tun, wenn das EU-US Data Privacy Framework fällt? width="7098" height="3993" sizes="(max-width: 7098px) 100vw, 7098px">Mit dem teils schroffen Vorgehen der Trump-Regierung steht das EU-US Data Privacy Framework auf wackligen Füßen.Alexander Supertramp – shutterstock.com Nicht nur die im Rahmen einer Durchführungsverordnung durch US-Präsident Donald Trump verhängten Strafzölle belasten derzeit das Verhältnis zwischen den Vereinigten Staaten und der Europäischen Union. Auch die Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA ist – erneut – in Gefahr. Gemeinsam mit Dr. Hauke Hansen, Rechtsanwalt und Partner der Kanzlei FPS in Frankfurt/Main, klären wir die aktuelle Situation rund um das EU-US Data Privacy Framework („DPF“). Zudem prüfen wir rechtliche und technische Optionen. Nachdem der EuGH im zweiten Schrems-Urteil 2020 die EU-US-Datenschutzvereinbarung „Privacy Shield“ für unwirksam erklärt hatte, bildet aktuell das EU-US Data Privacy Framework (DPF) die Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA. Grundlage des DPF ist unter anderem die Executive Order 14086 des Ex-US-Präsidenten Biden. Dieses hat die EU-Kommission zum Anlass genommen, in einem weiteren Angemessenheitsbeschluss den USA ein Datenschutzniveau zu bescheinigen, das dem der EU entspricht. Grundlage für den Schutz der Daten bricht weg Inzwischen ist allerdings zweifelhaft, ob die Executive Order 14086 der Biden-Regierung Bestand haben wird. Zum einen hat Trump am 20. Januar 2025 beschlossen, alle Executive Orders der Biden-Administration innerhalb von 45 Tagen zu überprüfen und gegebenenfalls aufzuheben. Das betrifft auch die Executive Order 14086 – wenngleich die 45-Tage-Frist inzwischen abgelaufen ist. Zum anderen ist zentraler Bestandteil der Executive Order 14086 die Einrichtung des „Privacy and Civil Liberties Oversight Board“ (PCLOB). Dabei handelt(e) es sich um ein unabhängiges Aufsichtsgremium, das die Strategien der Exekutive und ihre Umsetzung hinsichtlich des Schutzes der Privatsphäre und der bürgerlichen Freiheiten überprüft. Medienberichten zufolge wurden jedoch die demokratischen Mitglieder aus diesem Gremium entlassen. Wie Datenschutzexperte Hansen erklärt, sei dadurch das PCLOB nicht mehr arbeitsfähig und die Wirksamkeit der Executive Order 14086 in Frage gestellt. So ist unklar, ob neue Mitglieder nachnominiert werden. Aber die Bewertung, ob das DPF weiterhin eine tragfähige Rechtsgrundlage für den Datentransfer in die USA darstellt, liegt bei der EU-Kommission. Nach Art. 45 Abs. 4 DSGVO ist sie verpflichtet, die Entwicklungen in Drittländern zu überwachen, die den Angemessenheitsbeschluss und damit das DPF beeinflussen könnten. Die EU hatte bereits in einer Evaluierung im Oktober 2024 angemerkt, dass es beim Datenschutzniveau für in die USA übermittelte, personenbezogene Daten Verbesserungsbedarf gibt. Diesen sah sie etwa bei Gewährleistung von Transparenz, Verhältnismäßigkeit und Notwendigkeit im Rahmen der Datenzugriffspraktiken der Geheimdienste. Auch das PCLOB kommt mehrmals im Text vor – es nimmt nach Einschätzung der EU-Kommission eine aktive Rolle in der Umsetzung der Executive Order 14086 ein. Letztendlich wurde der Angemessenheitsbeschluss aber aufrechterhalten. In seiner nächsten Evaluierung müsse sich die EU-Kommission aber nun damit auseinandersetzen, ob das PCLOB weiterhin verlässlich seine Arbeit in Bezug auf das DPF erfüllen kann, gibt Rechtsanwalt Hansen zu bedenken. Welche Alternativen gibt es? Eine rechtliche Alternative, sich abzusichern, sind dem Datenschutzexperten zufolge Standardvertragsklauseln (Standard Contractual Clauses = SCC). Darin verpflichten sich die Dienstleister, ein bestimmtes Datenschutzniveau einzuhalten. Die SCC könnten grundsätzlich auch dann eine Rechtsgrundlage für den Datentransfer in Staaten außerhalb der EU darstellen, so Hansen, wenn der Angemessenheitsbeschluss aufgehoben oder für unwirksam erklärt wird. Allerdings weist er darauf hin, dass die SCC auch ein Transfer Impact Assessment („TIA“) erforderten, in dem die rechtliche als auch die faktische Datenschutzsituation in dem Drittstaat bewertet wird. Kann nicht belegbar festgestellt werden, dass in dem Drittland ein der EU vergleichbares Datenschutzniveau gewährleistet ist, wäre der Datentransfer beziehungsweise der Zugriff aus dem Drittland rechtswidrig. Angesichts der aktuellen politischen Situation in den USA dürfte es derzeit zwar nicht ausgeschlossen, aber schwer sein, in einem TIA zu dem Ergebnis zu kommen, dass der Datentransfer, beziehungsweise der Zugriff durch die USA unproblematisch ist, so Hansen. Achtung, CLOUD Act! Verträge mit den europäischen Töchtern der US-Dienstleister abzuschließen, reichen aus Sicht des Datenschutzexperten nicht aus – selbst wenn sich die Dienstleister viel Mühe geben, die Zugriffe ihrer US-Mütter auf die Daten vollständig oder zumindest weitestgehend auszuschließen – Stichwort EU Data Boundary. Diverse US-Gesetze, insbesondere der 2018 von Trump in Kraft gesetzte CLOUD-Act, würden US-Unternehmen zwingen, Daten, die bei ihren europäischen Töchtern gespeichert sind, auf Anfrage von US-Sicherheitsbehörden herauszugeben, erklärt Hansen. Ein Zugriff aus den USA könne also rechtlich nicht gänzlich ausgeschlossen werden. Es gibt aber auch technische Lösungen, so der Rechtsanwalt. So könnten europäische Unternehmen darüber nachdenken, durch Verschlüsselung der Daten mit einem eigenen Key dafür zu sorgen, dass bei den Dienstleistern ausschließlich verschlüsselte Daten liegen. Mit dieser Möglichkeit, den CLOUD Act auszuhebeln, werben bereits Anbieter wie Eperi. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft nach eigenen Angaben zusammen mit Hyperscalern, wie eine Sicherheitsarchitektur ausgestaltet werden muss, um einen Klartextzugriff durch den Cloud-Provider selbst zu unterbinden. Handeln oder abwarten? Allerdings weist Hansen darauf hin, dass Unternehmen angesichts des noch in Kraft stehenden Angemessenheitsbeschlusses und der derzeit zurückhaltenden Praxis der deutschen Aufsichtsbehörden auch noch die Möglichkeit hätten, das Data Privacy Framework als rechtmäßig zu bewerten. Wenn es zu den US-Dienstleistern keine Alternativen gibt und diese an Bord gehalten werden sollen, besteht derzeit wohl noch die Möglichkeit, dies als rechtskonform zu bewerten. Umgekehrt warnt er jedoch, längerfristig darauf zu vertrauen: Für die EU-Kommission gebe es inzwischen genügend Argumente, US-Dienstleister mit Verweis auf mangelnden Datenschutz auszuschließen.