Hat das Data Privacy Framework noch eine Zukunft?

By René Floitgraf

Angetrieben durch eine Anfrage über einen meiner Mandanten, möchte ich kurz über den aktuellen Zustand des Data Privacy Frameworks informieren und die aktuellen Risiken für dessen Fortbestand skizzieren. Denn: Die Lage ist gerade wirklich ungewiss, und das könnte erhebliche Auswirkungen auf viele Datenübermittlungen in die USA haben.

Was ist nochmal das Data Privacy Framework (DPF)?

Das DPF wurde eingeführt als Nachfolgeabkommen zwischen den USA und der EU, damit zwischen der EU und den USA die Hürden für eine rechtkonforme Datenübermittlung gesenkt werden. Vorausgegangen waren bereits 2 andere Abkommen, die jeweils vom EuGH für ungültig erklärt worden waren.

Damit das DPF rechtlich auf sichereren Beinen steht, musste sich die USA in Sachen Datenschutz und Zugriffsmöglichkeiten der Geheimdienste bewegen. Dies ist auch erfolgt: Durch eine Executive Order, die vom damaligen US-Präsidenten Joe Biden erlassen wurde. Es folgte darauf ein Angemessenheitsbeschluss der EU-Kommission, wonach ein Datentransfer rechtskonform möglich ist, wenn sich das US-Unternehmen im Rahmen einer Selbstzertifizierung dem DPF unterworfen hat. Überwacht wird das Framework u.a. vom PCLOB (Privacy and Civil Liberties Oversight Board), es stellt so gesehen die Kontrollinstanz für Datenschutzfragen dar.

(Randinfo: Natürlich braucht die eigentliche Datenverarbeitung auch weiterhin eine Rechtsgrundlage, das DPF sichert nur den Transfer selbst ab.)

Was ist das Problem bzw. Risiko? 

Wie man aktuell in der Presse mitbekommt, sind Verlässlichkeit, Stabilität und Vorhersehbarkeit der Entscheidungen beim aktuellen US-Präsidenten Donald Trump eher nicht gegeben. Und so wurde auch schon beim PCLOB die Axt angelegt und es wurden Mitglieder dieses Boards entlassen.  Alleine deswegen könnten erste Zweifel am DPF aufkommen.

Zusätzlich ist aber ebenfalls bekannt, dass Donald Trump kein Freund der EU-Regularien ist. Theoretisch könnte er jederzeit die Executive Order zurücknehmen. Damit würde dem DPF und damit dem Angemessenheitsbeschluss die Grundlage entzogen. Der Angemessenheitsbeschluss müsste streng genommen in so einem Fall umgehend durch die EU-Kommission zurückgenommen werden.

Warum betrifft das auch Dienstleister, die gar nicht DPF-zertifiziert sind? 

Ja, es gibt sie, Auftragsverarbeitungen von Dienstleistern in den USA, deren Datentransfer sich nicht auf das DPF stützt, sondern auf die EU-Standardvertragsklauseln. Diese Vertragsklauseln sind unabhängig vom DPF und betreffen nicht nur Transfers in die USA.

Im Rahmen der EU-Standardvertragsklauseln ist für den Daten-Exporteur ein so genanntes Transfer Impact Assessment (TIA) verpflichtend. Das EU-Unternehmen, welches Daten in ein Drittland übermitteln will, muss sich also mit den Risiken für die Rechte und Freiheiten der Betroffenen auseinandersetzen, die mit dem Transfer der Daten ins Drittland einhergehen.

Und genau in diesem TIA wird durchaus argumentiert, dass die Executive Order zusätzliche Sicherheiten bietet – selbst für Nicht-DPF-Unternehmen. Und genau deswegen sei auch in solchen Fällen ein Transfer mit den möglichen Restrisiken vertretbar. Fällt diese Argumentation weg, stehen auch diese Datenübermittlungen plötzlich auf wackeligen Beinen!

Was bedeutet das konkret? 

Sollte Trump die Executive Order tatsächlich kassieren, könnte die EU-Kommission gezwungen sein, das DPF aufzuheben – und dann wären wir wieder in einer ähnlichen Situation wie nach dem Schrems-II-Urteil: Viele Datenübermittlungen in die USA wären rechtlich fragwürdig. Der Einsatz von US-Dienstleistern wäre wieder rechtlich unsicher.

Was können wir tun? 

Wenn man sich die Fachmedien ansieht, dann überschlagen sich aktuell Artikel, die sich damit befassen, wie man sich wieder von US-Dienstleistern löst und welche europäischen Alternativen der Markt bereithält. Aktuell gibt es eine „Souveränitäts-Welle“. Und ich gebe zu: Ich sehe diese Entwicklung positiv – auch wenn ich gewünscht hätte, dass diese ohne Druck ein paar Jahre früher Fahrt aufgenommen hätte.

Daher befürworte ich es, wenn sich Unternehmen damit befassen möchten, welche Prozesse möglicherweise von US-Dienstleistern bereinigt werden können und die Verarbeitung entweder wieder selbst durchgeführt wird, oder an einen europäischen Dienstleister ausgelagert wird.

Ich behalte die Entwicklungen jedenfalls für meine Mandanten im Blick und werde erneut informieren, wenn sich in Bezug auf den Fortbestand des DPF etwas ändert. Mich würde es aber auch freuen, wenn ich mit dem einem oder anderen Unternehmen über Alternativen sprechen kann, kommt gerne auf mich zu.

Beste Grüße
René Floitgraf

Quellen:
Trump rebelliert gegen EU-Regulierungen“ (security-insider.de)
„Wenn die Executive Order aufgehoben würde, wäre das ein Problem“ (BvD-News, 1/25)
„Raus aus der US-Cloud: Wege zur digitalen Souveränität“ (heise.de)

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

pexels-sora-shimazaki-5669619
Betriebsvereinbarungen sind kein Freibrief zur Datenverarbeitung!Datenschutz