KPMG Klardenker Logo

Datentransfer in die USA: Risiken und Handlungsbedarf für Unternehmen

Die Zukunft des transatlantischen Datenschutzes steht auf dem Prüfstand.

10.02.2025 | ca. 5 Minuten Lesezeit

Keyfacts:

  • Das EU-US Data Privacy Framework ist bereits der dritte Versuch, den Datentransfer zwischen der EU und den USA rechtssicher zu regeln.
  • Bestehende US-Überwachungsgesetze und eine mögliche Kehrtwende der US-Administration gefährden die Stabilität des Abkommens.
  • Unternehmen sollten sich frühzeitig auf alternative Transfermechanismen und Schutzmaßnahmen vorbereiten, um mögliche Risiken zu minimieren.

Das EU-US Data Privacy Framework soll endlich Rechtssicherheit für den transatlantischen Datentransfer schaffen – doch seine Stabilität wackelt. Bestehende US-Überwachungsgesetze, politische Unsicherheiten und drohende rechtliche Herausforderungen werfen eine entscheidende Frage auf: Können Unternehmen wirklich darauf vertrauen, dass das Abkommen Bestand hat? Wer sich nicht frühzeitig absichert, riskiert Rechtsunsicherheiten und hohe Bußgelder. Welche Risiken bestehen und welche Alternativen gibt es? Ein Überblick.

Neue US-Administration: Wie lange hat das EU-US Data Privacy Framework noch Bestand?

Mit Inkraftsetzung des EU-US Data Privacy Framework wurde 2023 der dritte Anlauf gestartet, den Transfer personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten zu regulieren und damit den datenverarbeitenden Unternehmen beiderseits des Atlantiks Handlungs- und Rechtssicherheit zu geben. Das EU-US Data Privacy Framework soll dabei die Lücke schließen, welche der Europäische Gerichtshof zuvor in seinen Schrems-Urteilen bei den Vorgängern, dem Safe-Harbor- und Privacy-Shield-Abkommen, jeweils angemahnt hatte. Nicht zuletzt aufgrund der neuen US-Administration drängt sich die Frage auf, ob das EU-US Data Privacy Framework langfristig Bestand haben wird.

Kritik an bisherigen transatlantischen Abkommen

Die Kritik der europäischen Richter an den vorangegangenen transatlantischen Abkommen bezog sich neben der fehlenden Durchsetzbarkeit von Betroffenenrechten vorrangig auf die gesetzlich legitimierte und aus europäischer Sicht unverhältnismäßige Massenüberwachung der USA. Im Zuge der nachrichtendienstlichen Aufklärungsarbeit der US-Geheimdienste wurden auch Daten europäischer Bürgerinnen und Bürger verarbeitet, ohne dass die Grundsätze des Datenschutzes nach europäischem Recht gewahrt wurden.

Datenschutzverständnis Europa versus USA

Während der Schutz personenbezogener Daten in Europa selbst als Grundrecht eingestuft wird, geht der US-amerikanische Ansatz von einem zweiteiligen Modell aus, in welchem eine Differenzierung zwischen staatlicher und privater Datenverarbeitung erfolgt. Gemäß den Verfassungszusätzen existiert im US-amerikanischen Rechtsverständnis ein fundamentales Grundrecht auf Abwehr- und Freiheitsrechte gegenüber der Staatsmacht, wozu unter anderem die Rede- und Pressefreiheit zählen. Der Schutz personenbezogener Daten wurde dahingegen bereits mehrfach durch den U.S. Supreme Court als nachrangig gegenüber diesem Grundrecht eingestuft, wodurch ein Datenschutzkonzept nach europäischem Vorbild in direktem Konflikt zu den Anforderungen der US-Verfassung steht.

Risiken für Datenverarbeiter

In den USA gibt es zwar auf bundesstaatlicher Ebene immer mehr Datenschutzgesetze, wie den California Consumer Privacy Act. Doch diese dienen in erster Linie dem Verbraucherschutz. Eine einheitliche Datenschutzregelung nach europäischem Vorbild bleibt in den USA unrealistisch – selbst mit dem EU-US Data Privacy Framework wird eine vollständige Angleichung kaum möglich sein. Welche Risiken ergeben sich im Zusammenhang mit dem EU-US Data Privacy Framework für Datenverarbeiter?

  • Verhältnismäßigkeit der Datenverarbeitung: Die Einführung des Begriffs „proportionate“, zu Deutsch „Verhältnismäßigkeit“, in das US-amerikanische Überwachungsrecht soll dem europäischen Verhältnismäßigkeitsgrundsatz entsprechen. Dies ist jedoch nicht der Fall, da das Begriffsverständnis in beiden Sprachräumen signifikante Unterschiede in der rechtlichen Interpretation aufwirft. Eine tatsächliche Begrenzung der Datenverarbeitung kann daher durch US-Behörden nicht garantiert werden.
  • Bestehende Normen zur Massenüberwachung: Rechtsnormen, wie E.O. 12.333 als auch Section 702 FISA, gewähren den US-Geheimdiensten weitreichende Befugnisse zum Sammeln von Auslandskommunikation ohne richterliche Genehmigung. Der US-Kongress hat den Geheimdiensten allgemein weitreichende Zugriffsrechte eingeräumt, was eine klare Begrenzung der Datenverwendung erschwert. Da diese Regelungen weiterhin in Kraft sind und durch die E.O. 14086 nicht hinreichend begrenzt werden, stellt dies die Wirksamkeit des EU-US Data Privacy Framework im Allgemeinen in Frage.
  • Rechtsnatur der Executive Order: Da es sich bei dieser Verfügung lediglich um eine präsidiale Anweisung und nicht um kodifiziertes Recht handelt, besteht die Gefahr, dass eine zukünftige US-Administration diese gänzlich aufhebt oder signifikant ändert, was wiederum eine substanzielle Gefahr für das EU-US Data Privacy Framework darstellt.

Welche Anpassungen sind durch die neue US-Administration zu erwarten?

Bislang hat sich die neue US-Administration zwar noch nicht spezifisch zu den Plänen für den Datenschutz geäußert. Unter Berücksichtigung der jüngsten Entwicklungen kann jedoch auch im Hinblick auf den Datenschutz wohl eher mit einer Lockerung, denn mit einer Verschärfung der nationalen Datenschutzregelungen gerechnet werden. Gleich ob die E.O. 14086 durch den neuen Präsidenten Donald Trump nur in Teilen angepasst oder gar gänzlich aufgehoben wird, beide Szenarien hätten für die Teilnehmer des EU-US Data Privacy Frameworks weitreichende Folgen. Ein bis dahin noch legitimierter Datentransfer würde im Zweifel aufgrund der fehlenden Garantien rechtswidrig.

Was Unternehmen jetzt beachten sollten:

Unabhängig von den tatsächlichen politischen und rechtlichen Entwicklungen sollten Unternehmen proaktiv handeln, um ihre Datenschutzstrategie zukunftssicher zu gestalten. Dazu gehören:

Alternative Transfermechanismen: Ein Rückgriff auf etablierte Garantien wie Standardvertragsklauseln (SCCs) kann langfristig Rechtssicherheit verschaffen.

Technische Schutzmaßnahmen: Soweit möglich, sollte im Rahmen des internationalen Datentransfer auf moderne Technologien zurückgegriffen werden. Eine entsprechende Verschlüsselung oder gar ein Hashing von Daten kann eine zusätzliche Sicherheitsstufe darstellen, personenbezogene Daten vor nachrichtendienstlichen Überwachungen zu schützen.

Alternative Datenverarbeitungsprozesse: Möglicherweise kann es überdies sinnvoll sein, Datenverarbeitungsprozesse stärker auf europäische Dienstleister oder Dienstleister in etablierten sicheren Drittstaaten umzustellen, um die unternehmerischen Risiken, welche ein „Schrems-III“ mit sich bringen wird, zu vermeiden.

Alexander Gietl

Director, Audit, Regulatory Advisory, Digital Process Compliance

Kontaktieren Sie mich
Patrick Schön

Assistant Manager, Digital Process Compliance, Regulatory Advisory
Alexander Gietl

Director, Audit, Regulatory Advisory, Digital Process Compliance

Kontaktieren Sie mich
Patrick Schön

Assistant Manager, Digital Process Compliance, Regulatory Advisory

KI-Governance als Schlüssel zu einer nachhaltigen KI-Strategie

Im englischsprachigen Whitepaper zeigen unsere Expertinnen und Experten auf, welche Aspekte für eine ganzheitliche KI-Governance in Unternehmen zu beachten sind.

Studie herunterladen