Keyfacts:

• Nach der jüngsten Ankündigung von US-Präsident Donald Trump zum Data Privacy Framework stehen rechtssichere Datentransfers zwischen der EU und den USA auf dem Prüfstand.
• Möglicherweise wird dem transatlantischen Datenverkehr erneut abrupt die Rechtsgrundlage entzogen.
• Finanzunternehmen sollten Exit-Szenarien prüfen und Backup-Lösungen für den Ernstfall vorbereiten, um Risiken zu begrenzen.

Das EU-US Data Privacy Framework bildet die Grundlage für die Übermittlung von personenbezogenen Daten in die USA. Gemeinsam mit dem Angemessenheitsbeschluss der EU-Kommission und der begleitenden Executive Order des damaligen US-Präsidenten Joe Biden ist das Privacy Framework für Finanzdienstleister in Europa das rechtliche Fundament, auf dem zum Beispiel eine rechtskonforme Zusammenarbeit mit großen US-Technologieanbietern, etwa für Cloud-Services, steht.

Doch nun ist zweifelhaft, ob die Executive Order der Biden-Regierung Bestand haben wird. Denn die Trump-Administration hat am 20. Januar 2025 beschlossen, dass alle Executive Orders der Biden-Administration innerhalb von 45 Tagen überprüft und gegebenenfalls aufgehoben werden sollen. Das betrifft auch die Executive Order 14086, die als Grundlage für den aktuellen Angemessenheitsbeschluss der EU dient.

Unternehmen sollten sich auf die Möglichkeit einstellen, dass der Angemessenheitsbeschluss, und damit der freie Datentransfer in die USA, erneut kurzfristig gekippt werden könnte.

Schrems-Urteile: Schon zwei Mal wurde dem transatlantischen Datenverkehr die Rechtsgrundlage entzogen

Warum erneut?  Blicken wir zurück: In Bezug auf die USA hat der Europäische Gerichtshof (EuGH) mit den Urteilen „Schrems I“ und „Schrems II“ bereits zwei Mal einen EU-Angemessenheitsbeschluss für unwirksam erklärt. Dem für die Wirtschaft so wesentlichen transatlantischen Datenverkehr wurde damit in beiden Fällen vom einen auf den anderen Tag die rechtliche Grundlage entzogen.

Um die Wiederherstellung einer Grundlage zu ermöglichen, erließ Joe Biden die Executive Order 14086, mit der die wesentlichen Kritikpunkte aus den EuGH-Urteilen ausgeräumt werden sollten. Hierdurch wurden in den USA unter anderem ein zweistufiger Rechtsbehelfsmechanismus und ein unabhängiges Aufsichtsgremium, das „Privacy and Civil Liberties Oversight Board“ (PCLOB), geschaffen.

Zentrale Datenschutz-Aufsichtsbehörde ist bis auf Weiteres nicht arbeitsfähig

Das PCLOB ist ein zentraler Baustein für die „Angemessenheit“ des US-Datenschutzniveaus, prüft es doch unter anderem, ob Verbraucherbeschwerden fristgerecht bearbeitet wurden und führt die Aufsicht über die entsprechenden Beschwerdestellen.

Doch am 27. Januar 2025 wurden drei der fünf Mitglieder des PCLOB durch US-Präsident Trump entlassen. In der Folge ist das Gremium nur eingeschränkt handlungsfähig, da eine Mehrheitsentscheidung mit zwei verbliebenen Mitgliedern nicht möglich ist.

Der Angemessenheitsbeschluss der EU bleibt bis auf Weiteres bestehen

Unabhängig von diesen Entwicklungen hat der Angemessenheitsbeschluss der EU-Kommission zunächst Bestand. Er entfällt erst, wenn er von der EU-Kommission aufgehoben oder vom EuGH für unwirksam erklärt wird – beides ist bisher nicht geschehen. Dennoch drohen Finanzunternehmen rechtliche Unsicherheiten.

Die beschriebenen Entwicklungen könnten dazu führen, dass Kommission oder EuGH den USA das angemessene Datenschutzniveau wieder aberkennen – die Grundlage für den freien Datenverkehr in die USA bräche zum dritten Mal weg. Darauf sollten sich Finanzunternehmen vorbereiten.

Unternehmen sollten Vorsorge treffen: Datenflüsse identifizieren und prüfen

Eine Übermittlung personenbezogener Daten in die USA kann zunächst weiter auf das EU-US Data Privacy Framework gestützt werden. Dennoch sollten Unternehmen die weiteren Entwicklungen engmaschig verfolgen und mögliche Exit-Szenarien vorbereiten, um nicht – wie zuletzt zahlreiche Unternehmen nach dem „Schrems II“-Urteil des EuGH – mit voller Wucht von einem Abbruch der Datentransfers getroffen zu werden.

Zur Vorbereitung sollten zunächst alle Datenflüsse in die USA anhand des Verzeichnisses der Verarbeitungstätigkeiten identifiziert und geprüft werden, ob diese auf Grundlage des Abkommens erfolgen. Mögliche Drittlandübermittlungen können in diesem Zusammenhang beispielsweise beim Einsatz von Lösungen der US-amerikanischen Cloud- oder AI-Service-Provider vorliegen.

Zu beachten ist insbesondere, dass eine „Übermittlung“ nicht unbedingt einen „physischen“ Datenexport voraussetzt.  Vielmehr genügt die bloße Zugriffsmöglichkeit privater oder öffentlicher Stellen in Drittstaaten auf die – gegebenenfalls in der EU gespeicherten – Daten, beispielsweise durch Schnittstellen, Abrufmöglichkeiten oder Fernwartung. Vor allem dieser Konstellation wird beim Thema Drittstaatentransfer in der Praxis oft zu wenig Beachtung geschenkt.

Dienstleisterwechsel, Standardvertragsklauseln und Notfallpläne

Den rechtlichen Rahmen für den Datenschutz gibt in Europa die EU-Datenschutz-Grundverordnung (DSGVO) vor. In einem weiteren Schritt sollte also geprüft und bewertet werden, welche Alternativen für eine DSGVO-konforme Übermittlung in die USA gibt oder ob Übermittlungen in die USA anderweitig (etwa durch den Wechsel eines Dienstleisters) unterbunden werden können.

Scheidet ein Wechsel des Dienstleisters aus, kann eine Übermittlung zum Beispiel auf die Standardvertragsklauseln der EU-Kommission gestützt werden, die bereits nach dem „Schrems II“-Urteil flächendeckend zum Einsatz gekommen sind.

Zweck dieser Klauseln ist es, das angemessene Datenschutzniveau auf Seiten des Datenimporteurs zumindest auf vertraglicher Basis herzustellen. Wichtig hierbei ist aber, dass beim Einsatz der Standardvertragsklauseln auch ein sogenanntes „Transfer Impact Assessment“ (TIA) durchgeführt werden muss.

Dabei gilt es zu prüfen, ob dem Datenimporteur die Einhaltung der Standardvertragsklauseln mit Blick auf die Rechtslage in dem betreffenden Drittland überhaupt möglich ist oder ob das Risiko eines – aus EU-Sicht unrechtmäßigen – Zugriffs staatlicher Stellen besteht und deshalb zusätzliche Schutzmaßnahmen erforderlich sind.

Der Abschluss von Standardvertragsklauseln geht daher mit gewissen Aufwänden einher und kann – je nach den rechtlichen und faktischen Entwicklungen in dem betreffenden Drittland – weitere nachträgliche Anpassungen erforderlich machen. Die Klauseln müssen zudem jeweils mit dem oder den an der Verarbeitung beteiligten Dienstleister(n) individuell abgeschlossen werden.

Sollte es zu einer Aufhebung oder Unwirksamkeit des Angemessenheitsbeschlusses kommen, müssen sich die Entscheidungsträger in Unternehmen darüber bewusst sein, dass eine Übermittlung von Daten in die USA ab diesem Zeitpunkt rechtswidrig ist, sofern nicht entsprechende Vorsorge getroffen wurde. Der Abschluss von Standardvertragsklauseln kann als eine Art Back-up fungieren.

Für den Fall, dass der Angemessenheitsbeschluss wegfällt, gilt es also, Notfallpläne zu entwickeln und die Übermittlung von Daten in die USA sofort zu verhindern, ohne dass die Fortführung wesentlicher Prozesse im Unternehmen gefährdet ist. Anderenfalls drohen erhebliche Geldbußen.