Am 20. Januar 2025 hat Donald Trump seine zweite Amtszeit als Präsident der Vereinigten Staaten angetreten. Die politische Haltung „America First“ könnte in Zukunft erhebliche Auswirkungen auf den europäischen Datenschutz haben. Denn nach den jüngsten Ankündigungen des US-Präsidenten steht der transatlantische Datenverkehr, also das noch unter Joe Biden ausgehandelte Data Privacy Framework zum rechtssicheren Datentransfer zwischen der EU und den USA, auf dem Prüfstand. Im schlimmsten Fall könnte dem Datentransfer in die USA wieder die Rechtsgrundlage entzogen werden (Angemessenheitsbeschluss).
Fraglich ist auch, wie sich dies auf die europäischen Regelungen der KI-Verordnung (KI-VO), des Digital Markets Act (DMA) oder des Digital Services Act (DSA) auswirkt. Zuletzt hatte Trump deutlich gemacht, was er von solchen Regulierungen hält, und ein noch von Joe Biden verfasstes Dekret, das KI-Regulierungen vorsah, aufgehoben. Stattdessen wird mit dem milliardenschweren KI-Projekt „Stargate“ in die Entwicklung von (unregulierter) Künstlicher Intelligenz investiert. Neben dem ChatGPT-Entwickler OpenAI profitieren davon auch Softwareriesen wie Oracle oder Softbank.
Damit droht die EU den Anschluss an den technologischen Fortschritt und damit die Gestaltungs- und Regulierungsmacht für wegweisende Entwicklungen des 21. Jahrhunderts zu verlieren und die bisherige Digitalisierungsstrategie Europas ins Wanken zu bringen.
Was ist das Data Privacy Framework?
Am 10.07.2023 wurde der Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen. Damit hat die Europäische Kommission dem Nachfolger des „Privacy Shield“ ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten bescheinigt. Damit können personenbezogene Daten auf Grundlage dieses Angemessenheitsbeschlusses gem. Art. 45 DSGVO ohne weitere Schutzmaßnahmen in die USA übermittelt werden, obwohl die DSGVO dort keine Wirkung entfaltet (datenschutzrechtliches Drittland).
Das Schicksal der bisherigen Angemessenheitsbeschlüsse
In der Vergangenheit hat der Europäische Gerichtshof bereits zweimal eine Angemessenheitsentscheidung der EU für unwirksam erklärt (Urteile Schrems I und Schrems II). Grund dafür waren mangelnde Schutzvorkehrungen und strenge Überwachungsgesetze in den USA.
Dies hatte zur Folge, dass Unternehmen, die z.B. Cloud-Produkte aus den USA bezogen, solche Dienste nur mit definierten Standardvertragsklauseln und zusätzlichen Sicherheitsmaßnahmen nutzen konnten. Im Rahmen der Informationspflichten mussten hierfür auch an vielen Stellen die Datenschutzhinweise und Verarbeitungsverzeichnisse überarbeitet werden.
Um ein angemessenes Datenschutzniveau für eine Übermittlung in die USA zu erreichen, wurden folgende Maßnahmen umgesetzt:
- Der Datenzugriff der US-Geheim- und Nachrichtendienste sollte auf ein verhältnismäßiges Maß beschränkt werden,
- Es wurde ein „Data Protection Review Court“ eingerichtet, der als von der US-Regierung unabhängiges Beschwerdesystem fungiert und Beschwerden von Europäern über Datenschutzverletzungen prüft. Das Gericht kann auch verbindliche Anordnungen treffen, wie z.B. die Löschung von Daten.
Weshalb das Data Privacy Framework wackelt
Problematisch ist nun, dass bereits drei der bisher fünf Mitglieder des Data Protection Review Court auf Betreiben des neuen US-Präsidenten entlassen wurden. Dies hat zur Folge, dass dieses Gremium nur noch eingeschränkt oder gar nicht mehr arbeitsfähig ist, da eine Mehrheitsentscheidung mit nur zwei Mitgliedern nicht mehr möglich ist.
Dies könnte dazu führen, dass dem Data Privacy Framework noch vor einem weiteren Schrems-Urteil (eine Klage ist bereits beim EuGH anhängig) die Luft ausgeht und die Kommission oder der Europäische Gerichtshof den USA erneut ein angemessenes Datenschutzniveau absprechen.
Das sollten Unternehmen daher beachten
Ein Drittlandtransfer in die USA kann vorerst weiterhin auf das EU-US Data Privacy Framework gestützt werden. Dennoch sollten Unternehmen die weitere Entwicklung aufmerksam verfolgen und sich auf ein mögliches Ausstiegsszenario vorbereiten. In diesem Zusammenhang sind folgende Maßnahmen durchzuführen:
- Überprüfung der Verarbeitungsvorgänge im Verarbeitungsverzeichnis, die einen Datentransfer in die USA beinhalten.
- Prüfung der eingesetzten Dienstleister; gibt es datenschutzkonforme Alternativen in Deutschland oder der EU?
- Abschluss von Standardvertragsklauseln und zusätzliche Maßnahmen durch ein „Transfer Impact Assessment“ (kurz TIA).
- Ggf. Anpassung der Datenschutzhinweise (z.B. auf der Website).
Sollte das Data Privacy Framework wegfallen, wäre eine Datenübermittlung in die USA aufgrund dieser Rechtsgrundlage ab diesem Zeitpunkt rechtswidrig.
Wir von Althammer & Kill halten Sie über das aktuelle Geschehen in der Welt der KI, des Datenschutzes und der Informationssicherheit auf dem Laufenden und helfen Ihnen, auch in hektischen Zeiten den Überblick zu behalten. Dabei unterstützen Sie nicht nur ein großes Team, sondern auch hochqualifizierte Mitarbeiterinnen und Mitarbeiter mit langjähriger Erfahrung.