Daten-
transfer in die USA

Risiken und Handlungsbedarf für Unternehmen

Warum das EU-U.S. Data Privacy Framework am seidenen Faden hängt?

Die Übermittlung personenbezogener Daten in die USA ist für viele Kunden ein zentrales Thema – sei es beim Einsatz von Cloud-Diensten, internationalen Softwarelösungen oder Supportleistungen. Doch die rechtlichen Rahmenbedingungen für solche Datentransfers stehen aktuell auf äußerst wackeligen Beinen. In diesem Beitrag erklären wir, warum das so ist, was der US CLOUD Act damit zu tun hat, welche Rolle das Privacy and Civil Liberties Oversight Board (PCLOB) spielt und weshalb Unternehmen dringend auf Entwicklungen achten sollten.

USA als „unsicheres Drittland“

Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten grundsätzlich nur dann in Länder außerhalb der EU („Drittstaaten“) übermittelt werden, wenn dort ein angemessenes Datenschutzniveau herrscht. Die USA gelten seit Jahren als unsicheres Drittland, weil US-Gesetze wie der CLOUD Act US-Behörden weitreichende Zugriffsrechte auf gespeicherte Daten einräumen – unabhängig davon, ob die Daten auf US-Servern oder in Europa liegen, solange ein US-Unternehmen Zugriff hat. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) verpflichtet US-Provider, Daten herauszugeben, selbst wenn diese im Ausland gespeichert sind und dort eigentlich durch lokale Datenschutzgesetze geschützt wären.


Das bedeutet konkret: Auch wenn ein deutsches Unternehmen seine Daten in einer europäischen Niederlassung eines US-Cloud-Anbieters speichert, können US-Behörden im Zweifel darauf zugreifen.

Die juristische Achterbahnfahrt: Safe Harbor, Privacy Shield, Schrems I & II

Die EU und die USA haben mehrfach versucht, mit Abkommen wie „Safe Harbor“ und „Privacy Shield“ eine rechtssichere Grundlage für Datentransfers zu schaffen. Beide wurden jedoch vom Europäischen Gerichtshof (EuGH) kassiert – bekannt als „Schrems I“ und „Schrems II“-Urteil. Der Hauptgrund: Die US-Gesetze bieten keinen ausreichenden Schutz vor staatlichem Zugriff, und EU-Bürger haben in den USA keine wirksamen Rechtsbehelfe.

Data Privacy Framework (DPF) – eine wackelige Brücke

Seit Mitte 2023 gibt es das EU-U.S. Data Privacy Framework (DPF) als neue Grundlage für Datentransfers in die USA. Die Europäische Kommission hat einen sogenannten Angemessenheitsbeschluss gefasst, der US-Unternehmen, die sich dem DPF unterwerfen, ein ausreichendes Datenschutzniveau bescheinigt. Doch diese Grundlage ist politisch und rechtlich hoch umstritten.

Das DPF: Keine Gesetzesgrundlage, sondern Executive Order

Das DPF basiert nicht auf einem US-Gesetz, sondern auf einer Executive Order (Präsidialanordnung), die von Präsident Joe Biden erlassen wurde. Diese kann jederzeit vom amtierenden US-Präsidenten geändert oder aufgehoben werden. Der aktuelle Präsident hat bereits angekündigt, das DPF per neuer Executive Order zu beenden – ein massives Risiko für die Rechtssicherheit.

Das PCLOB: Kontrollinstanz außer Kraft gesetzt

Ein zentrales Element des DPF ist das Privacy and Civil Liberties Oversight Board (PCLOB). Dieses unabhängige US-Gremium sollte die Überwachungstätigkeiten der US-Regierung kontrollieren und sicherstellen, dass die im DPF vereinbarten Schutzmechanismen eingehalten werden. Doch Anfang 2025 wurden alle demokratischen Mitglieder des PCLOB entlassen. Das Gremium ist damit nicht mehr beschlussfähig und kann seine Kontrollfunktion nicht mehr ausüben.

Was bedeutet das für Sie und Ihr Unternehmen?

Rechtliche Unsicherheit: Die Grundlage für Datentransfers in die USA kann jederzeit wegfallen. Sollte die EU-Kommission den Angemessenheitsbeschluss aussetzen oder der EuGH das DPF kippen, wären Datenübermittlungen in die USA praktisch über Nacht nicht mehr zulässig.


Viele IT-Dienstleistungen, insbesondere Cloud-Lösungen von US-Anbietern (z.B. Microsoft, Google, Amazon), wären betroffen. Auch bei Nutzung von EU-Servern, sofern ein US-Unternehmen Zugriff hat, besteht das Risiko eines Zugriffs durch US-Behörden.

Fazit: Die Zukunft ist ungewiss – jetzt vorsorgen!

Die Übertragung personenbezogener Daten in die USA steht derzeit auf äußerst unsicherem Fundament. Die aktuelle Rechtsgrundlage (DPF) hängt nicht nur von politischen Entscheidungen in den USA ab, sondern ist auch durch den Wegfall unabhängiger Kontrollmechanismen massiv gefährdet. Für Sie bedeutet das: Es ist höchste Zeit, die eigenen Datenflüsse zu prüfen, Alternativen zu evaluieren und sich auf mögliche Veränderungen vorzubereiten.


Bleiben Sie informiert, beobachten Sie die Entwicklungen genau und sprechen Sie mit uns über mögliche Auswege – bevor es zu spät ist.

UNSER SPEZIALIST FÜR IT-RECHT

Für weitere Informationen oder Fragen zu rechtlichen Themen, melden Sie sich gerne!


Ihr Ansprechpartner bei ATRIVIO:
CONRAD GRAF

Email: conrad.graf@atrivio.de

Telefon: 0831 512 999 0

Nach oben
Nach oben Hover