Dr. Dominik Schürmann
February 26, 2025

Das EU-US Data Privacy Framework am Abgrund – Wie sicher sind meine Daten in Zukunft noch?

Was ist passiert?

Das EU-Parlament hat erfahren, dass das Privacy and Civil Liberties Oversight Board (PCLOB), eine zentrale Kontrollinstanz für US-Überwachungsprogramme, nicht mehr ausreichend besetzt ist. Diese Behörde kontrolliert Programme wie FISA Section 702, die US-Geheimdiensten Zugriff auf Daten von Nicht-US-Bürgern ermöglichen. Die EU-Kommission hatte das PCLOB als zentrale Schutzmaßnahme im EU-US Data Privacy Framework (DPF) benannt. Fehlt diese Kontrolle, entfällt eine der wenigen unabhängigen Instanzen gegen Massenüberwachung europäischer Daten in den USA. Ohne eine effektive Aufsicht ist die Schutzwirkung des gesamten Abkommens fraglich.

Was ist das EU-US Data Privacy Framework?

Das EU-US Data Privacy Framework wurde als Nachfolger des Privacy Shield eingeführt, nachdem dieses vom Europäischen Gerichtshof (EuGH) 2020 für ungültig erklärt wurde. Es soll Unternehmen eine rechtssichere Grundlage für den Transfer von EU-Nutzerdaten in die USA bieten und den Datenschutz gemäß europäischem Recht gewährleisten. Die USA haben dafür verschiedene Schutzmaßnahmen zugesagt, darunter verbesserte Kontrollmechanismen für Überwachungsprogramme, ein unabhängiges Beschwerdeverfahren für EU-Bürger und eine Begrenzung des Zugriffs durch US-Geheimdienste.

Die EU-Kommission hatte das DPF als tragfähige Lösung vorgestellt, um europäische Datenschutzstandards mit den US-amerikanischen Gegebenheiten in Einklang zu bringen. Unternehmen, die sich auf das DPF stützen, können personenbezogene Daten in die USA übertragen, ohne auf zusätzliche rechtliche Mechanismen wie Standardvertragsklauseln angewiesen zu sein.

Das Problem

Die Datenschutzdebatte zwischen der EU und den USA nimmt erneut Fahrt auf. Nach dem Scheitern von Safe Harbor und Privacy Shield droht nun auch das EU-US Data Privacy Framework zu kippen. Der Grund: Das Privacy and Civil Liberties Oversight Board (PCLOB), das als zentrale Kontrollinstanz für US-Überwachungsprogramme fungiert, ist nicht mehr ausreichend besetzt. Diese Behörde sollte eigentlich sicherstellen, dass Massenüberwachungsprogramme wie FISA Section 702 verhältnismäßig sind und nicht gegen europäische Datenschutzrechte verstoßen.

Die Schwächung dieser Kontrollinstanz fällt in eine Phase politischer Umbrüche in den USA, insbesondere im Zuge der möglichen Rückkehr Donald Trumps ins Weiße Haus. In der Vergangenheit hatte die Trump-Regierung Datenschutzthemen eher nachrangig behandelt und Überwachungsprogramme sogar ausgeweitet. Es ist daher fraglich, ob unter einer neuen Trump-Administration der Schutz europäischer Nutzerdaten in den USA noch eine hohe Priorität haben wird.

Ohne eine funktionierende unabhängige Kontrolle fehlt jedoch eine essenzielle Schutzmaßnahme, auf die sich die EU-Kommission bei der Genehmigung des DPF gestützt hat. Sollte sich herausstellen, dass der Schutz europäischer Nutzerdaten in den USA nicht mehr gewährleistet ist, könnte der Europäische Gerichtshof (EuGH) das Abkommen erneut für ungültig erklären. Dies würde zu erheblichen Rechtsunsicherheiten für Unternehmen führen, die sich auf das DPF verlassen, und könnte eine erneute juristische Auseinandersetzung zwischen der EU und den USA entfachen.

Auswirkungen auf Unternehmen und Nutzer

Für Unternehmen, die personenbezogene Daten in die USA übermitteln, hätte dies erhebliche Konsequenzen. Dienste wie LastPass und Dashlane, die auf der Data Privacy Framework-Liste stehen, verlassen sich auf das Abkommen, um Daten von EU-Nutzern in die USA zu transferieren. Sollte das DPF ungültig werden, stünden sie erneut ohne klare Rechtsgrundlage da – und ihre europäischen Nutzer müssten sich fragen, ob ihre Daten wirklich sicher sind.

Unternehmen, die weiter mit US-Anbietern arbeiten, müssten alternative Schutzmaßnahmen implementieren oder DSGVO-konforme europäische Anbieter wählen. Für Nutzer stellt sich die Frage, ob sie weiterhin auf Anbieter setzen wollen, die sich auf ein rechtlich unsicheres Abkommen stützen.

Bild-Quelle: https://www.dataprivacyframework.gov/list

Wiederholt sich die Geschichte?

Schon Safe Harbor und Privacy Shield sind vor dem Europäischen Gerichtshof gescheitert, weil sie keinen ausreichenden Schutz für EU-Daten boten. Sollte sich nun bestätigen, dass das PCLOB nicht mehr funktionsfähig ist, könnte das EU-US Data Privacy Framework dasselbe Schicksal erleiden. Damit wären viele US-Dienste erneut in der rechtlichen Grauzone – und europäische Nutzer müssten sich nach DSGVO-konformen Alternativen umsehen.

Was können Unternehmen und Nutzer tun?

Angesichts der wiederkehrenden Unsicherheiten sollten Unternehmen und Nutzer proaktiv handeln:

  • DSGVO-konforme Anbieter bevorzugen: Dienste, die ihre Daten ausschließlich auf europäischen Servern speichern und nicht auf US-Rechtsgrundlagen angewiesen sind, bieten eine langfristig sichere Lösung.
  • Rechtliche Entwicklungen beobachten: Unternehmen sollten sich darauf vorbereiten, dass das DPF möglicherweise erneut vor Gericht landet und ungültig erklärt wird.
  • Alternativen prüfen: Gerade sicherheitskritische Dienste wie Passwortmanager sollten daraufhin überprüft werden, ob sie eine rechtskonforme Nutzung in der EU gewährleisten können.

Fazit

Das EU-US Data Privacy Framework steht auf wackligen Beinen. Unternehmen, die sich auf die Einhaltung von Datenschutzrichtlinien verlassen, sollten sich nicht nur auf kurzfristige politische Lösungen stützen. Gerade für sicherheitskritische Dienste wie Passwortmanager empfiehlt sich der Blick auf DSGVO-konforme Alternativen ohne US-Abhängigkeit. Nutzer sollten sich bewusst machen, dass ihre Daten nur dann wirklich sicher sind, wenn sie sich für einen Anbieter entscheiden, der europäische Datenschutzstandards vollständig umsetzt.

Wechseln Sie jetzt zu DSGVO-konformen Alternativen!