Die neuen politischen Realitäten und ihre Auswirkungen auf den Datenschutz
Der Machtwechsel in Washington Anfang 2025 markiert einen bedeutenden Wendepunkt für die transatlantischen Datenschutzbeziehungen. Die grundlegenden Unterschiede zwischen US-amerikanischem und europäischem Datenschutzrecht werden dadurch verstärkt und stellen europäische Unternehmen vor neue Herausforderungen. Während die EU mit der DSGVO einen umfassenden Rechtsrahmen geschaffen hat, der den Schutz personenbezogener Daten als Grundrecht verankert, basiert der US-Datenschutz auf einem Flickwerk aus sektoralen Regelungen und Selbstverpflichtungen von Unternehmen.
Politische Entscheidungen mit weitreichenden Folgen
Diese Diskrepanz wird besonders deutlich durch die jüngsten Ereignisse: So entließ Präsident Trump am 3. Februar 2025 gleich drei demokratische Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB). Diese Entscheidung hat direkte Auswirkungen auf das Transatlantic Data Privacy Framework (TADPF), das den legalen Datentransfer zwischen der EU und den USA regelt. Das nun beschlussunfähige Aufsichtsgremium kann seine zentrale Aufgabe – nämlich die Überwachung der US-Geheimdienste hinsichtlich ihrer Datenschutzpraktiken – nicht mehr erfüllen.
Experten warnen, dass dies nur der Anfang einer Reihe von Maßnahmen sein könnte, die das gesamte TADPF gefährden. Exekutivbefehle, auf denen das Framework maßgeblich basiert, könnten in den kommenden Wochen widerrufen werden. Dies würde besonders Unternehmen und Institutionen treffen, die aktuell stark auf US-Cloud-Dienste setzen.
Cloud Act und TADPF: Der fundamentale rechtliche Konflikt
Der rechtliche Kern des Problems liegt im 2018 verabschiedeten CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses US-Gesetz ermöglicht amerikanischen Behörden und Geheimdiensten den legalen Zugriff auf Daten, die von US-Unternehmen gespeichert werden – unabhängig davon, wo auf der Welt sich diese Daten physisch befinden. Für europäische Unternehmen, die Dienste wie AWS, Microsoft 365 oder Google Cloud nutzen, bedeutet dies konkret: Selbst wenn Daten in europäischen Rechenzentren amerikanischer Anbieter gespeichert sind, können US-Behörden unter Berufung auf den CLOUD Act darauf zugreifen.
US-Unternehmen sind rechtlich verpflichtet, diesem Zugriff Folge zu leisten, selbst wenn dies gegen europäisches Recht verstößt. In vielen Fällen dürfen die betroffenen europäischen Unternehmen nicht einmal über diesen Zugriff informiert werden ("Gag Orders").
Das TADPF ist nicht rechtsverbindlich
Dies steht in direktem Widerspruch zur DSGVO, die einen hohen Schutzstandard für personenbezogene Daten fordert und strenge Anforderungen an internationale Datentransfers stellt. Die europäische Datenschutzgesetzgebung verlangt:
- Transparenz bei der Datenverarbeitung
- Zweckbindung der erhobenen Daten
- Einschränkung staatlicher Zugriffsmöglichkeiten
- Rechtsmittel für betroffene Personen
Das TADPF wurde entwickelt, um diese Rechtskollision zu entschärfen, indem es sicherstellte, dass US-Unternehmen ein mit der EU vergleichbares Datenschutzniveau bieten. Es basiert jedoch hauptsächlich auf Exekutivbefehlen und nicht auf gesetzlich verankerten Regelungen.