Transatlantischer Datentransfer: Droht ein „Schrems III“ ohne Schrems?

Neue Bewegung im Streit um das Data Privacy Framework. Droht damit die nächste Runde vor dem EuGH und ein weiteres Kapitel der Rechtsunsicherheit? Für Unternehmen heißt das: Vorsorge treffen, bevor die nächste EuGH-Entscheidung Realität wird.

Der transatlantische Datenaustausch - das Rückgrat der modernen Wirtschaft -, steht erneut auf wackligen Füßen. Nachdem bereits die Vorgängerabkommen Safe Harbor und Privacy Shield vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurden, könnte nun auch der jüngste Versuch der EU-Kommission, das EU-US Data Privacy Framework (DPF), erneut in den Fokus geraten.  

Der französische Europaabgeordnete Philippe Latombe hat nun Rechtsmittel gegen das Urteil des Gerichts der Europäischen Union (EuG) eingelegt, in dem das DPF in erster Instanz für gültig erklärt wurde. Dieser Schritt eröffnet nun den Weg für ein weiteres Grundsatzurteil des EuGH. Für Unternehmen würde dies erneut eine zusätzliche Rechtsunsicherheit bedeuten, die sich auf die Nutzung von US-Cloud-Diensten und anderen datenverarbeitenden Tools mit entsprechendem Datentransfer auswirken könnte.

DPF: Kritikpunkte

Das DPF ist der jüngste Angemessenheitsbeschluss der EU-Kommission, der ein im Wesentlichen gleichwertiges Datenschutzniveau in den USA gewährleisten soll. Kritiker wie Philippe Latombe und Max Schrems zweifeln jedoch an der Vereinbarkeit mit DSGVO und EU-Grundrechtecharta. Im Fokus steht insbesondere der neu geschaffene US-amerikanische Data Protection Review Court (DPRC), welcher Kritikern zufolge, Zweifel an seiner Unparteilichkeit und Unabhängigkeit von der US-Exekutive aufwirft. Dies könne wiederum zu einer Beeinträchtigung des Grundrechts auf einen wirksamen Rechtsbehelf führen. Darüber hinaus bestehen nach wie vor Bedenken hinsichtlich der umfangreichen, anlasslosen Datenerhebung durch US-Geheimdienste (u.a. nach Abschnitt 702 des Foreign IntelligenceSurveillance Act (FISA) und der Executive Order 12333). Die Schutzmechanismen des DPF werden als unzureichend erachtet, um diese schweren Eingriffe in die Grundrechte von EU-Bürgern zu verhindern.

Historische Parallelen: Safe Harbor und Privacy Shield

Der aktuelle Streit um das DPF reiht sich als dritte Episode in eine langjährige rechtliche Auseinandersetzung ein, wie ein Blick auf frühere Entscheidungen des EuGHs zeigt. 

Bereits 2015 erklärte der EuGH das Safe-Harbor-Abkommen auf Klage von Max Schrems („Schrems I“) für ungültig, da dieses den US-Behörden einen weitreichenden Zugriff auf übermittelte Daten ermöglichte und EU-Bürgern wiederum ein wirksamer Rechtsbehelf fehle. Das Gericht sah hierin einen Verstoß gegen die Grundrechte auf Privatleben und Datenschutz. 
Auch das Privacy Shield scheiterte 2020 („Schrems II“) vor dem EuGH: Die Luxemburger Richter sahen die Überwachungspraktiken fortbestehen und bewerteten u.a. den im Vergleich zu Safe Harbor neu als Rechtsbehelf eingeführten Ombudsmann-Mechanismus als unzureichend. 

Das Fazit der früheren Urteile ist klar: Abkommen, die US-Geheimdiensten unverhältnismäßigen Zugriff auf personenbezogene Daten von EU-Bürgern gewähren und keinen gleichwertigen Schutz bieten, werden vom EuGH kassiert. Erneut waren die anlasslose Massenüberwachung und das Fehlen effektiver Rechtsbehelfe für EU-Bürger der Knackpunkt.

Praktische Auswirkungen für die Wirtschaft

Rechtsunsicherheit und Compliance-Druck: Das DPF sollte Unternehmen eine einfache Rechtsgrundlage für Datentransfers in die USA, etwa bei der Nutzung von Microsoft 365, AWS, Google Cloud, bieten. Fällt er weg, müssten Unternehmen kurzfristig auf komplexere Lösungen umsteigen. Zugleich kann mit verschärften Kontrollen bei US-Datentransfers der Aufsichtsbehörden in der EU gerechnet werden, die das DPF ohnehin kritisch sehen.

Rückgriff auf Standarddatenschutzklauseln (SCCs): Nach Wegfall eines Abkommens bleibt meist nur der Umstieg auf Standarddatenschutzklauseln (SCCs), die jedoch zusätzliche Schritte, wie ein Transfer-Impact-Assessment (TIA) und technische Maßnahmen, etwa starke Ende-zu-Ende-Verschlüsselung, erfordern, um einen Zugriff durch US-Behörden auszuschließen. Dies ist in der Praxis oft schwierig und kostenintensiv.

Investitionen in alternative Lösungen: Unternehmen müssten auf europäische oder zumindest außerhalb der USA ansässige Cloud-Anbieter ("Cloud-Exit") oder europäische Datenspeicher-Lösungen (Data Sovereignty) ausweichen und in diese investieren. Solche Verlagerungen sind regelmäßig mit erheblichen Kosten und Aufwand verbunden, falls sie überhaupt kurzfristig möglich sind. Die ständige Rechtsunsicherheit behindert zudem Innovationen und Investitionen, da Unternehmen nicht langfristig mit einer stabilen Rechtsgrundlage planen können.

Fazit und Ausblick

Sollte der EuGH den Angemessenheitsbeschluss zum Data Privacy Framework aufheben, könnte dies für Unternehmen erhebliche Auswirkungen haben. Unternehmen müssten schnell reagieren, um rechtliche Risiken zu vermeiden. Es empfiehlt sich daher, bereits jetzt Vorsorgemaßnahmen und Notfallpläne zu entwickeln, darunter insbesondere: 

Bestandsaufnahme starten: Prüfen, wo im Unternehmen personenbezogene Daten in die USA übertragen werden (z. B. Cloud-Dienste, Softwareanbieter, Konzernstrukturen).

Alternativen vorbereiten: Standarddatenschutzklauseln (SCCs) als Ersatzlösung prüfen und einplanen.

Risikoanalyse durchführen: Transfer-Impact-Assessments (TIAs) für kritische Datenflüsse vorbereiten.

Technische Schutzmaßnahmen prüfen: Verschlüsselung, Pseudonymisierung und andere Sicherheitsmaßnahmen implementieren.

Strategische Vorsorge: Datenresilienz und DSGVO-Compliance als Wettbewerbsvorteil ausbauen.