Durch eine von Donald Trump unterzeichnete Executive Order1 besteht nun das Risiko, dass ab Anfang März die Übertragung von Daten aus der europäischen Union in die Vereinigten Staaten nicht mehr mit der europäischen Gesetzgebung vereinbar ist. Als Nutzer der Services US-amerikanischer Cloud-Services (hier seien nur die zahlreich eingesetzten Dienste wie Gmail, OneDrive, Microsoft Office 365 oder AWS erwähnt) sollte sich spätestens jetzt mit dem hypothetischen Szenario befassen, die amerikanischen Cloud-Dienste ersetzen zu müssen.
Aber wie kann es sein, dass die Verwendung der Dienste so plötzlich unvereinbar mit dem europäischen Recht zu werden droht?
Dazu holen wir zunächst etwas aus: Das EU-Recht verbietet die Übertragung von personenbezogen Daten in Länder außerhalb der EU grundsätzlich, wenn nicht entweder eine absolute Notwendigkeit besteht oder das Nicht-EU-Land einen „im Wesentlichen gleichwertigen Schutz“ der personenbezogenen Daten der betroffenen EU-Bürger gewährt.
Möchte man beispielsweise eine Datei bei einem Filesharing-Dienst hochladen, gibt es innerhalb der EU genügend Anbieter, sodass keine „absolute Notwendigkeit“ zur Übertragung der Daten in beispielsweise die USA besteht, wenn alle Nutzer EU-Bürger sind.
Geht es jedoch darum eine E-Mail an einen US-Bürger zu senden, ist dafür die Übertragung der Daten in die USA erlaubt.
Von einem gleichwertigen Schutz der Daten in den USA kann ursprünglich nicht ausgegangen werden, da dort mehrere Gesetze zur Massenüberwachung (z.B. FISA702 oder EO 12.333) gelten. Diese Gesetze ermöglichen der US-Regierung jederzeit, auf die bei US-amerikanischen Unternehmen gespeicherten Daten zuzugreifen. Der Fakt, dass der Datenschutz in den USA nicht gleichwertig zu dem in der EU ist, wurde bereits zweifach vom Europäischen Gerichtshof bestätigt (Schrems I und Schrems II).
Die Tatsache, dass US-Services, zu denen auch europäische Alternativen bereitstehen, bisher genutzt werden konnten, beruht auf dem „Transatlantic Data Privacy Framework“ (TADPF) Abkommen, das zwischen den USA und der EU geschlossen wurde.
Dieses Abkommen stützt sich im Wesentlichen auf Exekutivgarantien der USA, um zu dem Entschluss zu kommen, dass der Datenschutz in den USA gleichwertig zum Datenschutz der EU ist. Eine dieser Exekutivgarantien ist die Arbeit des Privacy and Civil Liberties Oversight Board (PCLOB). Dieses Board ist eine dem Präsidenten unterstellte Aufsichtsbehörde, welche die Einhaltung aller Datenschutzgesetze in den USA überwacht.
Berichten2 zufolge wurden Mitglieder dieses Boards nun dazu aufgerufen zeitnah zurückzutreten. Finden diese Rücktritte statt, wäre das Board nicht weiter arbeitsfähig.
Auch weitere Grundlagen des TADPF basieren auf Entscheidungen und Executive Orders der vorherigen Regierung unter Biden.
In einer nun von Donald Trump unterschriebenen Executive Order wurde festgelegt, dass innerhalb von 45 Tagen alle Entscheidungen der Biden-Regierung zur nationalen Sicherheit (worunter die Abkommen zum Datenschutz mit der EU fallen) zu prüfen und ggf. aufzuheben. Sollte dies geschehen, kann sich nicht mehr auf den TADPF berufen werden und sämtliche Datenübertragungen personenbezogener Daten aus der EU in die USA wären verboten.
Einziger Wermutstropfen für betroffene EU-Bürger und -Unternehmen bleibt, dass sich zunächst noch auf das geltende Abkommen berufen werden kann. Sobald die Grundlagen des Abkommens mit den USA jedoch nicht mehr gegeben sind und keine alternativen Lösungen gefunden werden, muss die EU das Abkommen aufkündigen. Spätestens dann sollte man nicht mehr von der Datenübertragung in die USA abhängig sein.
Das grundsätzliche Problem, dass die Gesetzeslage auf denen die Datenübertragungen basierten auf Sand gebaut war, ist dabei nicht neu — es wird jedoch plötzlich sehr akut. Wem dieses Risiko schon länger bewusst ist und wer Pläne für den Eintritt dieses Falles vorbereitet hat, ist nun gut beraten diese umzusetzen und sich dadurch schnell aus der Abhängigkeit amerikanischer Cloud-Dienste zu befreien.
Wer noch keine Handlungsstränge für diese hypothetische Herausforderung für sich identifiziert hat, sollte nun die Priorisierung anhand der Gefährdungslage für die Geschäftsstabilität neu evaluieren und gegebenenfalls geeignete Maßnahmen schnell und zielgerichtet in die Wege leiten!
1] https://www.whitehouse.gov/presidential-actions/2025/01/initial-rescissions-of-harmful-executive-orders-and-actions/
2] https://www.nytimes.com/2025/01/22/us/trump-privacy-civil-liberties-oversight-board.html