Die transatlantischen Datenübertragungen stehen mal wieder auf wackeligen Beinen. Warum? Weil Donald Trump kurzerhand drei Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) entlassen hat. Klingt erstmal nach einer reinen US-internen Angelegenheit – könnte aber für Unternehmen in Europa massive Konsequenzen haben.

Was ist passiert?

Das PCLOB ist eines der wenigen Gremien in den USA, das darüber wacht, ob Geheimdienste sich an Datenschutzregeln halten. Es war ein zentraler Baustein bei Verhandlung und Abschluss des EU-U.S. Data Privacy Framework Abkommen (DPF), das als Ersatz für das in 2020 gescheiterte Privacy Shield Abkommen als Grundlage für den Transfer personenbezogener Daten von der EU in die USA geschaffen wurde. Das PCLOB bezeichnet sich nach den Entlassungen selbst als handlungsunfähig, da es nunmehr nur mit einer Person besetzt ist, jedoch drei Mitglieder notwendig sind, um offizielle Maßnahmen einleiten und umsetzen zu können. Es ist fraglich, wie sich die Europäische Kommission zur Handlungsunfähigkeit des PCLOB positioniert.

Ein weiterer Schritt der Trump-Administration, der die Situation zusätzlich verschärfen könnte, ist eine derzeit laufende Überprüfung aller aus der Biden-Ära stammenden Executive Orders (EOs) zur nationalen Sicherheit. Dies umfasst auch die EO 14086 „Enhancing Safeguards for United States Signals Intelligence Activities“, die eine Voraussetzung für den Abschluss des DPF war. . Es gibt bisher keine konkreten Anzeichen dafür, dass die Trump-Administration die EO 14086 aufheben wird.  Sollte dies passieren, hätte es nicht automatisch die Aufhebung des DPF zur Folge. Datenübertragung zwischen der EU und den USA wären also nicht unmittelbar rechtswidrig. Allerdings würde wohl spätestens die Aufhebung der EO 14086 – zusätzlich zur Handlungsunfähigkeit des PCLOB – die EU-Kommission dazu veranlassen, das DPF zu überprüfen und ggf. für ungültig zu erklären.

Was bedeutet das für Unternehmen in Europa?

Wer personenbezogene Daten in die USA übermittelt, z.B. durch die Nutzung eines Cloud-Dienstes mit Datenverarbeitung in den USA, sollte aufpassen. Wenn das DPF fällt, könnte es schnell rechtliche Unsicherheiten geben – und die EU-Datenschutzbehörden sind bekanntlich nicht zimperlich, wenn es um Verstöße gegen die DSGVO geht.

Was tun? Jetzt handeln statt später ärgern!

Damit Unternehmen nicht von einer plötzlichen Entscheidung aus Brüssel überrascht werden, sollten sie sich jetzt schon wappnen:

✅ Datenflüsse überprüfen: Wer speichert was wo? Sind US-Dienstleister im Spiel?

✅ Cloud-Strategie überdenken: Müssen wirklich alle Daten in die USA? Europäische Anbieter könnten eine sicherere Alternative sein. In vielen Fällen gibt es keinen adäquaten Ersatz für die Softwareangebote der US-Hersteller, aber datenschutzfreundliche Voreinstellungen können sehr häufig umgesetzt werden.

✅ Rechtliche Alternative in der Hinterhand haben: Standardvertragsklauseln (SCCs) könnten wieder die Rettung sein – aber auch sie müssen wasserdicht umgesetzt werden. Dazu gehört insbesondere die Durchführung von Risikoabwägungen für den Datentransfer in die USA (sog. Transfer Impact Assessments, kurz TIAs) und die Implementierung zusätzlicher Sicherheitsmaßnahmen. Kommt Ihnen das bekannt vor, da Sie solche TIAs bereits nach dem Fall des Privacy Shields durchgeführt haben? Herzlichen Glückwunsch, Sie sind gut vorbereitet!

✅ Datenschutzrichtlinien schärfen: Eine gute Datenschutzstrategie sorgt für weniger Kopfschmerzen, falls die Politik mal wieder für Unruhe sorgt.

✅ Mit Datenschutzexperten sprechen: Lieber jetzt einen Plan ausarbeiten als später hektisch Lösungen suchen.

Fazit: Keine Panik, aber Vorsicht ist geboten

Ob das DPF überlebt oder bald das nächste Transferchaos ausbricht, weiß heute noch niemand. Aber Unternehmen, die sich frühzeitig vorbereiten, ersparen sich Stress, Bußgelder und operative Albträume. Also: Abwarten ist keine Strategie – jetzt ist der perfekte Zeitpunkt, um sich gut aufzustellen!