EU-US Data Privacy Framework: Was ist, wenn Trump es kippt?

US-Präsident Donald Trump hat zu Beginn seiner Amtszeit 2025 angekündigt, alle präsidialen Verfügungen seines Vorgängers Joe Biden zu überprüfen und nötigenfalls aufzuheben. Dazu zählen auch sicherheitspolitische Executive Orders, auf denen das Data Privacy Framework basiert. Bisher wurde Bidens Executive Order 14086 (Grundlage des DPF) zwar nicht direkt aufgehoben, doch Trump hat Schritte unternommen, die das transatlantische Datenschutzabkommen indirekt untergraben könnten.

So entließ die neue Regierung etwa drei demokratische Mitglieder des US-Überwachungsorgans PCLOB (Privacy and Civil Liberties Oversight Board) und besetzte es bis auf eine Person nicht nach. Dieses Gremium, für die EU ein Schlüsselelement des DPF, ist damit faktisch handlungsunfähig. Gleichzeitig wurden auch zwei oppositionelle Mitglieder der Handelsaufsicht FTC zum Rücktritt gedrängt, was nach Ansicht von Experten die unabhängige Durchsetzung der Datenschutzregeln gefährdet.

Ein Trump-Erlass vom 18. Februar 2025 (“Ensuring Accountability for All Agencies”) verlangt zudem, dass unabhängige Behörden wie die FTC wichtige Entscheidungen vom Weißen Haus prüfen lassen müssen. Rechtsunsicherheit ist die Folge. Schon in den ersten Wochen zeichnet sich ab, dass Trumps Kurs die US-Seite der Vereinbarung schwächt und somit das europäische Angemessenheitsbeschluss für das Data Privacy Framework aufs Spiel setzt​.

Direkte Angriffe auf das DPF selbst hat Trump bislang öffentlich kaum geäußert. Im Wahlkampf 2024 hatte er jedoch pauschal die Rücknahme vieler Biden-Dekrete ins Spiel gebracht. Das von Trump-nahen Kreisen erstellte Strategiepapier “Project 2025” empfahl immerhin keine sofortige Aufhebung von Bidens Datenschutz-Order, erkannte aber an, dass diese „die Geheimdiensterfassung belaste“ und daher zu überprüfen sei​.

Beobachter weisen darauf hin, dass schon Trumps erste Amtszeit 2017–2021 den vorherigen Datenschutzpakt (Privacy Shield) unangetastet ließ​. Ähnlich könnte auch jetzt ökonomischer Pragmatismus gelten. Das Weiße Haus hat eigene Interessen, den transatlantischen Datenfluss nicht abzuwürgen, da dieser für tausende US-Unternehmen und die Handelsbeziehungen vital ist.

Tatsächlich betont die Trump-Regierung offiziell weiterhin die Bedeutung des „trans-Atlantic bridge“ für Daten und Handel​. Insgesamt bleibt aber ungewiss, ob die neuen Maßnahmen (etwa die Schwächung von PCLOB und FTC) als Vorboten eines Bruchs mit dem DPF zu deuten sind, oder ob Trump letztlich am Abkommen festhält, um Handelskonflikte zu vermeiden.

Bildquelle: Rawpixel.com - stock.adobe.com

Deshalb sollten Startups Datensicherheit nicht vernachlässigen

Ganz egal wie alt dein Unternehmen ist: Cyberkriminelle schrecken auch vor jungen Startups nicht zurück. Wieso du von Anfang an auf Datensicherheit setzen solltest, erläutert dieser Artikel.

mehr lesen ...

Politische und juristische Reaktionen in Europa und den USA

Der österreichische Jurist und Datenschutzaktivist Max Schrems warnt seit Langem vor der Fragilität des Abkommens. Schon beim Start des DPF kritisierte er die Entscheidung der EU-Kommission, sich auf Executive Orders statt auf verankerte Gesetze zu stützen. Jetzt, da Trump an diesen Fundamenten rüttelt, sieht sich Schrems bestätigt. Er hält es für möglich, dass das Abkommen noch vor einer gerichtlichen Überprüfung durch den Europäischen Gerichtshof zusammenbricht, schlicht weil die Voraussetzungen für den Angemessenheitsbeschluss nicht mehr gegeben sind. Sollte die EU-Kommission nicht reagieren, bereitet NOYB dennoch eine neue Klage vor, notfalls direkt gegen einzelne Unternehmen.

Auch Datenschützer in den EU-Mitgliedsstaaten melden sich zu Wort. Sie fordern von der Kommission eine kurzfristige Neubewertung. Unternehmen wird empfohlen, sich nicht in falscher Sicherheit zu wiegen, sondern schon jetzt mit Exit-Szenarien zu arbeiten. Der Bundesverband der Deutschen Industrie warnt ebenfalls vor den Folgen eines möglichen Scheiterns. Die wirtschaftlichen Risiken seien enorm. Zusätzliche Prüfpflichten, unklare Rechtslage, sowie Einschränkungen bei der Nutzung digitaler Dienste und internationaler Plattformen. Der transatlantische Datenverkehr sei für viele Unternehmen kein Nice-to-have, sondern ein betrieblicher Dauerzustand und damit systemrelevant.

Was Unternehmen jetzt konkret tun sollten

Abwarten ist keine Option. Auch wenn das Data Privacy Framework formal noch gilt, braucht es vorbereitende Schritte, wenn Unternehmen personenbezogene Daten auf DPA-Grundlage über den Atlantik schicken. Die meisten Infos hierfür sollten sowieso schon vorliegen. Welche Daten fließen in die USA? Welche Tools und Dienstleister berufen sich auf das DPF? Gibt es für diese Prozesse Alternativen? Und wie schnell ließen sich SCCs (Standardvertragsklauseln) als Ersatz etablieren? 

Sollte der Angemessenheitsbeschluss fallen, sind SCCs für viele der einzige verbleibende Weg, Daten rechtskonform in die USA zu übermitteln. Doch auch sie sind mit Aufwand verbunden. Der Europäische Gerichtshof verlangt zusätzlich eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA), inklusive Analyse der Zugriffsmöglichkeiten durch US-Behörden. Ziel ist es, zu bewerten, ob trotz der geltenden Rechtslage im Drittland ein angemessenes Schutzniveau eingehalten werden kann. Auch ergänzende Schutzmaßnahmen (z. B. Verschlüsselung oder Pseudonymisierung) werden zur Pflicht. Für kleinere Unternehmen ist das kaum zu stemmen.

Mit Inkrafttreten des DPF war ein TIA für zertifizierte US-Unternehmen nicht mehr erforderlich, doch diese Erleichterung steht nun wieder infrage. Sollte das Framework wegfallen oder ausgesetzt werden, würde das TIA als Prüfpflicht in voller Härte zurückkehren. Unternehmen müssten für jede Datenübertragung erneut belegen, dass der Empfängerstaat ein angemessenes Datenschutzniveau garantiert oder zusätzliche Maßnahmen greifen.

Große Konzerne setzen in solchen Fällen oft auf Binding Corporate Rules (BCRs). Das sind interne Datenschutzrichtlinien für internationale Unternehmensgruppen. Sie ermöglichen konzerninternen Datentransfer in Drittländer, ohne für jede Übermittlung neue Verträge schließen zu müssen. BCRs gelten allerdings nur für gruppeninterne Transfers, nicht für Datenübermittlungen an externe Dienstleister. Man unterscheidet zwischen BCRs für Verantwortliche (BCR-C) und BCRs für Auftragsverarbeiter (BCR-P). Damit sie als geeignete Garantie nach Art. 46 DSGVO anerkannt werden, müssen sie ein offizielles Genehmigungsverfahren durchlaufen.

Keine dieser Lösungen ist kurzfristig verfügbar. Deshalb sollten Unternehmen jetzt mindestens drei Dinge tun. Erstens, ihre Datenflüsse transparent dokumentieren und DPF-basierte Transfers identifizieren. Zweitens, für kritische Transfers alternative Absicherungen vorbereiten, oder zumindest die Voraussetzungen dafür schaffen. Drittens, klare interne Zuständigkeiten definieren, um im Fall des Falles schnell reagieren zu können. Denn wer dann erst mit der Analyse beginnt, verliert wertvolle Zeit.

Praxisbeispiel: Microsoft 365

Kaum ein Tool ist so verbreitet wie Microsoft 365 und kaum eines steht datenschutzrechtlich so sehr im Fokus. Die Nutzung führt regelmäßig zu Datenübermittlungen in die USA, etwa bei Diagnosedaten oder bei der Nutzung von KI-Diensten wie Copilot. Zwar ist Microsoft dem Data Privacy Framework beigetreten und stellt ergänzende Dokumente wie einen Auftragsverarbeitungsvertrag und Standardvertragsklauseln bereit. Doch Datenschützer kritisieren weiterhin fehlende Transparenz über interne Verarbeitungsprozesse und Kontrollmöglichkeiten.

Ein vollständiges Transfer Impact Assessment liefert Microsoft nicht. Unternehmen bleiben daher in der Pflicht, selbst zu prüfen, ob das Schutzniveau beim konkreten Einsatz ausreichend ist. Das ist eine Herausforderung, insbesondere für kleine und mittlere Betriebe. Mit dem Ausbau KI-gestützter Funktionen wie Copilot steigt zudem die datenschutzrechtliche Komplexität. Wer auf Microsoft 365 setzt, braucht einen belastbaren Datenschutzplan, unabhängig vom Bestand des DPF.

Fazit: Ein Plan B ist keine Panikmache

Noch ist das Data Privacy Framework gültig, doch sein rechtliches Fundament steht unter Druck. Die politischen Entwicklungen in den USA zeigen, wie schnell der Boden unter transatlantischen Datenflüssen ins Wanken geraten kann. Unternehmen sollten das nicht als Ausnahme, sondern als Teil unternehmerischer Realität begreifen.

Ein Plan B ist keine Reaktion auf Angst, sondern Ausdruck guter Unternehmensführung. So wie man in der Lieferkette Alternativen absichert oder bei Cloud-Diensten Ausfallkonzepte plant, gehört auch beim internationalen Datenschutz ein Szenario für den Fall der Fälle dazu. Denn es geht nicht nur um Compliance, sondern um Handlungsfähigkeit. Wer vorbereitet ist, kann reagieren. 

Wer auf US-Dienstleister setzt, braucht einen belastbaren Plan B. Technisch, organisatorisch, rechtlich. Und dieser Plan beginnt nicht mit der nächsten Anordnung aus Washington, sondern mit einem klaren Blick nach innen. Wo Daten fließen, müssen Verantwortlichkeiten folgen.

KI LIVE EVENT

28. & 29. April 2025 Ab 18 Uhr

Deine Verkaufszahlen stagnieren, obwohl du alles richtig machst?

Entdecke, wie KI deine Umsätze steigern kann.

JETZT KOSTENLOS ANMELDEN