„Wenn die Executive Order aufgehoben würde, wäre das ein Problem.“
US-Präsident Donald Trump baut die Bundesverwaltung in seinem Land radikal um. Dazu gehörte auch, drei Mitglieder des Privacy and Liberty Oversight Board (PCLOB) zu entlassen, die unter anderem beaufsichtigen, ob US-Geheimdienste in der Executive Order 14086 niedergelegten Bedingungen einhalten. Ob und wann neue Mitglieder ernannt werden, ist derzeit offen. Über die möglichen Auswirkungen der Entscheidung und über die Perspektive von US-Unternehmen auf das neue Framework sprachen die BvD-News mit dem Daten Experten Dr. Axel Spies.
BvD-News: Herr Spies, Sie leben seit vielen Jahren in den USA. Wie nehmen amerikanische Firmen das Data Privacy Framework mit der EU war?
Axel Spies: Die meisten Datenempfänger in den USA waren ja schon bei dem Vorgänger, dem EU US Privacy Shield, dabei. Das System der Zertifizierung ist in etwa gleich geblieben, auch die Voraussetzungen, um sich zertifizieren zu lassen, sind fast identisch mit dem Vorgänger.
BvD-News: Sind denn seit dem Inkrafttreten des Angemessenheitsbeschlusses durch die EU im Juli 2022 noch weitere US-Unternehmen dazugekommen?
Axel Spies: Wie viele neu dazugekommen sind, kann ich nicht sagen. Insgesamt sind bis jetzt ungefähr 2.800 US-Unternehmen auf der Empfängerseite zertifiziert. Da sind ganz große dabei, aber auch viele kleine Firmen.
BvD-News: Wie steht es um jene, die sich bislang nicht dem Framework angeschlossen haben?
Axel Spies: Diese Unternehmen nutzen meist die von der EU 2021 gebilligten Standardvertragsklauseln, also die Standard Contractual Clauses. Deren Nutzung würde ich auch den europäischen Firmen empfehlen. Sie sollten zur Sicherheit zusätzlich zum Data Privacy Framework mit den US-Datenimporteuren die Standardvertragsklauseln in ihre Verträge integrieren. Denn sollte das Framework letztinstanzlich irgendwann vom Europäischen Gerichtshof wie die Vorgänger-Regelungen in den Verfahren Schrems 1 und Schrems 2 gekippt werden, bleibt den in den Datentransfer involvierten Unternehmen wenigstens noch
BvD-News: Wie läuft denn die Zertifizierung genau?
Axel Spies: Der Antragssteller muss alle notwendigen Unterlagen bei der National Telecommunications and Information Administration, kurz NTIA, einreichen und sich unter anderem verpflichten, im Streitfall das Schlichtungsverfahren des Frameworks zu akzeptieren. Das Verfahren beruht auf einer Selbstzertifizierung der Datenimporteure, die in bestimmten Zeitabständen gegenüber der NTIA erneuert werden muss. Der US-Datenimporteur muss die nach dem Framework erforderlichen Informationen auf seiner Webseite veröffentlichen. Die erfolgreiche Zertifizierung ist für viele Unternehmen womöglich ein Pluspunkt, wenn sie um Kunden in Europa werben.
BvD-News: Können europäische Datenabsender sicher gehen, dass damit die Daten tatsächlich ein ähnliches Schutzniveau wie in der EU haben?
Axel Spies: Zertifizierte Unternehmen, die sich nicht an die Regeln des Frameworks halten, bekommen es eventuell mit ihrer Aufsichtsbehörde zu tun. Das ist in der Regel die Federal Trade Commission, abgekürzt FTC.
BvD-News: Sind Fälle bekannt, in denen die US-Aufsichtsbehörden schon einmal tätig geworden ist?
Axel Spies: Unter dem Vorgänger-System „Privacy Shield“ gab es einige Dutzend Fälle, in denen die Federal Trade Commission tatsächlich Ermittlungsverfahren eingeleitet und Bußgelder gegen bestimmte Datenimporteure ergriffen hatte, um die Einhaltung der Regeln des Frameworks sicherzustellen. Zuletzt meines Wissens 2020. Darüber hinaus überwacht das PCLOB, ob sich die US-Geheimdienste an die von Ex-Präsident Joe Biden 2022 unterzeichnete Executive Order 14086 halten. Das PCLOB gibt es schon seit 2007 und hat über das Framework hinausgehende Überwachungs- und Beratungsaufgaben. Unter dem Framework ist mir bisher kein Ermittlungsverfahren der FTC bekannt. Aber das liegt vermutlich auch daran, dass die meisten Datenimporteure schon seit Jahren auf der Liste der registrierten Unternehmen stehen.
BvD-News: Welche Rolle spielt dabei der für das Framework errichtete Data Proctection Review Court, also der DPRC? Wie sehen dessen Befugnisse konkret aus?
Axel Spies: Der DPRC überprüft unabhängig die Entscheidungen des Civil Liberties Protection Officer des Office of the Director of National Intelligence als Reaktion auf Beschwerden, die von Einzelpersonen über ihre Datenschutzbehörden eingereicht werden und in denen bestimmte Verstöße gegen US-Recht bei der Durchführung von Aktivitäten der US-Aufklärung geltend gemacht werden. Aber der DPRC hat meines Wissens bislang keinen einzigen Fall aus Europa behandelt.
BvD-News: Der amtierende US-Präsident Donald Trump hatte die demokratischen Richter des PCLOB aufgefordert, ihr Amt niederzulegen.
Axel Spies: Die vier Mitglieder plus Vorsitzendem des PCLOB sind vom US-Präsidenten ernannte Experten im Bereich Nationale Sicherheit. Zu den Aufgaben des PCLOB gehört die Überwachung, ob die Geheimdienstaktivitäten der USA den Grundsätzen der Notwendigkeit, Verhältnismäßigkeit und Achtung der Grundrechte entsprechen. PLOB kann zum Beispiel bei Bedenken von EU-Behörden gegenüber US-Geheimdiensten Auskünfte bei den Sicherheitsbehörden einholen. Das gilt insbesondere nach der Verlängerung der auch in Europa bekannten Section 702 des Foreign Intelligence Surveillance Act, die es US Geheimdiensten erlaubt, außerhalb der USA die elektronisch Kommunikation zu überwachen.
BvD-News: Welche Auswirkungen hat Ihrer Einschätzung nach dieser Schritt für das Data Privacy Framework?
Axel Spies: Im Moment können wir das noch nicht absehen. Ob und wann US-Präsident Donald Trump neue Mitglieder für das PCLOB ernennen wird, wissen wir aktuell nicht. Zwei der drei Mitglieder haben bereits Klage eingereicht. Der Sprecher des PCLOB hat am 27. Januar 2025 in einer Presseerklärung verkündet, dass das PCLOB seine Arbeit weiter fortsetzen wird. Der Data Protection Review Court ist davon ohnehin nicht betroffen.
BvD-News: Die eigentliche Executive Order, die dem Framework zugrunde liegt, ist aber nicht aufgehoben?
Axel Spies: Bislang nicht. Aber wir wissen nicht genau, was die Trump-Administration am Ende vorhat. Wenn sie aufgehoben würde, dann wäre das ein wirkliches Problem für den Datentransfer von der EU zu zertifizierten Datenimporteuren in die USA.
BvD-News: Wie nehmen Sie in Washington die Reaktionen auf Trumps Entscheidung bei der PCLOB aus Europa wahr?
Axel Spies: Ich kann nachvollziehen, dass man in Europa diesen Schritt mit Sorge betrachtet. Aber für die USA spielen aktuell Überlegungen, wie der Abfluss sensibler US-Daten nach China und Russland eine viel größere Rolle. Dazu gibt es neue Regeln für den Transfer sensitiver Daten aus den USA heraus. Aktuell steht in Washington der Datenfluss unter dem Motto National Security First. Generell gilt es aber zu bedenken, dass Datenschutz in den USA eine Sache der US-Bundesstaaten ist. Bislang gibt es 20 Bundesstaaten mit eigenen Gesetzen für Verbraucher, dann noch eine Reihe von Branchen- und Spezialgesetzen. Den sogenannten Brussels Effect, also dass die USA dem Vorbild Europas nach einem übergreifenden Datenschutz-Gesetz wie der DSGVO folgen, sehe ich hier nicht. Ein vergleichbares Bundesdatenschutzgesetz gab es unter Biden nicht und wird es auch unter Trump in absehbarer Zeit nicht geben.
Das Interview stellt den aktuellen Stand vor Andruck am 10.03.2025 dar.
