Das Data Privacy Framework (kurz DPF), also das Abkommen zwischen den USA und der EU für die Übertragung von personenbezogenen Daten in die USA, stand von Anbeginn an auf hölzernen Beinen.
Denn wie wir bereits vor Jahren analysiert haben („Sind amerikanische Anbieter bald wieder illlegal?“), bot es unserer Ansicht nach nie eine ausreichende rechtliche Grundlage für den Einsatz US-amerikanischer Unternehmen (wie Hubspot, Klavyio, Salesforce, Mailchimp, Microsoft 365 usw).
Doch die Problematik hat sich vor wenigen Tagen deutlich verschärft:
Denn ein Urteil des amerikanischen Supreme Courts (des höchsten Gerichts in den USA) hat vor wenigen Tagen dem Abkommen eine weitere wichtige Grundlage entzogen.
Was hat der Supreme Court entschieden?
Der Supreme Court hat klargestellt, dass alle Behörden in den USA dem Präsidenten unterstellt sind, es also keine unabhängigen Behörden gibt. Konkret ging es um die Federal Trade Commission („FTC“), die allerdings auch die offizielle Aufsichtsbehörde für das EU-US-Abkommen ist.
Die Verträge zwischen den USA und der EU sehen jedoch vor, dass die Aufsichtsbehörde unabhängig sein muss. Wie die Datenschutz-NGO noyb berichtet, „stützt sich die Europäische Kommission sogar 259 (!) Mal auf die unabhängige FTC – die jetzt Trump untersteht.“
Das ist allerdings weder mit dem Abkommen noch mit den europäischen Rechtsnormen (z.B. der Grundrechts-Charta) vereinbar.
Welche Konsequenzen hat das für das Data Privacy Framework?
Das rechtliche Kartenhaus des DPF, das von Beginn an von Datenschützern heftig kritisiert wurde, droht nun endgültig in sich zusammenzustürzen.
Denn da es in den Drittstaaten ein „vergleichbares Datenschutz-Niveau“ geben muss, das durch den Wegfall der Unabhängigkeit der Aufsichtsbehörde in den USA nun noch weniger gegeben ist als es das vorher schon war, ist fraglich, ob sich Unternehmen für den Datentransfer von personenbezogenen Daten in die USA weiterhin auf dieses fragwürdige Abkommen stützen können.
Droht ein unmittelbares rechtliches Risiko?
Das unmittelbare rechtliche Risiko für europäische Unternehmen ist derzeit gering. Denn formal bleibt das Abkommen so lange in Kraft, bis die EU-Kommission es widerruft oder der EuGH es für nichtig erklärt.
Unternehmen, die sich weiterhin auf das Abkommen stützen, drohen also vermutlich keine sofortigen Strafen.
Doch einerseits muss wohl die Risiko-Abwägung angesichts der neuen Entwicklungen neu durchgeführt werden, und andererseits werden sich Unternehmen auch zunehmend Fragen von Betroffenen gefallen lassen müssen, weshalb sie wider besseres Wissen deren personenbezogene Daten weiterhin in die USA übermittelt haben.
Was sollten (europäische) Unternehmen jetzt tun?
Eine unmittelbare Panik ist nicht angesagt. Doch Unternehmen, die stark auf den Einsatz amerikanischer Software setzen, wären gut beraten,
- eine neuerliche Abwägung des Nutzens und des Risikos vorzunehmen
- und mittel- und langfristig endlich ernsthaft über einen „Plan B“ nachzudenken.
Denn es gilt als sehr wahrscheinlich, dass der EuGH sich auch mit den neuen Abkommen befassen wird.
Das Risiko für Unternehmen ist dann groß, weil der EuGH die beiden bisherigen Abkommen bereits für unzulässig erklärt hat, das aktuelle DPF keine wesentliche Verbesserung brachte und durch die nun fehlende Unabhängigkeit der FTC ein weiterer wichtiger Baustein des Abkommens weggefallen ist.
Die rechtliche Unsicherheit für europäische Unternehmen wird also verlängert.
Über den Autor
Michael Kornfeld ist mit einer über 25-jährigen Laufbahn ein leidenschaftlicher Verfechter von E-Mail-Marketing. Er hält zahlreiche Seminare und Fachvorträge und zählt zu den renommiertesten Experten Österreichs auf diesem Gebiet.