Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen

Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
9 min 1
Beitrag vom: 25.02.2025

EU-Unternehmen dürfen personenbezogene Daten an Unternehmen in den USA aufgrund des sog. EU-U.S.-Data Privacy Framework übermitteln. Die US-Regierung könnte dies aber kurzfristig kippen. Viele US-Dienste wie Cloudflare, Google Analytics und weitere könnten dann womöglich nicht mehr DSGVO-konform genutzt werden. Zudem müssten die Datenschutzerklärungen angepasst werden. Mehr dazu in diesem Beitrag.

Sind US-Datentransfers aus Sicht des EU-Datenschutzrechts problematisch?

Ja, die Übermittlung von personenbezogenen Daten von z.B. EU-Unternehmen an z.B. Unternehmen in den USA ist aus Sicht des EU-Datenschutzrechts gemäß den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) bereits seit vielen Jahren eine große Herausforderung.

Hintergrund ist, dass das EU-Datenschutzrecht die Übermittlung von personenbezogenen Daten an Unternehmen, Organisationen oder sonstige Stellen in Nicht-EU-Staaten - wie den USA - nur unter strengen Voraussetzungen ausnahmsweise zulässt. Dies soll dafür sorgen, dass die Daten außerhalb der EU im Ergebnis genauso geschützt sind wie innerhalb der EU. Ist dies aufgrund der lokalen Datenschutzgesetze in Nicht-EU-Staaten nicht der Fall, verbietet das EU-Datenschutzrecht die Übermittlung von personenbezogenen Daten in diese Staaten.

Für die USA ist seit vielen Jahren umstritten, ob und ggf. unter welchen zusätzlichen Voraussetzungen und Garantien personenbezogene Daten dort denselben Schutz genießen wie in der EU.

Was versteht man überhaupt unter US-Datentransfers?

Unter "US-Datentransfers" versteht man die Übermittlung (=Transfer) von personenbezogenen Daten aus der EU in die USA.

Genauer ist damit gemeint, dass Daten, die durch Unternehmen und sonstige Organisationen in der EU erhoben, gespeichert und verarbeitet werden, an Unternehmen oder sonstige Organisationen weitergegeben bzw. übermittelt werden, die ihren Sitz in den USA haben.

Ein Online-Shop erhebt bei Bestellungen von Kunden die benötigten Kundendaten (u.a. Name, Anschrift, Telefonnummer, E-Mail-Adresse) und speichert und verarbeitet diese in einer Cloud, die durch einen US-Anbieter mit Sitz in den USA betrieben wird.

Bei den Kundendaten handelt es sich um personenbezogene Daten i.S.d. DSGVO. Durch die Speicherung der Kundendaten auf der US-Cloud übermittelt der Online-Shop somit personenbezogene Daten an den Anbieter der US-Cloud, der seinen Sitz in den USA hat. Dadurch werden personenbezogene Daten in die USA übermittelt, so dass es sich dabei um US-Datentransfers handelt.

1

Wieso sind US-Datentransfers aus Sicht des EU-Datenschutzrechts so ein Problem?

Die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten ist durch die EU-Datenschutz-Grundverordnung (DSGVO) ganz generell nur bei Einhaltung vergleichsweise strenger Vorgaben und Schutzmaßnahmen erlaubt - sie gehören dabei zu den strengsten weltweit.

Damit der EU-Datenschutz nicht einfach unterlaufen werden kann, indem die Daten einfach und schnell elektronisch an Orte übermittelt werden, an denen die Daten nicht oder nicht so stark geschützt sind wie in der EU, ist die Übermittlung von Daten in solche Staaten nach dem EU-Datenschutzrecht nur ausnahmsweise erlaubt. Voraussetzung für eine solche Ausnahme ist, dass in dem Staat, in den die Daten übermittelt werden, im Wesentlichen dasselbe Datenschutzniveau besteht wie in der EU.

In den USA ist dies nach Einschätzung der EU-Kommission und des Gerichtshofs der Europäischen Union (EuGH) von Haus aus an sich nicht der Fall.

Im Wesentlichen wird dies damit begründet, dass

  • die US-Behörden (z.B. Nachrichten- und Geheimdienste) deutlich höhere Zugriffsbefugnisse auf Daten haben als EU-Behörden (Stichwort: Massenüberwachung),
  • diese US-Behörden dabei zugleich auch weniger streng kontrolliert werden als EU-Behörden und
  • betroffenen Personen, deren Daten - eventuell rechtswidrig - durch Behörden verarbeitet werden, geringere Rechtsschutzmöglichkeiten zustehen (wie z.B. Klagerechte) als in der EU.

Können US-Datentransfers aus Sicht des EU-Datenschutzrechts dennoch zulässig sein?

Ja, unter bestimmten Voraussetzungen können US-Datentransfers gegenwärtig als zulässig angesehen werden.

Dies ist jedenfalls dann der Fall, wenn die Unternehmen, an die personenbezogenen Daten übermittelt werden, sich nach dem sog. EU-U.S. Data Privacy Framework freiwillig selbst zertifizieren, sich durch eine Zertifizierung also bestimmten datenschutzrechtlichen Standards unterworfen haben, die ein Datenschutzniveau vergleichbar dem in der EU gewährleisten.

Dieses EU-U.S. Data Privacy Framework ist zwischen der EU-Kommission und der US-Regierung noch unter Präsident Joe Biden ausgehandelt worden und im Juli 2023 in Kraft getreten.

Das US-Unternehmen Cloudflare, Inc mit Sitz in San Francisco in Kalifornien (USA) betreibt Cloud-Dienste, die auch Kunden in der EU angeboten werden. Das Unternehmen hat sich dem EU-U.S. Data Privacy Framework angeschlossen, wie die auf der Website des EU-U.S. Data Privacy Framework veröffentlichte Liste der zertifizierten Unternehmen ausweist. Die Übermittlung von personenbezogenen Daten aus der EU an das Unternehmen Cloudflare - etwa die Speicherung von Daten auf den Cloud-Servern dieses Unternehmens - verstößt daher nicht gegen die Vorgaben des EU-Datenschutzrechts gemäß der DSGVO und ist deshalb zulässig.

Wieso könnten US-Datentransfers aber schon in Kürze unzulässig sein?

Das EU-U.S. Data Privacy Framework, das den Schutz von US-Datentransfers an bestimmte, selbst zertifizierte US-Unternehmen garantiert, fußt im Wesentlichen auf der Einrichtung und dem Betrieb bestimmter datenschutzrechtlicher Standards, die die US-Regierung unter US-Präsident Joe Biden via sog. Dekrete ("Executive Orders") geregelt und garantiert hat. Die neue US-Administration unter Präsident Donald Trump hat nun Maßnahmen ergriffen, die die künftige Einhaltung dieser datenschutzrechtlichen Standards in Frage stellen, sowie weitere solche Maßnahmen angekündigt:

  • Privacy and Liberties Oversight Board (PLCOB): Die US-Administration hat Mitglieder eines an sich unabhängigen Kontrollgremiums namens Privacy and Liberties Oversight Board (PLCOB) fristlos entlassen, was nicht nur die Funktionsfähigkeit dieses Kontrollgremiums in Frage stellt, sondern auch dessen Unabhängigkeit bzw. die Unabhängigkeit dessen Entscheidungen. Die Unabhängigkeit des Kontrollgremiums ist allerdings einer der wesentlichen Gründe für die EU-Kommission gewesen, das EU-U.S. Data Privacy Framework in Kraft zu setzen, so dass die Zukunft des Frameworks nun stark zu bezweifeln ist.
  • Trump lässt Biden-Dekrete überprüfen: Weiter hat US-Präsident Trump in einem seiner ersten Dekrete (Executive Orders) bestimmt, dass sämtliche nationalen Sicherheitsentscheidungen des vorherigen US-Präsidenten Joe Biden binnen 45 Tagen überprüft und ggf. aufgehoben werden sollen. Hierunter fallen grundsätzlich auch die Dekrete, auf die sich das EU-U.S.-Data Privacy Framework stützt. Mit der Aufhebung der relevanten Dekrete würde zugleich daher auch das EU-U.S.-Data Privacy Framework in sich zusammenfallen.

In der Folge hat das EU-Parlament die EU-Kommission aufgefordert, das EU-U.S.-Data Privacy Framework bzw. ihre auf diesem fußenden sog. Angemessenheitsbeschlüsse der EU-Kommission zu prüfen. Kommt die EU-Kommission dabei zu dem Ergebnis, dass das Datenschutzniveau in den USA nun nicht mehr angemessen ist, könnte dies das EU-U.S.-Data Privacy Framework zu Fall bringen.

Wie wahrscheinlich ist dieses Szenario?

Gegenwärtig erscheint das Risiko vergleichsweise groß, dass die US-Administration unter Präsident Trump dem EU-U.S.-Data Privacy Framework tatsächlich die relevanten Grundlagen entziehen wird, so dass das EU-U.S.-Data Privacy Framework zumindest stark ins Wanken geraten dürfte.

Aktuell kann aber auch nicht ausgeschlossen werden, dass die US-Regierung zum Schutz der hiervon betroffenen US-Unternehmen, die dann womöglich viele EU-Kunden verlieren und dadurch erhebliche Umsatzeinbußen erleiden könnten, zusätzliche Maßnahmen treffen wird. Hierzu könnten auch solche Maßnahmen zählen, die der EU-Kommission zumindest Argumente liefern, das EU-U.S.-Data Privacy Framework aufrecht zu erhalten. Weiter schützt das EU-U.S.-Data Privacy Framework US-Datentransfers so lange, wie es formell in Kraft ist, also nicht durch die EU-Kommission oder etwa durch den Gerichtshof der Europäischen Union (EuGH) aufgehoben worden ist.

Mit Klagen gegen das EU-U.S.-Data Privacy Framework ist in jedem Fall aber zu rechnen. Alleine der Datenschutzaktivist Max Schrems und seine Organisation NOYB gehen gegen das EU-U.S. Data Privacy Framework vor.

Was können Unternehmen bereits heute vorbeugend tun?

Wer vermeiden möchte, bei einem kurzfristigen Ende des EU-U.S.-Data Privacy Framework keine Daten mehr an US-Unternehmen übermitteln zu dürfen, sollte bestenfalls bereits heute Vorkehrungen treffen.

Unternehmen könnten proaktiv schon heute viele ihrer datenrelevanten Dienste auf EU-Dienstleister umstellen, also ihre Daten statt durch US-Unternehmen durch Unternehmen mit Sitz in der EU verarbeiten lassen.

Natürlich ist dies nicht immer eine Option, insbesondere dann nicht, wenn es keine EU-Dienstleister mit ähnlicher Qualität und vergleichbaren Kosten gibt, oder die Verträge mit den US-Dienstleistern ggf. noch lange laufen, also doppelte Kosten entstehen würden.

Zumindest für systemrelevante Dienste sollten sich Unternehmen nach möglichen Alternativen umschauen, die im Fall der Fälle kurzfristig aktiviert werden könnten.

Welche Optionen haben Unternehmen im Ernstfall?

Wenn es tatsächlich kurz-, mittel- oder langfristig zum Verbot von US-Datentransfers kommt, haben Unternehmen hinsichtlich ihrer US-Datentransfers im Wesentlichen zwei Möglichkeiten:

  • Stopp von US-Datentransfers: Um sich keinem datenschutzrechtlichen Risiko - z.B. von kostspieligen Geldbußen - auszusetzen, wäre eine Option, sämtliche US-Datentransfers zumindest vorläufig bis auf Weiteres zu stoppen. Allerdings dürfte dies die Fortsetzung des operativen Geschäfts und damit teils sogar die Existenz des gesamten Unternehmens gefährden - in der Regel daher natürlich keine Option, die für ein Unternehmen attraktiv wäre und sich in einem Unternehmen durchsetzen ließe, vor allem wenn die Mitbewerber nicht gleichermaßen mitziehen.
  • Abwarten und Beobachten: Viele vor allem kleinere Unternehmen könnten - wie auch schon in der Vergangenheit - zunächst abwarten, bis sich der Rauch des Verbots von US-Datentransfers gelegt hat, und beobachten, wie andere Akteure damit umgehen, insbesondere ihre Mitbewerber und die Datenschutzbehörden. Meist ist nicht unmittelbar mit erheblichen Maßnahmen durch Datenschutzbehörden zu rechnen, da die Behörden hierfür bereits personell nicht hinreichend aufgestellt sind sowie auch kein Interesse daran haben, EU-Unternehmen direkt zu schädigen. Zudem müssten sich auch die EU-Datenschutzbehörden zunächst einmal sammeln, orientieren und untereinander über das weitere gemeinsame Vorgehen abstimmen.

Welche Folgen drohen bei unzulässigen Datentransfers in die USA?

Unternehmen, die personenbezogene Daten nicht im Einklang mit den Vorgaben der DSGVO verarbeiten, sondern diese dann z.B. unzulässigerweise an US-Unternehmen übermitteln, drohen nicht nur

  • Abmahnungen durch Mitbewerber, die vergleichsweise unwahrscheinlich sind, sondern vor allem
  • Maßnahmen durch Datenschutzbehörden, wie z.B. behördlichen Untersuchungen und die Verhängung von Geldbußen.

Die Datenschutzbehörden können bei Datenschutzverstößen nach Art. 83 DSGVO Geldbußen von bis zu EUR 20 Mio oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist.

Wie unterstützt die IT-Recht Kanzlei betroffene Unternehmen?

Online-Händler und sonstige digitale Unternehmer, die für ihr Business Dienstleister aus den USA einsetzen und an diese personenbezogene Daten übermitteln, müssen die datenschutzrechtlichen Entwicklungen kontinuierlich und engmaschig verfolgen. Sobald es zu Änderungen hins. der Rechtslage für US-Datentransfers kommt, müssen sie kurzfristig u.a. ihre Datenschutzerklärungen und weiteren Rechtstexte anpassen, wenn sie sich nicht angreifbar machen möchten.

Wir als IT-Recht Kanzlei bieten Ihnen hierzu:

  • Informationen und Hinweise zu allen aktuellen Änderungen im Datenschutzrecht und den anderen relevanten Rechtsbereichen, soweit diese für Ihr Business von Bedeutung sind, und
  • im Rahmen unseres Update-Services stets aktuelle Rechtstexte, einschließlich DSGVO-Datenschutzerklärungen.

Wir unterstützen unsere Mandanten bereits im Rahmen unseres Datenschutz-Pakets für EUR 5,90 zzgl. USt. pro Monat.

Sprechen Sie uns natürlich gerne an, wenn Sie hierzu noch Fragen haben.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

c
cf 26.02.2025, 08:18 Uhr
Auf 4% kommt es nicht mehr an
Da so oder so alle Plattformen horende Gebühren von den Händlern verlangen, die weit höher sind, kommt es auf die 4% vom Umsatz auch nicht mehr an. Einfach einpreisen und gut :-) *Ironie aus*

Beiträge zum Thema

Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
(05.03.2025, 07:24 Uhr)
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
(27.01.2025, 19:00 Uhr)
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
(20.01.2025, 10:43 Uhr)
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
(31.05.2024, 11:55 Uhr)
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei