Supreme Court setzt EU-US-Datenabkommen unter Druck
Das EU-US Data Privacy Framework hat ein neues Problem: Der US Supreme Court schwächt die Unabhängigkeit der FTC, auf die sich die EU beim Datentransfer stützt. Noch gilt das Abkommen, doch für Unternehmen steigt der Druck, US-Dienste, Standardvertragsklauseln und Risikoanalysen neu zu bewerten.
Der transatlantische Datentransfer bekommt ein neues Stabilitätsproblem. Der US Supreme Court hat im Verfahren Trump v. Slaughter entschieden, dass der US-Präsident Mitglieder der Federal Trade Commission (FTC) nicht mehr nur aus bestimmten Gründen abberufen darf. Damit verliert die Behörde einen Teil jener institutionellen Unabhängigkeit, auf die sich die EU beim Datentransfer in die USA stützt.
Die FTC ist für das EU-US Data Privacy Framework eine zentrale Durchsetzungsinstanz. US-Unternehmen, die sich für das Framework zertifizieren, verpflichten sich auf Datenschutzgrundsätze. Verstöße können von der FTC verfolgt werden. Genau diese Aufsicht ist ein Baustein des Angemessenheitsbeschlusses, mit dem die EU-Kommission Datenübermittlungen an zertifizierte US-Unternehmen seit Juli 2023 erleichtert.
Formal bleibt das Framework in Kraft
Für Unternehmen bedeutet das Urteil keinen sofortigen Stopp von US-Datentransfers. Der Angemessenheitsbeschluss bleibt gültig, bis die EU-Kommission ihn zurücknimmt oder der Europäische Gerichtshof ihn kippt. Datenübermittlungen an zertifizierte US-Anbieter sind auf dieser Grundlage deshalb zunächst weiter möglich.
Die juristische Risikobewertung wird dadurch aber nicht einfacher. Das EU-Datenschutzrecht verlangt unabhängige Kontrolle und wirksame Rechtsbehelfe. Wenn eine zentrale US-Aufsicht stärker dem Präsidenten unterstellt ist, kann dies die Annahme eines mit der EU vergleichbaren Schutzniveaus schwächen.
Nächste Klage schon in Sicht
Rechtsanwalt Dr. Thomas Schwenke weist in einem LinkedIn-Beitrag darauf hin, dass nicht nur direkte Transfers auf Basis des Data Privacy Framework betroffen sein können. Auch Standardvertragsklauseln und Binding Corporate Rules setzen eine Bewertung der tatsächlichen Schutzmechanismen im Drittland voraus. Werden US-Kontrollinstanzen politisch abhängiger, kann dies neue Transfer-Folgenabschätzungen erforderlich machen.
Auch die Datenschutzorganisation noyb um Max Schrems sieht eine neue Angriffslinie gegen das Abkommen. Sie fordert die EU-Kommission auf, den Angemessenheitsbeschluss geordnet zurückzunehmen, und kündigt rechtliche Schritte an. Damit droht dem dritten transatlantischen Datenschutzmodell nach Safe Harbor und Privacy Shield erneut der Gang vor den EuGH.
Was Unternehmen jetzt prüfen sollten
Hektische Migrationen wären zum jetzigen Zeitpunkt verfrüht. Sinnvoll ist aber eine Bestandsaufnahme: Welche US-Dienste verarbeiten personenbezogene Daten? Welche Anbieter sind nach dem Framework zertifiziert? Wo stützt sich das Unternehmen auf Standardvertragsklauseln oder Binding Corporate Rules? Und sind die Transfer-Folgenabschätzungen noch aktuell?
Für IT-Verantwortliche ist das weniger eine reine Rechtsfrage als ein Betriebsrisiko. Wer zentrale Cloud-, SaaS- oder Analyseplattformen nutzt, sollte Exit-Szenarien, europäische Alternativen und Datenflüsse kennen. Das Data Privacy Framework ist formal nicht gefallen. Noch nicht. Seine Belastbarkeit ist nach dem Supreme-Court-Urteil aber deutlich schwerer zu verteidigen.
Letztendlich ist das Aus so gut wie sicher. Da es aber eigentlich keine Alternative gibt, dürfte die EU-Kommission es auf den Gang zum EuGH ankommen lassen, um Zeit zu gewinnen. Rechnet man den nationalen Weg bis zu einer möglichen Vorlage und das Verfahren vor dem EuGH mit ein, können daraus schnell zwei bis vier Jahre werden.