Im Juli 2023 hat die Europäische Kommission das EU–US Data Privacy Framework (DPF) als neuen transatlantischen Datenschutzrahmen beschlossen.
Dieses Abkommen – häufig auch als „Privacy Shield 2.0“ bezeichnet – folgte auf das vom EuGH 2020 für ungültig erklärte Privacy Shield. Ziel des DPF ist es, wieder eine rechtssichere Grundlage für den Transfer personenbezogener Daten aus der EU in die USA zu schaffen.
Konkret stellt der Angemessenheitsbeschluss der EU-Kommission fest, dass die USA für zertifizierte Unternehmen ein angemessenes Datenschutzniveau gewährleisten. US-Unternehmen können sich freiwillig DPF-zertifizieren, indem sie sich gegenüber dem US-Handelsministerium verpflichten, die vom DPF vorgegebenen Datenschutzprinzipien einzuhalten.
Diese Prinzipien orientieren sich an europäischen Standards (z.B. Zweckbindung, Datenminimierung, Begrenzung der Weitergabe, Wahrung von Betroffenenrechten). Ist ein US-Dienstleister DPF-zertifiziert, dürfen EU-Unternehmen personenbezogene Daten ohne zusätzliche Schutzmaßnahmen an ihn übertragen. Voraussetzung ist lediglich, dass der EU-Datenexporteur vorab prüft, ob der US-Partner auf der offiziellen Zertifizierungsliste des US-Handelsministeriums steht. Für viele Unternehmen bedeutete das DPF zunächst Erleichterung und Rechtssicherheit, da Datenflüsse in die USA wieder unkomplizierter möglich wurden.
RA Marcel Wetzel:
„Das Data Privacy Framework schlägt zunächst eine wichtige Brücke für transatlantische Datentransfers. Über 2.800 Unternehmen – von Tech-Giganten bis Mittelständlern – haben sich bereits zertifiziert, um reibungslos Daten aus der EU empfangen zu können. Beide Seiten des Atlantiks haben ein enormes Interesse an einem stabilen Datenschutz-Pakt, der jährliche Datentransfers im Wert von rund 2 Billionen USD absichert.“
Eine wesentliche Grundlage für das DPF waren Zusagen der USA, die Schwachstellen des alten Privacy Shield auszuräumen.
Unter Präsident Biden erließ die US-Regierung im Oktober 2022 die Executive Order 14086, welche den Zugriff US-amerikanischer Nachrichtendienste auf EU-Daten strenger reguliert. Erstmals gilt nun ausdrücklich, dass Überwachungsmaßnahmen „notwendig“ und „verhältnismäßig“ sein müssen – eine Anforderung, die der EuGH zuvor vermisst hatte.
Zudem wurde ein neuer zweistufiger Rechtsschutzmechanismus für EU-Bürger geschaffen: Zunächst prüft ein unabhängiger Civil Liberties Protection Officer (CLPO) Beschwerden über unrechtmäßige Überwachung. Anschließend können Betroffene den neu geschaffenen Data Protection Review Court (DPRC) anrufen, der verbindliche Abhilfemaßnahmen gegenüber US-Geheimdiensten anordnen kann.
Diese Neuerungen – zusammen mit der fortgesetzten Kontrolle der Nachrichtendienste durch das Privacy and Civil Liberties Oversight Board (PCLOB) – überzeugten die EU-Kommission, dass die USA nun ein der EU weitgehend gleichwertiges Datenschutzniveau bieten. Infolgedessen wurde der Angemessenheitsbeschluss zum DPF erlassen und das Abkommen im Sommer 2023 in Kraft gesetzt.
Risiken beim USA-Datentransfer: Schrems I & II und die Gefahr eines Schrems III
Trotz des neuen Abkommens bleiben erhebliche Risiken beim Transfer personenbezogener Daten in die USA bestehen.
Hintergrund sind die Erfahrungen aus den Vorgängerabkommen: In den vergangenen Jahren wurden gleich zwei transatlantische Datenschutzrahmen durch Urteile des EuGH aufgehoben.
- Schrems I (2015): Im Oktober 2015 kippte der Europäische Gerichtshof das sogenannte Safe Harbor-Abkommen (Entscheidung C‑362/14). Safe Harbor war seit 2000 die Grundlage für EU-US-Datentransfers, erwies sich aber als unzureichend, nachdem Edward Snowden aufgedeckt hatte, in welchem Ausmaß US-Geheimdienste auf Daten von EU-Bürgern zugreifen (Stichwort PRISM und FISA 702 Programme). Der EuGH bemängelte, dass US-Behörden nahezu unbegrenzt auf Daten zugreifen konnten und EU-Bürger keinen wirksamen Rechtsschutz in den USA hatten.
- Schrems II (2020): Im Juli 2020 erklärte der EuGH dann auch den Privacy Shield (Nachfolger von Safe Harbor) für ungültig (Rechtssache C‑311/18). Wiederum war der zentrale Grund die umfangreiche Überwachung durch US-Nachrichtendienste ohne ausreichende Beschränkungen und ohne Rechtsschutz für EU-Bürger. Insbesondere FISA Section 702 und die Executive Order 12.333 ermöglichten US-Behörden den Zugriff auf Daten von Nicht-US-Bürgern in großem Umfang. Aus EU-Sicht wurde dieses „nicht notwendige“ und unverhältnismäßige Schnüffeln als Verstoß gegen die EU-Grundrechtecharta gewertet. Privacy Shield bot hiergegen keinen effektiven Schutz, so der EuGH.
Vor diesem Hintergrund lastet auf dem neuen EU–US Data Privacy Framework das Damoklesschwert eines möglichen „Schrems III“.
Bereits kurz nach Inkrafttreten des DPF kündigte der österreichische Datenschutzaktivist Max Schrems an, auch diesen Angemessenheitsbeschluss juristisch anzufechten.
Seine NGO NOYB hat im Herbst 2023 formelle Beschwerden eingereicht, sodass das Thema wohl erneut vor dem EuGH landen wird. Schrems kritisiert, das DPF sei „größtenteils eine Kopie“ des gescheiterten Privacy Shield und grundlegende Probleme blieben ungelöst. Tatsächlich wurden US-Gesetze wie FISA §702 bislang nicht durch den Kongress reformiert, sondern nur per Präsidentenerlass eingeschränkt.
Schrems warnte: „Ohne Änderungen im US-Überwachungsrecht wird das nicht funktionieren.“. Sollte der EuGH dieser Argumentation folgen, könnte er den Angemessenheitsbeschluss erneut kippen.
Eine Entscheidung in einem Schrems III-Verfahren wird Mitte der 2020er Jahre erwartet.
Ein weiterer Risikofaktor ist die politische Entwicklung in den USA. Die Aussicht auf eine neue US-Regierung – beispielsweise unter Donald Trump ab 2025 – sorgt für Unsicherheit.
Transatlantischer Datenschutz unter Trump 2.0: Mögliche Auswirkungen auf EU-US-Datentransfers
Trump hat angekündigt, viele Erlasse seines Vorgängers zu überprüfen und ggf. aufzuheben. Dazu könnte ausgerechnet die Executive Order 14086 gehören, also jene Verordnung, die die datenschutzfreundlichen Beschränkungen für Geheimdienste enthält.
Tatsächlich ordnete Präsident Trump gleich zu Beginn seiner Amtszeit 2025 an, binnen 45 Tagen sämtliche Sicherheitsanordnungen der Biden-Ära zu überprüfen – explizit auch die Grundlagen des DPF.
Experten warnen: Sollten zentrale Garantien wie EO 14086 gestrichen oder aufgeweicht werden, fiele das Fundament des DPF weg. Die EU-Kommission stünde dann unter Druck, den Angemessenheitsbeschluss auszusetzen, da die USA nicht mehr das zugesicherte Schutzniveau bieten. Transatlantische Datenübermittlungen würden erneut ins Chaos stürzen.
RA Marcel Wetzel warnt:
„Jede substanzielle Änderung der zugesagten Schutzmaßnahmen in den USA – sei es durch Gerichte oder durch einen politischen Kurswechsel – kann das Data Privacy Framework zu Fall bringen. Unternehmen dürfen nicht darauf bauen, dass Privacy Shield 2.0 ewig hält. Ein Schrems III ist durchaus möglich, wenn fundamentale Rechte der EU-Bürger weiterhin verletzt werden.“
Hinzu kommt, dass auch andere US-Gesetze europäische Daten betreffen.
Ein Beispiel ist der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018. Dieses US-Gesetz verpflichtet amerikanische Anbieter, Strafverfolgern auf Anfrage Zugriff auf Daten zu geben – selbst wenn die Daten auf Servern in Europa liegen.
Für EU-Firmen bedeutet das:
Eine Speicherung von Daten in der EU bietet keine absolute Sicherheit, wenn der Dienstleister dem US-Recht untersteht.
US-Behörden können z.B. mit Durchsuchungsbefehl Inhalte aus EU-Rechenzentren anfordern.
Das Data Privacy Framework adressiert den CLOUD Act nicht spezifisch, da es primär den kommerziellen Datenschutz und Geheimdienstzugriffe regelt.
Europäische Datenschützer sehen hierin ein verbleibendes Risiko: US-Behörden könnten über Gesetze wie den CLOUD Act oder den Patriot Act an EU-Daten gelangen, ohne an die DPF-Garantien gebunden zu sein. In zukünftigen Verhandlungen müsste auch diese Problematik gelöst werden – etwa durch ein bilaterales Abkommen zur Rechtshilfe, vergleichbar dem CLOUD-Act-Abkommen zwischen USA und Großbritannien. Bis dahin bleibt jedoch ein Restrisiko bestehen, das Unternehmen bei ihren US-Datentransfers im Blick haben müssen.
Bietet das neue Abkommen echte Rechtssicherheit?
Die entscheidende Frage für Unternehmen ist nun: Wie verlässlich ist das Data Privacy Framework?
Aktuell verschafft das DPF den beteiligten Unternehmen formell Rechtssicherheit, da ein gültiger Angemessenheitsbeschluss vorliegt.
Datenübermittlungen auf DPF-Basis verstoßen derzeit nicht gegen die DSGVO, und Aufsichtsbehörden dürfen sie nicht untersagen. Im Tagesgeschäft bedeutet das weniger Bürokratie – z.B. müssen keine Standardvertragsklauseln abgeschlossen oder Transfer-Folgenabschätzungen den Aufsichtsbehörden vorgelegt werden, solange der Empfänger DPF-zertifiziert ist. Viele Firmen werten dies als willkommenes „Aufatmen“ nach den unsicheren Jahren seit Schrems II.
Allerdings handelt es sich um eine Rechtssicherheit unter Vorbehalt.
Zum einen ist das DPF abhängig von der politischen Großwetterlage. Änderungen in Washington D.C. – etwa durch einen Regierungswechsel – können die zugesagten Datenschutz-Garantien schnell aushebeln, wie oben beschrieben. Zum anderen steht die gerichtliche Überprüfung durch den EuGH noch aus. Erfahrungsgemäß vergehen 1–2 Jahre, bis der EuGH über eine anhängige Klage entscheidet. In dieser Zeit schwebt das Damoklesschwert eines möglichen Urteilsspruchs, der das Abkommen für unwirksam erklärt.
Unternehmen sollten daher nicht blind auf das DPF vertrauen, so verlockend es auch ist.
Rechtsanwalt Marcel Wetzel mahnt:
„Man darf sich nicht in falscher Sicherheit wiegen. Das Data Privacy Framework ist ein fragiles Konstrukt – es kann halten, muss aber nicht. Verantwortliche Unternehmen tun gut daran, Plan B in der Hinterhand zu haben und sich jetzt schon auf mögliche Änderungen vorzubereiten.“
Mit anderen Worten: Das DPF bietet kurzfristig Erleichterung, doch langfristig sollte man auf alles gefasst sein. Die Vergangenheit hat gezeigt, dass selbst hochrangig politisch vereinbarte Abkommen vor Gericht scheitern können, wenn sie den strengen Anforderungen des EU-Datenschutzes nicht genügen.
Fazit dieser Lagebewertung: Das EU–US Data Privacy Framework schafft derzeit einen Puffer gegen die unmittelbaren Auswirkungen von Schrems II.
Es ist ein wichtiger diplomatischer Erfolg und signalisiert den Willen beider Seiten, Datenschutz und transatlantischen Handel in Einklang zu bringen. Ob es jedoch tatsächlich die erhoffte Dauerlösung ist, bleibt abzuwarten.
Aus Sicht vieler Experten wird das DPF eher als Zwischenlösung gesehen – eine Brücke, die Zeit gewinnen soll, bis entweder die US-Gesetze substanziell reformiert werden oder ein noch belastbareres Abkommen („Privacy Shield 3.0“?) ausgehandelt werden kann.
Unterdessen sind die Unternehmen selbst gefordert, das Ihre zur Absicherung beizutragen. Im nächsten Abschnitt betrachten wir, welche datenschutzrechtlichen Maßnahmen trotz (oder gerade wegen) des DPF weiterhin notwendig sind.
Notwendige Datenschutz-Maßnahmen: SCCs, TIAs und technische Vorkehrungen
Auch mit einem Data Privacy Framework in Kraft bleibt die Eigenverantwortung der Unternehmen beim Datenschutz enorm wichtig. Max Schrems’ erfolgreiches Vorgehen hat gezeigt, dass man sich nicht allein auf politische Abkommen verlassen kann – Firmen müssen selbst sicherstellen, dass ihre Datenübermittlungen rechtskonform und abgesichert sind. Hierbei kommen vor allem folgende Instrumente ins Spiel:
Standardvertragsklauseln (Standard Contractual Clauses, SCCs):
Die EU-Standardvertragsklauseln sind vertragliche Garantien, die zwischen dem EU-Datenexporteur und dem Datenempfänger in den USA abgeschlossen werden. Sie binden den Empfänger vertraglich an EU-Datenschutzstandards. Seit 2021 gibt es modernisierte SCC-Module, die an die DSGVO angepasst sind. Unternehmen sollten auch mit DPF unbedingt SCCs als Backup vereinbaren. Falls das DPF wegbricht, hat man so sofort eine alternative Transfergrundlage parat und gerät nicht in rechtliche Grauzonen. Viele große US-Cloudanbieter bieten ohnehin standardmäßig den Abschluss der neuen SCCs an – dies sollte genutzt werden. Wichtig ist, die aktuellen Klauseltexte vollständig auszufüllen (inklusive Anhängen zu technischen und organisatorischen Maßnahmen). Für konzerninterne Datenübermittlungen können zudem verbindliche Unternehmensregeln (Binding Corporate Rules – BCRs) in Betracht gezogen werden, sofern vorhanden. BCRs bieten eine von den Aufsichtsbehörden genehmigte, robuste Lösung für konzernweite Transfers, erfordern allerdings einen hohen Implementierungsaufwand und gelten nicht für externe Partner.
Transfer Impact Assessments (TIAs):
Seit Schrems II fordern Aufsichtsbehörden, dass Unternehmen Risikoanalysen für Datentransfers in Drittländer durchführen. Ein Transfer Impact Assessment prüft systematisch, welche Risiken im Empfängerland für die übermittelten Daten bestehen. Unternehmen sollten sich Fragen stellen wie: Welche Art von Daten übertragen wir? Handelt es sich um sensible Daten (Gesundheit, Finanzdaten, Personenprofile) oder eher um Routine-Daten? – Welche Behördenzugriffe drohen im Zielland? – Welche Gesetze (z.B. FISA, CLOUD Act, Patriot Act) könnten angewendet werden?. Diese Analyse muss dokumentiert werden. Ergebnis eines TIA sollte immer sein, dass man passende zusätzliche Schutzmaßnahmen identifiziert. Denn wenn das Risiko als hoch eingeschätzt wird, genügen SCCs allein nicht.
Technische und organisatorische Maßnahmen (TOMs):
„Verschlüsselung ist hier das A und O“, betont RA Marcel Wetzel. Konkret sollten personenbezogene Daten Ende-zu-Ende verschlüsselt übertragen und möglichst auch verschlüsselt gespeichert werden, selbst beim US-Dienstleister. Entscheidend: Die Schlüsselhoheit sollte nach Möglichkeit beim EU-Unternehmen liegen (Stichwort Bring Your Own Key). So kann selbst im Fall eines behördlichen Zugriffs in den USA kein Klartext herausgegeben werden. Zusätzlich hilft Pseudonymisierung: Wann immer möglich, sollten Daten vor der Übermittlung so verändert werden, dass die Person nicht direkt identifizierbar ist. Die Zuordnung (Mapping) kann in Europa verbleiben. Dadurch sinkt der Wert der Daten für unbefugte Dritte. Moderne Privacy Enhancing Technologies (PETs) wie Homomorphe Verschlüsselung oder Secure Multi-Party Computation gehen noch einen Schritt weiter – sie ermöglichen es, mit Daten zu arbeiten, ohne dass diese im Klartext vorliegen. Unternehmen sollten prüfen, ob solche Technologien für ihre Anwendungsfälle praktikabel sind.
Datenminimierung und -lokalisierung:
Jedes Unternehmen sollte einen genauen Blick auf seine Datenflüsse werfen. Erstellen Sie ein Verzeichnis: Welche personenbezogenen Daten gehen an welche Empfänger in den USA? Zu welchem Zweck? Auf welcher Rechtsgrundlage?. Oft fließen Daten unbewusst in die USA – etwa durch eingebettete Drittservices auf Websites (Analytics-Tools, Fonts, Content-Delivery-Netzwerke) oder via konzerninterne IT-Prozesse. Auf Basis dieser Bestandsaufnahme gilt der Grundsatz: So wenig Datentransfer in die USA wie möglich. Stellen Sie sich kritisch die Frage, welche Übermittlungen wirklich notwendig sind. Nicht erforderliche Transfers kann man häufig eliminieren oder durch EU-basierte Alternativen ersetzen. Viele US-Anbieter bieten heute an, Daten von EU-Kunden ausschließlich in EU-Rechenzentren zu speichern (“EU Region” oder Datenlokalisierungs-Angebote). Zwar schützt eine reine EU-Speicherung – wie erwähnt – nicht vor US-Zugriffen, wenn der Anbieter dem US-Recht unterliegt. Aber juristisch reduziert es den Anwendungsbereich von Art. 44 DSGVO, da weniger personenbezogene Daten tatsächlich exportiert werden. Kurz gesagt: Datenexporte schlank halten und wo immer machbar im Europäischen Wirtschaftsraum belassen.
Durch diese Kombination aus vertraglichen, technischen und organisatorischen Maßnahmen lässt sich das Risiko beim transatlantischen Datentransfer deutlich reduzieren. Kein Instrument für sich allein genommen ist ein Allheilmittel – es kommt auf den mehrschichtigen Schutz an. Unternehmen müssen ein für ihre Situation passendes Set an Maßnahmen schnüren, um auch im Worst Case (Wegfall des DPF) compliant zu bleiben.
Handlungsempfehlungen für Unternehmen bei Nutzung von US-Diensten
Angesichts der ungewissen Zukunft des Privacy Shield 2.0 sollten Selbständige, Startups wie auch etablierte Unternehmen jetzt proaktiv handeln. Hier einige praxisorientierte Empfehlungen, um für alle Eventualitäten gerüstet zu sein:
Parallelstrategie mit Plan B:
Verlassen Sie sich nicht ausschließlich auf das DPF, sondern implementieren Sie parallel alternative Rechtsinstrumente für Datenexporte.
Wie bereits erwähnt, sollten aktuelle Standardvertragsklauseln (SCCs) mit Ihren US-Dienstleistern abgeschlossen werden. Viele Cloud- und Software-Anbieter bieten dies ohnehin an – nutzen Sie diese Möglichkeit, um vertraglich abgesichert zu sein. Im Falle einer Suspendierung des DPF können Sie so nahtlos auf SCCs umschalten, ohne in der Schwebe zu hängen. Prüfen Sie auch bestehende Verträge: Enthalten sie eine Klausel, die bei Wegfall des DPF automatisch auf SCCs wechselt? Falls nicht, vereinbaren Sie vorsorglich Vertragszusätze mit Ihren Partnern, die dies regeln. So ein “Fallback” schafft Klarheit und verhindert Hektik, sollte das DPF über Nacht wegfallen.
Interne Richtlinien und Transparenz:
Passen Sie Ihre internen Policen und Datenschutzhinweise an die aktuelle Lage an. Mitarbeiter und Kunden sollten informiert sein, in welche Länder ihre Daten fließen (insbesondere USA) und auf welcher Grundlage dies erfolgt. Kommunikation schafft Vertrauen – verdeutlichen Sie, dass Sie die Entwicklungen im Blick haben.
In Situationen erhöhter Unsicherheit kann es sinnvoll sein, Einwilligungen der Betroffenen für bestimmte Übermittlungen einzuholen (Art. 49 Abs. 1 lit. a DSGVO). Diese Option ist jedoch nur eine Notlösung („ultima ratio“), da Einwilligungen jederzeit widerrufen werden können und informierte Zustimmung erfordern.
Dennoch: Seien Sie offen über Ihre Datentransfers, um keine Überraschungen zu erleben, wenn Betroffene nachfragen.
Beobachtung der Rechtslage:
Implementieren Sie in Ihrem Unternehmen einen Frühwarnmechanismus für regulatorische Änderungen.
Abonnieren Sie Newsletter von Datenschutzaufsichtsbehörden, verfolgen Sie die Veröffentlichungen des Europäischen Datenschutzausschusses (EDSA) und die News einschlägiger Kanzleien. So erfahren Sie zeitnah von einem möglichen Schrems III-Verfahren oder politischen Entscheidungen in den USA. Intern kann es hilfreich sein, ein kleines Task-Force-Team aufzustellen (Jurist, IT-Sicherheit, Datenschutzbeauftragter), das im Ernstfall schnelle Entscheidungen treffen kann. Spielen Sie Szenarien im Voraus durch: „Was tun wir, wenn morgen das DPF ungültig wird?“ – Wer informiert die Kunden? Welche Datenflüsse müssen wir sofort stoppen? Haben wir Übergangslösungen? Solche Planspiele (Table-Top-Exercises) erhöhen die Reaktionsfähigkeit enorm und nehmen im Krisenfall Panik raus.
Technologische Unabhängigkeit fördern:
Überdenken Sie Ihre Cloud- und Software-Strategie. Eine zu große Abhängigkeit von einzelnen US-Anbietern kann zum Klumpenrisiko werden. Prüfen Sie europäische Alternativen (Stichwort GAIA-X, Europa-Cloud). Vielleicht lässt sich eine Multi-Cloud-Strategie fahren: z.B. kritische Daten und Workloads bei einem EU-Anbieter hosten, weniger kritische bei einem US-Anbieter. So stehen Sie besser da, falls tatsächlich transatlantische Einschränkungen kommen. Es geht nicht darum, US-Dienste komplett zu meiden, wohl aber darum, Risikostreuung zu betreiben.
Mitarbeiter sensibilisieren:
Stellen Sie sicher, dass nicht nur die Chefetage, sondern alle relevanten Mitarbeiter (IT, Marketing, Vertrieb) die Bedeutung des Themas verstehen. Oft sind es unbedachte Handlungen – etwa das Einbinden eines neuen Analyse-Tools – die zu verdeckten Datentransfers führen. Schaffen Sie Bewusstsein dafür, welche Tools zulässig sind und wie neue Dienste vorab geprüft werden müssen.
Fachliche Unterstützung einholen:
Zögern Sie nicht, Datenschutz-Experten hinzuzuziehen. Die Materie internationaler Datentransfers ist komplex und im Fluss. Eine kompetente Rechtsberatung kann Ihr Risikomanagement erheblich schärfen. Gegebenenfalls lohnt sich ein Audit oder eine Zertifizierung (z.B. nach ISO 27701 für Datenschutz-Informationsmanagement) – so entdecken Sie Schwachstellen und stärken zugleich Ihre Nachweisführung (Accountability). Nutzen Sie den Austausch in Branchenverbänden oder Arbeitskreisen: Viele Unternehmen stehen vor ähnlichen Herausforderungen. Best Practices – sei es eine besonders effektive Verschlüsselungslösung oder erprobte Vertragsklauseln – können im gemeinsamen Dialog gefunden werden.
Zusammengefasst lautet die Devise: „Hope for the best, prepare for the worst.“
Genießen Sie die Vorteile des Privacy Shield 2.0, aber halten Sie einen Regen-Schirm bereit, falls es erneut stürmt.
So sind Sie Ihren Wettbewerbern einen Schritt voraus und können auch bei regulatorischen Einschlägen gelassen bleiben.
Rechtliche Risiken und Absicherung für Geschäftsführer und Entscheider
Datenschutz ist Chefsache – diese oft bemühte Floskel trifft tatsächlich den Kern, insbesondere im Kontext transatlantischer Datentransfers.
Geschäftsführer, Vorstände und Entscheidungsträger tragen eine persönliche Verantwortung, die über bloße Reputationsfragen hinausgeht.
In Deutschland etwa können Geschäftsführer einer GmbH bei Pflichtverletzungen persönlich mit ihrem Privatvermögen haften (§ 43 GmbHG), ebenso Vorstände einer AG (§ 93 Abs. 2 AktG).
Mehr dazu hier:
Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können
Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern
Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen
Das heißt: Wenn gravierende Datenschutzverstöße passieren und dem Unternehmen dadurch Schaden entsteht (z.B. in Form hoher DSGVO-Bußgelder oder Schadensersatzforderungen), kann man unter Umständen die verantwortlichen Führungspersonen in Regress nehmen. Vielen ist nicht bewusst, dass Compliance-Verstöße im Datenschutz als Verletzung der gesetzlichen Sorgfaltspflichten gewertet werden können.
Die Konsequenzen bei Datenschutzverstößen sind erheblich:
Es drohen Bußgelder in Millionenhöhe, Schadensersatzansprüche von Betroffenen – auch für immaterielle Schäden wie Schmerzempfinden durch Datenschutzverletzung – und natürlich Imageschäden.
Kundenvertrauen kann von einem Tag auf den anderen verspielt werden, wenn bekannt wird, dass man fahrlässig mit Daten umging. Für Geschäftsführer bedeutet das ein hohes Risiko, denn am Ende landen Beschwerden und Skandale auf ihrem Tisch.
Umso wichtiger ist es, dass Führungskräfte aktive Vorkehrungen treffen, um Haftungsfälle zu vermeiden.
Rechtsanwalt Marcel Wetzel rät:
„Geschäftsführer sollten den Datenschutz im Unternehmen zur Chefsache machen. Sorgen Sie dafür, dass klare Richtlinien existieren, schulen Sie Ihr Personal regelmäßig und überprüfen Sie die Datenverarbeitungen im Haus kontinuierlich. Wenn notwendig, ziehen Sie externe Experten hinzu. Es geht nicht nur um die Vermeidung von Bußgeldern, sondern auch darum, Ihr persönliches Haftungsrisiko zu minimieren.“
Ein paar Best Practices zur Absicherung:
Implementieren Sie eine interne Datenschutzrichtlinie, die verbindlich für alle Mitarbeiter gilt. Schulen Sie Mitarbeiter – vor allem in sensiblen Abteilungen wie Marketing, IT und Personal – in regelmäßigen Abständen zu DSGVO-Anforderungen. Führen Sie ein Datenschutz-Management-System ein, das Zuständigkeiten und Abläufe festlegt (z.B. Meldewege bei Datenpannen). Überwachen Sie die Einhaltung der Vorschriften, etwa durch Audits oder den Bericht des (internen/externen) Datenschutzbeauftragten. Halten Sie sich selbst auf dem Laufenden, welche rechtlichen Entwicklungen es gibt – gerade im Bereich internationaler Datentransfer kann Unwissen fatal sein.
Falls es doch zu einem Vorfall kommt, reagieren Sie schnell und transparent!
Melden Sie Datenschutzpannen fristgerecht an die Behörde und informieren Sie Betroffene, wenn nötig.
Ein proaktives Krisenmanagement kann rechtliche Folgen mildern.
Und natürlich: Dokumentation ist Trumpf – halten Sie schriftlich fest, welche Maßnahmen Sie ergriffen haben (Stichwort Accountability). So können Sie im Zweifel nachweisen, alles Zumutbare getan zu haben.
Tipp: Lassen Sie sich von spezialisierten Juristen beraten, welche Haftungsrisiken in Ihrem konkreten Geschäftsmodell bestehen. Jede Branche hat hier ihre Eigenheiten – ein E-Commerce-Unternehmer hat andere Datenschutzbrennpunkte als ein B2B-Softwareanbieter. Eine Anwaltskanzlei mit Erfahrung im Datenschutzrecht kann gezielt aufzeigen, wo Fallstricke lauern und wie Sie sich als Geschäftsführer bestmöglich absichern.
Wie die Kanzlei Marcel Wetzel Sie unterstützt
Die Rechtsanwaltskanzlei Marcel Wetzel in Berlin ist seit vielen Jahren auf Datenschutz-, IT- und Vertragsrecht spezialisiert.
Wir kennen die Herausforderungen, vor denen Unternehmen und Selbstständige in diesem Bereich stehen, aus langjähriger Praxiserfahrung. Unsere Kanzlei hat bereits zahlreichen Mandanten – vom Einzelunternehmer über Startups bis zu mittelständischen Firmen – erfolgreich weitergeholfen.
Insbesondere beim komplexen Thema internationaler Datentransfer bieten wir Ihnen umfassende Unterstützung, etwa durch:
- Juristisch wasserdichte Verträge: Wir entwerfen und prüfen Ihre Verträge unter datenschutzrechtlichen Aspekten. Sei es die Auftragsverarbeitungsvereinbarung mit dem Cloud-Dienstleister, das Privacy Policy Ihres Unternehmens oder die Implementierung der Standardvertragsklauseln – wir stellen sicher, dass Ihre Verträge aktuellen Anforderungen genügen und Worst-Case-Szenarien (wie den Wegfall des DPF) berücksichtigen. Durch maßgeschneiderte Klauseln sorgen wir dafür, dass Sie selbst bei einem Schrems III-Urteil rechtlich handlungsfähig bleiben.
- Externer Datenschutzbeauftragter: Unsere Kanzlei übernimmt die Funktion des externen Datenschutzbeauftragten für Ihr Unternehmen. Dadurch profitieren Sie von unserer Expertise, ohne einen internen Mitarbeiter langfristig schulen oder abstellen zu müssen. Wir kümmern uns um die DSGVO-Compliance in Ihrem Betrieb, schulen Ihre Mitarbeiter, erstellen erforderliche Dokumentationen (z.B. Verarbeitungsverzeichnisse, TIAs) und stehen bei Datenschutzfragen jederzeit beratend zur Seite. Das entlastet Sie und Ihr Team erheblich – und Sie können sich auf Ihr Kerngeschäft konzentrieren, während wir „im Hintergrund“ für Datenschutzsicherheit sorgen.
- Compliance-Beratung und Audits: Wir analysieren Ihren Status quo in Sachen Datenschutz und IT-Compliance. In einer Compliance-Beratung decken wir Schwachstellen auf und entwickeln praxisnahe Lösungen, um diese zu beheben. Ob Technische und Organisatorische Maßnahmen (TOM), konzernweite Datenschutzrichtlinien oder spezielle Branchenanforderungen – wir beraten Sie umfassend. Auf Wunsch führen wir auch Audits durch oder begleiten Zertifizierungen (wie ISO 27001/27701), sodass Sie gegenüber Kunden und Partnern Ihre Datensicherheit belegen können.
- Individuelle rechtliche Betreuung: Kein Unternehmen gleicht dem anderen. Wir bieten maßgeschneiderte Rechtsberatung, genau zugeschnitten auf Ihre Situation. Planen Sie, einen neuen US-Dienst einzusetzen? Wollen Sie Cloud-Services auslagern, sind aber unsicher wegen des Datenschutzes? Stehen Sie vor Vertragsverhandlungen mit einem US-Anbieter? – Wir stehen an Ihrer Seite, prüfen die Rechtslage, entwerfen verhandlungssichere Vertragsklauseln und begleiten Sie durch den gesamten Prozess. Sollte es zu einem Konflikt oder Behördenkontakt kommen (z.B. eine Prüfung durch die Datenschutzaufsicht), übernehmen wir die Kommunikation und Verteidigung Ihrer Interessen.
RA Wetzel:
„Durch unsere jahrelange Erfahrung wissen wir genau, worauf es ankommt. Wir sprechen die Sprache der Unternehmer und der Juristen – das heißt, wir erklären auch komplizierte Sachverhalte so, dass jeder Mandant sie versteht. Unser Anspruch ist es, höchste Beratungsqualität mit praxisnahen Lösungen zu verbinden. Gerade im Datenschutzrecht, das viele Grauzonen kennt, muss man kreativ und pragmatisch vorgehen, ohne die Rechtssicherheit zu verlieren. Diese Balance meistern wir für unsere Mandanten jeden Tag aufs Neue.“
Wenn Ihr Unternehmen also US-Dienste nutzt oder generell Fragen zum Datentransfer in Drittstaaten hat, zögern Sie nicht, uns anzusprechen.
Wir bieten Ihnen eine individuelle Erstberatung, um Ihren konkreten Handlungsbedarf zu ermitteln.
Anschließend entwickeln wir gemeinsam eine Strategie, damit Sie rechtlich auf der sicheren Seite sind und bleiben.
Von der Vertragsgestaltung über Mitarbeiterschulungen bis zur fortlaufenden Betreuung als externer Datenschutzbeauftragter – die Kanzlei Wetzel ist Ihr kompetenter Partner für Datenschutz, IT-Recht und vertragsrechtliche Fragen.
Auch Interessant:
Neue Abmahngefahr: Konkurrenten dürfen jetzt Datenschutzverstöße abmahnen
Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können
AGB – Allgemeine Geschäftsbedingungen – Ihre Vorteile durch klare Regelungen
Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern
Das rechtssichere Impressum – Was Sie wissen müssen
Betriebsübergabe und Generationenwechsel in Unternehmen: Rechtliche Aspekte
IT- und Internetrecht: So schützen wir Ihr Unternehmen in der digitalen Welt
Transatlantischer Datenschutz unter Trump 2.0: Mögliche Auswirkungen auf EU-US-Datentransfers
Allgemeine Geschäftsbedingungen (AGB) für Unternehmen: Chancen, Risiken und Lösungen
Softwarepflegevertrag: Bedeutung, Rechtsgrundlagen und alles Wissenswerte
Vertragsrecht: strategische Implikation für unternehmerische Entscheidungsprozesse
Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen
Warum Unternehmen eine „externe“ Hinweisgeberstelle einrichten sollten
Alles zur Haftung bei Einzelunternehmen – Wie schütze ich mein Privatvermögen?
FAQ – Häufige Fragen zum EU–US-Datentransfer
Was ist das EU–US Data Privacy Framework (DPF)?
Das Data Privacy Framework ist ein Datenschutzabkommen zwischen der Europäischen Union und den USA, das im Juli 2023 in Kraft getreten ist. Es soll den Austausch personenbezogener Daten erleichtern, indem es für bestimmte US-Unternehmen ein angemessenes Datenschutzniveau bestätigt. US-Unternehmen können sich selbst zertifizieren und verpflichten damit zur Einhaltung von Datenschutzgrundsätzen nach EU-Standard. Ist ein US-Unternehmen DPF-zertifiziert, dürfen europäische Unternehmen personenbezogene Daten an dieses übermitteln, ohne weitere Garantien wie SCCs vereinbaren zu müssen. Praktisch gesehen ist das DPF der Nachfolger des 2020 gescheiterten Privacy Shield und der dritte Versuch, einen stabilen Rechtsrahmen für transatlantische Datenflüsse zu etablieren.
Warum wurden Safe Harbor und Privacy Shield ungültig (Schrems I & II)?
Sowohl das Safe Harbor-Abkommen (2000–2015) als auch das Privacy Shield (2016–2020) wurden vom Europäischen Gerichtshof gekippt, weil sie den Anforderungen der EU an den Schutz personenbezogener Daten nicht genügten. Hauptgrund waren die umfangreichen Überwachungsbefugnisse US-amerikanischer Behörden. Die Snowden-Enthüllungen 2013 zeigten, dass US-Geheimdienste wie die NSA in großem Stil Daten ausländischer Bürger abschnorcheln (Programme PRISM, Upstream, basierend auf FISA 702 und EO 12.333). Safe Harbor und Privacy Shield boten EU-Bürgern keinen ausreichenden Rechtsschutz dagegen. Der EuGH entschied in Schrems I (2015), dass Safe Harbor ungültig ist, da es keinen wirksamen Rechtbehelf für EU-Bürger in den USA gab. In Schrems II (2020) wurde Privacy Shield für ungültig erklärt, weil trotz einiger Verbesserungen weiterhin keine Garantie bestand, dass Datenzugriffe auf das „notwendige“ Maß begrenzt sind. Außerdem fehlte eine unabhängige Kontrollinstanz für EU-Bürger. Diese Urteile zwingen die EU und USA dazu, bei neuen Abkommen deutlich höhere Schutzstandards einzubauen – so geschehen beim aktuellen DPF durch die Einführung der EO 14086, des CLPO und des DPRC.
Was unternimmt das DPF gegen US-Überwachung – und reicht das aus?
Das Data Privacy Framework enthält als Kernstück neue Zusicherungen der US-Regierung, um exzessive Überwachung einzudämmen. Durch Präsident Bidens Executive Order 14086 gelten nun Prinzipien wie Notwendigkeit und Verhältnismäßigkeit für die Datenerhebung durch US-Geheimdienste. Zudem gibt es den zweistufigen Rechtsbehelfsmechanismus: EU-Bürger können sich zunächst an den Civil Liberties Protection Officer (CLPO) wenden und danach an das unabhängige Data Protection Review Court (DPRC), um sich gegen unrechtmäßige Überwachung zu wehren. Diese Mechanismen gab es vorher nicht. Ob das ausreicht, muss sich zeigen. Kritiker (insb. Max Schrems und NOYB) monieren, dass die materiellen US-Gesetze wie FISA §702 unverändert blieben – die Einschränkungen basieren „nur“ auf einem Präsidentenerlass, der von jedem Nachfolger widerrufen werden kann. Außerdem bleibt abzuwarten, wie unabhängig und effektiv der DPRC in der Praxis Entscheidungen trifft. Die EU-Kommission ist überzeugt, dass die Änderungen substanziell sind. Dennoch ist es möglich, dass der EuGH in Zukunft anders urteilt, falls er die Schutzmaßnahmen für unzureichend hält.
Droht ein Schrems III?
Möglich, ja. Max Schrems hat bereits angekündigt, das neue Abkommen juristisch prüfen zu lassen. Seine Organisation hat im Herbst 2023 Beschwerden eingereicht, die voraussichtlich vor Gericht landen. Ein „Schrems III“-Urteil würde bedeuten, dass der EuGH das DPF ebenfalls für ungültig erklärt. Die Chancen dafür hängen davon ab, ob der EuGH der Ansicht ist, dass sich das Datenschutzniveau in den USA durch die neuen Maßnahmen genügend verbessert hat. Falls zwischenzeitlich – zum Beispiel durch eine neue US-Regierung – die Garantien wieder aufgeweicht werden, steigt das Risiko einer Ungültigerklärung. Experten schätzen, dass ein Urteil frühestens 2024 oder 2025 fallen könnte. Unternehmen sollten diese Ungewissheit im Hinterkopf behalten und vorbereitet sein (Plan B bereithalten). Allerdings ist ein Schrems III nicht zwangsläufig das Ende aller Dinge – EU und USA könnten erneut nachbessern. Im Idealfall führt der Druck dazu, dass auf US-Seite gesetzliche Reformen (z.B. des FISA) kommen, was ein längerfristig belastbares Abkommen ermöglichen würde.
Welche Alternativen gibt es zum DPF?
Als wichtigste Alternativen gelten Standardvertragsklauseln (SCCs) und Binding Corporate Rules (BCRs). Die SCCs sind von der EU-Kommission vorformulierte Vertragsklauseln, die zwischen Datenexporteur und -importeur abgeschlossen werden und garantieren sollen, dass der Empfänger die europäischen Datenschutzstandards einhält. Sie wurden nach Schrems II aktualisiert (Version 2021) und sind weiterhin ein gültiges Werkzeug für Datentransfers. Tatsächlich nutzen viele Unternehmen SCCs als primäre Grundlage, da nicht alle US-Anbieter DPF-zertifiziert sind. Binding Corporate Rules wiederum sind interne Verhaltensregeln für Konzerne, die Datentransfers innerhalb des Firmenverbunds regeln. Sie müssen von einer Datenschutzbehörde genehmigt werden und bieten dann eine unternehmensweite legale Grundlage, um Daten z.B. von der EU-Zentrale an die US-Niederlassung zu schicken. Neben diesen juristischen Mechanismen gibt es als Ausnahmefall noch die Einwilligung der Betroffenen (Art. 49 DSGVO) für spezifische Transfers, oder zwingende vertragliche Erforderlichkeiten, doch diese Wege sind eng auszulegen und nicht für regelmäßige, umfangreiche Transfers geeignet. Praktisch setzt die Mehrheit der Unternehmen auf einen Mix aus DPF (wo möglich) und SCCs. Manche verfolgen auch konsequent einen „EU only“-Ansatz, meiden also US-Dienste soweit es geht, um Transferprobleme zu umgehen. Letztlich kommt es auf die Risikobewertung und Bedürfnisse des einzelnen Unternehmens an.
Benötigen wir Standardvertragsklauseln, wenn wir das DPF nutzen?
Das kommt darauf an. Wenn Ihr US-Partner DPF-zertifiziert ist, dürfen Sie die Datenübertragung allein darauf stützen – zusätzliche SCCs sind rechtlich nicht erforderlich. In der Praxis entscheiden sich jedoch viele Unternehmen trotzdem dafür, SCCs parallel abzuschließen, und zwar aus Vorsicht. Warum? Sollten Sie sich ausschließlich auf das DPF verlassen und dieses würde ungültig (Schrems III), stünden Sie plötzlich ohne gültige Transfergrundlage da. Mit unterschriebenen SCCs in der Schublade können Sie im Ernstfall sofort umschwenken und weitermachen, ohne gegen die DSGVO zu verstoßen. Man kann SCCs also als eine Art Backup-Lösung bereithalten. Zudem sind viele große Dienstleister bereit, SCCs abzuschließen, um Kunden die maximale Sicherheit zu geben. Beachten Sie: Wenn Ihr Dienstleister nicht DPF-zertifiziert ist, haben Sie ohnehin keine Wahl – dann müssen SCCs (oder BCRs) her, da sonst kein legales Transferinstrument existiert. Es lohnt sich also, die Zertifizierungsliste des DPF zu konsultieren. Oft ist es sinnvoll, DPF und SCCs kombiniert einzusetzen: Das DPF als primäre Basis, solange es hält, und SCCs als Fallback im Vertrag verankert.
Was ist ein Transfer Impact Assessment (TIA) und muss ich das machen?
Ein Transfer Impact Assessment ist eine Risikoabwägung, die Sie laut Empfehlungen des Europäischen Datenschutzausschusses durchführen sollten, bevor Sie Daten in ein unsicheres Drittland wie die USA übertragen (insbesondere beim Einsatz von SCCs). Die Datenschutzbehörden – gestützt auf Schrems II – erwarten von Unternehmen, dass sie vor einem Export systematisch prüfen, welche Risiken im Empfängerland bestehen. Im Kern überprüfen Sie damit, ob die Gesetze und Praktiken des Empfängerlandes den vereinbarten Schutz (durch DSGVO und SCCs) unterlaufen könnten. Für die USA bedeutet das z.B.: Welche Daten übermittle ich und könnten diese nach US-Recht (z.B. FISA, CLOUD Act) von Behörden eingesehen werden? Anhand dieser Analyse bewertet man, ob zusätzliche Schutzmaßnahmen nötig sind. Ja, Sie sollten ein TIA durchführen, vor allem wenn Sie Standardvertragsklauseln nutzen – dies ist sogar Bestandteil der SCC-Verpflichtungen. Auch wenn Sie Transfers auf das DPF stützen, ist es empfehlenswert, intern das Risiko zu dokumentieren. Das zeigt gegenüber Aufsichtsbehörden Ihre Sorgfalt. Ergebnis eines TIA kann z.B. sein, dass man entscheidet: Okay, wir übertragen nur pseudonymisierte Daten, und der US-Dienstleister erhält keinen Klartext. Oder: Wir nutzen den Dienst nur, wenn eine Ende-zu-Ende-Verschlüsselung möglich ist. Sollte das Risiko als zu hoch gelten und nicht mitigierbar sein, müsste man den Transfer notfalls aussetzen. Kurz gesagt: TIAs sind ein Muss, um nachzuweisen, dass man die Datentransfers verantwortungsvoll steuert.
Wie kann ich Daten vor dem Zugriff durch US-Behörden schützen?
Der effektivste technische Schutz ist konsequente Verschlüsselung. Idealerweise werden Daten bereits verschlüsselt, bevor sie in die Cloud oder zum US-Dienstleister wandern (Client-seitige Verschlüsselung). Nur Sie selbst sollten den Schlüssel besitzen (Bring Your Own Key). Dann kann – selbst wenn US-Behörden auf die Server zugreifen – nur chiffrierter Datenmüll gelesen werden. Achten Sie auf Ende-zu-Ende-Verschlüsselung bei Kommunikationsdiensten und verschlüsseln Sie ruhende Daten (at rest) in der Cloud. Ergänzend ist Pseudonymisierung sinnvoll: Persönliche Identifikatoren werden durch Codes ersetzt, die echte Zuordnung bleibt bei Ihnen in Europa. So sind die Daten beim Dienstleister praktisch wertlos, weil er sie keiner Person zuordnen kann. Außerdem sollten Sie nur die nötigsten Daten übertragen (Datensparsamkeit). Wenn möglich, splitten Sie Datensätze: z.B. Inhaltsdaten in der Cloud, aber die Zuordnung zu Personen lokal bei Ihnen. Solche Strategien, kombiniert mit modernen Technologien (z.B. Zero-Knowledge-Architekturen oder spezielle Privacy-Enhancing Technologies), minimieren das Risiko drastisch. Damit machen Sie es selbst Geheimdiensten äußerst schwer, sinnvolle Informationen abzugreifen. Wichtig ist aber, diese Maßnahmen korrekt umzusetzen und regelmäßig zu überprüfen. Eine Beratung durch IT-Sicherheitsexperten oder Datenschutzberater kann helfen, die passenden Verschlüsselungs- und Sicherheitskonzepte für Ihr Unternehmen zu finden.
Was ist der US CLOUD Act und warum ist er relevant?
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz von 2018, das regelt, dass US-Strafverfolgungsbehörden unter bestimmten Voraussetzungen Zugang zu Daten von US-Unternehmen erhalten können – egal wo die Daten liegen. Das bedeutet: Wenn Sie einem US-Anbieter (z.B. einer Cloud-Firma) Daten anvertrauen, kann eine US-Behörde per Gerichtsbeschluss verlangen, dass dieser Anbieter die Daten herausgibt, selbst wenn die Server in Europa stehe. Der CLOUD Act hebelt also geografische Schutzstrategien teilweise aus. Viele Unternehmen dachten früher, sie könnten das Problem umgehen, indem sie sagen: „Unsere Daten liegen ausschließlich in Frankfurt, also sind sie sicher.“ Leider greift das zu kurz – entscheidend ist nicht allein der Speicherort, sondern unter wessen Hoheit (Jurisdiktion) die Daten stehen. Für europäische Firmen heißt das: Selbst eine EU-Niederlassung eines US-Konzerns (z.B. Microsoft Deutschland) könnte im Zweifel verpflichtet sein, Daten an US-Behörden zu liefern. Das Data Privacy Framework ändert daran nichts, denn es adressiert in erster Linie den Datenschutz im kommerziellen Kontext und Beschränkungen für Geheimdienste, nicht aber generelle Strafverfolgungszugriff. In der Praxis sollten Sie den CLOUD Act im Hinterkopf behalten, wenn Sie US-Dienste nutzen. Er ist einer der Gründe, warum zusätzliche Verschlüsselung und vertragliche Klarstellungen (z.B. Benachrichtigungspflichten im Fall behördlicher Anfragen) sinnvoll sind. Langfristig wäre ein bilaterales Abkommen zwischen EU und USA wünschenswert, um auch diese Lücke zu schließen – doch aktuell ist das nicht in Sicht. Daher: Planen Sie so, als könnten US-Behörden theoretisch auf alle bei US-Firmen liegenden Daten zugreifen. Dieses Bewusstsein hilft bei Geschäftsentscheidungen (z.B. welche Daten man in die Cloud gibt).
Wird das Data Privacy Framework dauerhaft bestehen bleiben?
Das lässt sich derzeit nicht mit Sicherheit sagen. Offiziell ist das DPF ein vollwertiger Angemessenheitsbeschluss ohne eingebaute Sunset-Klausel – er gilt also unbegrenzt, bis er ggf. aufgehoben wird. Allerdings steht das Abkommen, wie erläutert, unter erheblichem politischen und rechtlichen Druck. Viel hängt von den USA ab: Wenn die im DPF versprochenen Datenschutz-Garantien Bestand haben (oder sogar ausgebaut werden, etwa durch Gesetzesreformen), steigt die Chance, dass das DPF vor Gericht standhält. Sollten jedoch negative Entwicklungen eintreten – beispielsweise eine Abschwächung der Schutzmechanismen durch die US-Politik oder neue Massenüberwachungsprogramme – dürfte ein Eingreifen des EuGH wahrscheinlich sein. Ein weiteres EuGH-Urteil (Schrems III) könnte das Framework dann in den nächsten Jahren kippen. Unternehmen sollten sich also auf Unbeständigkeit einstellen. Die EU-Kommission hat zwar betont, dass das neue Abkommen großen Fortschritt bringt und man zuversichtlich sei. Dennoch hat auch sie Sicherheitsnetze eingezogen: In den SCCs 2021 ist z.B. vorgesehen, dass sich Parteien auf neue Klauseln einigen müssen, falls ein Angemessenheitsbeschluss wegfällt – man rechnet also durchaus mit der Eventualität eines Scheiterns. Zusammengefasst: Das DPF ist vorerst gültig, aber man sollte es als „auf Bewährung“ betrachten. Je nachdem, wie Gerichte und die US-Politik entscheiden, kann es bleiben oder eben auch nicht. Unternehmerisch klug ist es, parallel andere Optionen bereitzuhalten (SCCs, BCRs etc.) und die Nachrichten zu verfolgen.
Was sollten Unternehmen jetzt konkret tun?
Unternehmen sollten aktiv werden, anstatt abzuwarten. Konkret: Prüfen Sie Ihre aktuellen Datenflüsse in die USA und verschaffen Sie sich einen Überblick (Welche Daten? Wohin? Warum?). Schließen Sie mit allen US-Partnern die neuen Standardvertragsklauseln ab, falls noch nicht geschehen, um einen Plan B zu haben. Führen Sie Transfer Impact Assessments durch und dokumentieren Sie Ihre Einschätzungen. Implementieren Sie Verschlüsselung und andere technische Maßnahmen, wo immer möglich, um die Datensicherheit zu erhöhen. Schulen Sie Ihre Mitarbeiter für datenschutzbewusstes Handeln. Bleiben Sie informiert – abonnieren Sie Newsletter oder Blogs von Datenschutzexperten (wie wetzel.berlin), um über Schrems III und Gesetzesänderungen Bescheid zu wissen. Kurz: Seien Sie vorbereitet. Wenn Sie all das tun, haben Sie bereits viel für die Compliance getan. Und sollten tatsächlich neue Beschränkungen kommen, können Sie deutlich gelassener reagieren, weil Sie Ihr Hausaufgaben gemacht haben.
Wie unterstützt mich die Kanzlei Marcel Wetzel bei diesem Thema?
Die Kanzlei Wetzel steht Ihnen mit umfassender Expertise zur Seite, um den Datentransfer in die USA rechtskonform und sicher zu gestalten. Wir beraten individuell zu Ihrer Situation – etwa welche Transfermethode (DPF, SCCs, BCRs) für Sie ideal ist. Wir prüfen oder entwerfen Verträge und stellen sicher, dass z.B. Ihre Standardvertragsklauseln korrekt implementiert sind und „wasserdicht“ bleiben. Als externe Datenschutzbeauftragte können wir die laufende Überwachung und Schulung in Ihrem Unternehmen übernehmen, sodass Sie stets DSGVO-konform agieren. Im Falle von Unsicherheiten, etwa bei einem möglichen Schrems III, informieren wir Sie proaktiv und helfen bei der Umsetzung neuer Vorgaben. Zudem verfügen wir über jahrelange Erfahrung im IT- und Vertragsrecht, was gerade bei Cloud-Verträgen oder Tech-Services entscheidend ist. Unsere Kanzlei hat bereits viele Mandanten erfolgreich durch die Wirren des internationalen Datenschutzes geführt und so vor Bußgeldern bewahrt.
Kurz gesagt: Wir nehmen Ihnen die Komplexität ab.
Sie können sich auf Ihr Kerngeschäft konzentrieren, während wir dafür sorgen, dass Ihre Datenströme rechtlich abgesichert sind – heute und in Zukunft.