Datentransfer in die USA: Neue Risiken durch Trumps Kurswechsel

Die Diskussion um die Rechtskonformität von Datentransfer in die USA hat durch aktuelle politische Entwicklungen eine neue Dringlichkeit erreicht. Europäische Unternehmen operieren in einem Spannungsfeld zwischen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und den Zugriffsbefugnissen US-amerikanischer Behörden. Die jüngste Ankündigung von Donald Trump, die Executive Order 14086 zu revidieren, stellt die Stabilität des bestehenden Rechtsrahmens infrage und erfordert eine Neubewertung der Compliance-Risiken.

Historische Entwicklung der US-Überwachungsbefugnisse: Patriot Act und Cloud Act

Die rechtliche Problematik wurzelt in der Ausweitung staatlicher Zugriffsmöglichkeiten seit dem 11. September 2001, beginnend mit dem Patriot Act. Eine signifikante Verschärfung erfolgte 2018 durch den Cloud Act (Clarifying Lawful Overseas Use of Data Act).

Dieses Gesetz verpflichtet alle Unternehmen mit Hauptsitz in den USA zur Herausgabe von Daten, unabhängig davon, ob sich diese physisch auf Servern in den USA oder im Ausland befinden. Die extraterritoriale Wirkung erstreckt sich auch auf ausländische Tochtergesellschaften. Selbst das bloße Adressieren des US-Marktes (Marktortprinzip) kann eine Unterwerfung unter US-Recht begründen. Die Durchsetzung dieser Ansprüche kann gerichtlich unter Strafandrohung gegen Unternehmen und deren Management erzwungen werden.

Das Data Privacy Framework und die drohende Rechtsunsicherheit

Zur Harmonisierung von DSGVO-Vorgaben und US-Recht erließ die Biden-Administration 2023 die Executive Order 14086. Diese Verordnung bildet die rechtliche Basis für den Angemessenheitsbeschluss der EU („Data Privacy Framework“). Sie sieht unter anderem Einschränkungen für nachrichtendienstliche Überwachungsmaßnahmen sowie ein Beschwerdesystem für EU-Bürger vor.

Die angekündigte Außerkraftsetzung dieser Executive Order würde dem Data Privacy Framework die Rechtsgrundlage entziehen. Ohne die dort verankerten Schutzmechanismen und das Beschwerdesystem wäre das Datenschutzniveau in den USA aus europäischer Perspektive voraussichtlich nicht mehr als angemessen zu bewerten. Dies könnte faktisch zur Unwirksamkeit des EU-Angemessenheitsbeschlusses führen.

Grenzen technischer und vertraglicher Schutzmaßnahmen („EU Boundary“)

US-Cloudanbieter verweisen häufig auf Rechenzentren innerhalb der EU oder administrative Zugriffsbeschränkungen („EU Boundary“) als Sicherheitsgarantie. Diese Maßnahmen bieten jedoch keinen umfassenden Schutz vor dem Zugriff US-amerikanischer Behörden. Da die eingesetzte Software meist US-Ursprungs ist und die Anbieter dem Cloud Act unterliegen, verbleiben latente Zugriffsmöglichkeiten (z. B. via Remote-Zugriff), die technisch kaum auditierbar sind. Eine effektive technische Kontrolle durch deutsche Datenschutzbehörden ist unter diesen Umständen oft nicht realisierbar.

Handlungsempfehlungen und strategische Ausrichtung

Europäische Unternehmen sehen sich mit einem Compliance-Dilemma konfrontiert: Die Befolgung von US-Anordnungen kann zu DSGVO-Verstößen führen, während die strikte Einhaltung der DSGVO Konflikte mit US-Recht provoziert.

Auch wenn ein sofortiges Kippen des Angemessenheitsbeschlusses durch die EU-Kommission aufgrund politischer und wirtschaftlicher Erwägungen unwahrscheinlich erscheint, ist mit einer Phase erhöhter Rechtsunsicherheit zu rechnen. Unternehmen sollten daher proaktiv Strategien entwickeln: