Am 20. Januar 2025 hat offiziell die zweite Amtszeit von Präsident Trump in den USA begonnen. Zu seinen ersten Amtshandlungen gehörte die Entlassung von führenden Mitgliedern der US-Datenschutzbehörde „Privacy and Civil Liberties Oversight Board“ (kurz PCLOB), mit gravierenden Auswirkungen auf die anzunehmende Sicherheit des transatlantischen Datentransfers.
Im Zuge der Delokalisierung vieler Unternehmensdaten und der Auslagerung in Colocation Center bzw. der Nutzung von Cloud-Lösungen stellt sich nun vielen Unternehmen die Frage, welche Auswirkungen die Entlassungen auf den Datenschutz haben.
Datenschutz und DSGVO – ein kurzer Rückblick
Das Thema Datenschutz spielt in der EU bereits seit Jahren eine wichtige Rolle. Die DSGVO hat 2016 die ursprüngliche Richtlinie abgelöst und ist seit 2018 in Kraft. In ihr wurden feste Vorgaben und Regeln definiert, wie mit personenbezogenen und sensiblen Daten umzugehen ist. In der Folge waren europäische Unternehmen in der Pflicht, den Schutz der von ihnen gespeicherten Daten zu jeder Zeit gemäß der Grundverordnung sicherzustellen.
Für die Nutzung von amerikanischen Rechenzentren oder Cloud-Lösungen brachte dies einige Herausforderungen mit sich, denn das Thema wird in den USA anders gehandhabt als in der EU. Um hier zumindest eine gewisse Angleichung zu erreichen, wurden zunächst das sogenannte „Safe Harbor“-Abkommen, gefolgt von dem „Privacy Shield“-Abkommen, geschlossen. Beide konnten der Prüfung durch den Europäischen Gerichtshof allerdings nicht standhalten. Um dennoch eine Lösung für europäische wie US-amerikanische Unternehmen zu schaffen und den transatlantischen Datentransfer zu vereinfachen, hat Joe Biden während seiner Amtszeit einen zweistufigen Rechtsmechanismus eingeführt. Durch diesen sollen die europäischen Daten besser geschützt werden. Überwacht wurde dies bis Anfang des Jahres von der PCLOB. Mittels eines Angemessenheitsbeschlusses wurde die Neuerung seitens der EU-Kommission als ausreichend anerkannt. Damit konnten europäische Unternehmen ihre Daten wieder ohne vorherige Prüfung in die USA übertragen.
Durch die Entlassung von dreien der insgesamt fünf Mitglieder der PCLOB ist dieses Gremium nun allerdings handlungsunfähig und die Datensicherheit im transatlantischen Datenverkehr nicht mehr uneingeschränkt gewährleistet.
Auswirkungen für deutsche Unternehmen
Themen wie Redundanz, Datensicherheit und ständige Verfügbarkeit sind für viele Unternehmen von großer Bedeutung. Die Nutzung von Rechenzentren oder Cloud-Lösungen war ein beliebtes Mittel, um Daten dezentral zu speichern und so mehr Sicherheit zu erreichen. Oftmals wurde dafür auch auf die Angebote US-amerikanischer Unternehmen zurückgegriffen.
Diese Nutzung muss nun auf den Prüfstand, denn anders als in der EU haben in den USA Geheimdienste und Behörden weitreichende Befugnisse im Zugriff auf persönliche Daten. Davon sind auch die Daten europäischer Unternehmen betroffen, wenn diese in einem amerikanischen Rechenzentrum gespeichert sind.
Gibt es konkrete Folgen für europäische Unternehmen?
Der frühere Angemessenheitsbeschluss der EU-Kommission ist durch die Handlungsunfähigkeit des PCLOB im Grunde aufgehoben. Unternehmen, die Daten in den USA übermitteln, müssen also vorab sicherstellen, dass diese entsprechend der DSGVO geschützt sind. Dies lässt sich aufgrund der weitreichenden Befugnisse der US-Behörden oft nur noch bedingt sicherstellen. Ein Verstoß gegen die Grundverordnung ist nicht zu empfehlen. Neben dem anfallenden Bußgeld müssen Unternehmen in einem solchen Fall auch Vertrauenseinbrüche ihrer Kunden befürchten. Gerade bei Unternehmen, die mit sensiblen Daten arbeiten, sind die Folgen nur schwer einschätzbar.
Damit allerdings nicht genug: Präsident Trump kritisiert zusätzlich den Digital Services Act (DSA) sowie den Digital Markets Act (DMA), da sie die Wettbewerbsfähigkeit amerikanischer Unternehmen in der EU einschränken würden. Der DSA verpflichtet Unternehmen zum Beispiel dazu, illegale Inhalte auf den eigenen Plattformen zu unterbinden bzw. deren Verbreitung zu verhindern. Zudem sollen Sicherheitsrisiken reduziert und gleichzeitig Transparenz sowie der Schutz von Verbrauchern gewährleistet werden. Der Digital Markets Act soll dagegen die Wettbewerbsbedingungen auf den verschiedenen digitalen Märkten verbessern und zum Beispiel Monopolbildungen von großen Unternehmen unterbinden.
Das politische Tauziehen um die Datenhoheit hat begonnen. Es wird unter anderem auf dem Rücken der Unternehmen ausgetragen, die bisher auf amerikanische Rechenzentren gesetzt oder US-Clouds genutzt haben. Dies betrifft insbesondere Unternehmen, die mit sensiblen persönlichen Daten arbeiten – zum Beispiel in öffentlichen Verwaltungen, dem Gesundheitswesen oder auch der Finanzbranche.
Ideen und Lösungen für mehr Datensicherheit
Die scheinbar einfachste Lösung ist der Wechsel auf ausschließlich europäische Colocation Data Center bzw. die Nutzung europäischer Cloud-Lösungen. Diese unterliegen der Datenschutz-Grundverordnung, allerdings ist ein Wechsel mit verschiedenen Herausforderungen verbunden. Abwarten und auf eine politische Lösung zu hoffen, erscheint dagegen als keine Alternative, insbesondere da die Vorstellungen zum Datenschutz zwischen den USA und der EU aktuell deutlich voneinander entfernt sind.
