Seit Juli 2023 besteht zwischen der EU und der USA ein sogenannter Angemessenheitsbeschluss – das Transatlantic Data Privacy Framework. Dieses regelt, kurz gesagt, unter welchen Umständen personenbezogene Daten aus der EU in USA übertragen werden dürfen.
Schon seit Inkrafttreten wurde das Data Privacy Framework stark kritisiert – dies maßgeblich aufgrund der Rechtslage in den USA.
Die USA gilt grundsätzlich nach der DSGVO als unsicheres Drittland – da das Datenschutz-Niveau in den USA nicht dem Niveau in der EU entspricht. Dies ist unter anderem darauf zurückzuführen, dass es in den USA verschiedene gesetzliche Regelungen gibt, die es beispielsweise der Regierung erlauben, ohne größere Hürden auf gespeicherte Daten von US-Unternehmen zuzugreifen. Dahingegen gibt es in den USA keine einheitlichen bundesweiten Datenschutzgesetze.
Das Data Privacy Framework wird in seiner Wirksamkeit daher auf eine sog. Executive Order von Ex-Präsident Biden gestützt, die eine Aufsicht über den Datenschutz regeln sowie den Rechtsweg für Bürger für Beschwerden über die Verarbeitung ihrer personenbezogenen Daten in den USA eröffnen soll.
Als Aufsichts- und Kontrollorgan über den Datenschutz gibt es daher das „Privacy and Civil Liberties Oversight Board“ (PLCOB). Es soll überwachen, ob US-Unternehmen Gesetze, Anordnungen und andere Zusagen auch einhalten. Unter anderem durch die Aufsichtsfunktion des PLCOB sollte garantiert werden, dass es in den USA einen im Wesentlichen gleichwertigen Schutz der personenbezogenen Daten gibt.
Nun steht aber genau diese Garantie auf der Kippe: Denn Präsident Trump hat nun Ende Januar 2025 die demokratischen Mitglieder des PLCOB aus dem Dienst entlassen. Dies hat nun zur Folge, dass es nicht mehr genügend Mitglieder gibt, damit das PLCOB entscheidungsfähig ist. Die Arbeit dieser Kontroll- und Aufsichtsstelle ist folglich stark eingeschränkt.
Damit dürfte eine der wichtigsten Stützen des Data Privacy Frameworks wegfallen.
Daneben wird jedoch auch kritisiert, dass US-Unternehmen häufig sehr intransparent darüber informieren, wie und welche Daten von den jeweiligen Unternehmen verarbeitet werden – gerade bei der Verwendung von Microsoft 365 und verschiedener Google-Dienste ist dies ein Kritikpunkt. Hinzu kommt das grundlegend unterschiedliche Verständnis des Datenschutzes in der EU und in den USA.
Die Rechtslage hinsichtlich der Datenübertragung aus der EU in die USA bleibt weiterhin unsicher. Es ist davon auszugehen, dass in naher Zukunft – gegebenenfalls nach weiteren Maßnahmen der US-Regierung und Präsident Trump – der EuGH das Data Privacy Framework wahrscheinlich für nichtig erklären wird. Die Folge wäre, dass dann eine Übertragung von personenbezogenen Daten aus der EU in die USA nicht mehr zulässig wäre. Unternehmen müssten so etwa auf Dienstleistungen von Unternehmen wie Google, Amazon und Co. verzichten, um nicht gegen die Vorschriften der DSGVO zu verstoßen und sich so einem möglichen Bußgeld und Schadensersatzansprüchen auszusetzen.