Wie Trump das EU-US-Datenschutzabkommen gefährdet

Neue Unsicherheiten für den transatlantischen Datentransfer

Der transatlantische Datenaustausch ist das Rückgrat vieler europäischer Unternehmen. Zahlreiche geschäftskritische Dienste – von Cloud-Plattformen über Kommunikationslösungen bis hin zu Marketing-Tools – stammen von US-Anbietern wie Microsoft, Google, Amazon und Meta. Ohne eine stabile rechtliche Grundlage für den Transfer personenbezogener Daten in die USA stehen Unternehmen also vor erheblichen Herausforderungen. Das EU-US Data Privacy Framework (DPF), das im Juli 2023 eingeführt wurde, sollte genau hier Abhilfe schaffen. Nachdem das frühere Privacy Shield im Jahr 2020 durch das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) gekippt wurde, hatte die EU-Kommission mit dem DPF eine neue Grundlage für den transatlantischen Datenaustausch geschaffen. Dieses Abkommen basierte auf einer Executive Order von Präsident Joe Biden, die den Schutz personenbezogener Daten europäischer Bürger in den USA gewährleisten und damit den Anforderungen des EuGH gerecht werden sollte. Doch mit Donald Trumps Wahlsieg und seiner Rückkehr ins Weiße Haus im Januar 2025 steht dieses Abkommen erneut auf der Kippe. Unternehmen stehen vor der Frage, ob ihre aktuelle Datenschutzstrategie weiterhin tragfähig bleibt.

Bidens Executive Order: Fragliche Rechtsgrundlage

Das EU-US Data Privacy Framework stützt sich wesentlich auf die Executive Order 14086, die Joe Biden im Jahr 2022 unterzeichnete. Diese Anordnung sollte die Anforderungen des EuGH erfüllen, indem sie den Zugriff von US-Geheimdiensten auf europäische Daten auf das „Notwendige und Verhältnismäßige“ beschränkt. Dabei sollte eine verstärkte Überwachung der Aktivtäten der US-Geheimdienste stattfinden, um die Einhaltung der Beschränkungen für Überwachungsaktivitäten sicherzustellen. Zudem führte sie einen zweistufigen Rechtsschutzmechanismus ein: EU-Bürger konnten sich bei einer neuen Datenschutzprüfstelle beschweren, und ein speziell eingerichtetes Datenschutzgericht (Data Protection Review Court) sollte Verstöße prüfen.

Die EU-Kommission bewertete diese Maßnahmen als ausreichende Grundlage für einen stabilen Datentransfer und sah im DPF eine tragfähige Lösung für Unternehmen. Kritiker hingegen warnten bereits damals: Da es sich bei einer Executive Order nur um eine präsidentielle Anordnung handelt, kann ein neuer US-Präsident sie jederzeit ändern oder aufheben. Diese Sorge gewinnt mit Trumps Wahlsieg nun an Brisanz.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Die Gefahr durch Trumps erneute Präsidentschaft

Der US-Präsident kann per Executive Order unkompliziert und ohne die Beteiligung des Kongresses Anordnungen mit bindender Wirkung für Bundesbehörden und Beamte erlassen, die dazu dienen, die internen Abläufe der Bundesregierung zu steuern.

Die rechtliche Grundlage für Executive Orders findet sich in der US-Verfassung, insbesondere in Artikel II, der dem Präsidenten die Exekutivgewalt überträgt. Allerdings dürfen Executive Orders keine neuen Gesetze schaffen, sondern müssen sich im Rahmen der bestehenden gesetzlichen oder verfassungsmäßigen Befugnisse des Präsidenten bewegen. Sobald der Präsident eine Executive Order unterzeichnet, kann sie sofort in Kraft treten. Allerdings können Gerichte solche Anordnungen überprüfen und für ungültig erklären, wenn sie die verfassungsmäßigen Befugnisse des Präsidenten überschreiten.

Da eine Executive Order also kein Gesetz ist, sondern lediglich eine präsidentielle Anordnung, kann Trump sie ohne Zustimmung des Kongresses jederzeit aufheben oder abändern. Dies könnte konkret bedeuten, dass er die Schutzmechanismen für EU-Bürger schwächt, die Rechtsbehelfsmöglichkeiten einschränkt oder die Umsetzung durch US-Behörden blockiert. Bereits in seiner ersten Amtszeit (2017-2021) senkte Trump Datenschutzstandards, die er als Hindernis für die Wirtschaft empfand: 2017 hob er eine Regelung der Federal Communications Commission (FCC) auf, die Internetanbieter zur Einholung von Nutzereinwilligungen verpflichtete. Zudem erleichterte er die Datenweitergabe durch US-Unternehmen und schwächte Datenschutzmaßnahmen, die bereits unter Obama eingeführt wurden und Unternehmen beim Umgang mit Nutzerdaten stärker regulierten.

Diese Vergangenheit lässt befürchten, dass Trump auch diesmal wenig Interesse an strengen Datenschutzregelungen für EU-Bürger zeigen wird.

Mögliche Konsequenzen auf das DPF

Sollte Donald Trump die Executive Order 14086 aufheben oder entscheidend verändern, hätte dies gravierende Auswirkungen auf den transatlantischen Datentransfer. Der Angemessenheitsbeschluss der EU-Kommission, auf dem das EU-US Data Privacy Framework (DPF) basiert, könnte in seiner derzeitigen Form nicht aufrechterhalten werden. Die Executive Order war eine zentrale Voraussetzung für das Abkommen, da sie europäische Datenschutzstandards in den USA gewährleisten sollte.

Die größte Konsequenz wäre eine erneute Rechtsunsicherheit. Unternehmen, die bislang auf das DPF vertraut haben, könnten sich plötzlich in einer Situation wiederfinden, in der der Datentransfer in die USA nicht mehr ohne Weiteres zulässig ist. Dies würde nicht nur zu einem erhöhten administrativen Aufwand führen, sondern auch rechtliche Risiken mit sich bringen.
Darüber hinaus könnte ein neues Verfahren vor dem Europäischen Gerichtshof drohen. Datenschutzaktivist Max Schrems, der bereits Safe Harbor (Schrems I) und Privacy Shield (Schrems II) zu Fall gebracht hat, äußerte bereits Bedenken am DPF. Sollte Trump die zugrunde liegenden Schutzmaßnahmen abschwächen, wäre eine neue Klage fast unausweichlich. Ein sogenanntes Schrems-III-Verfahren könnte erneut dazu führen, dass das Datenschutzabkommen für nichtig erklärt wird.

Unternehmen müssten in diesem Fall auf alternative Rechtsmechanismen ausweichen, um weiterhin personenbezogene Daten in die USA übermitteln zu können. Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) bieten zwar eine mögliche Lösung, sind jedoch mit erheblichem Aufwand verbunden. Vor allem SCCs setzen zusätzliche Sicherheitsmaßnahmen voraus, um den Anforderungen des EuGH gerecht zu werden.

Ist das DPF wirklich robust?

Bereits bei der Verabschiedung des EU-US Data Privacy Frameworks im Jahr 2023 äußerten europäische Datenschutzexperten Bedenken. Viele wiesen darauf hin, dass das Abkommen auf einer einseitigen Executive Order des US-Präsidenten basiert und damit politisch angreifbar ist. Die Wahl von Donald Trump und die mögliche Aufhebung oder Änderung der Executive Order zeigen nun, wie berechtigt diese Bedenken waren. Erste Anzeichen für die Bewahrheitung der Befürchtungen zeigen sich bereits: Am 20. Januar 2025 hat die Trump-Administration beschlossen, dass alle Executive Orders der Biden-Administration innerhalb von 45 Tagen überprüft und ggfs. aufgehoben werden. Zu diesen Executive Orders gehört auch die Executive Order 14086, die als Grundlage für den aktuellen Angemessenheitsbeschluss der EU dient. Erste Signale, wie die Umbesetzung des Privacy and Civil Liberties Oversight Board (PCLOB), deuten auf eine Schwächung der Datenschutzaufsicht in den USA hin.

Was kostet zuverlässiger Datenschutz?

Erhalten Sie in wenigen Schritten eine passgenaue Kostenübersicht.

Wie reagieren Datenschutzbehörden und Experten?

Die ersten Reaktionen aus der europäischen Datenschutz-Community lassen erkennen, dass eine neue rechtliche Auseinandersetzung wahrscheinlich ist.
Die Datenschutzorganisation „None Of Your Business“ (NOYB) unter der Leitung von Max Schrems prüft bereits eine neue Klage vor dem EuGH. Die Organisation hatte sowohl das Safe-Harbor-Abkommen (Schrems I) als auch das Privacy Shield (Schrems II) zu Fall gebracht. Sollte Trump das DPF aushöhlen, dürfte ein Schrems-III-Verfahren nur eine Frage der Zeit sein. Europäische Datenschutzbehörden, darunter die Datenschutzkonferenz (DSK) in Deutschland und die französische CNIL, haben bereits vor einer erneuten rechtlichen Unsicherheit gewarnt. Sie betonen, dass sich Unternehmen nicht ausschließlich auf das Data Privacy Framework verlassen sollten. Juristen und Datenschutzexperten fordern von der EU-Kommission eine schnellere und proaktive Reaktion, um Unternehmen eine verlässliche Lösung zu bieten. Ein erneuter Rechtsstreit könnte Jahre dauern – eine Zwischenlösung ist daher dringend erforderlich.

Falls Trump tatsächlich Maßnahmen zum Nachteil des DPF ergreift, ist eine neue rechtliche Auseinandersetzung nahezu unvermeidlich. Unternehmen sollten sich darauf einstellen, dass der Datentransfer in die USA bald wieder auf wackligen Füßen stehen könnte.

Handlungsoptionen für europäische Unternehmen

Angesichts der unsicheren Zukunft des DPF sollten Unternehmen proaktiv handeln. Eine Möglichkeit besteht darin, bereits jetzt alternative Rechtsgrundlagen zu prüfen. Die Nutzung von Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) könnte eine stabilere Lösung sein, auch wenn dies mit höheren Compliance-Anforderungen verbunden ist.

Technische und organisatorische Maßnahmen sollten zudem stärker in den Fokus rücken, um Datenschutzrisiken zu minimieren. Starke Verschlüsselung, Pseudonymisierung und Datenspeicherung in der EU verbessern den Schutz sensibler Daten. Ergänzend sind klare Datenschutzrichtlinien, regelmäßige Schulungen und Datenschutz-Folgenabschätzungen (DSFA) essenziell.

Strenge Zugriffskontrollen und ein strukturiertes Vertragsmanagement mit US-Dienstleistern, einschließlich der Prüfung von Standardvertragsklauseln (SCCs), tragen zur Einhaltung hoher Standards bei. Unternehmen mit hohen Sicherheitsanforderungen könnten verstärkt auf europäische Anbieter setzen, um den Datentransfer in die USA zu vermeiden.

Für international tätige Konzerne bleiben Binding Corporate Rules (BCRs) eine vergleichsweise sichere Lösung. Diese unternehmensinternen Datenschutzregelungen wurden bereits von den europäischen Datenschutzbehörden genehmigt und hängen nicht von politischen Entscheidungen in den USA ab. Unternehmen, die BCRs nutzen, wären daher besser gegen kurzfristige Änderungen der US-Datenschutzpolitik abgesichert.

Fazit und Ausblick: Wiederholt sich die Geschichte?

Die Rückkehr Donald Trumps ins Weiße Haus könnte erneut eine Phase massiver Unsicherheit für den transatlantischen Datentransfer einläuten. Seine bisherigen Äußerungen zur Regulierung und Datenschutzpolitik lassen darauf schließen, dass der Schutz europäischer Daten nicht zu seinen politischen Prioritäten gehört. Unternehmen stehen daher vor der Frage, ob sich die Ereignisse der letzten Jahre wiederholen werden.
Drei mögliche Szenarien könnten sich abzeichnen:

Trump ignoriert das Thema Datenschutz, die Executive Order bleibt bestehen, und das Data Privacy Framework bleibt unangetastet.
Trump verändert die Executive Order in wesentlichen Punkten, was zu neuen Verhandlungen zwischen der EU und den USA führt. Eine vorübergehende Unsicherheit entsteht.
Das Abkommen wird durch eine neue EuGH-Klage gekippt, und Unternehmen stehen erneut vor der Herausforderung, alternative Datenschutzlösungen zu finden.

Die Erfahrung aus der Vergangenheit zeigt: Der transatlantische Datenschutz bleibt ein politischer Spielball. Unternehmen sollten deshalb auf alle Eventualitäten vorbereitet sein und sich nicht ausschließlich auf das Data Privacy Framework verlassen. Der Blick sollte verstärkt auf alternative Rechtsmechanismen, europäische Anbieter, sowie zusätzliche technische und organisatorische Maßnahmen gerichtet werden, um sich langfristig gegen zukünftige Unsicherheiten abzusichern.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy