Zwischen der EU und den USA sollen Daten unkompliziert fließen - unter Einhaltung hoher Schutzstandards. Ist das dafür bestehende Abkommen ausreichend? Ja, sagt das Gericht der EU - und sendet zugleich ein wichtiges Signal.

Wenn es um das Thema Datenschutz geht, sind die rechtlichen Vorgaben in Europa besonders streng. Der Schutz personenbezogener Daten spielt eine große Rolle, ist sogar ein EU-Grundrecht, und wird auch an anderen Stellen der EU-Gesetzgebung hochgehalten, zum Beispiel in der Datenschutzgrundverordnung.

Aber in einer globalisierten Welt endet der Datenfluss nicht an den Außengrenzen der EU, sondern oft auch im Nicht-EU-Ausland, etwa den USA: Server der großen US-Social-Media-Plattformen Facebook oder Instagram stehen dort.

Auch für viele Unternehmen ist der digitale Austausch mit Geschäftspartnern oder eigenen Standorten in den USA Alltag. Und auch die Daten, die Nutzer regelmäßig in der Cloud speichern, schlummern nicht selten auf der anderen Seite des Atlantiks.

Datenpakt soll hohen Schutzstandard sichern

Um regelmäßigen Datentransfer zu vereinfachen und dabei gleichzeitig einen hohen Datenschutzstandard zu gewährleisten, gibt es zwischen der Europäischen Union und den USA eine Art "Datenpakt": Das Data Privacy Framework (DPF) - eine Rahmenvereinbarung, die dafür sorgen soll, dass das hohe Schutzniveau für Daten in der EU auch dann nicht verwässert wird, wenn Daten aus Europa in die USA fließen.

Wenn die EU-Kommission findet, dass der Datenschutz im Ausland auf Augenhöhe mit Europa ist, kann sie das auf dieser Grundlage dann in einem Beschluss feststellen. Das erfordert zum Beispiel, dass es ein Kontrollgremium für den Datenschutz gibt, dass falsche Daten auf Verlangen der Betroffenen gelöscht werden und dass der Zugriff von Geheimdiensten und Behörden beschränkt wird.

Daraufhin hat die EU-Kommission im Sommer 2023 einen solchen sogenannten "Angemessenheitsbeschluss" für die USA erlassen.

Klage auf Nichtigkeit des Beschlusses

Gegen den aktuellen Beschluss für unkomplizierten, aber sicheren Datenaustausch mit den USA hatte der französische Abgeordnete Philippe Latombe vor dem Gericht der Europäischen Union geklagt, aber ohne Erfolg. Das EuG wies die Klage ab. Abgestellt hatte das Gericht dabei auf den Zeitpunkt, als der Beschluss erlassen wurde, also 2023. Damals galt eine Executive Order des damaligen Präsidenten Joe Biden.

Sie ist Teil des gemeinsamen Data Privacy Frameworks und hat ein Gremium, den Data Protection Review Court (DPRC), geschaffen. Gleichzeitig habe dieses Dekret dafür gesorgt, dass der Schutz der Privatsphäre gestärkt wird und der Einfluss der US-Geheimdienste insoweit begrenzt werde. Das galt, wie gesagt, im für die Entscheidung maßgeblichen Jahr 2023.

Fortlaufende Überprüfung der Standards

Ob dieses hohe Datenschutzniveau und diese strengen Vorgaben für die US-Behörden auch unter der Präsidentschaft von Donald Trump noch gelten, hat das Gericht in seinem Urteil nicht geklärt. Es sei aber Sache der EU-Kommission, darauf ein Auge zu haben.

Der hamburgische Datenschutzbeauftragte Thomas Fuchs findet gerade das besonders relevant: "Der wichtigste Punkt des Urteils scheint mir zu sein, dass das Gericht sehr deutlich gemacht hat, dass die Europäische Kommission verpflichtet ist, fortlaufend zu prüfen, ob die Voraussetzungen dieses Angemessenheitsbeschlusses weiterhin bestehen", sagt er. "Und da kann man natürlich angesichts der politischen Situation in den USA seine Zweifel haben."

Neue Situation unter Donald Trump

Tatsächlich hat US-Präsident Trump zuletzt immer wieder die eigentlich rechtlich garantierte Unabhängigkeit bestimmter Institutionen, etwa der US-Zentralbank, ignoriert und politischen Druck auf eigentlich unabhängige Spitzenbeamte ausgeübt.

Im Januar 2025, kurz nach Amtsantritt, entließ der US-Präsident drei demokratische Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB). Das ist ein - wiederum eigentlich unabhängiges - Gremium, das die Aktivitäten der US-Geheimdienste begutachtet und ebenfalls eine wichtige Rolle im Datenschutzregime der USA spielt: Es überwacht und evaluiert das "Datenschutz-Gericht" DPCR. So soll eigentlich eine unabhängige und schnelle Bearbeitung von Beschwerden gewährleistet werden.

Inwieweit solche Vorgänge unter der Präsidentschaft Trumps die Lage verändern, müsse die EU-Kommission nach dem EuG-Urteil ständig neu bewerten. Es ist ein Hinweis, der auch als Signal verstanden werden kann, das Datenschutz-Niveau in den Trump-USA ganz besonders genau zu beobachten.

Der Datenschutz-Aktivist Maximilian Schrems aus Österreich hat selbst schon in Luxemburg die beiden Vorgänger-Regelungen der Datenschutz-Rahmenvereinbarung zu Fall gebracht.

Für ihn ist das heutige Urteil wenig nachvollziehbar, gerade weil die aktuelle Situation in den USA lediglich auf Executive Orders basiere. Diese könne Trump innerhalb von Sekunden aufheben. "Auf dieser Basis zu dem Ergebnis zu kommen 'alles ist gut, alles ist ausreichend' - da muss man schon alle Augen zudrücken, inklusive aller Hühneraugen."

Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke