US-Cloud-Anbieter im Fokus: Datenschutzrisiken und Handlungsempfehlungen

Verfasst von Otis Benning

Veröffentlicht: 2025-04-30

Die politischen Entwicklungen in den USA könnten das EU-US Data Privacy Framework (DPF) erheblich beeinflussen. Ende Januar 2025 wurden drei demokratische Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) von der Trump-Administration aufgefordert, das Gremium zu verlassen. Diese Entwicklung könnte weitreichende Konsequenzen für die Rechtssicherheit internationaler Datentransfers haben.

  • DPF: Das Data Privacy Framework ist ein Abkommen zwischen der EU und den USA, das die Übermittlung personenbezogener Daten regelt. Es soll sicherstellen, dass europäische Datenschutzstandards auch eingehalten werden, wenn Daten in die USA fließen.

    PCLOB: Das Privacy and Civil Liberties Oversight Board ist eine unabhängige US-Behörde, die überwacht, ob Überwachungsmaßnahmen der US-Regierung die Privatsphäre und Bürgerrechte ausreichend respektieren. Es spielt eine wichtige Rolle bei der Kontrolle der Geheimdienste.

Das EU-US Data Privacy Framework

Das EU-US DPF wurde am 10. Juli 2023 durch einen Angemessenheitsbeschluss der Europäischen Kommission in Kraft gesetzt. Es bietet einen rechtssicheren Rahmen für Datenübermittlungen, der mit den Datenschutzanforderungen der EU, des Vereinigten Königreichs (seit 12. Oktober 2023) und der Schweiz (seit 15. September 2024) im Einklang steht.

Das Framework basiert auf Artikel 45 DSGVO und ermöglicht Datenübermittlungen an US-Unternehmen, die sich selbst zertifiziert haben. Die teilnehmenden Organisationen verpflichten sich zur Einhaltung der DPF-Prinzipien und müssen wirksame Beschwerde- und Durchsetzungsmechanismen implementieren.

  • Angemessenheitsbeschluss: Eine offizielle Entscheidung der EU-Kommission, die bestätigt, dass ein Nicht-EU-Land ein angemessenes Datenschutzniveau bietet. Damit ist die Datenübermittlung in dieses Land ohne weitere Genehmigungen möglich.

    DSGVO: Die Datenschutz-Grundverordnung ist das zentrale EU-Gesetz zum Schutz personenbezogener Daten. Sie gilt seit 2018 und legt fest, wie Unternehmen mit personenbezogenen Daten umgehen müssen.

    Selbstzertifizierung: US-Unternehmen können sich freiwillig beim US-Handelsministerium registrieren und erklären, dass sie die DPF-Prinzipien einhalten. Diese Verpflichtung ist dann rechtlich bindend.

Aktuelle Risiken

Das PCLOB ist eines der zentralen Aufsichtsgremien bestehend aus 5 Mitgliedern, das im Rahmen des DPF mit der Prüfung behördlicher Überwachungspraktiken und dem Schutz der Privatsphäre betraut ist. Die Aufforderung an drei demokratische Mitglieder, das Gremium zu verlassen, gefährdet möglicherweise die politische Unabhängigkeit.

Nach Berichten soll auch das EU-Parlament die EU-Kommission aufgefordert haben zu prüfen, ob sich das DPF unter diesen Umständen weiter trägt. Sollte das Framework ausgesetzt werden, müssten Unternehmen alternative Mechanismen wie Standardvertragsklauseln (SCCs) implementieren.

  • Schutzniveau: Die EU verlangt, dass personenbezogene Daten auch im Ausland ähnlich gut geschützt werden wie in der EU. Wenn dieses Schutzniveau nicht mehr gewährleistet ist, könnte das DPF für ungültig erklärt werden.

    SCCs: Standardvertragsklauseln sind vorgefertigte Vertragsbausteine der EU-Kommission, die in Verträge mit Partnern außerhalb der EU eingebaut werden können. Sie schaffen rechtliche Verpflichtungen zum Schutz der übermittelten Daten.

Was Sie jetzt tun sollten

Die Unsicherheit sollte nicht zu Panik führen. Eine strukturierte Vorgehensweise ist hilfreich:

Kurzfristige Maßnahmen

  • DPF-Status Ihrer US-Dienstleister überprüfen

  • Dokumentation aller Datenflüsse in Drittländer aktualisieren

  • Bei Nicht-DPF-Zertifizierung: Standardvertragsklauseln implementieren

  • DPF-Status prüfen: Auf der offiziellen DPF-Website des US-Handelsministeriums können Sie nachsehen, ob Ihre amerikanischen Dienstleister (wie Cloud-Anbieter) offiziell zertifiziert sind.

    Datenflüsse dokumentieren: Erstellen Sie eine Übersicht darüber, welche personenbezogenen Daten Ihr Unternehmen in welche Nicht-EU-Länder übermittelt und auf welcher rechtlichen Grundlage dies geschieht.

    Drittländer: So werden in der Datenschutz-Fachsprache alle Länder außerhalb der EU/des EWR bezeichnet.

Mittelfristige Maßnahmen

  • Transfer Impact Assessment (TIA) durchführen

  • Technische Schutzmaßnahmen implementieren

  • Datenschutz-Folgenabschätzung aktualisieren

  • TIA: Ein Transfer Impact Assessment ist eine Risikobewertung für internationale Datentransfers. Sie analysieren dabei, ob im Empfängerland Risiken für die übermittelten Daten bestehen und welche zusätzlichen Schutzmaßnahmen nötig sind.

    Technische Schutzmaßnahmen: Dies umfasst etwa Verschlüsselung (die Daten werden so codiert, dass sie nur mit einem Schlüssel lesbar sind) oder Pseudonymisierung (Daten werden so verändert, dass sie ohne zusätzliche Informationen nicht mehr einer Person zugeordnet werden können).

    Datenschutz-Folgenabschätzung: Eine strukturierte Analyse der Risiken einer Datenverarbeitung für die Rechte und Freiheiten betroffener Personen. Sie ist bei risikoreichen Verarbeitungstätigkeiten gesetzlich vorgeschrieben.

Langfristige Strategie

  • Cloud-Strategie überdenken (europäische Anbieter, hybride Modelle)

  • Datenminimierung anwenden

  • Rechtliche Entwicklungen kontinuierlich beobachten

  • Vorbereitung einer Exit-Strategie (Suche nach EU-Alternativen)

  • Europäische Cloud-Anbieter: Diese unterliegen vollständig der DSGVO und bieten daher oft mehr Rechtssicherheit bei der Verarbeitung personenbezogener Daten als US-Anbieter.

    Hybride Modelle: Eine Kombination aus lokaler IT-Infrastruktur und Cloud-Diensten, wobei sensible Daten oft lokal oder in der EU verbleiben.

    Datenminimierung: Eines der Grundprinzipien der DSGVO - es sollen nur die Daten verarbeitet werden, die für den jeweiligen Zweck wirklich erforderlich sind.

Fazit

Das EU-US Data Privacy Framework steht aktuell vor erheblichen Herausforderungen. Unternehmen sollten proaktiv handeln, um ihre Datenübermittlungen rechtskonform zu gestalten. Das finanzielle Risiko durch DSGVO-Verstöße ist hoch – in Deutschland wurde bereits ein Bußgeld von 35 Millionen Euro verhängt.

Eine umfassende Datenschutz-Compliance-Strategie ist unerlässlich. Spezialisierte Dienstleister wie wir können dabei unterstützen. Mit professioneller Begleitung lassen sich notwendige Maßnahmen wie die Bestellung eines Datenschutzbeauftragten, die Durchführung von Audits und Analysen sowie die Erstellung verpflichtender Dokumentationen effizient umsetzen. Dies schützt nicht nur vor Bußgeldern, sondern stärkt auch das Vertrauen von Kund:innen und Geschäftspartner:innen.

Durch die Beauftragung von Expert:innen können Sie sich auf Ihr Kerngeschäft konzentrieren, während Ihre Datenschutz-Compliance professionell und zuverlässig sichergestellt wird.

Empfohlen
Lena Olschewski

Lena Olschewski
Senior Manager Business Development and Compliance
lena.olschewski@kerberos-cms.com
+49 221 65088968

Otis Benning
Weiter

Make-or-Buy: Geldwäschebeauftragte für KVGen effizient organisieren