US-Präsident Trump beendete die gleichberechtigte Zusammenarbeit zwischen US-Unternehmen mit europäischen Unternehmen im Rahmen des EU-US Data Privacy Framework. Dieses regelte den Schutz personenbezogener Daten beim Transfer zwischen EU und USA. Welche Konsequenzen das für deutsche Unternehmen haben könnte und was diese und die öffentliche Verwaltung tun sollten, erklärt Ecovis-Datenschutzexperte Karsten Neumann in Rostock.

USA als entscheidender IT-Dienstleister

Das transatlantische Datenabkommen, also das EU-US Data Privacy Framework (DPF), sollte eine stabile Grundlage für den Austausch personenbezogener Daten zwischen der EU und den USA schaffen. Für alle deutschen Unternehmen und Behörden sind IT-Dienstleister mit Hauptsitz in den USA ein wesentlicher Partner für die Verarbeitung von Informationen. Die europäischen Vertretungen der US-Unternehmen sind meist in Irland ansässig. Die Probleme dabei:

• Die USA haben unbeschränkte Zugriffsrechte auf alle personenbezogenen Daten aus Europa.
• Die irische Datenschutz-Aufsichtsbehörde ist nicht in der Lage, die US-amerikanische Rechtslage zu ändern.

Folglich erfüllen die USA nicht das europäische Datenschutzrecht mit Anforderungen an die IT-Sicherheit der Unternehmen und Behörden. Damit hat das EU-US DPF der Europäischen Kommission keinen Bestand mehr.

Auswirkungen der amerikanischen Rechtslage auf deutsche Unternehmen und Behörden

Die USA sind nunmehr nach dem europäischen Datenschutzrecht als Drittland einzuordnen. Ein Unternehmen und seine Dienstleistung wären nur zulässig, wenn eine der Anforderungen aus den Artikeln 44 bis 49 der Datenschutz-Grundverordnung zutrifft. Unter diesen Voraussetzungen müssen viele deutsche beziehungsweise europäische Unternehmen bestehender Verträge mit US-Unternehmen neu verhandeln, um die zusätzlichen Risiken zu berücksichtigen. „Und das geht nur mit zusätzlichen Kosten“, weiß Karsten Neumann, „denn auch weiterhin bleibt jedes Unternehmen und jede Behörde in Europa verantwortlich für seine datenschutzrechtliche Verarbeitung personenbezogener Daten.“

Wie wird Europa reagieren?

Die EU will sich gesetzlich um eine Regulierung der Datenschutzeingriffe durch KI bemühen. Hierzu gibt es ein umfassendes Paket an gesetzgeberischen Initiativen, auf die die Mitgliedsstaaten reagieren müssen, etwa den Daten-Governance-Rechtsakt. Dieser wurde bereits 2022 verabschiedet. Zudem forderte die Kommission einen freien und sicheren Datenverkehr mit Drittländern, wobei allerdings Ausnahmen und Beschränkungen zur öffentlichen Sicherheit, zur öffentlichen Ordnung und zu anderen berechtigten Zielen des Gemeinwohls in der Union im Einklang mit internationalen Verpflichtungen, auch den Grundrechten, zu beachten sind. Die europäischen und deutschen Datenschutzaufsichtsbehörden haben bereits die sich ergebenden Anforderungen für Unternehmen und Behörden erarbeitet und veröffentlicht. Zudem will die EU-Kommission jährlich eine Milliarde Euro aus ihren Programmen „Digitales Europa“ und „Horizont Europa“ in KI investieren.

Welche Optionen hat der deutsche Mittelstand?

Unternehmen sollten sorgfältig prüfen, ob ihre Datentransfers den Anforderungen der DSGVO entsprechen und gegebenenfalls auf alternative Maßnahmen zurückgreifen, etwa Standardvertragsklauseln. Unternehmen und Behörden sollten zudem ihre Datenschutzhinweise anpassen und eine Datenschutzfolgenabschätzung bei der geplanten Nutzung von KI bei hohen Sicherheitsrisiken durchführen oder finanzieren können.

Die amerikanische Abschottung könnte allerdings auch positive Effekte nach sich ziehen. „Unternehmen, die in der Vergangenheit stark von den USA als Abnehmer abhängig waren, sollten prüfen, ob Märkte in anderen Teilen der Welt, die als Drittländer ein für Europa angemessenes Datenschutzniveau bieten, für ihre Zwecke alternative Absatzmöglichkeiten oder Dienstleistungen bieten können. Darüber hinaus können Kooperationen mit anderen Unternehmen eventuell Synergien schaffen und langfristig auch die eigene Wettbewerbsfähigkeit stärken“, rät Neumann.