Update zum Artikel vom 23. Januar 2025: Kommission weicht Bedenken zur DPF-Stabilität aus

Fortbestand des DPF bleibt ungewiss; Kommission beantwortet Fragen zur Datensicherheit nur ausweichend. Der Status des Abkommens könnte Gegenstand künftiger Verhandlungen sein; Unternehmen sollten Vorkehrungen treffen. Die Rechtsunsicherheit besteht fort, weitere Entwicklungen sind genau zu beobachten.

Nachdem bereits am 23. Januar 2025 über die Gefahren für das EU-US Data Privacy Framework (DPF) durch politische Entscheidungen in den USA – insbesondere die Entlassung von Mitgliedern des Kontrollgremiums PCLOB – berichtet wurde, hat die Europäische Kommission am 14. April 2025 auf eine entsprechende parlamentarische Anfrage (E-000540/2025) geantwortet. Die veröffentlichte Antwort geht jedoch nur ausweichend auf die Bedenken hinsichtlich der Stabilität des Abkommens ein und vermeidet eine klare Positionierung zu den aufgeworfenen Risiken.

Die Kommission signalisiert, dass sie den Angemessenheitsbeschluss zum DPF vorerst nicht aufheben oder aussetzen wird. Als Hauptgrund führt sie an, dass die US Executive Order 14086 (EO 14086), welche die Grundlage des DPF bildet und Schutzmaßnahmen für EU-Bürgerdaten festlegt, formell weiterhin in Kraft ist. Sie verweist zudem auf die darin verankerten Schutzmaßnahmen wie die Begrenzung der Datenerhebung auf das Notwendige und Verhältnismäßige sowie den eingerichteten Rechtsbehelfsmechanismus durch das Data Protection Review Court.

Diese formale Argumentation steht jedoch im Widerspruch zu den konkreten, besorgniserregenden Entwicklungen, die bereits im Januar thematisiert und in der parlamentarischen Anfrage erneut aufgegriffen wurden:

Unabhängigkeit des PCLOB: Die Entlassung von drei demokratischen Mitgliedern des Privacy and Civil Liberties Oversight Board (PCLOB) durch die Trump-Administration im Januar 2025, was Zweifel an der Unabhängigkeit dieses zentralen Aufsichtsgremiums aufwirft, das für die Überwachung der US-Überwachungsaktivitäten entscheidend ist.

Zugriffe durch "DOGE": Berichte über einen zunehmenden Zugriff der unter Elon Musk neu geschaffenen Behörde "Department of Government Efficiency" (DOGE) auf sensible Regierungsdatenbanken seit Februar 2025. 

Datenschutz bei Strafverfolgung: Daraus resultierende Zweifel, ob der Datenschutz bei Datenübermittlungen im Rahmen der Strafverfolgung (Umbrella Agreement, Europol/Eurojust-Kooperationen) noch angemessen gewährleistet ist. 

Die Kommission geht in ihrer Antwort auf die spezifischen Vorfälle (PCLOB-Entlassungen, DOGE/Musk) nicht direkt ein und beantwortet die gestellten Fragen nur unzureichend:

Zu Frage 1 (Teilt die Kommission die Bedenken zur PCLOB-Unabhängigkeit?): Die Kommission äußert sich nicht dazu, ob sie die bereits im Januar geäußerten Bedenken teilt. Sie gibt lediglich an, die Entwicklungen "genau zu verfolgen" ("closely following") und verweist auf die gesetzliche, parteiübergreifende Struktur des PCLOB.

Zu Frage 2 (Wird der DPF ausgesetzt? Wenn nicht, warum nicht?): Eine Aussetzung wird nicht angekündigt. Die explizit geforderte Begründung für das Unterlassen einer Aussetzung bleibt aus. Die Kommission erwähnt nur ihre generelle Befugnis, den Beschluss bei Bedarf zu überprüfen und gegebenenfalls auszusetzen, zu ändern oder aufzuheben. 

Zu Frage 3 (Ist der Datenschutz bei Strafverfolgungsdaten noch gewährleistet?): Dieser gesamte Aspekt wird in der Antwort der Kommission ignoriert.

Bewertung

Die Antwort beschränkt sich somit auf die Beschreibung des formalen Rechtsrahmens, ohne die bereits im Januar diskutierten und in der Anfrage genannten konkreten Risiken zu bewerten oder die daraus resultierenden direkten Fragen nach ihrer Einschätzung und möglichen Konsequenzen zu beantworten. Insbesondere das Ignorieren der Frage zum Datenschutz im Bereich der Strafverfolgung ist auffällig.

Diese Vorgehensweise lässt Raum für Spekulationen. Möglicherweise laufen hinter den Kulissen Verhandlungen, oder die Kommission möchte sich angesichts der politisch heiklen Lage nicht durch klare Aussagen festlegen und vermeidet es, die (möglicherweise bewusst zugespitzten) Vorwürfe aus der Anfrage direkt zu adressieren. Die im Januar beschriebene fragile Grundlage für transatlantische Datentransfers besteht somit fort.