Die Trump-Regierung stellt mit der Entlassung von Mitgliedern des Privacy and Civil Liberties Oversight Board (PCLOB) die Überwachung des EU-U.S. Data Privacy Framework (DPF) infrage, welches die rechtskonforme Übermittlung personenbezogener Daten aus der EU in die USA ermöglicht. Diese Entscheidungen könnten das Vertrauen der EU in die Einhaltung der Datenschutzstandards erschüttern – mit weitreichenden Folgen für transatlantische Datentransfers.
Politische Entscheidungen bedrohen die Datenschutzaufsicht
Die Trump-Regierung hat kurz nach dem Regierungswechsel am 20. Januar 2025 demokratische Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) zum Rücktritt aufgefordert – ein Schritt, der die Funktionsfähigkeit dieses Kontrollgremiums gefährden könnte. Das PCLOB ist unter anderem zuständig für die Überwachung der Einhaltung der Vorgaben im EU-U.S. Data Privacy Framework (DPF). Es überprüft unter anderem, ob die US-Geheimdienste die Datenschutzanforderungen der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ (Executive Order 14086) einhalten.
Diese Executive Order ist das Herzstück des DPF und regelt den Umgang mit personenbezogenen Daten aus der EU, insbesondere durch die Begrenzung des Zugriffs von US-Geheimdiensten auf das „Notwendige“ und „Verhältnismäßige“. Sollte das PCLOB durch politische Entscheidungen geschwächt werden, könnte dies nicht nur das Vertrauen der EU in die Wirksamkeit des Frameworks untergraben, sondern auch die Grundlage für künftige Datenschutzabkommen infrage stellen.
Die Rolle des PCLOB: Aufsicht für die Einhaltung von Datenschutzstandards
Das PCLOB hat zwei zentrale Aufgaben im Rahmen der Executive Order 14086:
- Überprüfung der Geheimdienstmaßnahmen: Das PCLOB überwacht, ob die von den US-Geheimdiensten implementierten Richtlinien und Verfahren mit den in der Executive Order festgelegten erweiterten Schutzmaßnahmen übereinstimmen. Diese Maßnahmen sollen sicherstellen, dass Datenzugriffe den Prinzipien der Notwendigkeit und Verhältnismäßigkeit entsprechen.
- Jährliche Kontrolle des Beschwerdeverfahrens: Das PCLOB führt, soweit möglich, eine jährliche Überprüfung des in der Executive Order eingerichteten Beschwerdeprozesses durch. Dieser Prozess soll EU-Bürgern eine unabhängige Klärung von Datenschutzverletzungen ermöglichen, einschließlich einer Prüfung durch den “Data Protection Review Court” (DPRC).
Durch diese Aufgaben trägt das PCLOB entscheidend dazu bei, dass die im DPF vereinbarten Standards eingehalten werden – im entsprechenden Angemessenheitsbeschluss der Kommission wird das Gremium 31 mal erwähnt. Ein Funktionsverlust des PCLOB könnte daher erhebliche Zweifel an der Nachhaltigkeit des DPF wecken.
Ein Staatsverständnis, das zu Konflikten führen könnte
Die Entlassung der PCLOB-Mitglieder ist im Kontext eines spezifischen verfassungsrechtlichen Verständnisses der Trump-Regierung zu sehen, das als „Unitary Executive Theory“ (UET) bekannt ist. Diese Theorie besagt, dass der Präsident die alleinige Autorität über die Exekutive besitzt. Unabhängige Kontrollinstanzen innerhalb der Regierung werden als unvereinbar mit dieser Machtposition angesehen. Auch der für die Entscheidung über Beschwerden von EU-Bürgern berufenen Data Protection Review Court dürfte mit dieser Auslegung der US-Verfassung nicht als unabhängiges Gremium bestehen bleiben können, selbst wenn die das DPF stützende „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ bislang bestehen bleibt.
Diese zentrale Durchführungsverordnung wurde zwar bisher nicht aufgehoben. Jedoch soll in einem bis zum 6. März fälligen Bericht des Domestic Policy Council (DPC) und des National Economic Council (NEC) untersucht werden, welche Maßnahmen der vorherigen Regierung aufgehoben, ersetzt oder geändert werden sollten. Dieser Bericht wird darüber entscheiden, ob auch die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ gefährdet ist.
Das vorgenannte Staatsverständnis könnte langfristig mit den europäischen Anforderungen an Datenschutzabkommen kollidieren. Die EU setzt auf starke, unabhängige Kontrollmechanismen und klare rechtliche Schranken, um die Rechte von Einzelpersonen zu wahren. Sollte das PCLOB seine Überwachungsaufgaben nicht mehr wahrnehmen können oder die Executive Order selbst geschwächt werden, könnte dies nicht nur das DPF gefährden, sondern auch die Verhandlungen über zukünftige Datenschutzabkommen unmöglich machen.
Fazit: Fragile Grundlage für transatlantische Datentransfers
Das EU-U.S. Data Privacy Framework hängt entscheidend von der Wirksamkeit und Unabhängigkeit der US-Datenschutzkontrollmechanismen ab. Die jüngsten politischen Entscheidungen und das zugrunde liegende Staatsverständnis werfen jedoch Fragen auf, ob die USA langfristig die Anforderungen der EU erfüllen können. Sollte das PCLOB geschwächt oder die Executive Order 14086 geändert werden, droht nicht nur das Scheitern des DPF, sondern auch das Ende künftiger transatlantischer Datenschutzabkommen.
