1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Data Privacy Framework unter der Lupe: US-Überwachung, Rechtsschutzlücken und Risiko eines Datenschutz-Fiaskos

Data Privacy Framework unter der Lupe: US-Überwachung, Rechtsschutzlücken und Risiko eines Datenschutz-Fiaskos

Veröffentlicht 05.09.2025 10:20, Kim Wehrs

Das sogenannte Data Privacy Framework (DPF) stellt den jüngsten Versuch dar, den Datentransfer zwischen der Europäischen Union und den Vereinigten Staaten auf eine rechtlich sichere Grundlage zu stellen. Es folgt auf die beiden Vorgängerabkommen Safe Harbor und Privacy Shield, die jeweils vom Europäischen Gerichtshof (EuGH) aufgrund unzureichender Garantien für den Schutz personenbezogener Daten für ungültig erklärt wurden. Der zentrale Konfliktpunkt bleibt seit Jahren unverändert: das Spannungsverhältnis zwischen dem hohen europäischen Datenschutzniveau nach der Datenschutz-Grundverordnung (DSGVO) und den weitreichenden Befugnissen amerikanischer Sicherheitsbehörden zur anlasslosen Überwachung.

Eines der Hauptprobleme liegt in den US-amerikanischen Gesetzen, die den Geheimdiensten umfangreiche Zugriffsrechte auf Daten einräumen, unabhängig vom Aufenthaltsort der betroffenen Personen. Das Prinzip der anlasslosen Massenüberwachung steht im klaren Gegensatz zum europäischen Grundrecht auf informationelle Selbstbestimmung. Zwar sieht das DPF neue Mechanismen wie ein „Data Protection Review Court“ vor, um ein gewisses Maß an Rechtsschutz zu gewährleisten. Doch Kritiker bemängeln, dass es sich hierbei nicht um ein unabhängiges Gericht im europäischen Sinne handelt, sondern um ein rein exekutives Gremium innerhalb der US-Administration. Somit bestehen Zweifel, ob Betroffene tatsächlich wirksame Rechtsbehelfe haben, um Eingriffe in ihre Privatsphäre anzufechten.

Hinzu kommt die Problematik automatisierter Entscheidungen. Während die DSGVO ein Recht auf menschliche Überprüfung vorsieht, bleiben Betroffenen in den USA oft nur eingeschränkte Kontrollmöglichkeiten, wenn staatliche Stellen oder private Unternehmen anhand von Algorithmen Entscheidungen über sie treffen. Transparenz, Nachvollziehbarkeit und rechtsstaatliche Garantien sind in diesem Zusammenhang noch immer nicht ausreichend gewährleistet.

Nicht zuletzt wird das DPF auch wegen möglicher Verfahrensfehler kritisiert. Die politische Ausgestaltung erfolgte unter erheblichem Druck, Rechtssicherheit für Unternehmen zu schaffen, die im täglichen Geschäftsverkehr auf den transatlantischen Datenfluss angewiesen sind. Der Schutz individueller Grundrechte könnte dabei erneut unzureichend berücksichtigt worden sein. Schon jetzt deuten mehrere Datenschutzorganisationen an, das Abkommen vor den EuGH zu bringen. Ob das DPF langfristig Bestand haben wird, ist daher fraglich. Das Risiko einer erneuten Ungültigerklärung ist hoch, solange die strukturellen Probleme in der US-Überwachungsgesetzgebung nicht grundlegend adressiert werden.

Reformoptionen für den transatlantischen Datentransfer

Potenzielle Reformoptionen für den transatlantischen Datentransfer umfassen vor allem eine rechtlich unabhängige und effektive Kontrolle der US-Überwachung, etwa durch ein tatsächlich unabhängiges Privacy and Civil Liberties Oversight Board und klare Begrenzungen der Geheimdienstzugriffe auf Daten auf das „Notwendige und Verhältnismäßige“. Zudem sollte ein gerichtlicher, auch für EU-Bürger zugänglicher, Rechtsbehelf garantiert werden, um Entscheidungen über Datenzugriffe wirksam anfechten zu können. Weiterhin könnten ergänzende Mechanismen wie aktualisierte Standarddatenschutzklauseln, verstärkte Anonymisierungstechnologien, eine Ausweitung DSGVO-konformer Cloud-Lösungen in Europa und eine konsequente Umsetzung von Binding Corporate Rules in Unternehmen zu mehr Rechtssicherheit beitragen.

Autor: Wolf-Dietrich Lorenz

Symbolbild: InfiniteFlow / AdobeStock

 


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Die Hacker haben massiv aufgerüstet
IT-Sicherheit & Kritis
AOK Bundesverband

Die Hacker haben massiv aufgerüstet

Selbermachen oder Outtasken?
IT-Sicherheit & Kritis
Abwehr

Selbermachen oder Outtasken?

Starkes Signal für Kinder- und Datenschutz: bvvp begrüßt Neuregelung zur elektronischen Patientenakte (ePA)
IT-Sicherheit & Kritis
bvvp

Starkes Signal für Kinder- und Datenschutz: bvvp begrüßt Neuregelung zur elektronischen Patientenakte (ePA)

DGIM begrüßt Maßnahmen des Hessischen Datenschutzbeauftragten und fordert Opt-out-Lösung
IT-Sicherheit & Kritis
Forschung mit Gesundheitsdaten

DGIM begrüßt Maßnahmen des Hessischen Datenschutzbeauftragten und fordert Opt-out-Lösung

Cyber-Resilienz im Krankenhaus: Warum moderne Kliniken auf Rapid Response setzen
IT-Sicherheit & Kritis
ITsec

Cyber-Resilienz im Krankenhaus: Warum moderne Kliniken auf Rapid Response setzen

Gesundheitswesen: Weniger Angriffe – umfangreichere Ausfälle
IT-Sicherheit & Kritis
Cyber

Gesundheitswesen: Weniger Angriffe – umfangreichere Ausfälle

Lesen Sie hier die neuesten Beiträge

Langfristige Stabilität im Krankenhausbetrieb sichern
IT-Management
Cloud

Langfristige Stabilität im Krankenhausbetrieb sichern

Kliniken treiben Umsetzung der ePA voran – trotz schwieriger Rahmenbedingungen
Digitalisierung
DKG

Kliniken treiben Umsetzung der ePA voran – trotz schwieriger Rahmenbedingungen

Ambitionen feinjustiert: Eine neue Ära im KI-Wettbewerb
IT-Management
LLMs

Ambitionen feinjustiert: Eine neue Ära im KI-Wettbewerb

Diese Webseite verwendet Cookies.   Mehr Info.      oder