Die Zukunft der KI-Regulierung in Europa: Herausforderungen und Chancen

Die fortdauernde Debatte um den transatlantischen Datentransfer

‍

Mit dem Transatlantic Data Protection Framework (TADPF) geht die anhaltende Diskussion über Datenschutz, Datensicherheit und den grenzüberschreitenden Datenverkehr zwischen der EU und den USA in eine neue Runde. Zuvor waren bereits zwei Abkommen – "Safe Harbor" und das "Privacy Shield" – von europäischen Gerichten gekippt worden. Maßgeblich daran beteiligt war der österreichische Datenschutzaktivist Max Schrems, dessen Klagen zu den Urteilen Schrems I und Schrems II führten. Nun steht eine mögliche dritte Auseinandersetzung – oft als Schrems III bezeichnet – im Raum.

Rückblick: Safe Harbor und Privacy Shield

Ursprünglich sollten „Safe Harbor“ (2000) und später das „Privacy Shield“ (2016) den Datenverkehr zwischen Europa und den USA vereinfachen. Beide Ansätze scheiterten jedoch, weil Gerichte entschieden, dass sie den europäischen Datenschutzansprüchen nicht gerecht wurden. Der Hauptkonflikt liegt dabei in den weitreichenden Überwachungsbefugnissen der US-Geheimdienste, die nach US-Recht zulässig sind, mit dem europäischen Verständnis von Privatsphäre aber schwer vereinbar scheinen.

FISA 702: Warum EU-Daten trotzdem nicht sicher sind

Ein zentrales Problem bleibt FISA 702, ein US-Gesetz, das Geheimdiensten Zugriff auf Daten gewährt, wenn diese Informationen für Nachrichtenzwecke als relevant gelten. Diese Befugnis gilt insbesondere für ausländische Personen, darunter auch EU-Bürgerinnen und -Bürger. Der Vierte Verfassungszusatz, der US-Bürgern weitreichende Schutzrechte einräumt, greift hier nicht in gleichem Maße – was nach europäischem Recht als problematisch gilt.

Kritiker bemängeln, dass die US-Seite den Begriff „Verhältnismäßigkeit“ anders definiert als europäische Instanzen. Infolgedessen bleibt das Risiko bestehen, dass personenbezogene Daten von EU-Bürgern unter Bedingungen verarbeitet werden, die von der DSGVO nicht gedeckt sind.

TADPF: Neuer Anlauf, alte Sorgen?

Mit dem TADPF versuchen Europa und die USA, einen rechtssicheren Rahmen für den Datenaustausch zu schaffen. Auf den ersten Blick ähnelt das Regelwerk jedoch stark seinen Vorgängern. Neue Elemente, etwa eine unabhängige Beschwerdestelle, sollen für mehr Datenschutz sorgen. Dennoch kritisieren viele Experten, dass die zugrunde liegenden Überwachungsgesetze in den USA unverändert bleiben.

Max Schrems hat bereits angekündigt, er werde erneut rechtlich gegen diesen Rahmen vorgehen, wenn die US-Praxis weiterhin im Widerspruch zu zentralen Grundsätzen der DSGVO stehe. Ein rasches Ende dieser Auseinandersetzungen ist daher nicht in Sicht.

Was das für europäische Unternehmen bedeutet

Europäische Firmen, die auf US-Anbieter setzen – sei es für Cloud-Lösungen, Marketing-Tools oder andere digitale Services – müssen besonders wachsam sein. Schon der Datentransfer an einen Server in den USA kann problematisch werden, wenn die rechtliche Grundlage dafür nicht DSGVO-konform ist. Zusätzliche Verträge (etwa Standardvertragsklauseln) oder offizielle Angemessenheitsbeschlüsse reichen oft nur bedingt aus, wenn US-Gesetze wie FISA 702 eine breitere Überwachung ermöglichen.

Unternehmen sollten regelmäßig prüfen, welche Dienste sie in Anspruch nehmen und ob es europäische Alternativen gibt, die ein vergleichbares Leistungsspektrum bieten. Auch die Frage nach Serverstandorten ist entscheidend: Viele Anbieter ermöglichen inzwischen europäische Datenzentren, in denen Inhalte lokal verarbeitet und gespeichert werden.

Ausblick

Ob das TADPF einer gerichtlichen Prüfung in der EU standhält, bleibt abzuwarten. Angesichts der großen Bedeutung des Datenschutzes ist jedoch wahrscheinlich, dass Gerichte in absehbarer Zeit erneut über die Rechtmäßigkeit transatlantischer Datentransfers entscheiden werden.

Für europäische Unternehmen heißt das:

• Sie müssen sich weiter intensiv mit Datenschutz fragen befassen und in ihrem Technologie-Stack nur jene Lösungen einsetzen, die kompatibel zur DSGVO sind.
• Eine gründliche Dokumentation aller Datenströme und eine laufende Überwachung neuer rechtlicher Entwicklungen sind dabei unverzichtbar.
• Letztlich geht es nicht nur um Rechtskonformität, sondern auch um den Schutz sensibler Kunden- und Mitarbeiterdaten – und damit um das Vertrauen, das diese in das Unternehmen setzen.