Im Westen viel Neues?

Die zweite Amtseinführung von Donald Trump und ein Wirbelwind aus Executive Orders (Durchführungsverordnung) führen zurzeit zu Unsicherheiten. Steht das Swiss-U.S. Data Privacy Framework (Datenschutzrahmen) vor dem Aus? Könnte es schon bald nicht mehr zulässig sein, Daten in die USA zu übertragen oder generell mit amerikanischen Unternehmen Daten auszutauschen?

Der Datenschutzrahmen (Swiss-U.S. Data Privacy Framework) zwischen der Schweiz und der USA ermöglicht einen sicheren Austausch von Personendaten zwischen der Schweiz und zertifizierten US – Unternehmen. Zertifizieren können sich diejenigen Unternehmen, welche bestimmte vorgegebene Datenschutzmassnahmen und Datenschutzgarantien einhalten. Auf Basis dieses Abkommens hat der Bundesrat entschieden, dass zertifizierte US-Unternehmen einen angemessenen Schutz für den Austausch von Personendaten bieten und Daten an diese übertragen werden dürfen. Mit Bundesratsbeschluss vom 14. August 2024 wurde die USA im Rahmen des Abkommens auf die Liste der Länder mit angemessenem Datenschutz gesetzt (vgl. Anhang 1 zur Datenschutzverordnung).

Auf der Grundlage dieses sogenannten Angemessenheitsbeschlusses setzt sich der vorliegende Blog-Post mit der Frage auseinander, ob sich aus einer rechtlichen Sicht an dessen Grundlage etwas geändert hat. Der Post soll ebenfalls dabei unterstützen, zu entscheiden, ob etwas und wenn ja was nun zu tun ist.

Rechtliche Einordnung der Geschehnisse seit Donald Trumps Amtseintritt

Damit Daten an ein Unternehmen in die USA übertragen werden dürfen, muss das Unternehmen zertifiziert sein. Diese Zertifizierung wird jährlich überprüft[1]. Das U.S. Department of Commerce («DoC») beaufsichtigt die zertifizierten Unternehmen, indem es Stichproben durchführt, um zu überprüfen, ob sich das Unternehmen an die Datenschutz-Grundsätze hält. Bestehen aus Schweizer Sicht Zweifel daran, kann jede Person via den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten («EDÖB») Beschwerden an die International Trade Administration (ITA) des DoC richten oder ein Auskunftsbegehren stellen. Daneben ist es auch möglich (und vom EDÖB auch ermutigt), dass die betroffene Person ihre Fragen oder Bedenken zuerst direkt an das entsprechende Unternehmen richtet oder eine Beschwerde an eine vom Unternehmen bezeichnete unabhängige Beschwerdestelle richtet. Mehr Informationen dazu sowie ein Musterformular finden sich auf der Website des EDÖB. Im Anschluss hat die betroffene Person unter Umständen die Möglichkeit, ein Schiedsgericht anzurufen. Die weitere Beschreibung des Rechtswegs würde den Rahmen dieses Blogposts sprengen, weiterführende Informationen finden sich in der Beurteilung der Angemessenheit des Bundesamts für Justiz, beim EDÖB und der ITA.[2]

Damit sich eine Organisation zertifizieren kann, muss diese der Gerichtsbarkeit der Federal Trade Commission («FTC») unterstehen. Die FTC verfügt über Ermittlungs- und Durchsetzungskompetenzen und kann somit überprüfen, ob ein Unternehmen die geforderten Datenschutzgrundsätze einhält.

Der FTC fehlen zurzeit zwei Mitglieder, denn Präsident Trump hat die zwei demokratischen Mitglieder abgesetzt, ohne sie zu ersetzen. Die drei übrigen Mitglieder gehören der republikanischen Partei an und von Gesetzes wegen dürfen nicht mehr als drei Personen derselben Partei angehören. Diese Absetzung wird als Überschreitung der präsidialen Kompetenzen kritisiert und es wurden Befürchtungen laut, dass die EU (und in Folge auch die Schweiz) als Reaktion das EU-US Data Privacy Framework aufkünden würde. Michael McGrath, der EU-Kommissar für Demokratie, Justiz, Rechtsstaatlichkeit und Verbraucherschutz, liess jedoch verlauten, dass die EU-Kommission entschlossen sei, am Data Privacy Framework festzuhalten.[3] Die FTC betonte, dass die Absetzung der Mitglieder nichts am Vorgehen der Kommission ändern würde und hängige Klagen gegen Big Tech wie die Meta-Plattformen, Amazon oder Microsoft weiterverfolgt würden.[4] «In terms of holding Big Tech accountable, we are moving full steam ahead (…). That was true before and it is still true.»[5]

Sollte eine Person in der Schweiz von einer Datenschutzverletzung durch ein amerikanisches Unternehmen betroffen sein, steht ihr der beschriebene Beschwerdeweg offen. Als Einzelperson kann dem FTC zwar Meldung einer Rechtsverletzung gemacht werden[6], dieses behandelt aber keine individuellen Beschwerden. Die Kommission sammelt diese Meldungen, um generelle Trends festzustellen und Ermittlungsziele festzulegen.[7] Damit hat die Unterbesetzung der FTC keinen Einfluss auf den Rechtsweg, dieser steht für Betroffene unverändert offen. Wohl vor allem deswegen sahen weder die EU noch die Schweiz darin bislang einen Grund, den Angemessenheitsbeschluss der EU oder der Schweiz zu revidieren.

Interessant anzumerken ist, dass im Moment noch unklar ist, ob die Unterbesetzung einen Einfluss auf Beschlüsse hat, welche die FTC in unterbesetzter Konstellation trifft und ob diese gegebenenfalls wiederholt werden müssen, sollte der Supreme Court zu einem späteren Zeitpunkt entscheiden, dass die Absetzungen nicht rechtmässig waren. Ebenso wird im Moment gerichtlich erst getestet, ob die Entlassungen einen Einfluss auf hängige Gerichtsverfahren haben könnten. Im Auge behalten werden sollten auch die Entwicklungen zu Präsident Trumps Executive Order 14125 («Ensuring Accountability for All Agencies»). Damit soll die Regulierungs-Praxis sämtlicher Bundesbehörden vereinheitlicht werden. Unter diese Executive Order fallen explizit auch sogenannte independent regulatory agencies (unabhängige Regulierungsbehörden), wie eben die FTC.[8] Bemerkenswert ist auch, dass der Supreme Court entschieden hat, die Entlassung der demokratischen Vorstandsmitglieder anderer Bundesbehörden vorläufig zu bestätigen.[9] Wir werden diese Entwicklungen weiterhin beobachten.

Darüber hinaus entliess Präsident Trump auch die drei demokratischen Vorstandsmitglieder des Privacy and Civil Liberties Oversight Board («PCLOB»). Es handelt sich dabei um eine unabhängige Behörde innerhalb der Exekutive, welche sicherstellen soll, dass die Bemühungen der US-Regierung zur Terrorismusbekämpfung mit dem Schutz der Privatsphäre und der bürgerlichen Freiheiten im Einklang stehen[10]. Ein erstinstanzliches Gericht beurteilte diese Entlassungen als unzulässig und liess die zwei demokratischen Mitglieder wieder einsetzen.[11] Ein höheres Gericht bestätigte die Entlassungen nun jedoch, wohl auch mit Blick auf den vorläufigen Entscheid des Supreme Court.[12] Da die Behörde so nur noch aus dem einen verbleibenden republikanischen Vorstandsmitglied besteht, verfügt sie nicht mehr über das nötige Quorum, um Entscheide zu fällen. Es ist unklar, welche Konsequenzen dies für die Tätigkeiten der Behörde hat. Ein Hinweis kann vielleicht geben, dass in einem 2023 veröffentlichten Bericht betreffend die Reform des Section 702 des Foreign Intelligence Surveillance Act, die Behörde zum ersten Mal keine gemeinsame Meinung veröffentlichten und die republikanischen Vorstandsmitglieder im selben Bericht eine Mindermeinung publizierten. Der damalige demokratische US-Präsident Biden ist im Übrigen in einem Kernthema der Meinung der Republikaner gefolgt, welche wiederum nicht der (zumindest damalig geäusserten) Ansicht von Donald Trump entspricht.[13] Es geht also unter Umständen weniger um die Gefahr, Behördenmitglieder zu haben, die blind die Meinung des Präsidenten vertreten, als dass es generell wichtig ist, einen Sachverhalt aus mehreren Blickwinkeln zu beleuchten.

Das PCLOB, welches nota bene seit seiner Gründung 2007 über weite Strecken nicht über das nötige Quorum verfügte[14], verfasst Berichte zuhanden der Öffentlichkeit (kürzlich zum Beispiel einen Bericht über Gesichtserkennungstechnologie am Flughafen[15]) und kann Empfehlungen an die Regierungs- und Strafverfolgungsbehörden oder an die Ausschüsse des Kongresses und den Präsidenten abgeben. Im Gegensatz zum FTC hat diese Behörde jedoch keine Durchsetzungskompetenzen. Das PCLOB ist auch ein Aufsichtsorgan im Zusammenhang mit der Executive Order 14086 (Enhancing Safeguards for United States Signals Intelligence Activities). Diese Executive Order legt Schutzmassnahmen fest, um sicherzugehen, dass nachrichtendienstlichen Massnahmen nicht weitergehen, als was erforderlich und verhältnismässig ist und setzt Verpflichtungen der USA im Rahmen des EU-US-Datenschutzrahmens um. Es ist wichtig zu betonen, dass diese Executive Order auch weiterhin in Kraft ist und Donald Trump sich nicht dahingehend geäussert hat, diese aufheben zu wollen. Das PCLOB überprüft die Umsetzung und Wirksamkeit dieser Datenschutz- und Bürgerrechtsgarantien bei nachrichtendienstlichen Aktivitäten. Es überprüft ausserdem jährlich das Rechtsbehelfsverfahren des Data Protection Review Court (mehr dazu sogleich) und wirkt bei der Auswahl der Richter:innen des Datenschutzgerichts mit. Über die Tätigkeiten des Gerichts verfasst es einen klassifizierten Bericht an den Geheimdienst-Ausschuss des Kongresses sowie einen nicht klassifizierten Bericht für die Öffentlichkeit.

Bei Verdacht auf Verstösse gegen die Executive Order 14086 kann der Rechtsweg beschritten werden. Dieser führt zuerst zum Civil Liberties Protection Officer des Office of the Director of National Intelligence (CLPO) und kann anschliessend an ein Gericht, das Data Protection Review Court («DPRC»)[16] weitergezogen werden. Auch eine betroffene Person in der Schweiz kann an den CLPO bzw. an das DRPC gelangen, wenn sie vermutet, dass US-Nachrichtendienste unrechtmässig Zugriff auf ihre Daten genommen haben. Auch hierzu gibt es ein Musterformular des EDÖB.

Neben dem PCLOB gibt es diverse weitere Aufsichtsorgane, welche die Nachrichtendienste überwachen. So muss zum Beispiel jeder Nachrichtendienst über hochrangige Rechtsberater und Aufsichtsbeauftragte verfügen, welche die Einhaltung des geltenden nationalen Rechts überwachen, bei jeder Strafverfolgungsbehörde und Nachrichtendienst gibt es einen sog. Privacy and Civil Liberty Officer welche sich für die Privatsphäre und bürgerlichen Freiheiten einsetzen und dem Kongress Bericht erstatten. Daneben gibt es auch Generalinspektor:innen welche unter anderem die Auslandaufklärung überwachen. Diese sind unabhängig und führen Audits und Untersuchungen der Aktivitäten des jeweiligen Nachrichtendienstes durch. Ferner gibt es auch Ausschüsse des Kongresses (House and Senate Intelligence and Judiciary Committees) die die Auslandsaufklärung beaufsichtigen.

Dadurch dass der Rechtsweg für eine Person in der Schweiz unabhängig vom PCLOB besteht ist fraglich, ob die Absetzung der demokratischen Mitglieder des PCLOB unmittelbare Konsequenzen hat. Damit hat sich an der rechtlichen Ausgangslage für den Angemessenheitsbeschluss des Bundesrats nichts geändert. Die EU-Kommission verfolge die aktuellen Entwicklungen betreffend das PCLOB, sehe im Moment aber keinen Anlass dazu, den Angemessenheitsbeschluss aufzuheben.[17] «It is my expectation, because of the mutual benefits that it provides for European companies, for American companies, that there is a willingness on both sides of the Atlantic to continue with this» (Mc Grath, EU-Kommission).[18] Die Kommission sprach sich auch am 1. April 2025 vor dem EU Gericht im Fall «Latombe gegen die Kommission»[19] für das EU-US Data Privacy Framework aus und bekräftigte, dass die amerikanischen Behörden die nötigen Strukturen und Prozesse vorgesehen haben, damit das Data Privacy Framework tatsächlich wirksam ist.[20] Ein Vertreter der Kommission betonte, dass das US-Recht die Möglichkeiten der amerikanischen Überwachungsbehörden, durch Massenüberwachungsmassnahmen auf personenbezogene Daten aus der EU zuzugreifen, begrenzt und erinnerte daran, dass EU-Bürger weiterhin die Möglichkeit haben, beim DPRC Rechtsmittel gegen Verstösse ihrer Datenschutzrechte einzulegen. Sie hob hervor, dass die bestehenden Schutzmechanismen als ausreichend erachtet werden. Das Urteil im Fall Latombe ist noch ausstehend und kann an den EU-Gerichtshof weitergezogen werden.

Wie das Dargestellte zeigt, beruht der Angemessenheitsbeschluss (abgesehen von Themen, die ausserhalb dieses Artikels liegen) auf mehreren Elementen und betroffene Personen in der Schweiz werden durch diverse Instanzen geschützt. Die Rolle der medial derzeit thematisierten Punkte darf dabei nicht überschätzt werden. Die Beurteilung der Angemessenheit beruht auf diversen Kriterien, welche zu Recht nicht ohne Weiteres als gegeben betrachtet werden dürfen und immer wieder kritisch hinterfragt oder auf ihre Aktualität überprüft werden müssen. Sollte der Bundesrat zum Schluss kommen, dass sich an seinen zugrunde liegenden Einschätzungen grundlegend etwas geändert haben sollte, müsste er den Angemessenheitsbeschluss zurückziehen. Wie sich an dieser Auslegung gezeigt hat, gibt es aber momentan keine solchen grundlegenden Änderungen.

Und nun – wie weiter?

Die USA und die Schweiz bzw. Europa beäugen sich kritisch. Es darf nicht vergessen werden, dass auch Amerika ein grosses Interesse daran hat, dass die entsprechenden Data Privacy Frameworks bestehen bleiben. Gemäss der National Law Review stützen sich rund 2’800 US-Firmen darauf.[21]

Zurzeit gibt es denn auch keine Indizien dafür, dass das Data Privacy Framework aufgekündigt werden könnte. Handlungen der aktuellen amerikanischen Regierung, welche durchaus kritisch beurteilt werden können, haben aus rechtlicher Sicht die Bedingungen für den Angemessenheitsbeschluss nicht verändert. Im Moment muss daher auch nichts unternommen werden und unser Rat ist, dass abgewartet werden darf. Wir unterstützen gerne mit einem Monitoring dabei, die Situation zu überwachen.

Grundsätzlich gilt zudem, dass es immer ratsam ist, Business-Continuity-Massnahmen zu treffen. Jüngste Stromausfälle in Spanien oder auch im Wallis erinnern daran, dass selbst ohne jeden Datentransfer nach Amerika dafür gesorgt sein soll, dass ein Back-Up für Daten besteht.

[1] BJ, Beurteilung der Angemessenheit – Vereinigte Staaten, S: 6.

[2] Beurteilung der Angemessenheit – Vereinigte Staaten: Schaffung eines Datenschutzrahmens für die Übermittlung von Personendaten von der Schweiz an zertifizierte Organisationen in den Vereinigten Staaten (Swiss-U.S. Data Privacy Framework) – Beurteilung der Angemessenheit des Datenschutzes, 2024, S. 10 f.

[3] https://iapp.org/news/a/european-commissioner-discusses-eu-us-data-privacy-framework-potential-gdpr-reform (zuletzt besucht am 16.05.2025).

[4] https://www.reuters.com/legal/us-ftc-firings-could-put-consumer-rulings-legal-limbo-2025-03-20/ (zuletzt besucht am 16.05.2025); https://fortune.com/2025/03/12/trump-ftc-microsoft-antitrust-probe-ai-openai-meta-amazon/ (zuletzt besucht am 16.05.2025).

[5] https://www.reuters.com/legal/us-ftc-firings-could-put-consumer-rulings-legal-limbo-2025-03-20/ (zuletzt besucht am 16.05.2025).

[6] https://reportfraud.ftc.gov/ (zuletzt besucht am 16.05.2025).

[7] https://www.dataprivacyframework.gov/program-articles/How-to-Submit-a-Complaint-Relating-to-a-Participating-Organization%E2%80%99s-Compliance-with-the-DPF-Principles (zuletzt besucht am 16.05.2025).

[8] https://www.govinfo.gov/content/pkg/USCODE-2023-title44/pdf/USCODE-2023-title44-chap35-subchapI-sec3502.pdf (zuletzt besucht am 16.05.2025); https://natlawreview.com/article/data-balance-political-influence-eu-us-data-transfers?amp (zuletzt besucht am 16.05.2025).

[9] https://www.nytimes.com/2025/05/22/us/supreme-court-trump-agency-firings.html

[10] https://www.pclob.gov/About/HistoryMission

[11] https://www.nytimes.com/2025/05/21/us/politics/civil-liberties-oversight-board-trump-firings.html (zuletzt besucht am 26.05.2025).

[12] https://news.bloomberglaw.com/litigation/trumps-firing-of-federal-privacy-board-democrats-reinstated; Travis LeBlanc, et al v. United States Privacy and Civil Liberties, et al, Docket No. 25-05197 (D.C. Cir. May 29, 2025), Court Docket

[13] https://www.cato.org/blog/house-fisa-fight-final-stage?utm_source=social&utm_medium=email&utm_campaign=Cato%20Social%20Share

[14] https://www.politico.com/news/2025/05/21/judge-rules-on-trump-firings-at-surveillance-watchdog-agency-00362379 (zuletzt besucht am 26.05.2025).