Zwischen Geopolitik und Gerichtssaal: Die Zukunft des Data Privacy Framework (DPF) wackelt

19. März 2026| Autor: Redaktionsteam|Blog, Datenschutz, Informationssicherheit
© Phaigraphic – stock.adobe.com (editiert) Info Info

Wachsende Unsicherheit: Juristische Schritte gegen das Data Privacy Framework (DPF)

Die neusten Ereignisse um das DPF und eine angespannte geopolitische Lage, vor allem im Hinblick auf die USA, verursachen bei europäischen Unternehmen erneut Verunsicherung bezüglich der transatlantischen Übertragung und Speicherung von Daten insbesondere im Hinblick auf Datenschutz.

Nachdem der Europaabgeordnete Philippe Latombe bereits in 2023 eine Nichtigkeitsklage gegen das DPF eingereicht hatte, wurde das DPF 2025 zunächst vom Gericht der Europäischen Union (EuG) in erster Instanz als gültig erklärt. Zum Zeitpunkt des Angemessenheitsbeschlusses war ein angemessenes Datenschutzniveau gewährleistet. Gegen dieses Urteil hat Latombe jedoch Rechtsmittel eingelegt, was zu einem neuen Grundsatzurteil durch den Europäischen Gerichtshof (EuGH) führen könnte.

Warum Datenübermittlungen in die USA sensibel sind – hier erklärt

Mögliche Gründe für ein Kippen des Data Privacy Framework

Der EuGH hatte bereits die beiden Vorgängerabkommen Safe Harbor und Privacy Shield als ungültig erklärt und damit das Vorliegen eines angemessenen Datenschutzniveaus verneint (Hintergründe). Das erneute Kippen eines transatlantischen Datentransferabkommens zwischen EU und den USA würde sich für Unternehmen unter anderem in Rechtsunsicherheiten bezüglich eingesetzter US-basierter Cloud-Lösungen niederschlagen.

Im Folgenden werden einige Faktoren aufgeführt, die das EuGH dazu veranlassen könnten, den Beschluss des EuG in zweiter Instanz zu kippen.

Politische Instabilität als Risiko für die Zukunft des DPF

Im Juli 2023 entschied die EU das auf einer von Joe Biden eingeführten Executive Order basierende DPF in einem Angemessenheitsbeschluss als Basis einer angemessenen Datenübermittlung zu akzeptieren. Spätestens seit der Aufhebung von fast 80 Executive Orders und Memoranden des ehemaligen Präsidenten Joe Biden durch die Trump Administration sollte jedoch klar sein, dass dies keine Konstellation ist, die zukünftig eine nachhaltige Rechtssicherheit bei der Datenübertragung an US-Unternehmen garantieren kann.

So wie das DPF basiert auch der Data Protection Review Court (DPRC) lediglich auf einer Executive Order und kann damit theoretisch jederzeit vom amtierenden US-Präsidenten gekippt werden. Der DPRC ist ein Instrument, das eingereichte Beschwerden (vor allem im Bereich Zugriff auf Daten durch US-Geheimdienste) untersucht und über diese entscheidet. Die Unabhängigkeit dieser Einrichtung ist also, auch im Hinblick auf den Angemessenheitsbeschluss der EU, von zentraler Bedeutung. Diese Unabhängigkeit ist jedoch, wie der gesamte DPRC, lediglich in der genannten Executive Order verankert.

Dieselbe Executive Order auf der das DPF basiert hat das Privacy and Civil Liberties Oversight Board (PCLOB) mit erweiterten Befugnissen ausgestattet, um die Einhaltung der Bestimmungen des DPF in den Vereinigten Staaten zu überwachen. Dabei liegt ein besonderer Fokus darauf, zu überprüfen, ob die US-Geheimdienste die datenschutzrechtlichen Vorgaben einhalten. Am 22. Januar 2025 veranlasste US-Präsident Donald Trump die Abberufung von drei Mitgliedern (Demokratischen Partei) des PCLOB. Dadurch bleibt das Board nun mit nur einem einzigen Mitglied (Republikanische Partei angehört) zurück und ist folglich nicht mehr beschlussfähig. Dies stellt eine angemessene Überwachung der Einhaltung des DPF grundsätzlich infrage.

Auswirkungen und Lösungsansätze

Ein eventuelles Kippen des Angemessenheitsbeschlusses zum DPF durch das EuGH könnte massive Folgen für Unternehmen haben. Besonders betroffen wären Organisationen, die Cloud-Dienste wie Microsoft 365, Google Cloud oder AWS nutzen, um personenbezogene Daten zu verarbeiten. Ohne gültige Rechtsgrundlage müssten Datenübermittlungen in die USA neu bewertet, mit Alternativmaßnahmen abgesichert oder durch Ausweichlösungen ersetzt werden.

Beides ist in den meisten Fällen mit erheblichen Aufwänden und Kosten für die Unternehmen verbunden.

Eine Alternative wäre hier das Zurückgreifen auf Standarddatenschutzklauseln (SCCs). Für kritische Datenflüsse müssten zusätzlich Transfer-Impact-Assessment (TIA) angefertigt werden. Gegebenenfalls muss die Implementierung von zusätzlichen technischen Maßnahmen geprüft und eingeleitet werden.

Im Bereich der Ausweichlösungen ist ein Umstieg auf europäische Cloud-Lösungen denkbar. Diese können mittlerweile preislich oft gut mit den US-Konkurrenten mithalten!

ÜBRIGENS: Die derzeit unsichere Lage rund um den DPF betrifft zwar in erster Linie personenbezogene Daten. Sollte die EU zu dem Schluss kommen, dass eine sichere Übertragung personenbezogener Daten in die USA nicht mehr gewährleistet ist, stellt sich auch die Frage, welche Folgen dies für die Übertragung anderer sensibler Geschäftsdaten hätte. Hier wäre also nicht nur der Datenschutz, sondern ebenso die Informationssicherheit Ihres Unternehmens betroffen!

Wie Unternehmen sich jetzt vorbereiten können

  • Bestandsaufnahme: Identifizieren, welche sensiblen Daten in die USA übertragen werden und über welche Systeme.
  • Alternativen prüfen: Evaluieren, welche Alternativmaßnahmen oder Ausweichlösungen in Betracht kommen, ermitteln der entsprechenden Aufwände und Vorbereitung auf möglichen Umstieg.
  • Risikoanalysen und technische Schutzmaßnahmen: Prüfen, für welche Datenflüsse ein Transfer-Impact-Assessment notwendig ist und wie technische Schutzmaßnahmen umgesetzt werden können.
  • Know-How als Wettbewerbsvorteil: Datenschutz und DSGVO frühzeitig in der Unternehmensstrategie integrieren, Vendor-LockIns vermeiden durch Kenntnisse über Alternativlösungen.

Warum Datenübermittlungen in die USA so sensibel sind

Die DSGVO verlangt bei der Datenübermittlung an sogenannte „unsichere Drittländer“ bestimmte Maßnahmen zum Schutz der personenbezogenen Daten. Der Grund: Außerhalb der EU gelten oft andere Datenschutzstandards, die nicht immer mit dem europäischen Standard zu vereinbaren sind. Die geforderten Maßnahmen sollen ein vergleichbares Schutzniveau sicherstellen.

Seit dem 10. Juli 2023 existiert das EU-US Data Privacy Framework (DPF), dass die Übermittlung von personenbezogenen Daten an zertifizierte US-Unternehmen erleichtert. Für Unternehmen, die nach dem DPF zertifiziert sind, bestätigt es ein angemessenes Schutzniveau und stützt sich dabei auf einen „Angemessenheitsbeschluss“ der EU. Durch diesen bescheinigt die EU, dass die im DPF vereinbarten Maßnahmen ein mit der DSGVO vergleichbares Sicherheitsniveau ermöglichen (Fragen und Antworten: Datenschutzrahmen EU-USA). Relevant ist hierzu z. B. der Data Protection Review Court (DPRC), der die Wahrung der Betroffenenrechte auch gegenüber den US-Behörden sicherstellen soll.

Zurück zum Artikel

Wer sich näher in das Thema einlesen möchte, findet in den folgenden Quellen Hintergrundinformationen zur Entwicklung der EU‑US‑Datenübermittlungen sowie zu aktuellen und möglichen zukünftigen Fragestellungen:

Plus-circled Plus-circled

Jetzt aktiv werden und Risiken vermeiden

Die frühzeitige Bestandsaufnahme Ihrer Datenflüsse, die Prüfung möglicher Alternativmaßnahmen, die Bewertung notwendiger Risikoanalysen sowie der gezielte Aufbau von Know-how bilden eine solide Grundlage, um auf ein mögliches Wegfallen des DPF vorbereitet zu sein.

Wenn Sie fachliche Unterstützung bei der strukturierten Bewertung dieser Punkte benötigen, begleiten unsere Experten für Datenschutz und Informationssicherheit Sie gerne bei der Analyse und Planung der nächsten Schritte.

Rufen Sie uns an unter +49 6105 70898-00, nutzen Sie unser Kontaktformular oder schreiben Sie uns eine E-Mail an vertrieb@isw-online.de und vereinbaren Sie ein kostenloses Erstgespräch.

SPRECHEN SIE UNS AN