Data-Privacy Framework: Warum der EU-US-Datentransfer wieder wackelt – aber nicht sofort kippt

Der US Supreme Court stellt die Unabhängigkeit der Federal Trade Commission in Frage – und damit einen Baustein des EU-US Data Privacy Framework. Für Unternehmen ist das kein Grund zur Panik, wohl aber ein Anlass, Transfer Impact Assessments, Datenflüsse und Ausweichmechanismen nüchtern zu überprüfen.

Bild: Getty Images / Credits:

Transatlantische Datenübermittlungen gehören zu den operativen Grundlagen moderner Unternehmens-IT. Cloud-Dienste, CRM-Systeme, Sicherheitsplattformen, Kollaborationssoftware, Support-Prozesse und zunehmend auch KI-Anwendungen sind häufig auf Anbieter, Infrastruktur oder Konzerngesellschaften in den USA angewiesen. Genau deshalb trifft jede neue Unsicherheit rund um das EU-US Data Privacy Framework nicht nur Datenschutzabteilungen, sondern auch CIOs, CISOs, Rechtsabteilungen und Vorstände.

Auslöser der aktuellen Debatte ist die Entscheidung des US Supreme Court in Trump v. Slaughter vom 29. Juni 2026. Das Gericht erklärte die gesetzlichen Beschränkungen für die Abberufung von Mitgliedern der Federal Trade Commission für verfassungswidrig. Damit stärkt es die Kontrolle des Präsidenten über eine Behörde, die im EU-US Data Privacy Framework eine zentrale Rolle bei der Durchsetzung von Zusagen zertifizierter US-Unternehmen spielt.

Das Framework gilt weiter – die politische Flanke ist aber offener

Für Unternehmen ist zunächst entscheidend: Weder der Angemessenheitsbeschluss der EU-Kommission vom Juli 2023 noch das darauf beruhende EU-US Data Privacy Framework sind durch das Urteil automatisch außer Kraft gesetzt. Datenübermittlungen an zertifizierte US-Organisationen können weiterhin auf den Angemessenheitsbeschluss gestützt werden, solange die EU-Kommission ihn nicht aussetzt oder aufhebt oder der Europäische Gerichtshof ihn nicht für nichtig erklärt.

Gleichzeitig verschiebt die Entscheidung die Risikobewertung. Die EU-Kommission hatte das angemessene Schutzniveau der USA unter anderem mit institutionellen Garantien, Rechtsbehelfen und Aufsicht begründet. Die FTC ist dabei für die Durchsetzung der DPF-Verpflichtungen gegenüber teilnehmenden Unternehmen relevant. Wenn ihre Unabhängigkeit gegenüber der US-Regierung rechtlich schwächer erscheint, kann dies die Argumentationsbasis des Angemessenheitsbeschlusses belasten.

Datenschutzorganisationen wie noyb dürften diesen Punkt nutzen, um politischen Druck auf die EU-Kommission aufzubauen und eine neue gerichtliche Überprüfung anzustoßen. Praktisch wäre der Weg jedoch lang. Bereits im September 2025 hatte das Gericht der Europäischen Union die Klage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss abgewiesen. Das Gericht bestätigte dabei, dass die USA zum Zeitpunkt des Kommissionsbeschlusses ein angemessenes Datenschutzniveau boten. Ein Rechtsmittel zum Europäischen Gerichtshof läuft; eine schnelle Entscheidung ist nicht zu erwarten.

Warum die Unsicherheit auch Unternehmen betrifft

Die Relevanz für die Unternehmenspraxis liegt weniger in einem unmittelbaren Transferstopp als in der Governance. Viele Unternehmen stützen US-Transfers nicht ausschließlich auf das Data Privacy Framework, sondern kombinieren den Angemessenheitsbeschluss mit Standardvertragsklauseln, Binding Corporate Rules, ergänzenden technischen Maßnahmen oder gruppeninternen Transfermechanismen. In Transfer Impact Assessments verweisen sie jedoch häufig ebenfalls auf die Schutzmechanismen des US-Rechtsrahmens, einschließlich FTC, Data Protection Review Court und Privacy and Civil Liberties Oversight Board.

Genau hier entsteht Handlungsbedarf. Wenn ein Transfer Impact Assessment (TIA; Folgenabschätzung für internationale Datenübermittlungen) die Unabhängigkeit oder Wirksamkeit dieser Institutionen als tragendes Element der Risikoabwägung nennt, sollte es überprüft und gegebenenfalls aktualisiert werden. Das ist kein außergewöhnlicher Vorgang: TIAs müssen ohnehin regelmäßig angepasst werden, etwa bei neuen Dienstleistern, geänderten Datenkategorien, neuen Subprozessoren, veränderten Rechtslagen oder neuen Zugriffsszenarien.

“Technische Tenant-Analysen, regelmäßige Re-Scans, die Bewertung neuer Funktionen und die laufende Beobachtung regulatorischer Entwicklungen schaffen die Transparenz, die Organisationen heute benötigen”, weiß Rechtsanwalt Wilfried Reiners, Geschäftsführer der PRW Legal Tech GmbH aus München. Für unsere Schwesterpublikation CRN hat er das aktuelle Urteil zur Causa Trump versus Slaughter eingeordnet.

Image
Description
“Man sollte eines klar auseinanderhalten: Die Rechtslage hat sich bislang nicht geändert. Das Data Privacy Framework gilt weiterhin.” – Wilfried Reiners, GF bei PRW Legal Tech (Bildquelle: LinkedIn)

Für CIOs und CISOs ist die Frage daher nicht, ob die Nutzung von US-Technologie kurzfristig beendet werden muss. Realistischer ist die Frage, ob Datenflüsse, Vertragsgrundlagen, Verschlüsselungsmodelle, Zugriffskontrollen und Exit-Szenarien so dokumentiert sind, dass das Unternehmen auf eine mögliche Verschärfung der Rechtslage reagieren kann. Besonders relevant sind geschäftskritische SaaS-Dienste, Security-Operations-Plattformen, Cloud-Backups, HR-Systeme, Supportzugriffe aus den USA und KI-Dienste, bei denen personenbezogene oder vertrauliche Unternehmensdaten verarbeitet werden.

Keine Panik, aber auch kein Wegsehen

Die Debatte nach Trump v. Slaughter zeigt ein bekanntes Muster: Juristische Unsicherheit wird schnell zum Anlass für pauschale Warnungen vor dem Ende transatlantischer Datenflüsse. Eine solche Zuspitzung greift zu kurz. Das Framework bleibt in Kraft, eine gerichtliche Aufhebung wäre nicht kurzfristig zu erwarten, und selbst bei einer späteren Nichtigerklärung stünden Unternehmen nicht automatisch ohne jede Rechtsgrundlage da.

Nach Safe Harbor und Privacy Shield hat sich gezeigt, dass Unternehmen zwar rechtlich nachsteuern mussten, der transatlantische Datenaustausch aber nicht praktisch zum Erliegen kam. Standardvertragsklauseln, zusätzliche Schutzmaßnahmen und risikobasierte Einzelfallprüfungen blieben zentrale Instrumente. Auch der Europäische Gerichtshof verlangt in der Schrems-II-Rechtsprechung keine pauschalen Verbote, sondern eine konkrete Bewertung des jeweiligen Transfers und gegebenenfalls zusätzliche Garantien.

Gleichwohl wäre es fahrlässig, die politische Dimension zu unterschätzen. Das Data Privacy Framework beruht auf einem Zusammenspiel aus US-Regierungszusagen, institutionellen Kontrollmechanismen und der laufenden Überwachung durch die EU-Kommission. Wenn einzelne Bausteine politisch oder rechtlich unter Druck geraten, steigt der Dokumentations- und Begründungsbedarf auf Unternehmensseite.

Was Unternehmen jetzt prüfen sollten

Unternehmen sollten zunächst Transparenz über ihre relevanten Datenflüsse herstellen. Dazu gehören eine aktuelle Übersicht über US-Empfänger, DPF-Zertifizierungen, eingesetzte Subprozessoren, Datenkategorien, Zwecke der Verarbeitung und mögliche Zugriffsszenarien durch US-Behörden oder Supporteinheiten.

Zweitens sollten bestehende Transfer Impact Assessments überprüft werden. Wo die Bewertung auf institutionelle Garantien wie FTC, Data Protection Review Court oder PCLOB verweist, sollte dokumentiert werden, ob und wie die SCOTUS-Entscheidung die Risikoabwägung beeinflusst. Nicht jede Übermittlung ist gleich kritisch: Sensible personenbezogene Daten, große Datenmengen, Kommunikationsinhalte, Beschäftigtendaten oder besonders vertrauliche Geschäftsinformationen verdienen eine strengere Betrachtung als geringrisikobehaftete Routineverarbeitungen.

Drittens sollten Unternehmen technische und organisatorische Schutzmaßnahmen belastbar beschreiben. Dazu zählen Verschlüsselung mit kundenseitiger Schlüsselkontrolle, Pseudonymisierung, Datenminimierung, Rollen- und Rechtekonzepte, Protokollierung, regionale Datenhaltung, Beschränkung von Fernzugriffen und klare Eskalationsprozesse bei Behördenanfragen.

Viertens ist ein realistischer Notfallplan sinnvoll. Dazu gehört nicht zwingend der sofortige Wechsel auf europäische Anbieter. Unternehmen sollten aber wissen, welche Systeme geschäftskritisch sind, welche Alternativen existieren, welche Vertragsfristen gelten und welche Daten bei einem Anbieterwechsel migriert oder gelöscht werden müssten.

Rechtsrisiko als Teil der IT-Resilienz

Trump v. Slaughter macht das EU-US Data Privacy Framework nicht über Nacht unwirksam. Die Entscheidung verschärft aber die Fragen, auf denen der nächste große Streit über transatlantische Datentransfers aufbauen dürfte: Wie unabhängig sind US-Aufsichts- und Rechtsbehelfsmechanismen tatsächlich? Wie tragfähig ist der Angemessenheitsbeschluss, wenn sich die US-Rechtslage verändert? Und wie gut sind Unternehmen vorbereitet, falls der EuGH den Rahmen in einem späteren Verfahren enger zieht oder kippt?

Für Enterprise-IT ist die Lehre pragmatisch: Nicht Panik, sondern belastbare Governance ist gefragt. Wer seine US-Transfers kennt, Rechtsgrundlagen dokumentiert, TIAs aktuell hält und technische Schutzmaßnahmen nachvollziehbar umsetzt, reduziert Datenschutzrisiken und stärkt die strategische Resilienz der eigenen IT-Landschaft.

“Natürlich ist es sinnvoll, die eigenen Datenflüsse zu prüfen, zu dokumentieren und rechtlich abzusichern”, schreibt Tim Wytibul, Partner bei Latham & Watkins, in seiner Einordnung der Situation auf LinkedIn. Er erinnert daran, dass dies "inhouse machbar” sei und habe “wenig mit der SCOTUS-Entscheidung zu tun – es galt auch vorher schon.”

Image
Description
Tim Wybitul ist Global Vice Chair der Privacy & Cyber Practice und ein führender Anwalt für Daten-, Cyber- und Technologierecht. (Bildquelle: Latham & Witkins)