EU-US Datentransfer: US-Urteil bedroht Data Privacy Framework

von | 06.07.2026 | Internet

Der transatlantische Datenaustausch steht (mal wieder) auf wackligen Beinen. Diesmal kommt der Stoß nicht aus Luxemburg vom EuGH, sondern aus Washington: Ein aktuelles Urteil des US Supreme Court zur Unabhängigkeit der US-Handelsbehörde FTC könnte das EU-US Data Privacy Framework (DPF) in seinen Grundfesten erschüttern.

Was zunächst nach trockenem US-Verfassungsrecht klingt, hat handfeste Konsequenzen für deutsche Unternehmen. Denn ohne funktionierende Durchsetzung in den USA verliert das Abkommen seine Geschäftsgrundlage. Ich erkläre euch, was passiert ist, warum das kein juristisches Randthema ist und wie ihr euer Unternehmen jetzt absichern solltet.

US-Urteil zur FTC-Unabhängigkeit: Was ist passiert?

Der Reihe nach: Das EU-US Data Privacy Framework ist seit 2023 die rechtliche Grundlage dafür, dass europäische Unternehmen personenbezogene Daten in die USA übertragen dürfen. Es ist der Nachfolger von Safe Harbor und Privacy Shield – beide wurden vom Europäischen Gerichtshof gekippt.

Ein zentraler Baustein des DPF ist die Federal Trade Commission (FTC). Sie ist die US-Behörde, die kontrolliert, ob amerikanische Unternehmen ihre Selbstverpflichtungen gegenüber europäischen Datenschützern einhalten. Damit die EU-Kommission die USA überhaupt als „sicheres Drittland“ einstufen konnte, musste die FTC als unabhängige Aufsichtsbehörde agieren – frei von direkter Weisung durch den US-Präsidenten.

Genau diese Unabhängigkeit hat der Supreme Court laut aktuellen Berichten nun infrage gestellt. Nach einer Analyse auf heise.de und datensicherheit.de könnte das Urteil dazu führen, dass die FTC künftig stärker unter Kontrolle der Exekutive steht. Damit fällt eine der Kernvoraussetzungen weg, auf denen der Angemessenheitsbeschluss der EU-Kommission fußt.

Datenschutzexperten warnen, dass Datenschutzaktivist Max Schrems und seine Organisation noyb bereits in den Startlöchern stehen dürften. Nach Schrems I und Schrems II könnte ein „Schrems III“ das DPF endgültig kippen – diesmal mit Argumenten, die direkt aus den USA geliefert wurden.

GDPR-Auswirkungen: Warum deutsche Unternehmen betroffen sind

Fast jedes deutsche Unternehmen nutzt US-Dienste. Microsoft 365, Google Workspace, AWS, Salesforce, Zoom, Slack – die Liste ist endlos. Alle diese Dienste stützen sich derzeit auf das Data Privacy Framework, um Daten rechtssicher zu verarbeiten.

Fällt das DPF, sind Unternehmen wieder da, wo sie nach dem Schrems-II-Urteil 2020 standen: Sie müssen auf Standardvertragsklauseln (SCC) zurückgreifen und für jeden einzelnen Datentransfer ein sogenanntes Transfer Impact Assessment durchführen. Das ist aufwendig, teuer und rechtlich unsicher.

Besonders heikel: Datenschutzbehörden in Deutschland könnten Datentransfers dann als unzulässig einstufen und Bußgelder verhängen. Wir reden hier von potenziell empfindlichen Strafen nach DSGVO – bis zu vier Prozent des weltweiten Jahresumsatzes. Und das trifft nicht nur Großkonzerne, sondern jeden Mittelständler mit Cloud-Anbindung in die USA.

EU-US Datentransfer: Was sollten Unternehmen jetzt tun?

EU-US Datentransfer,Datenschutz,DSGVO,Data Privacy Framework,IT-Compliance

Panik ist nicht angesagt – aber Handeln. Noch gilt das DPF, und ein möglicher Kippprozess würde Monate, wenn nicht Jahre dauern. Trotzdem solltet ihr die Zeit nutzen, um euer Unternehmen krisenfest aufzustellen.

  • Dateninventar erstellen: Welche personenbezogenen Daten fließen an welche US-Dienstleister? Ohne diese Übersicht ist alles Weitere Blindflug.
  • Rechtsgrundlagen prüfen: Auf welcher Basis findet der Transfer aktuell statt? DPF? SCC? Bindende interne Datenschutzvorschriften?
  • Alternativen evaluieren: Gibt es europäische Anbieter für kritische Prozesse? Ionos, Nextcloud, OVHcloud oder Open Telekom Cloud sind mögliche Optionen.
  • Standardvertragsklauseln vorbereiten: Fällt das DPF, braucht ihr sofort abgeschlossene SCC mit US-Dienstleistern.
  • Verschlüsselung einsetzen: Ende-zu-Ende-Verschlüsselung, bei der nur ihr die Schlüssel haltet, entschärft das Problem technisch.

Besonders der letzte Punkt ist unterschätzt: Wenn US-Behörden zwar theoretisch Zugriff verlangen könnten, technisch aber nur verschlüsselten Datensalat bekommen, sinkt das Risiko erheblich. Anbieter wie Tuta, Proton oder verschlüsselte Container in Cloud-Diensten sind hier praktische Lösungen.

Data Privacy Framework: Welche politischen Folgen drohen?

Das Ganze ist mehr als ein Datenschutzproblem. Es zeigt, wie abhängig Europa von US-Infrastruktur ist – und wie schnell diese Abhängigkeit zum Risiko wird. Jedes Mal, wenn die USA innenpolitisch ihre Regeln ändern, wackelt in Europa die Rechtsgrundlage für digitales Arbeiten.

Die Debatte um digitale Souveränität bekommt dadurch neuen Schwung. Verwaltung und Unternehmen fragen sich zunehmend, ob sie wirklich alle kritischen Prozesse in US-Hände legen sollten. Der Bundesbeauftragte für den Datenschutz und viele Landesdatenschutzbeauftragte fordern seit Jahren mehr europäische Alternativen – jetzt könnten sie Rückenwind bekommen.

Wie geht es weiter mit dem EU-US Datentransfer?

Ob das DPF tatsächlich kippt, ist noch offen. Aber die Wahrscheinlichkeit ist gestiegen – und wer die letzten zehn Jahre transatlantischen Datenschutz beobachtet hat, weiß: Es ist nicht die Frage, ob das nächste Framework fällt, sondern wann.

Für euch bedeutet das: Baut jetzt Redundanzen auf. Nicht panisch alle US-Dienste rauswerfen, aber Alternativen kennen, Verträge vorbereiten und kritische Daten technisch absichern. Wer 2020 nach Schrems II hektisch reagieren musste, weiß, wie unangenehm das ist.

Datenschutz ist kein bürokratisches Ärgernis, sondern zunehmend ein Standortfaktor. Unternehmen, die früh auf europäische Lösungen setzen oder ihre Datenflüsse sauber dokumentieren, haben im Ernstfall einen echten Wettbewerbsvorteil. Der Rest wird gerade auf dem falschen Fuß erwischt – wieder mal.