Aktuelle Entwicklungen zum EU-U.S. Data Privacy Framework (DPF)
Für IT-Verantwortliche in Banken, Versicherungen sowie KRITIS-Unternehmen steht die rechtskonforme Datenverarbeitung im internationalen Kontext zunehmend unter Druck. Mit dem EU-U.S. Data Privacy Framework (DPF) schien sich nach den EuGH-Urteilen zu Safe Harbor und Privacy Shield endlich ein tragfähiger Rechtsrahmen für den transatlantischen Datentransfer abzuzeichnen.
Doch aktuelle politische und gerichtliche Entwicklungen stellen diese Annahme erneut auf die Probe. Wer personenbezogene Daten von Kunden, Mitarbeitenden oder kritischen Infrastrukturen in US-basierte Cloud-Infrastrukturen überträgt, muss nun genau beobachten, ob der Angemessenheitsbeschluss der EU-Kommission Bestand hat – oder erneut vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht wird.
Hintergrund zur Executive Order 14086
Die Executive Order 14086 („Enhancing Safeguards For United States Signals Intelligence Activities“), unterzeichnet von Präsident Joe Biden am 7. Oktober 2022, stellt die rechtliche Grundlage für das Trans-Atlantic Data Privacy Framework dar. Ziel ist es, die Datenübermittlung zwischen der EU und den USA auf eine neue datenschutzrechtliche Grundlage zu stellen, nachdem die Vorgängerregelungen („Safe Harbor“, „Privacy Shield“) vom EuGH jeweils für unwirksam erklärt wurden.
Weitere Informationen:
- Executive Order 14086 im Federal Register
- US-Justizministerium – Office of Privacy and Civil Liberties zur EO 14086
Politische Entwicklungen unter der Trump-Administration (2025)
Am 20. Januar 2025 kündigte die neue Trump-Administration an, innerhalb von 45 Tagen alle Executive Orders der Vorgängerregierung zu überprüfen und gegebenenfalls aufzuheben – einschließlich der EO 14086. Diese Maßnahme warf erhebliche Unsicherheiten über die künftige Gültigkeit des DPF auf.
Zusätzlich wurden am 27. Januar 2025 drei der fünf Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) entlassen. Dieses unabhängige Gremium ist zentral für die datenschutzrechtliche Überwachung der US-Sicherheitsbehörden. Durch die damaligen Personalentscheidungen war das PCLOB zeitweise nicht arbeitsfähig, was Zweifel an der Wirksamkeit der vorgesehenen Schutzmechanismen für EU-Daten aufwarf.
Gerichtliche Bestätigung des DPF durch den Europäischen Generalgerichtshof (EuG)
Am 3. September 2025 bestätigte der Europäische Generalgerichtshof (EuG) die Gültigkeit des Angemessenheitsbeschlusses der EU-Kommission zum DPF. Die Klage eines französischen Abgeordneten wurde abgewiesen. Die Richter sahen in den neu eingerichteten Schutzmechanismen – insbesondere dem Data Protection Review Court (DPRC) – einen hinreichenden Ausgleich im Sinne der DSGVO.
- Das Urteil schafft derzeit Rechtssicherheit für Unternehmen, die sich auf das DPF stützen.
- Gleichzeitig wurde deutlich, dass der endgültige Bestand des DPF vom noch ausstehenden Verfahren vor dem Europäischen Gerichtshof (EuGH) abhängt.
Eine Berufung vor dem EuGH wurde bereits angekündigt. Die Situation bleibt also rechtlich instabil – mit potenziell weitreichenden Konsequenzen für transatlantische Datentransfers.
Konsequenzen für den Datenverkehr EU–USA
Die politischen und gerichtlichen Entwicklungen könnten – je nach Ausgang vor dem EuGH – zu einer grundlegenden Infragestellung des Angemessenheitsbeschlusses der EU-Kommission führen. Sollte der DPF gekippt werden, wären Übermittlungen personenbezogener Daten in US-Cloudsysteme ohne zusätzliche Schutzmaßnahmen unzulässig – auch unter Verwendung von Standardvertragsklauseln (SCCs).
Das Beratungsunternehmen KPMG weist darauf hin, dass insbesondere kritische Sektoren wie Finanzdienstleister und KRITIS-Unternehmen betroffen wären. Selbst SCCs bieten dann keinen belastbaren Schutz mehr, da US-Unternehmen weiterhin zur Zusammenarbeit mit US-Behörden verpflichtet sind – ohne wirksame Rechtsbehelfe für EU-Bürger. Das verstößt gegen die Grundprinzipien der DSGVO.
Offizielle Informationsquellen zum Data Privacy Framework
- US-Handelsministerium zur Einführung des DPF:
Pressemitteilung zur DPF-Website (Juli 2023) - Offizielle Website des DPF:
https://www.dataprivacyframework.gov/ - Liste zertifizierter US-Unternehmen:
https://www.dataprivacyframework.gov/list - FAQ des Europäischen Datenschutzausschusses (EDPB):
https://www.edpb.europa.eu/…/eu-us-data-privacy-framework-faq-european-individuals_de
Fazit und Handlungsempfehlungen (Stand Anfang 2026)
Das Data Privacy Framework ist aktuell in Kraft und kann als Grundlage für Datenübermittlungen in die USA genutzt werden. Die gerichtliche Bestätigung durch den EuG bietet kurzfristige Stabilität, jedoch keine finale Rechtssicherheit. Eine Überprüfung durch den EuGH steht noch aus.
Empfehlungen für Unternehmen, insbesondere aus KRITIS, Finanz- und Versicherungssektor:
- Dokumentieren Sie Transfer Impact Assessments (TIAs) weiterhin sorgfältig.
- Minimieren Sie neue Transfers in US-Clouds, sofern keine zwingende geschäftliche Notwendigkeit besteht.
- Ergänzen Sie SCCs durch zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung, Anonymisierung, Datenlokalisierung).
- Nutzen Sie europäische Cloud-Lösungen: Renommierte Anbieter wie IONOS, T-Systems, OVHcloud oder spezialisierte Rechenzentrumsdienstleister bieten DSGVO-konforme, hochverfügbare Alternativen – oft mit dedizierter KRITIS-Erfahrung.
Die kommenden Monate bleiben entscheidend. Unternehmen sollten flexible Exit-Strategien vorbereiten und Entwicklungen auf EU- wie US-Seite genau verfolgen.
Update 14.01.2026 – Rechtsgutachten der Universität Köln
Die Universität zu Köln hat bereits am 21. März 2025 im Auftrag der Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, das Rechtsgutachten zur US-Rechtslage zum weltweiten Datenzugriff durch US-Behörden bei Nutzung von Cloud-Diensten vorgelegt.
Danach verfügem US-amerikanische Sicherheitsbehörden weitreichende Herausgabe- und Zugriffsrechte auf Kommunikationsdaten sowie in Clouds gespeicherte Informationen. Der Zugriff auf solche Informationen ist sehr umfassend, wenn sich die Server auf US-Territorium befinden. Aber auch ausländische Server und Cloud-Be-treiber können der Herausgabepflicht unterworfen sein. Nicht in allen Fällen muss dafür ein gerichtlicher Durchsuchungsbeschluss vorliegen. Die Rechtschutzmöglichkeiten gegen eine Herausgabeanordnung sind für europäische Unternehmen eingeschränkt. Darüber hinaus können amerikanische Geheimdienste unter Voraussetzungen, die nicht öffentlich bekannt sind, auf im Ausland gespeicherte Daten auch ohne die Mitwirkung von Cloud-Anbietern zugreifen.
Die Regelungen des CLOUD-Acts stellen klar, dass einem Herausgabeverlangen von US-Strafverfolgungsbehörden auch dann Folge zu leisten ist, wenn die Daten auf einem Server außerhalb der USA gespechert sind. Dies ist auch der Fall, wenn der Server durch eine europäische Tochtergesellschaft eine US-Konzerns betrieben wird, soweit das US-Unternehmen eine Herausgabe der Daten bei der Tochtergesellschaft veranlassen kann.
Die Reichweite der Jurisdiktion US-amerkanischer Gerichte bemisst sich daran, welche Kontakte ein Unternehmen zu den USA pflegt. Bereibt ein europäisches Unternehmen eine Niederlassung in den USA, ist davon auszugehen, dass die US-amerikanischen Gerichte ihre Zuständigkeit über das Unternehmen ausüben werden. Nach den Umständen des Einzelfalls, kann auch das Bestehen geschäftlicher Kontake bereits ausreichend sein.
Während es zwar technisch möglich erscheint, sich vom Datenzugriff auf die Cloud auszuschließend, könnte dies Sanktionen durch US-Gerichte nach sich ziehen. Im US-amerkanischen prozessrecht besteht die Pflicht zur Bereithaltung und Herausgabe von Informationen an die gegnerische Prozesspartei. Wird dieser Pflicht nicht nachgegangen, so können Geldbußen oder sogar Haftstrafen angeordnet werden.
Zusammenfassung des Gutachtens
US-amerikanische Sicherheitsbehörden – sowohl die Nachrichtendienste als auch die Strafverfolgungsbehörden – können auf der Grundlage von Section 702 FISA und Sections 2701-2713 SCA von bestimmten Unternehmen die Herausgabe von in Clouds gespeicherten Informationen verlangen. Section 502 FISA ist auf Cloud Computing und Data Centers hingegen nicht anwendbar. Die Rechts-grudlage zum Abhören von Daten außerhalb der USA auch ohne Mitwirkung der Cloud-Betreiber bietet Executive Order 12.333.
Section 702 FISA findet auf alle Cloud Computing Dienstleister und Data Center Anwendung. Nach dieser Vorschrift müssen US-amerikanische Dienstleister aller Art – also nicht nur Telekommunikationsdienstleister – geheimdienstrelevante Informationen über Nicht-US-Personen, die sich außerhalb der USA befinden, nach einem mehrschrittigen Verfahren an die Sicherheitsbehörden herausgeben.
Dieses Verfahren erfolgt weitgehend ohne nachvollziehbare gerichtliche Überprüfung; nur der unter Ausschluss der Öffentlichkeit tagende FISC erhält die Gelegenheit, die behördliche Anordnung zu bestätigen oder abzulehnen. Zur Anordnung der Herausgabe von Informationen unter Section 702 FISA ist somit grundsätzlich kein richterlicher Durchsuchungsbeschluss erforderlich. Es findet lediglich eine jährliche Zertifizierung durch den FISC statt, die die Rahmenbedigungen der Herausgabeanordnungen festsetzt. Aufgrund dieser mangelnden Rechtsschutzmöglichkeiten hatte der EuGH den Transfer personenbezogener Daten unter dem EU-USA Privacy Shield Abkommen für rechtswidrig befunden.
Die Vorschriften des SCA – insbesondere Section 2703 – finden zweifellos auch extraterritoriell Anwendung. Dies entspricht dem eindeutigen Willen des CLOUD-Act Gesetzgebers. Darüber hinaus ist es ständige Rechtsprechung von US-Bundesgerichten, dass Dokumente auch dann herauszugeben sind, wenn sie sich zwar außerhalb der USA befinden, der Verpflichtete aber die Kontrolle über diese Dokumente hat. Der Begriff der Kontrolle wird dabei weit ausgelegt, sodass jeder leitende Angestellte, der eine Übersendung der Informationen veranlassen kann, über Kontrolle in diesem Sinne verfügt. In Bezug auf Tochterunternehmen ist somit davon auszugehen, dass der Mutterkonzern Kontrolle über diese im Sinne dieser Rechtsprechung hat. US-Gerichte könnten somit anordnen, dass US-Unternehmen ihre ausländischen Tochterunternehmen anweisen, Daten an die Behörden herauszugeben. Kommt der Mutterkonzerne dieser Aufforderung nicht nach, können durch das Gericht Bußgelder sowie strafrechtliche Maßnahmen angeordnet werden.
Der Umfang der Zuständigkeit von US-Gerichten über ausländische Entitäten wird stets von den Umständen des Einzellfalls bestimmt. Generell betrachten die Gerichte dabei den Umfang und die Intensität der Kontakte, die ein bestimmtes Unternehmen mit den USA hat. Dabei wird zwischen general und specific personal jurisdiction unterschieden, wobei die Annahme von general personal jurisdiction intensivere Kontakte mit den USA voraussetzt als specific personal jurisdiction, jedoch dann die Gerichte dazu berechtigt, Klagen aller Art gegen ein Unternehmen zuzulassen.
Es erscheint fraglich, ob eine Herausgabeverpflichtung dadurch vermieden werden kann, dass sich Cloud-Anbieter technisch aus der Cloud ausschließen. Das ist zwar technisch denkbar, z.B. indem der Cloud-Betreiber die Daten verschlüsselt speichert, ohne selbst die Entschlüsselungstechnologie vorzuhalten, sodass nur Dritte, die sich im Besitz dieser Entschlüsselungstechnologie befinden, auf die Daten faktisch zugreifen können. In diesem Fall wäre wohl der Tatbestand der Herausgabepflicht aus dem SCA nicht erfüllt.
Im US-amerikanischem Prozessrecht sind Parteien jedoch dazu verpflichtet, schon vor Beginn eines Rechtsstreits verfahrensrelevante Informationen zu speichern und dem Gericht sowie den anderen Prozessparteien bei Bedarf im Rahmen der Beweisaufnahme zur Verfügung zu stellen. Bei Nichtbefolgung drohen Sanktionen in Form von teils erheblichen Bußgeldern durch die Gerichte.
Quelle: FragDenStaat.de – „Gutachten zu Zugriffsmöglichkeiten von US-amerikanischer Sicherheitsbehörden“
