Aktuelle Entwicklungen zum EU-U.S. Data Privacy Framework (DPF)
Für IT-Verantwortliche in Banken, Versicherungen sowie KRITIS-Unternehmen steht die rechtskonforme Datenverarbeitung im internationalen Kontext zunehmend unter Druck. Mit dem EU-U.S. Data Privacy Framework (DPF) schien sich nach den EuGH-Urteilen zu Safe Harbor und Privacy Shield endlich ein tragfähiger Rechtsrahmen für den transatlantischen Datentransfer abzuzeichnen.
Doch aktuelle politische und gerichtliche Entwicklungen stellen diese Annahme erneut auf die Probe. Wer personenbezogene Daten von Kunden, Mitarbeitenden oder kritischen Infrastrukturen in US-basierte Cloud-Infrastrukturen überträgt, muss nun genau beobachten, ob der Angemessenheitsbeschluss der EU-Kommission Bestand hat – oder erneut vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht wird.
Hintergrund zur Executive Order 14086
Die Executive Order 14086 („Enhancing Safeguards For United States Signals Intelligence Activities“), unterzeichnet von Präsident Joe Biden am 7. Oktober 2022, stellt die rechtliche Grundlage für das Trans-Atlantic Data Privacy Framework dar. Ziel ist es, die Datenübermittlung zwischen der EU und den USA auf eine neue datenschutzrechtliche Grundlage zu stellen, nachdem die Vorgängerregelungen („Safe Harbor“, „Privacy Shield“) vom EuGH jeweils für unwirksam erklärt wurden.
Weitere Informationen:
- Executive Order 14086 im Federal Register
- US-Justizministerium – Office of Privacy and Civil Liberties zur EO 14086
Politische Entwicklungen unter der Trump-Administration (2025)
Am 20. Januar 2025 kündigte die neue Trump-Administration an, innerhalb von 45 Tagen alle Executive Orders der Vorgängerregierung zu überprüfen und gegebenenfalls aufzuheben – einschließlich der EO 14086. Diese Maßnahme warf erhebliche Unsicherheiten über die künftige Gültigkeit des DPF auf.
Zusätzlich wurden am 27. Januar 2025 drei der fünf Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) entlassen. Dieses unabhängige Gremium ist zentral für die datenschutzrechtliche Überwachung der US-Sicherheitsbehörden. Durch die damaligen Personalentscheidungen war das PCLOB zeitweise nicht arbeitsfähig, was Zweifel an der Wirksamkeit der vorgesehenen Schutzmechanismen für EU-Daten aufwarf.
Gerichtliche Bestätigung des DPF durch den Europäischen Generalgerichtshof (EuG)
Am 3. September 2025 bestätigte der Europäische Generalgerichtshof (EuG) die Gültigkeit des Angemessenheitsbeschlusses der EU-Kommission zum DPF. Die Klage eines französischen Abgeordneten wurde abgewiesen. Die Richter sahen in den neu eingerichteten Schutzmechanismen – insbesondere dem Data Protection Review Court (DPRC) – einen hinreichenden Ausgleich im Sinne der DSGVO.
- Das Urteil schafft derzeit Rechtssicherheit für Unternehmen, die sich auf das DPF stützen.
- Gleichzeitig wurde deutlich, dass der endgültige Bestand des DPF vom noch ausstehenden Verfahren vor dem Europäischen Gerichtshof (EuGH) abhängt.
Eine Berufung vor dem EuGH wurde bereits angekündigt. Die Situation bleibt also rechtlich instabil – mit potenziell weitreichenden Konsequenzen für transatlantische Datentransfers.
Konsequenzen für den Datenverkehr EU–USA
Die politischen und gerichtlichen Entwicklungen könnten – je nach Ausgang vor dem EuGH – zu einer grundlegenden Infragestellung des Angemessenheitsbeschlusses der EU-Kommission führen. Sollte der DPF gekippt werden, wären Übermittlungen personenbezogener Daten in US-Cloudsysteme ohne zusätzliche Schutzmaßnahmen unzulässig – auch unter Verwendung von Standardvertragsklauseln (SCCs).
Das Beratungsunternehmen KPMG weist darauf hin, dass insbesondere kritische Sektoren wie Finanzdienstleister und KRITIS-Unternehmen betroffen wären. Selbst SCCs bieten dann keinen belastbaren Schutz mehr, da US-Unternehmen weiterhin zur Zusammenarbeit mit US-Behörden verpflichtet sind – ohne wirksame Rechtsbehelfe für EU-Bürger. Das verstößt gegen die Grundprinzipien der DSGVO.
Offizielle Informationsquellen zum Data Privacy Framework
- US-Handelsministerium zur Einführung des DPF:
Pressemitteilung zur DPF-Website (Juli 2023) - Offizielle Website des DPF:
https://www.dataprivacyframework.gov/ - Liste zertifizierter US-Unternehmen:
https://www.dataprivacyframework.gov/list - FAQ des Europäischen Datenschutzausschusses (EDPB):
https://www.edpb.europa.eu/…/eu-us-data-privacy-framework-faq-european-individuals_de
Fazit und Handlungsempfehlungen (Stand Anfang 2026)
Das Data Privacy Framework ist aktuell in Kraft und kann als Grundlage für Datenübermittlungen in die USA genutzt werden. Die gerichtliche Bestätigung durch den EuG bietet kurzfristige Stabilität, jedoch keine finale Rechtssicherheit. Eine Überprüfung durch den EuGH steht noch aus.
Empfehlungen für Unternehmen, insbesondere aus KRITIS, Finanz- und Versicherungssektor:
- Dokumentieren Sie Transfer Impact Assessments (TIAs) weiterhin sorgfältig.
- Minimieren Sie neue Transfers in US-Clouds, sofern keine zwingende geschäftliche Notwendigkeit besteht.
- Ergänzen Sie SCCs durch zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung, Anonymisierung, Datenlokalisierung).
- Nutzen Sie europäische Cloud-Lösungen: Renommierte Anbieter wie IONOS, T-Systems, OVHcloud oder spezialisierte Rechenzentrumsdienstleister bieten DSGVO-konforme, hochverfügbare Alternativen – oft mit dedizierter KRITIS-Erfahrung.
Die kommenden Monate bleiben entscheidend. Unternehmen sollten flexible Exit-Strategien vorbereiten und Entwicklungen auf EU- wie US-Seite genau verfolgen.
