EU-U.S. Data Privacy Framework: formale Rechtssicherheit – materielle Defizite und steigende Risiken für europäische Unternehmen
Mit dem EU-U.S. Data Privacy Framework (DPF) hat die Europäische Kommission im Juli 2023 erneut einen Angemessenheitsbeschluss für Datenübermittlungen in die Vereinigten Staaten erlassen. Nach dem Scheitern von Safe Harbor und Privacy Shield sollte damit ein rechtssicherer Rahmen für den transatlantischen Datenverkehr geschaffen werden.
Unstreitig besteht derzeit eine formale Rechtssicherheit für europäische Datenexporteure. Diese Momentaufnahme darf jedoch nicht darüber hinwegtäuschen, dass die materielle Tragfähigkeit des DPF von Beginn an kritisch diskutiert wurde – und diese Kritik inzwischen eine neue Qualität erreicht hat.
Der maßgebliche Prüfungsmaßstab: „der Sache nach gleichwertig“
Nach ständiger Rechtsprechung des Europäischen Gerichtshofs genügt es nicht, dass ein Drittland irgendein Datenschutzniveau gewährleistet. Erforderlich ist vielmehr ein Schutz personenbezogener Daten, der dem Unionsrecht der Sache nach gleichwertig ist.
Genau an diesem Maßstab setzt die aktuelle fachwissenschaftliche Auseinandersetzung mit dem DPF an. Dabei rückt zunehmend weniger die Existenz formaler Regelungen in den Fokus, sondern deren inhaltliche Reichweite, praktische Durchsetzbarkeit und institutionelle Absicherung.
Fachliche Kritik aus der Datenschutzrechtswissenschaft
Besondere Aufmerksamkeit verdient in diesem Zusammenhang ein Beitrag von Bennet Lindner, Data Compliance Counsel bei der Continental AG, der im Dezember 2025 in der Fachzeitschrift Recht der Datenverarbeitung (RDV 6/2025) erschienen ist. Die RDV wird von einem wissenschaftlichen Herausgeberkreis verantwortet, dem renommierte Hochschullehrer des Datenschutz- und IT-Rechts angehören, und gilt seit Jahren als maßgebliches Forum für die dogmatische Fortentwicklung des Datenschutzrechts.
Der Beitrag untersucht systematisch die Grundsätze des EU-U.S. Data Privacy Framework und kommt zu dem Ergebnis, dass wesentliche Elemente des europäischen Datenschutzrechts nicht in gleichwertiger Weise erreicht werden .
Zentrale strukturelle Schwächen des DPF
Die Analyse legt eine Reihe von Defiziten offen, die aus europäischer Sicht von erheblicher Relevanz sind:
Betroffenenrechte
Informations-, Auskunfts- und Widerspruchsrechte sind im DPF weniger klar und weniger verbindlich ausgestaltet als nach der DSGVO. Fristen, Kostenfreiheit und Umfang der Rechte bleiben teilweise offen oder unterhalb des unionsrechtlichen Standards.
Zweckbindung und Zweckänderung
Während das Unionsrecht Zweckänderungen nur unter engen Voraussetzungen zulässt, erlaubt das DPF deutlich weitergehende Zweckänderungen, ohne eine vergleichbare Berücksichtigung der berechtigten Erwartungen der betroffenen Personen.
Fehlender Grundsatz der Rechtmäßigkeit
Ein zentrales Fundament der DSGVO – die Pflicht, jede Verarbeitung auf eine konkrete Rechtsgrundlage zu stützen – ist im DPF nicht ausdrücklich verankert. In bestimmten Konstellationen führt dies zu einer strukturellen Absenkung des Schutzniveaus.
Durchsetzung und Aufsicht
Die Kontrolle der Einhaltung des DPF liegt maßgeblich bei US-Behörden der Exekutive. Eine institutionelle Unabhängigkeit, wie sie das Unionsrecht fordert, ist nicht in gleicher Weise gewährleistet. Hinzu kommt, dass Sanktionen häufig erst nach vorgelagerter behördlicher Aufforderung greifen.
Relevanz für europäische Unternehmen
Diese Befunde sind keineswegs von rein akademischem Interesse. Für europäische Unternehmen ergeben sich daraus konkrete rechtliche und strategische Risiken:
- Instabilität des Angemessenheitsbeschlusses
Eine erneute Überprüfung durch den EuGH erscheint keineswegs ausgeschlossen. - Fortbestehende Verantwortung der Datenexporteure
Die Nutzung zertifizierter US-Dienstleister entbindet nicht von der eigenen datenschutzrechtlichen Verantwortung. - Eskalationspotenzial durch geopolitische Spannungen
Nationale Sicherheitsinteressen, extraterritoriale Zugriffsrechte und politische Einflussnahmen gewinnen an Bedeutung.
Besondere Sensibilität: US-Cloud- und Zahlungsdienstleister
Besonders kritisch ist die Situation bei US-Cloud-Anbietern und US-amerikanischen Zahlungsdienstleistern. Hier kumulieren personenbezogene Daten, wirtschaftlich hochsensible Informationen und rechtliche Zugriffsmöglichkeiten staatlicher Stellen.
Mit zunehmenden geopolitischen Spannungen steigt das Risiko, dass datenschutzrechtliche Garantien faktisch relativiert werden. Für viele europäische Unternehmen stellt sich daher weniger die Frage, ob das DPF derzeit formal anwendbar ist, sondern wie belastbar es sich unter veränderten politischen Rahmenbedingungen erweist.
Fazit und Ausblick
Die aktuelle fachliche Diskussion zeigt deutlich: Das EU-U.S. Data Privacy Framework erreicht in zentralen Punkten kein Schutzniveau, das dem Unionsrecht der Sache nach gleichwertig ist. Die Kritik kommt dabei nicht mehr nur aus randständigen oder politischen Kontexten, sondern aus der etablierten Datenschutzrechtswissenschaft.
Für europäische Unternehmen bedeutet dies, dass das DPF nicht als dauerhafte Lösung betrachtet werden sollte. Vielmehr sind zusätzliche technische, organisatorische und strategische Vorkehrungen erforderlich – einschließlich der ernsthaften Prüfung europäischer Alternativen und der Vorbereitung auf ein mögliches erneutes Scheitern des Angemessenheitsbeschlusses.
Quelle
Bennet Lindner, Die Grundsätze des EU-U.S. Data Privacy Framework, RDV – Recht der Datenverarbeitung, Heft 6/2025, Dezember 2025.
