Das Wichtigste auf einen Blick
Der im Juli 2023 verabschiedete Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF) steht 2026 zusammenlaufenden politischen, rechtlichen und operativen Risiken gegenüber. Die Executive Order 14086 bildet die Grundlage des Frameworks, ist jedoch anfällig für politische Verschiebungen in den USA. Schrems-III-Verfahren könnten eine dritte Ungültigerklärung auslösen – nach Safe Harbor und Privacy Shield. Datenschutzteams, die grenzüberschreitende Übermittlungen über mehrere Gesellschaften hinweg verwalten, brauchen Rückfallmechanismen, zentralisierte Verarbeitungsverzeichnisse und automatisierte Rezertifizierung, um ihre Compliance-Bereitschaft unabhängig vom Schicksal des DPF aufrechtzuerhalten.
Definitionen
Was ist das EU-US Data Privacy Framework (DPF)?
Das EU-US Data Privacy Framework ist eine Angemessenheitsregelung, die von der Europäischen Kommission am 10.07.2023 nach Artikel 45 der DSGVO verabschiedet wurde. Sie ermöglicht die Übermittlung personenbezogener Daten aus der EU an zertifizierte US-Organisationen, ohne zusätzliche Übermittlungsgarantien wie Standardvertragsklauseln zu erfordern. Das Framework ersetzte das für ungültig erklärte EU-US Privacy Shield. Quelle: Europäische Kommission — EU-US-Datenübermittlungen
Was ist ein Angemessenheitsbeschluss nach der DSGVO?
Ein Angemessenheitsbeschluss ist eine Feststellung der Europäischen Kommission nach Artikel 45 DSGVO, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet, das dem innerhalb der EU garantierten im Wesentlichen gleichwertig ist. Angemessenheitsbeschlüsse erlauben den freien Fluss personenbezogener Daten in das Drittland ohne zusätzliche Garantien.
Was ist die Executive Order 14086?
Die Executive Order 14086, unterzeichnet am 07.10.2022, führte verbesserte Schutzvorkehrungen für die US-amerikanischen Signalaufklärungsaktivitäten ein und schuf das Data Protection Review Court (DPRC) als Rechtsbehelfsmechanismus für Personen aus der EU. Die Europäische Kommission nannte diese Schutzvorkehrungen als Grundlage für den DPF-Angemessenheitsbeschluss. Quelle: EDSA — Informationsvermerk zu EU-US-Datenübermittlungen
Was sind Standardvertragsklauseln (SCC)?
Standardvertragsklauseln sind von der Europäischen Kommission nach Artikel 46 Abs. 2 Buchst. c DSGVO verabschiedete, vorab genehmigte Vertragsbestimmungen, die geeignete Garantien für internationale Datenübermittlungen bieten. SCC dienen als primärer Rückfall-Übermittlungsmechanismus, wenn kein Angemessenheitsbeschluss vorliegt.
Was ist ein Transfer Impact Assessment (TIA)?
Ein Transfer Impact Assessment ist eine nach dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18) erforderliche Bewertung, mit der festgestellt wird, ob der rechtliche Rahmen des Empfängerlandes einen im Wesentlichen gleichwertigen Schutz wie in der EU bietet. TIA müssen für jede Übermittlung durchgeführt werden, die sich auf SCC oder andere Mechanismen nach Artikel 46 stützt. Quelle: EDSA-Empfehlungen 01/2020
Häufig gestellte Fragen
Wie ist der aktuelle Status des EU-US Data Privacy Framework im Jahr 2026?
Der im Juli 2023 verabschiedete DPF-Angemessenheitsbeschluss bleibt in Kraft, steht aber vor seiner folgenreichsten Überprüfungsphase. Drei Risikovektoren laufen zusammen: politisches Risiko durch mögliche Änderungen an der Executive Order 14086, rechtliches Risiko durch erwartete Schrems-III-Verfahren von Organisationen wie noyb und operatives Risiko durch den im Framework verankerten jährlichen Überprüfungsmechanismus. Die periodische Überprüfung der Europäischen Kommission beurteilt, ob die USA weiterhin angemessenen Schutz nach Artikel 45 DSGVO gewährleisten.
Was ist Schrems III und könnte es das DPF für ungültig erklären?
Schrems III bezeichnet erwartete rechtliche Verfahren mit dem Argument, dass die Executive Order 14086 dem im Schrems II (Rechtssache C-311/18) festgelegten Standard der „wesentlichen Gleichwertigkeit“ des EuGH nicht genügt. Der EuGH erklärte zuvor Safe Harbor 2015 (Schrems I, Rechtssache C-362/14) und Privacy Shield 2020 (Schrems II) für ungültig. Laut der IAPP haben Datenschutz-Organisationen wie noyb öffentlich ihre Absicht angekündigt, das DPF vor dem EuGH anzufechten.
Was sollten Datenschutzteams tun, um sich auf eine mögliche Ungültigerklärung des DPF vorzubereiten?
Datenschutzteams sollten: (1) aktuelle Verzeichnisse von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) führen, die alle grenzüberschreitenden Datenflüsse abdecken; (2) Standardvertragsklauseln mit Transfer Impact Assessments als Rückfallmechanismen implementieren; (3) Rezertifizierungs-Workflows automatisieren, um rasche Aktualisierungen über alle Gesellschaften hinweg zu ermöglichen; und (4) die Dokumentation zentralisieren, sodass Übermittlungsmechanismen aus einer einzigen verlässlichen Datenquelle aktualisiert werden können. Die EDSA-Empfehlungen 01/2020 bieten detaillierte Leitlinien zu zusätzlichen Massnahmen für internationale Übermittlungen.
Wie viele Übermittlungsbewertungen könnten auf eine mittelständische Organisation zukommen, wenn das DPF für ungültig erklärt wird?
Eine mittelständische Organisation mit 15 Gesellschaften und über 200 Verarbeitungstätigkeiten könnte mit über 500 einzelnen Übermittlungsbewertungen konfrontiert werden – gemäss Schätzungen, die auf der Arbeit von Priverion mit Datenschutzteams in Unternehmensgruppen beruhen. Jede Verarbeitungstätigkeit, an der ein in den USA ansässiger Auftragsverarbeiter oder Unterauftragsverarbeiter beteiligt ist, würde nach den Leitlinien des EDSA ein separates Transfer Impact Assessment erfordern.
Was ist der jährliche Überprüfungsmechanismus des DPF?
Nach Artikel 45 Abs. 3 DSGVO muss die Europäische Kommission Angemessenheitsbeschlüsse periodisch überprüfen. Das DPF umfasst einen jährlichen Überprüfungsmechanismus, bei dem die Kommission beurteilt, ob die USA weiterhin angemessenen Schutz gewährleisten. Jeder Überprüfungszyklus schafft operative Unsicherheit für Organisationen, die sich auf den Angemessenheitsbeschluss stützen, da die Kommission den Beschluss jederzeit aussetzen, ändern oder aufheben könnte.
Was geschah mit Safe Harbor und Privacy Shield?
Safe Harbor wurde vom EuGH im Oktober 2015 in Schrems I (Rechtssache C-362/14) für ungültig erklärt, da festgestellt wurde, dass die US-amerikanischen Massenüberwachungsprogramme keinen angemessenen Schutz bieten. Privacy Shield wurde im Juli 2020 in Schrems II (Rechtssache C-311/18) für ungültig erklärt, da festgestellt wurde, dass die US-Überwachungsgesetze, insbesondere FISA Abschnitt 702, mit den EU-Grundrechten unvereinbar sind. Beide Urteile sind auf EUR-Lex verfügbar.
Statistiken und Quellen
Laut der IAPP ist die globale Datenschutzbranche auf über 500'000 Fachkräfte angewachsen, was die zunehmende Komplexität der Compliance bei grenzüberschreitenden Datenübermittlungen widerspiegelt. Die Empfehlungen 01/2020 des EDSA skizzieren einen sechsstufigen Prozess zur Bewertung und Ergänzung von Übermittlungsmechanismen – ein Prozess, der für jeden Datenfluss wiederholt werden muss, wenn ein Angemessenheitsbeschluss für ungültig erklärt wird. Zwei frühere EU-US-Angemessenheitsregelungen wurden vom EuGH für ungültig erklärt: Safe Harbor 2015 und Privacy Shield 2020. Laut der Europäischen Kommission waren bis 2024 über 5'300 US-Organisationen unter dem DPF zertifiziert. Der jährliche Überprüfungsmechanismus des DPF nach Artikel 45 Abs. 3 DSGVO bedeutet, dass der Angemessenheitsstatus nie dauerhaft ist – er erfordert kontinuierliche Überwachung und operative Bereitschaft.
Vergleich: EU-US-Übermittlungsmechanismen
| Mechanismus | Rechtsgrundlage | Status (2026) | Zentrales Risiko | Rückfall erforderlich? |
|---|
| EU-US Data Privacy Framework (DPF) | Angemessenheitsbeschluss nach Artikel 45 DSGVO | Aktiv, in Überprüfung | Schrems-III-Verfahren; Rücknahme der EO 14086 | Ja — SCC + TIA empfohlen |
| Standardvertragsklauseln (SCC) | Artikel 46 Abs. 2 Buchst. c DSGVO | Aktiv | Erfordert Transfer Impact Assessment pro Datenfluss | Zusätzliche Massnahmen können erforderlich sein |
| Verbindliche interne Datenschutzvorschriften (BCR) | Artikel 47 DSGVO | Aktiv | Genehmigungsverfahren von 18–24 Monaten | Zusätzliche Massnahmen können erforderlich sein |
| Ausnahmeregelungen (Art. 49) | Artikel 49 DSGVO | Aktiv (begrenzter Anwendungsbereich) | Nicht geeignet für systematische/wiederholte Übermittlungen | Entfällt — nur im Einzelfall |