Grenzüberschreitende Datenübermittlungen

Status des EU-US Data Privacy Framework 2026: Was Datenschutzteams jetzt wissen müssen

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework steht 2026 politischen, rechtlichen und operativen Risiken gegenüber – Datenschutzteams brauchen jetzt Rückfall-Übermittlungsmechanismen.

Der Angemessenheitsbeschluss, der Millionen von Datenübermittlungen zwischen EU und USA zugrunde liegt, steht – einmal mehr – unter politischem und rechtlichem Druck. Wenn Ihre Organisation grenzüberschreitende Übermittlungen über mehrere Gesellschaften hinweg verwaltet, finden Sie hier den aktuellen Status, was auf dem Spiel steht und was vor der nächsten Überprüfungsfrist zu tun ist.

Wenn Sie als Datenschutzbeauftragter oder Datenschutzverantwortlicher für EU-US-Datenübermittlungen zuständig sind, kennen Sie diese vertraute Unsicherheit: Wird die Rechtsgrundlage, auf die Sie sich heute stützen, in sechs Monaten noch bestehen? Safe Harbor wurde 2015 für ungültig erklärt. Privacy Shield fiel 2020. Das im Juli 2023 verabschiedete EU-US Data Privacy Framework steht nun vor seiner bislang folgenreichsten Überprüfungsphase.

Für Organisationen mit 5, 10 oder über 50 Gesellschaften, die Daten transatlantisch übermitteln, bedeutet eine Änderung des Angemessenheitsstatus nicht nur rechtliches Risiko – sie bedeutet, dass über jede einzelne Gesellschaft, jede Verarbeitungstätigkeit und jede Lieferantenbeziehung gleichzeitig alternative Übermittlungsmechanismen hektisch umgesetzt werden müssen.

Status-Briefing 2026 zum DPF herunterladen

Kostenloses PDF. Kein Verkaufsgespräch erforderlich. Vierteljährlich aktualisiert vom Compliance-Team von Priverion.

In der Schweiz gehostete Infrastruktur ISO 27001 zertifiziert Vertraut von Datenschutzteams in über 30 Ländern DSGVO-konform by Design
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Wo das EU-US Data Privacy Framework im Jahr 2026 steht

Der im Juli 2023 verabschiedete Angemessenheitsbeschluss nähert sich seiner folgenreichsten Überprüfungsphase. Drei eigenständige Risikovektoren laufen zusammen – und jeder davon hat operative Konsequenzen für Organisationen, die grenzüberschreitende Übermittlungen verwalten.

Risikofaktor 1

Politisches Risiko: Executive Order 14086 unter Druck

Das gesamte DPF beruht auf der US-amerikanischen Executive Order 14086, die Schutzvorkehrungen für die Signalaufklärung einführte und das Data Protection Review Court schuf. Änderungen in der Politik der US-Administration – einschliesslich möglicher Mittelkürzungen, personeller Lücken oder einer vollständigen Rücknahme – könnten die rechtlichen Grundlagen untergraben, auf die sich die Europäische Kommission bei der Gewährung der Angemessenheit gestützt hat.

Für Datenschutzteams bedeutet dies, nicht nur regulatorische Entwicklungen in der EU zu beobachten, sondern auch innenpolitische Verschiebungen in den USA, die jederzeit eine Überprüfung der Angemessenheit auslösen könnten.

2x

Frühere Angemessenheitsregelungen wurden durch politische und rechtliche Verschiebungen für ungültig erklärt – Safe Harbor (2015) und Privacy Shield (2020)

Quelle: EuGH-Urteile in Schrems I (C-362/14) und Schrems II (C-311/18)

Risikofaktor 2

Rechtliches Risiko: Der Schatten von Schrems III

Rechtliche Verfahren gegen das DPF sind nicht hypothetisch – sie sind bereits im Gange. Datenschutz-Organisationen wie noyb haben Verfahren angekündigt mit dem Argument, dass die Executive Order 14086 dem Standard der „wesentlichen Gleichwertigkeit“ des EuGH nicht genügt. Jede Vorlage an den EuGH könnte zu einer dritten Ungültigerklärung des EU-US-Übermittlungsmechanismus führen.

Der rechtliche Zeitplan ist unvorhersehbar, doch das Muster ist eindeutig: sich allein auf einen Angemessenheitsbeschluss ohne Rückfall-Übermittlungsmechanismen zu verlassen, ist ein dokumentiertes Compliance-Risiko.

500+

Einzelne Übermittlungsbewertungen, mit denen eine mittelständische Organisation mit 15 Gesellschaften und über 200 Verarbeitungstätigkeiten konfrontiert sein könnte, falls das DPF für ungültig erklärt wird

Schätzung auf Basis der Arbeit von Priverion mit Datenschutzteams in Unternehmensgruppen

Risikofaktor 3

Operatives Risiko: Dauerhafte Unsicherheit by Design

Selbst wenn das DPF jede rechtliche Anfechtung übersteht, bedeutet sein jährlicher Überprüfungsmechanismus, dass Datenschutzteams transatlantische Übermittlungen nie als abgeschlossen betrachten können. Jeder Überprüfungszyklus schafft ein Zeitfenster der Unsicherheit – und Organisationen ohne aktuelle, vollständige Dokumentation ihrer Datenflüsse sind am stärksten exponiert, sobald die Prüfung intensiver wird.

Die Organisationen, die dies gut überstehen, sind jene mit automatisierter Rezertifizierung, zentralisierten Verarbeitungsverzeichnissen und Übermittlungsmechanismen, die sich über jede Gesellschaft hinweg aus einer einzigen verlässlichen Datenquelle aktualisieren lassen.

60%

Des administrativen Compliance-Aufwands entfallen auf manuelle Dokumentationsaufgaben – Zeit, die für strategische Risikobewertung und Übermittlungsbereitschaft aufgewendet werden sollte

Basierend auf den Compliance-Abläufen eines Flugzeugherstellers vor dem Einsatz von Priverion, erste 6 Monate

Kundenergebnisse aus Priverion-Implementierungen

200+

Eingesparte Stunden beim Management des Verarbeitungsverzeichnisses

Medtec gewann während der Vorbereitung auf ISO 27001 über 200 Stunden zurück, indem das manuelle Nachverfolgen des Verarbeitungsverzeichnisses durch automatisierte Rezertifizierungs-Workflows ersetzt wurde.

60%

Geringere Gesamtkosten gegenüber OneTrust

Basierend auf dem Pro-Unternehmen-Preismodell von Priverion gegenüber dem Pro-Nutzer- und Pro-Modul-Expansionspreismodell von OneTrust für vergleichbare Implementierungen über mehrere Gesellschaften.

3 Mt.

Vorsprung beim ISO-27001-Zeitplan

Medtec beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um drei Monate – dank der audit-fertigen Nachweispakete und der automatisierten Dokumentation von Priverion.

Compliance auf Enterprise-Niveau – ohne den Enterprise-Aufwand

Mittelständische Organisationen brauchen keine Plattform, die für die Komplexität der Fortune 50 zu Fortune-50-Preisen entwickelt wurde. Hier ist, was die Wahl von Priverion für Ihr Team konkret bedeutet.

Mit Priverion

Schweizer Datensouveränität, garantiert

Sämtliche Datenverarbeitung verbleibt innerhalb der Schweizer Infrastruktur. In einer Landschaft nach Schrems II ist europäische Datenhaltung kein Premium-Aufpreis – so sind wir gebaut. Keine in den USA ansässigen Unterauftragsverarbeiter, keine rechtlichen Grauzonen.

Einsatzbereit in Wochen, nicht in Quartalen

Eine aufgeräumte Oberfläche, konzipiert für Datenschutzpraktiker, nicht für IT-Berater. Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des administrativen Compliance-Aufwands um 60 % – ganz ohne dediziertes Implementierungsteam.

Fallstudie Flugzeughersteller, erste 6 Monate nach Einführung

Preisgestaltung, die Ihr Budget respektiert

Basierend auf der Anzahl der Unternehmen und der Organisationsgrösse – nicht auf Lizenzen pro Nutzer oder Zusatzmodulen. Keine überraschenden Expansionskosten bei der Verlängerung. Dieser hier wird sogar von Ihrem CFO genehmigt.

Eine Plattform, jeder Datenschutz-Workflow

Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Incident-Management, Bearbeitung von Betroffenenanfragen, KI-Register – integriert ab dem ersten Tag. Keine aufgesetzten Module, keine separaten Logins, keine Datensilos zwischen den Compliance-Funktionen.

Gebaut für die Komplexität mehrerer Gesellschaften

Gruppenweites Management des Verarbeitungsverzeichnisses mit automatisierter Rezertifizierung über jede Tochtergesellschaft hinweg. AXA erreichte eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100 %, vollständig automatisiert – kein Hinterherjagen mehr per E-Mail bei den Geschäftsbereichen.

AXA Kundenergebnisse, automatisierter Rezertifizierungs-Workflow

Die typische Erfahrung mit einer Enterprise-Plattform

US-Hauptsitz, US-gehostet

Eine Datenverarbeitung unter US-Jurisdiktion bedeutet potenzielle Exposition gegenüber FISA 702 und dem CLOUD Act. Optionen für europäische Datenhaltung kommen oft als teure Zusatzleistungen – sofern sie für Ihren Tarif überhaupt verfügbar sind.

Implementierungszyklen von 6 bis 12 Monaten

Komplexe Plattformen erfordern dedizierte Implementierungsberater, umfangreiche Schulungen und laufende professionelle Dienstleistungen. Teams verbringen mehr Zeit damit, das Werkzeug zu erlernen, als Compliance-Arbeit zu leisten.

Überraschungen bei Pro-Nutzer- und Pro-Modul-Preisen

Erste Angebote wirken überschaubar, bis Sie merken, dass jedes Modul, jede zusätzliche Nutzerlizenz und jeder API-Connector separat abgerechnet wird. Die Kosten steigen unvorhersehbar, je reifer Ihr Programm wird.

200 oberflächliche Integrationen

Eine lange Connector-Liste klingt beeindruckend, bis Sie merken, dass die meisten Beratung zur Konfiguration erfordern und nur eine oberflächliche Datensynchronisation liefern. Der Wartungsaufwand summiert sich mit jeder zusätzlichen Verbindung.

Gebaut für Einzel-Gesellschaften der Fortune 50

Funktionen, die für die grössten Unternehmen der Welt entwickelt wurden – Cookie-Einwilligung, ESG, Ethik-Hotlines – eingebunden in eine Preisgestaltung, für die Sie zahlen, ob Sie sie benötigen oder nicht. Das Management mehrerer Gesellschaften ist ein nachträglicher Gedanke.

Schluss mit Datenschutz-Compliance in Tabellen. Managen Sie sie endlich richtig.

Ein Flugzeughersteller senkte den administrativen Compliance-Aufwand in sechs Monaten um 60 %. AXA erreichte eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100 % – vollständig automatisiert. Medtec sparte bei der Vorbereitung auf ISO 27001 über 200 Stunden. In 30 Minuten zeigen wir Ihnen genau, wie Ihr Team dieselben Ergebnisse erzielt.

Gruppenweite Transparenz

Über jede Tochtergesellschaft und Jurisdiktion hinweg

Schweizer Datensouveränität

In der Schweiz entwickelt, gehostet und verarbeitet

Planbare Preisgestaltung

Keine Expansionsfallen pro Nutzer oder pro Modul

30-minütige Demo buchen

Einsatzbereit in Wochen, nicht in Monaten. Keine Verpflichtung erforderlich.

The Privacy Compliance Briefing

Monatliche Einblicke in die Durchsetzung der DSGVO, Aktualisierungen zum revidierten Datenschutzgesetz (revDSG) und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick

Der im Juli 2023 verabschiedete Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF) steht 2026 zusammenlaufenden politischen, rechtlichen und operativen Risiken gegenüber. Die Executive Order 14086 bildet die Grundlage des Frameworks, ist jedoch anfällig für politische Verschiebungen in den USA. Schrems-III-Verfahren könnten eine dritte Ungültigerklärung auslösen – nach Safe Harbor und Privacy Shield. Datenschutzteams, die grenzüberschreitende Übermittlungen über mehrere Gesellschaften hinweg verwalten, brauchen Rückfallmechanismen, zentralisierte Verarbeitungsverzeichnisse und automatisierte Rezertifizierung, um ihre Compliance-Bereitschaft unabhängig vom Schicksal des DPF aufrechtzuerhalten.

Definitionen

Was ist das EU-US Data Privacy Framework (DPF)?

Das EU-US Data Privacy Framework ist eine Angemessenheitsregelung, die von der Europäischen Kommission am 10.07.2023 nach Artikel 45 der DSGVO verabschiedet wurde. Sie ermöglicht die Übermittlung personenbezogener Daten aus der EU an zertifizierte US-Organisationen, ohne zusätzliche Übermittlungsgarantien wie Standardvertragsklauseln zu erfordern. Das Framework ersetzte das für ungültig erklärte EU-US Privacy Shield. Quelle: Europäische Kommission — EU-US-Datenübermittlungen

Was ist ein Angemessenheitsbeschluss nach der DSGVO?

Ein Angemessenheitsbeschluss ist eine Feststellung der Europäischen Kommission nach Artikel 45 DSGVO, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet, das dem innerhalb der EU garantierten im Wesentlichen gleichwertig ist. Angemessenheitsbeschlüsse erlauben den freien Fluss personenbezogener Daten in das Drittland ohne zusätzliche Garantien.

Was ist die Executive Order 14086?

Die Executive Order 14086, unterzeichnet am 07.10.2022, führte verbesserte Schutzvorkehrungen für die US-amerikanischen Signalaufklärungsaktivitäten ein und schuf das Data Protection Review Court (DPRC) als Rechtsbehelfsmechanismus für Personen aus der EU. Die Europäische Kommission nannte diese Schutzvorkehrungen als Grundlage für den DPF-Angemessenheitsbeschluss. Quelle: EDSA — Informationsvermerk zu EU-US-Datenübermittlungen

Was sind Standardvertragsklauseln (SCC)?

Standardvertragsklauseln sind von der Europäischen Kommission nach Artikel 46 Abs. 2 Buchst. c DSGVO verabschiedete, vorab genehmigte Vertragsbestimmungen, die geeignete Garantien für internationale Datenübermittlungen bieten. SCC dienen als primärer Rückfall-Übermittlungsmechanismus, wenn kein Angemessenheitsbeschluss vorliegt.

Was ist ein Transfer Impact Assessment (TIA)?

Ein Transfer Impact Assessment ist eine nach dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18) erforderliche Bewertung, mit der festgestellt wird, ob der rechtliche Rahmen des Empfängerlandes einen im Wesentlichen gleichwertigen Schutz wie in der EU bietet. TIA müssen für jede Übermittlung durchgeführt werden, die sich auf SCC oder andere Mechanismen nach Artikel 46 stützt. Quelle: EDSA-Empfehlungen 01/2020

Häufig gestellte Fragen

Wie ist der aktuelle Status des EU-US Data Privacy Framework im Jahr 2026?

Der im Juli 2023 verabschiedete DPF-Angemessenheitsbeschluss bleibt in Kraft, steht aber vor seiner folgenreichsten Überprüfungsphase. Drei Risikovektoren laufen zusammen: politisches Risiko durch mögliche Änderungen an der Executive Order 14086, rechtliches Risiko durch erwartete Schrems-III-Verfahren von Organisationen wie noyb und operatives Risiko durch den im Framework verankerten jährlichen Überprüfungsmechanismus. Die periodische Überprüfung der Europäischen Kommission beurteilt, ob die USA weiterhin angemessenen Schutz nach Artikel 45 DSGVO gewährleisten.

Was ist Schrems III und könnte es das DPF für ungültig erklären?

Schrems III bezeichnet erwartete rechtliche Verfahren mit dem Argument, dass die Executive Order 14086 dem im Schrems II (Rechtssache C-311/18) festgelegten Standard der „wesentlichen Gleichwertigkeit“ des EuGH nicht genügt. Der EuGH erklärte zuvor Safe Harbor 2015 (Schrems I, Rechtssache C-362/14) und Privacy Shield 2020 (Schrems II) für ungültig. Laut der IAPP haben Datenschutz-Organisationen wie noyb öffentlich ihre Absicht angekündigt, das DPF vor dem EuGH anzufechten.

Was sollten Datenschutzteams tun, um sich auf eine mögliche Ungültigerklärung des DPF vorzubereiten?

Datenschutzteams sollten: (1) aktuelle Verzeichnisse von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) führen, die alle grenzüberschreitenden Datenflüsse abdecken; (2) Standardvertragsklauseln mit Transfer Impact Assessments als Rückfallmechanismen implementieren; (3) Rezertifizierungs-Workflows automatisieren, um rasche Aktualisierungen über alle Gesellschaften hinweg zu ermöglichen; und (4) die Dokumentation zentralisieren, sodass Übermittlungsmechanismen aus einer einzigen verlässlichen Datenquelle aktualisiert werden können. Die EDSA-Empfehlungen 01/2020 bieten detaillierte Leitlinien zu zusätzlichen Massnahmen für internationale Übermittlungen.

Wie viele Übermittlungsbewertungen könnten auf eine mittelständische Organisation zukommen, wenn das DPF für ungültig erklärt wird?

Eine mittelständische Organisation mit 15 Gesellschaften und über 200 Verarbeitungstätigkeiten könnte mit über 500 einzelnen Übermittlungsbewertungen konfrontiert werden – gemäss Schätzungen, die auf der Arbeit von Priverion mit Datenschutzteams in Unternehmensgruppen beruhen. Jede Verarbeitungstätigkeit, an der ein in den USA ansässiger Auftragsverarbeiter oder Unterauftragsverarbeiter beteiligt ist, würde nach den Leitlinien des EDSA ein separates Transfer Impact Assessment erfordern.

Was ist der jährliche Überprüfungsmechanismus des DPF?

Nach Artikel 45 Abs. 3 DSGVO muss die Europäische Kommission Angemessenheitsbeschlüsse periodisch überprüfen. Das DPF umfasst einen jährlichen Überprüfungsmechanismus, bei dem die Kommission beurteilt, ob die USA weiterhin angemessenen Schutz gewährleisten. Jeder Überprüfungszyklus schafft operative Unsicherheit für Organisationen, die sich auf den Angemessenheitsbeschluss stützen, da die Kommission den Beschluss jederzeit aussetzen, ändern oder aufheben könnte.

Was geschah mit Safe Harbor und Privacy Shield?

Safe Harbor wurde vom EuGH im Oktober 2015 in Schrems I (Rechtssache C-362/14) für ungültig erklärt, da festgestellt wurde, dass die US-amerikanischen Massenüberwachungsprogramme keinen angemessenen Schutz bieten. Privacy Shield wurde im Juli 2020 in Schrems II (Rechtssache C-311/18) für ungültig erklärt, da festgestellt wurde, dass die US-Überwachungsgesetze, insbesondere FISA Abschnitt 702, mit den EU-Grundrechten unvereinbar sind. Beide Urteile sind auf EUR-Lex verfügbar.

Statistiken und Quellen

Laut der IAPP ist die globale Datenschutzbranche auf über 500'000 Fachkräfte angewachsen, was die zunehmende Komplexität der Compliance bei grenzüberschreitenden Datenübermittlungen widerspiegelt. Die Empfehlungen 01/2020 des EDSA skizzieren einen sechsstufigen Prozess zur Bewertung und Ergänzung von Übermittlungsmechanismen – ein Prozess, der für jeden Datenfluss wiederholt werden muss, wenn ein Angemessenheitsbeschluss für ungültig erklärt wird. Zwei frühere EU-US-Angemessenheitsregelungen wurden vom EuGH für ungültig erklärt: Safe Harbor 2015 und Privacy Shield 2020. Laut der Europäischen Kommission waren bis 2024 über 5'300 US-Organisationen unter dem DPF zertifiziert. Der jährliche Überprüfungsmechanismus des DPF nach Artikel 45 Abs. 3 DSGVO bedeutet, dass der Angemessenheitsstatus nie dauerhaft ist – er erfordert kontinuierliche Überwachung und operative Bereitschaft.

Vergleich: EU-US-Übermittlungsmechanismen

MechanismusRechtsgrundlageStatus (2026)Zentrales RisikoRückfall erforderlich?
EU-US Data Privacy Framework (DPF)Angemessenheitsbeschluss nach Artikel 45 DSGVOAktiv, in ÜberprüfungSchrems-III-Verfahren; Rücknahme der EO 14086Ja — SCC + TIA empfohlen
Standardvertragsklauseln (SCC)Artikel 46 Abs. 2 Buchst. c DSGVOAktivErfordert Transfer Impact Assessment pro DatenflussZusätzliche Massnahmen können erforderlich sein
Verbindliche interne Datenschutzvorschriften (BCR)Artikel 47 DSGVOAktivGenehmigungsverfahren von 18–24 MonatenZusätzliche Massnahmen können erforderlich sein
Ausnahmeregelungen (Art. 49)Artikel 49 DSGVOAktiv (begrenzter Anwendungsbereich)Nicht geeignet für systematische/wiederholte ÜbermittlungenEntfällt — nur im Einzelfall