Im Sommer 2023 war es soweit: Nach jahrelangen rechtlichen und politischen Auseinandersetzungen verabschiedete die Europäische Kommission den sogenannten Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF), der die Grundlage für die rechtmäßige Übertragung von personenbezogenen Daten aus der EU in die USA bietet. Ein Schritt, der vielen Unternehmen in der EU endlich die ersehnte Klarheit verschaffte. Doch hinter der scheinbar einfachen Lösung lauern viele offene Fragen und politische Unsicherheiten. Wird das neue Datenschutzabkommen tatsächlich eine nachhaltige Lösung bieten oder ist es nur der Auftakt für eine erneute juristische Auseinandersetzung?

In diesem Beitrag werfen wir einen genaueren Blick auf das EU-U.S. Data Privacy Framework, beleuchten die möglichen Risiken und Unsicherheiten und zeigen, was Unternehmen in der EU jetzt wissen sollten.

Warum brauchen wir das EU-U.S. Data Privacy Framework?

Bevor wir uns mit den Risiken und offenen Fragen beschäftigen, sollten wir uns die Frage stellen, warum dieses Abkommen überhaupt notwendig wurde. Die Antwort liegt in den rechtlichen Rahmenbedingungen, die den Datentransfer zwischen der EU und den USA betreffen.

Die EU-Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen an die Übertragung personenbezogener Daten in Drittländer – also Länder außerhalb der EU. Grundsätzlich dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dieses Land ein „angemessenes“ Datenschutzniveau gewährleistet. Um dies zu garantieren, kann die Europäische Kommission einen sogenannten Angemessenheitsbeschluss erlassen, der bestätigt, dass im Empfängerland (in diesem Fall den USA) ein vergleichbares Schutzniveau wie in der EU gewährleistet ist.

Der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework wurde als Lösung entwickelt, um den jahrzehntelangen Streit um die rechtmäßige Übertragung von Daten in die USA zu beenden. Die USA haben in der Vergangenheit mehrfach Datenschutzabkommen mit der EU abgeschlossen, darunter das „Safe Harbor“-Abkommen (2015 vom Europäischen Gerichtshof für ungültig erklärt) und das „EU-U.S. Privacy Shield“ (2020 ebenfalls vom EuGH kassiert). Beide Abkommen scheiterten daran, den Anforderungen des Europäischen Gerichtshofs zu genügen, insbesondere wegen der weitreichenden Überwachungsmöglichkeiten der US-Geheimdienste.

Das neue Framework sollte diese Schwächen ausmerzen und der EU und den USA einen stabilen rechtlichen Rahmen für den Datentransfer bieten. Doch ob das gelingt, ist fraglich.

Das EU-U.S. Data Privacy Framework: Die neuen Regeln im Detail

Das neue Abkommen folgt einem ähnlichen Modell wie seine Vorgänger, jedoch mit einigen wesentlichen Änderungen, die in erster Linie auf die Bedenken des EuGH hinsichtlich der Überwachungspraktiken der USA eingehen sollen. Unternehmen, die personenbezogene Daten aus der EU in die USA übermitteln möchten, können dies nun tun, indem sie sich an das U.S. Department of Commerce wenden und eine Zertifizierung erhalten. Diese Zertifizierung verpflichtet die US-Unternehmen zur Einhaltung von Datenschutzpflichten, die im Rahmen des Abkommens festgelegt wurden.

Zu den wichtigsten neuen Regelungen gehören:

Zugriffsbegrenzung durch US-Geheimdienste: Einer der größten Kritikpunkte an den vorherigen Abkommen war die weitreichende Überwachung durch US-Geheimdienste. Im neuen Framework wurde versucht, diese Bedenken zu adressieren, indem der Zugang von US-Nachrichtendiensten zu EU-Daten auf das „Notwendige“ und „Verhältnismäßige“ beschränkt wird. Dies soll verhindern, dass personenbezogene Daten massenhaft abgegriffen werden, ohne dass eine konkrete Notwendigkeit besteht.

Das „Data Protection Review Court“ (DPRC): Um den betroffenen EU-Bürgern ein wirksames Recht auf Zugang und Überprüfung ihrer Daten zu garantieren, wird ein neues Gericht eingeführt: der „Data Protection Review Court“ (DPRC). Hier sollen EU-Bürger, die glauben, dass ihre Daten missbraucht wurden, eine Beschwerde einreichen können, die dann durch unabhängige Richter geprüft wird.

Verbindliche Regeln für US-Unternehmen: US-Unternehmen, die sich dem Data Privacy Framework anschließen, verpflichten sich zur Einhaltung detaillierter Datenschutzanforderungen, darunter etwa die Löschung personenbezogener Daten, wenn der Zweck, für den sie erhoben wurden, erreicht ist, oder der Schutz von Daten, die an Dritte weitergegeben werden.

Diese Änderungen sollten theoretisch den Anforderungen des EuGH gerecht werden und eine solide rechtliche Grundlage für den Datentransfer zwischen der EU und den USA schaffen. Doch die Praxis sieht anders aus.

Politische Unsicherheiten: Ein neues Hindernis für den Datenschutz?

Obwohl das EU-U.S. Data Privacy Framework auf dem Papier viele Verbesserungen bringt, könnte es erneut durch politische Instabilitäten in den USA gefährdet werden. Eine Entwicklung, die gerade in den ersten Monaten des Jahres 2025 sichtbar wurde, als Mitglieder des „Privacy and Civil Liberties Oversight Board“ (PCLOB), einem zentralen Kontrollgremium, das die Einhaltung der Datenschutzstandards im Rahmen des Frameworks überwacht, zur Rückkehr gezwungen wurden.

Das PCLOB hat unter anderem die Aufgabe, die Überwachungspraktiken der US-Geheimdienste zu prüfen und sicherzustellen, dass diese mit den Anforderungen des Abkommens in Einklang stehen. Sollte dieses Gremium durch politische Veränderungen in den USA geschwächt oder aufgelöst werden, könnte das Vertrauen in das gesamte Framework massiv erschüttert werden. Insbesondere im Hinblick auf die weitreichenden Überwachungsbefugnisse der US-Nachrichtendienste, die weiterhin ein zentrales Thema im internationalen Datenschutzrecht bleiben, könnte dies langfristig zu erheblichen Problemen führen.

Hinzu kommt die Frage der Unabhängigkeit des „Data Protection Review Court“ (DPRC). Sollte dieses Gericht politischer Einflussnahme unterliegen, könnte es seine Aufgabe, EU-Bürgern den Zugang zu effektiven Rechtsschutzmechanismen zu garantieren, nicht erfüllen. Auch die Frage, wie die US-Regierung die Rechte von EU-Bürgern in der Praxis umsetzt, bleibt kritisch. Ohne eine funktionierende und unabhängige Aufsicht könnten die versprochenen Datenschutzgarantien in der Realität leere Versprechungen bleiben.

Was bedeutet das für Unternehmen in der EU?

Für Unternehmen in der EU, die personenbezogene Daten in die USA übertragen möchten, bringt das neue Abkommen zwar eine scheinbare Rechtsklarheit. Doch es bleibt abzuwarten, wie lang diese Klarheit anhalten wird. Sollte das Abkommen vor dem EuGH erneut angefochten werden, könnten Unternehmen, die sich jetzt auf das Framework stützen, schnell wieder in einer rechtlichen Grauzone landen.

Unternehmen sollten sich daher nicht nur auf das neue Abkommen verlassen, sondern auch Alternativen im Blick behalten. So können weiterhin Standardvertragsklauseln (SCC) als zusätzliche Sicherheitsmaßnahme verwendet werden, um den Datentransfer auch ohne das neue Framework rechtlich abzusichern. Unternehmen sollten zudem regelmäßig überprüfen, ob die US-Unternehmen, mit denen sie zusammenarbeiten, tatsächlich zertifiziert sind und ob die vereinbarten Datenschutzmaßnahmen auch praktisch eingehalten werden.

Fazit: Ein Durchbruch oder eine Farce?

Das EU-U.S. Data Privacy Framework bietet auf den ersten Blick eine Lösung für das drängende Problem des transatlantischen Datentransfers. Es ermöglicht den Unternehmen in der EU eine rechtliche Grundlage für den Datenaustausch mit den USA, ohne auf zusätzliche Datenschutzgarantien wie Standardvertragsklauseln zurückgreifen zu müssen. Doch die politische Unsicherheit in den USA, insbesondere die potenziellen Auswirkungen auf die Unabhängigkeit von Kontrollgremien und Gerichten, werfen erhebliche Fragen auf.

Unternehmen sollten das neue Framework daher mit Vorsicht genießen und sich der Tatsache bewusst sein, dass es weiterhin politische und rechtliche Unsicherheiten gibt, die den langfristigen Erfolg des Abkommens infrage stellen könnten. Die Erfahrung der vergangenen Jahre zeigt, wie schnell Datenschutzabkommen kippen können – und das könnte auch dieses Mal der Fall sein.

Ein Fortschritt mit Haken – Warum das EU-U.S. Data Privacy Framework noch keine Dauerlösung ist

Das EU-U.S. Data Privacy Framework ist ein Schritt in die richtige Richtung, aber es bleibt ein fragiles Konstrukt. Die politischen Entwicklungen in den USA und die bestehende Kluft zwischen den europäischen und amerikanischen Datenschutzvorstellungen machen das Framework zu einer temporären Lösung, die jederzeit wieder auf die Probe gestellt werden könnte. Unternehmen sollten sich nicht zu sicher fühlen und immer alternative Mechanismen wie SCC in Erwägung ziehen. Schließlich könnte sich die politische Lage schneller ändern, als man denkt, und dann wird das Framework wieder auf dem Prüfstand stehen.

Zum Newsletter anmelden

und immer aktuell im Datenschutz informiert.