Die transatlantischen Datenströme stehen erneut vor einer Zerreißprobe. Nach den Enthüllungen von Edward Snowden und den darauffolgenden EuGH-Urteilen zu „Schrems I“ und „Schrems II“ war das EU-US Data Privacy Framework (DPF) der dritte Versuch, eine rechtskonforme Basis für Datentransfers zwischen der EU und den USA zu schaffen. Doch mit den jüngsten Entwicklungen unter der erneuten Präsidentschaft Donald Trumps wackelt diese Brücke mehr denn je.

Mit dem PCLOB bricht ein zentrales Element weg

Ein zentrales Element, auf das sich die Europäische Kommission bei der Angemessenheitsentscheidung für das DPF gestützt hat, ist das Privacy and Civil Liberties Oversight Board (PCLOB). Dieses Gremium sollte unabhängige Kontrolle über die Überwachungsaktivitäten der US-Regierung ausüben und sicherstellen, dass die von der EU geforderten Schutzmechanismen eingehalten werden. Doch genau dieses Kontrollorgan wurde nun entmachtet: Drei demokratische Mitglieder wurden entlassen, wodurch das Gremium seine Beschlussfähigkeit verlor.

Das Problem? Ohne eine funktionierende Aufsicht können die USA nicht nachweisen, dass ihre Überwachungspraktiken mit den EU-Datenschutzstandards vereinbar sind. Schon jetzt ist absehbar, dass dieser Punkt bei einer möglichen Überprüfung durch den EuGH zum K.o.-Kriterium werden könnte.

Executive Orders: Trumps Werkzeuge zur schnellen Demontage

Ein weiterer riskanter Schritt ist eine der ersten präsidentialen Verfügungen Trumps, die eine Überprüfung und mögliche Aufhebung aller von der Biden-Administration erlassenen nationalen Sicherheitsentscheidungen anordnet. Darunter fällt auch die Executive Order 14086, die zentrale Datenschutzgarantien für das DPF enthielt. Sollte diese Order endgültig gestrichen werden, wäre das DPF in der Praxis nicht mehr haltbar.

Das Erbe der Schrems-Urteile

Die aktuelle Entwicklung knüpft an eine lange Geschichte juristischer Unsicherheiten in Bezug auf transatlantische Datenübertragungen an. Bereits mit den EuGH-Urteilen zu „Schrems I“ und „Schrems II“ wurde das Safe-Harbor- und das Privacy-Shield-Abkommen für nichtig erklärt. Der Kernpunkt war immer, dass die massenhafte Überwachung durch US-Geheimdienste mit europäischen Grundrechten unvereinbar sei.

Das DPF baute auf der Grundlage von Executive Orders der Biden-Administration auf, um die Anforderungen des EuGH zu erfüllen. Der Europäische Datenschutzausschuss und die EU-Kommission sahen insbesondere das PCLOB und den neu geschaffenen „Data Protection Review Court“ als zentrale Elemente, um rechtsstaatliche Kontrolle zu gewährleisten. Doch mit der Entlassung der PCLOB-Mitglieder und einer möglichen Revision der Executive Order steht genau diese Kontrolle auf dem Spiel.

Wo steht die EU derzeit?

Aktuell liegt eine Anfrage an die EU-Kommission bezüglich der Auswirkungen der Trump-Administration auf den Datenschutz und die Privatsphäre vor: Die Abgeordnete Raquel García Hermida-Van Der Walle (Renew) stellt drei Fragen zur Bewertung der aktuellen Lage:

1. Fehlende Unabhängigkeit der PCLOB – Die Privacy and Civil Liberties Oversight Board (PCLOB), ein entscheidendes Kontrollgremium für US-Überwachungspraktiken, wurde durch die Entlassung aller demokratischen Mitglieder geschwächt. Die Abgeordnete fragt, ob die EU-Kommission dies als problematisch ansieht.
2. Mögliche Suspendierung des EU-US Data Privacy Frameworks – Da die EU-Kommission ihre Angemessenheitsentscheidung unter anderem auf die PCLOB gestützt hat, wird gefragt, ob die Kommission das Abkommen aussetzen wird, bis eine unabhängige Kontrolle wiederhergestellt ist.
3. Angemessener Schutz personenbezogener Daten in der Zusammenarbeit mit US-Behörden – Es wird infrage gestellt, ob angesichts der aktuellen Entwicklungen Datenübertragungen im Bereich der Strafverfolgung (z. B. Zusammenarbeit von Europol, Eurojust und US-Behörden) noch ausreichend geschützt sind.

Besonders brisant ist, dass die Anfrage auch die zunehmende Kontrolle von Regierungsdatenbanken durch das neue Department of Government Efficiency (DOGE) unter Leitung von Elon Musk anspricht, was weitere Bedenken zur Datensicherheit aufwirft. Schon diese Anfrage macht deutlich, dass das Vertrauen in die Datenschutzmaßnahmen der USA innerhalb der EU-Gremiuem stark erschüttert ist und mögliche Folgen für das transatlantische Datenschutzabkommen drohen. Einen Tag später forderte das „Committee on Civil Liberties, Justice and Home Affairs“ des EU-Parlaments die EU-Kommission auf, die Angemessenheitsbeschlüsse zu prüfen.

Konsequenzen für europäische Unternehmen

Europäische Unternehmen, die auf US-Cloud-Dienste setzen, müssen sich auf massive Rechtsunsicherheiten einstellen. Sobald das DPF fällt, droht ein abruptes Ende der Datentransfers in die USA – mit weitreichenden Folgen für die gesamte digitale Infrastruktur in Europa. Schulen, Behörden, Finanzdienstleister und Unternehmen jeglicher Größe sind potenziell betroffen.

Die einzige Alternative wäre die Rückkehr zu Standardvertragsklauseln (SCCs) – doch auch diese sind nach Schrems II nur mit zusätzlichen Schutzmaßnahmen nutzbar. Die Gefahr ist real: Ein weiteres Schrems-Urteil könnte in den kommenden Jahren SCCs ebenfalls zu Fall bringen. Und noyb bringt sich schon in Stellung, um das Thema definitiv aufs Tapet zu bringen! Dabei muss das Thema auf allen Ebenen im Blick behalten werden – Datenübertragungen nach China (etwa innerhalb von Konzernen) dürfen darüber nicht aus dem Blick verloren werden.

Handlungsempfehlungen für Unternehmen

Angesichts der drohenden Unsicherheiten sollten Unternehmen proaktiv Maßnahmen ergreifen, um ihre Datenverarbeitung rechtskonform zu gestalten:

• Datentransfers überprüfen: Unternehmen sollten eine umfassende Analyse ihrer aktuellen Datenströme durchführen und feststellen, ob und in welchem Umfang sie auf das DPF angewiesen sind.
• Alternativen zur US-Cloud prüfen: Es kann sinnvoll sein, auf europäische oder andere nicht-amerikanische Cloud-Anbieter auszuweichen, um mögliche Rechtsrisiken zu minimieren.
• Standardvertragsklauseln und Transfer Impact Assessments nutzen: Falls weiterhin Daten in die USA übertragen werden müssen, sollten Unternehmen sicherstellen, dass sie SCCs mit zusätzlichen Schutzmaßnahmen einsetzen und regelmäßig eine Risikobewertung durchführen.
• Rechtliche Entwicklungen beobachten: Die Situation ist dynamisch, und Unternehmen sollten auf dem Laufenden bleiben, um auf regulatorische Änderungen schnell reagieren zu können.

Das alles hier ist ein absehbares Desaster, das noch befeuert wird durch erste Stellungnahmen, Unternehmen sollen am besten gar nichts tun – das wäre aus meiner Sicht fatal. Jeder, der derzeit in seinen Geschäftsprozessen auf US-Dienste samt Datentransfer angewiesen ist, muss hier schon jetzt prüfen, welche Prozesse frühzeitig migrierbar oder verzichtbar sind. Dabei gilt. Je kleiner das Unternehmen, je einfacher! Wir verzichten inzwischen längst auf Microsoft und nutzen stattdessen Nextcloud und Libreoffice. „Abhängigkeiten“ sind derzeit die oft thematisierten politischen Risiken – das muss auch bei Unternehmensabhängigkeiten in diesem bereich gelten.

Fazit: Ein dritter Datenschutz-Kollaps droht

Das EU-US Data Privacy Framework war von Anfang an eine wackelige Konstruktion, die mehr auf politischen Versprechungen als auf festen gesetzlichen Fundamenten fußte. Die ersten Maßnahmen der neuen US-Regierung zeigen, dass dieses System nun mit hoher Wahrscheinlichkeit ebenso absehbar wie zeitnah scheitern wird. Für europäische Unternehmen bedeutet dies, dass sie sich auf eine Zukunft ohne US-Clouds vorbereiten müssen, dabei ist ein nichts tun ebenso falsch wie irgendwelche Panik-Maßnahmen – jedenfalls steht das Risiko im Raum, bald in einer rechtlichen Grauzone zu operieren, in die dann Aufsichtsbehörden reingrätschen.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Recherche ohne Beweislast: Warum Presse auch unbegründete Werturteile fällen darf – 12. Juni 2026
• Wenn der eigene Mitarbeiter eine Sicherheitslücke findet: Rechtliche Risiken für Unternehmen – 12. Juni 2026
• LG München I zur Haftung für KI-generierte Äußerungen – 11. Juni 2026