Persönlich, keine Chatbots, klare Kommunikation: Bei uns kümmert sich ein persönlich erreichbarer Mensch

Status des EU-US Data Privacy Framework auf der Kippe (2026)

Ein Urteil des US Supreme Court entzieht dem transatlantischen Datenschutzabkommen ausgerechnet jene Unabhängigkeit der Aufsichtsbehörde, auf der seine gesamte Rechtsgrundlage beruht. Für Unternehmen bedeutet das keine akute Panik, wohl aber ein enges Zeitfenster, um ihre Datenflüsse und Abhängigkeiten von US-Dienstleistern grundlegend zu überdenken.

Unternehmen müssen jetzt ihre digitale Souveränität organisieren

Wer als Geschäftsführer oder Compliance-Verantwortlicher in den vergangenen Jahren beruhigt auf das EU-US Data Privacy Framework verwiesen hat, wenn Kunden oder Aufsichtsbehörden nach der Rechtsgrundlage für Datenübermittlungen in die USA fragten, sollte diese Gewissheit spätestens seit dem 29. Juni 2026 überprüfen. An diesem Tag hat der US Supreme Court in der Sache Trump v. Slaughter entschieden, dass die Unabhängigkeit der Federal Trade Commission, jener Behörde, deren Aufsicht das gesamte transatlantische Datenschutzabkommen trägt, mit der amerikanischen Verfassung nicht vereinbar ist.

Was zunächst wie ein innenpolitisches Detail des amerikanischen Verwaltungsrechts klingt, entzieht in Wahrheit dem dritten Anlauf für einen funktionierenden Datentransferrahmen zwischen Europa und den Vereinigten Staaten die rechtliche Grundlage, auf der Unternehmen ihre globalen Datenflüsse organisiert haben.

Wichtiger für das Datenschutzrecht als für das US-Handelsrecht

Das EU-US Data Privacy Framework, auf dessen Grundlage sich mittlerweile mehr als dreitausend amerikanische Unternehmen selbst zertifiziert haben, um personenbezogene Daten aus Europa empfangen zu dürfen, wurde von der Europäischen Kommission im Juli 2023 genau deshalb als angemessen anerkannt, weil die FTC als unabhängige Kontrollinstanz galt, die im Streitfall auch gegen die eigene Regierung vorgehen könnte.

Der Angemessenheitsbeschluss der Kommission verweist an mehreren hundert Stellen auf genau diese Unabhängigkeit, die nun durch ein Gericht für verfassungswidrig erklärt wurde, dessen Rechtsprechung in den Vereinigten Staaten bindend ist. Wer sich mit der Geschichte des transatlantischen Datentransfers beschäftigt hat, erkennt darin ein vertrautes Muster, denn bereits das Safe-Harbor-Abkommen aus dem Jahr 2000 und dessen Nachfolger (das Privacy Shield) wurden vom Europäischen Gerichtshof in den beiden als Schrems I und Schrems II bekannten Urteilen für nichtig erklärt, weil sie den europäischen Grundrechtsstandard nicht erfüllten.

Die Datenschutzorganisation NOYB um den österreichischen Aktivisten Max Schrems, der beide Verfahren angestoßen hatte, forderte die Europäische Kommission bereits am Tag des amerikanischen Urteils auf, einen geordneten Ausstieg aus dem bestehenden Rahmen vorzubereiten, um jenen abrupten Compliance-Bruch zu vermeiden, den viele Unternehmen nach Schrems II erlebt hatten.

Ausblick: Drei Szenarien ohne Gewissheit

Wie es weitergeht, lässt sich derzeit nicht mit Sicherheit vorhersagen, aber die möglichen Entwicklungspfade lassen sich anhand ihrer Wahrscheinlichkeit und ihres zeitlichen Horizonts einordnen, was für die unternehmerische Planung entscheidend ist, weil davon abhängt, wie viel Zeit für eine Umstellung realistisch zur Verfügung steht.

SzenarioWahrscheinlichkeitZeitrahmenBedeutung für Unternehmen
Die EU-Kommission überprüft das Rahmenwerk und setzt es ausmittel bis hoch6 bis 18 Monateplötzlicher Wegfall der Rechtsgrundlage, vergleichbar mit der Lage nach Schrems II
Der Europäische Gerichtshof erklärt das Rahmenwerk in einem möglichen dritten Schrems-Verfahren für nichtighoch2 bis 4 Jahresofortige Unwirksamkeit aller darauf gestützten Datentransfers
Die Kommission verhandelt Zusatzzusagen und stabilisiert das Rahmenwerk vorübergehendniedrigpolitisch offenanhaltende Rechtsunsicherheit trotz formaler Fortgeltung
Der Status quo bleibt bis zu einer gerichtlichen Entscheidung bestehenkurzfristig wahrscheinlich12 bis 24 MonateUnternehmen können das Rahmenwerk vorerst weiter nutzen, sollten sich aber vorbereiten

Wer diese Quick-Dirty-Tabelle liest, erkennt, dass in keinem der von mir ausgemalten Szenarien eine dauerhafte und verlässliche Fortgeltung des bestehenden Rahmens vorgesehen ist, sondern lediglich unterschiedliche Zeitfenster, in denen Unternehmen noch handeln können, bevor eine neue rechtliche Realität eintritt, die sie nicht selbst herbeiführen, sondern nur noch nachvollziehen können.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und herausragender Fachanwalt für IT-Recht - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht im Raum Aachen, Heinsberg und Düren - spezialisiert auf Cybercrime, Cybersecurity, digitale beweismittel, Wirtschaftsstrafrecht & Softwarerecht

Was Unternehmen jetzt konkret tun sollten

Die naheliegende erste Reaktion vieler Compliance-Abteilungen wird darin bestehen, auf die Standardvertragsklauseln als Ausweichmechanismus zu verweisen, die schon nach Schrems II als Rettungsanker dienten, doch wer sich auf diese Klauseln verlässt, sollte wissen, dass sie nur zwischen den vertragsschließenden Parteien wirken und keinen Schutz gegen den Zugriff staatlicher Stellen bieten, der ja gerade der Kern des europäischen Einwands gegen die amerikanische Überwachungspraxis ist. Jedes Unternehmen, das seine internationalen Datenflüsse ernsthaft absichern will, kommt deshalb nicht umhin, sein Verarbeitungsverzeichnis daraufhin zu prüfen, welche Prozesse tatsächlich auf einer Übermittlung in die Vereinigten Staaten beruhen, welche davon geschäftskritisch sind und welche sich technisch oder organisatorisch so umbauen lassen, dass sie diese Abhängigkeit gar nicht mehr benötigen. Genau hier setzt die eigentliche Lehre aus diesem Urteil an, die über die juristische Detailfrage der amerikanischen Behördenstruktur weit hinausreicht.

Denn dass ein einzelnes Gerichtsurteil in Washington binnen weniger Wochen die Rechtsgrundlage für Millionen von Datenübermittlungen in Europa erschüttern kann, zeigt mit aller Deutlichkeit, wie verwundbar eine Unternehmensinfrastruktur ist, die zentrale Prozesse dauerhaft auf ausländische Anbieter und deren politisch beeinflussbare Rechtsordnung stützt. Wer heute noch glaubt, diese Abhängigkeit sei ein rein juristisches Randproblem, das die eigene Rechtsabteilung im Ernstfall schon lösen werde, verkennt, dass es hier nicht um eine punktuelle Vertragsanpassung geht, sondern um die strukturelle Frage, wo die eigenen Daten liegen, wer technisch und rechtlich darauf zugreifen kann und wie schnell ein Unternehmen im Bedarfsfall tatsächlich handlungsfähig bliebe, wenn die derzeitige Grundlage über Nacht wegfiele. Insofern ist dieses Urteil, so technisch seine unmittelbare Begründung auch klingen mag, ein weiterer und diesmal besonders deutlicher Beleg dafür, dass Unternehmen endlich damit beginnen müssen, an ihrer infrastrukturellen Souveränität zu arbeiten, statt auf zwischenstaatliche Abkommen zu vertrauen, deren Fortbestand sie selbst nicht beeinflussen können.

Wer jetzt in eigene oder europäische Recheninfrastruktur investiert, wer Verschlüsselungslösungen mit ausschließlich in der eigenen Kontrolle liegenden Schlüsseln einsetzt und wer geschäftskritische Prozesse von einzelnen außereuropäischen Anbietern entkoppelt, handelt aus einer nüchternen Einschätzung dessen heraus, was politische und juristische Volatilität in den kommenden Jahren noch bereithalten dürfte. Diejenigen Unternehmen, die diese Vorbereitung heute verschieben, werden sie irgendwann unter erheblich schlechteren Bedingungen und unter Zeitdruck nachholen müssen … und genau das war meines Erachtens schon die Lehre aus Schrems I und Schrems II, die offenbar noch immer nicht überall angekommen ist.

Rechtsanwalt Jens Ferner
,