Aktuelle Entwicklungen

EU-US Datenschutzabkommen vor dem Aus?

01.07.2026

 

Das europäisch-amerikanische Datenschutzabkommen (EU-US Data Privacy Framework) ist mit 29. Juni rechtlich gesehen mehr oder weniger in sich zusammengebrochen, auch wenn es formal noch in Kraft ist. 

 

Ausgelöst wurde diese Entwicklung durch ein Urteil des Obersten Gerichtshofs der USA (Supreme Court). Der Gerichtshof hat entschieden, dass die Unabhängigkeit der US-Wettbewerbsbehörde FTC (Federal Trade Commission) verfassungswidrig ist. Und eben genau diese Unabhängigkeit der FTC als Kontrollinstanz in Datenschutzfragen war eine der wesentlichen Grundlagen für das EU-US Data Privacy Framework: das EU-Vertragsrecht und die Grundrechtecharta schreiben vor, dass die Überwachung des Datenschutzes durch unabhängige Behörden erfolgen muss.

 

Welche datenschutzrechtlichen Konsequenzen hat dies nun sofort und mit welchen Konsequenzen ist mittelfristig zu rechnen?

 

  • EU-US DPF (vorerst) noch in Kraft: Formal gilt der Beschluss der EU-Kommission (EU-US DPF) so lange, bis er von Brüssel selbst widerrufen oder vom EuGH für nichtig erklärt wird. Unternehmen, die ihre US Datentransfers auf dieses Abkommen stützen (fast alle großen Anbieter (Microsoft, Google, Meta etc. sind für dieses Abkommen zertifiziert) drohen daher aktuell keine automatischen Strafen.
  • Neue Risikobeurteilung für Datentransfers auf Basis von Standardvertragsklauseln: Datentransfers, die sich auf Standardvertragsklauseln (SCCs) stützen, müssen in ihrer Risikobeurteilung neu evaluiert werden. In aktuellen Risikobeurteilungen wird häufig auf den sogenannten „Data Protection Review Court“ (FTC) verwiesen. Datentransfers auf Basis von SCCs sind aber dadurch aktuell nicht sofort „klar rechtswidrig“.
  • Reaktion von noyb: Die Organisation noyb um den Datenschutzaktivisten Max Schrems hat die EU-Kommission offiziell aufgefordert, aus dem Abkommen auszusteigen.
  • Aktuelle Praxis und Ausblick: Formal gilt der Beschluss der EU-Kommission so lange, bis er von Brüssel selbst widerrufen oder vom EuGH für nichtig erklärt wird. Mittelfristig kann jedoch davon ausgegangen werden, dass das EU-US DPF bei einer erneuten Prüfung durch den Europäischen Gerichtshof (EuGH) kaum Bestand haben wird. Mit einer Entscheidung des EuGH ist jedoch erfahrungsgemäß erst in 2-3 Jahren zu rechnen.

 

Weitere, detaillierte Informationen zur Supreme Court Entscheidung und den Folgen findest du bei Heise oder direkt beim Datenschutzverein noyb.