WAS PASSIERT, WENN DAS EU-US DATA PRIVACY FRAMEWORK KIPPT?
02.09.2025
Wie sich Vereine und Unternehmen jetzt auf den Ernstfall vorbereiten sollten
Das EU-US Data Privacy Framework (DPF) soll den transatlantischen Datentransfer endlich auf stabile Füße stellen – doch es wackelt schon wieder. Die Datenschutzaufsicht der EU, das EDPB (Europäische Datenschutzausschuss), hat das DPF zwar jüngst überprüft, doch offene Kritikpunkte bleiben bestehen. Auch Klagen von NGOs wie dem Collectiv NOYB des Österreichers Maximilian Schremms gegen das DPF sind bereits angekündigt.
Für Unternehmen und Vereine, die selbst oder über Dienstleister personenbezogene Daten in die USA übermitteln, etwa über Cloud-Dienste, Newsletter-Tools oder Zahlungsanbieter, ist das eine heikle Situation. Denn: Sollte das DPF fallen, verlieren viele gängige Tools ihre sichere Rechtsgrundlage. Die Folge? Rechtsunsicherheit, Compliance-Aufwand und echte Haftungsrisiken.
1 RÜCKBLICK: DATENTRANSFERS UND RECHTSUNSICHERHEIT – EINE CHRONIK DER UMBRÜCHE
Der aktuelle Druck auf das EU‑US Data Privacy Framework ist kein Einzelfall, sondern Teil einer längeren Geschichte juristischer Unsicherheit rund um den transatlantischen Datentransfer.
2015: Der EuGH kippte das Safe Harbor-Abkommen, da US-Überwachungsgesetze mit europäischen Grundrechten unvereinbar seien.
2020: Auch das Nachfolgeabkommen Privacy Shield wurde in der wegweisenden Entscheidung „Schrems II“ vom EuGH für ungültig erklärt. Der Grund: US-Geheimdienste hatten weiterhin weitreichenden Zugriff auf EU-Daten und der Schutzmechanismus für Betroffene in der EU wurde als unzureichend bewertet.
Deep Dive in vergangenen Blogartikeln:
„EuGH kippt Safe Harbor: Folgen für Vereine und Unternehmen“
„Schrems II und Standardvertragsklauseln“
Seitdem: Internationale Datentransfers in Drittländer ohne Angemessenheitsbeschluss erfolgen seither regelmäßig auf der Grundlage von Art. 46 DSGVO, insbesondere Standardvertragsklauseln (SCC) oder Binding Corporate Rules (BCR). Alternativ kommen genehmigte Verhaltensregeln oder Zertifizierungsmechanismen mit verbindlichen und durchsetzbaren Zusagen in Betracht. Ausnahmen nach Art. 49 DSGVO sind restriktiv zu nutzen und für nicht regelmäßige Übermittlungen vorgesehen. Für Übermittlungen nach Art. 46 ist eine Transfer-Impact-Assessment (TIA)mit Prüfung möglicher zusätzlicher Schutzmaßnahmen erforderlich. Für kirchliche Stellen gilt parallel § 40 KDG.
Jedes Abkommen war bislang nur ein Zwischenschritt und wurde vom EuGH mit der Begründung gekippt, dass der Schutz der personenbezogenen Daten nicht ausreicht. Es ist also kein unwahrscheinliches Szenario, dass auch das aktuelle DPF scheitern könnte. Wer seine Datenflüsse strukturiert prüft und von Anfang an auf sichere Beine stellt, ist daher klar im Vorteil.
2 WAS WÜRDE EIN WEGFALL DES DPF KONKRET BEDEUTEN?
2.1 KEIN DATENTRANSFER MEHR AUF BASIS DES DPF ERLAUBT BZW. DER ANGEMESSENHEITSBESCHLUSS WIRD FÜR NICHTIG ERKLÄRT
US-Unternehmen, die sich nur auf das DPF berufen, dürfen Ihre Daten dann nicht mehr ohne Weiteres verarbeiten, auch nicht, wenn sie im DPF-Register stehen d.h. zertifiziert wurden.
2.2 UNTERNEHMEN MÜSSEN AUF ANDERE RECHTSINSTRUMENTE UMSTELLEN
Die gängige Lösung: geeignete Garantien, insbesondere SCC oder BCR. Alternativ kommen genehmigte Verhaltensregeln oder Zertifizierungsmechanismen in Betracht. Für diese Übermittlungen ist eine TIA erforderlich und gegebenenfalls sind zusätzliche technische, organisatorische oder vertragliche Maßnahmen umzusetzen. Ausnahmen nach Art. 49 DSGVO/§ 41 KDG bleiben eng auszulegen und sind nicht für regelmäßige Transfers bestimmt. Das kostet Zeit, Know-how und oft Geld. Nachhaltiger wäre es den Umstieg auf ein europäisches Produkt zu planen.
2.3 BUSSGELDER UND REPUTATIONSRISIKEN DROHEN
Beispiel Facebook (jetzt Meta): 2023 wurde das Unternehmen von der irischen Aufsichtsbehörde mit 1,2 Milliarden Euro Bußgeld, wegen unzulässiger Datenübermittlung in die USA auf der Basis von SCC, belegt.
Fazit: Der Fall zeigt, dass SCC ohne tragfähige TIA und wirksame Zusatzmaßnahmen nicht genügen. Organisationen müssen vorbereitet sein oder geraten in Erklärungsnot gegenüber Aufsichtsbehörden und Kunden oder Mitgliedern.
3 EIN DPF-AUS ERKLÄRT ANHAND VON PRAXISBEISPIELEN:
3.1 SOZIALER TRÄGER / VEREIN NUTZT US-NEWSLETTERTOOL
Ein gemeinnütziger Verein versendet an Spender:innen oder ein KMU versendet an die aktiven Kund:innen einen Newsletter mit einem US-Tool.
Folge: Ohne DPF ist der Einsatz nur zulässig auf Basis geeigneter Garantien nach Art. 46 DSGVO, in der Praxis regelmäßig SCC kombiniert mit einer TIA und gegebenenfalls zusätzlichen technischen, organisatorischen und vertraglichen Maßnahmen. Führen TIA und Maßnahmen zu keinem tragfähigen Schutzniveau, ist der Versand auszusetzen oder auf einen nachweislich EWR-basierten Dienst mit EWR-Verarbeitung umzusteigen. Ausnahmen nach Art. 49 DSGVO kommen für regelmäßige Newsletter nicht in Betracht. Für kirchliche Stellen gilt § 40 KDG.
Besser: Es gibt viele europäische Alternativen. Entscheidend ist der Nachweis von Datenlokation im EWR, Subprozessoren, Supportzugriffen, ein Art.-28-DPA sowie Reversibilität.
3.2 KOSTENLOSE E-MAIL-ADRESSEN IM TEAM-WORKSPACE AUS DEN USA
Ein Verein und sein KMU-Partner nutzen eine US-Zusammenarbeitsplattform, die Teamräume, Dokumente, Kalender und kostenlose E-Mail-Adressen unter einer Anbieter-Domain bereitstellt.
Folge: In Free-Plänen fehlen typischerweise EU-only-Datenlokalisierung und Routing-Kontrollen. Drittlandübermittlungen oder Zugriffe aus Drittländern sind daher regelmäßig nicht auszuschließen. Fällt das DPF weg, bleibt die Zulässigkeit nur über Art. 46 DSGVO mit SCC und TIA nebst ggf. zusätzlichen technischen, organisatorischen und vertraglichen Maßnahmen. Freemail-Konten bieten oft geringere Administrierbarkeit und erhöhen Phishing-Risiken.
Mindestmaßnahmen: Multi-Faktor-Authentifizierung (MFA), Transport- und ruhende Verschlüsselung, restriktive Weiterleitungsregeln, geprüfte Rollen- und Rechtekonzepte sowie ein dokumentierter Exit-Pfad. Für kirchliche Stellen gilt parallel § 40 KDG.
3.3 VIDEOKONFERENZDIENST MIT US-BEZUG
Vereine und KMU führen Sitzungen, Fortbildungen und Kundentermine über einen US-Videokonferenzdienst durch. Neben Inhalten fallen regelmäßig Metadaten, Protokolle, Einwahlinformationen und Nutzungsdaten an.
Folge: Fällt das DPF weg, ist die Übermittlung nur noch auf Grundlage von Art. 46 DSGVO zulässig, in der Praxis häufig über SCC. Alternativ kommen BCR oder andere geeignete Garantien in Betracht. Eine TIA ist verpflichtend, mit besonderem Fokus auf Zugriffe öffentlicher Stellen und die Datenlokation samt Remote Zugriffswegen. Wo keine exklusive EU Datenlokalisierung verfügbar ist, sind zusätzliche Maßnahmen umzusetzen. Beispielsweise: Echte clientseitige Verschlüsselung mit Schlüsselhoheit beim Exporteur, strikte Rollen und Rechtekonzepte, Datensparsamkeit bei Einladungen, eine klare Lösch- und Aufbewahrungskonzepte für Aufzeichnungen und Chats, sowie ein dokumentierter Exit-Pfad. Für kirchliche Stellen gilt parallel § 40 KDG.
4 WELCHE KRITERIEN SIND ENTSCHEIDEND BEI DER TOOL-AUSWAHL UM EINE EXIT-STRATEGIE ZU HABEN?
Wenn das DPF kippt, brauchen Sie rechtssichere Alternativen.
Achten Sie daher auf diese 8 Schlüsselkriterien:
Kriterium | Worauf Sie achten sollten
|
Sitz & Hosting | Bevorzugt EU/EWR-Unternehmen mit nachweislichem Serverstandort in der EU/EWR; zusätzlich prüfen, ob Remotezugriffe oder Unterauftragnehmer in Drittstaaten ausgeschlossen oder abgesichert sind |
Rechtsgrundlage | Geeignete Garantien nach Art. 46 DSGVO, in der Praxis häufig SCC mit TIA und ggf. Zusatzmaßnahmen. Alternativ BCR, genehmigte Verhaltensregeln oder Zertifizierungsmechanismen mit verbindlichen und durchsetzbaren Zusagen. Ausnahmen nach Art. 49 DSGVO nur eng und nicht für regelmäßige Transfers. |
Zertifizierungen | ISO 27001, SOC 2, BSI C5 u. ä. erhöhen des Sicherheitsniveau sind aber kein Ersatz für Art. 46 DSGVO/§ 40 KDG. |
AV-Vertrag (DPA) | Muss alle in Art. 28 DSGVO/§ 29 KDG genannten Inhalte abdecken. |
Technische Schutzmaßnahmen | Ende-zu-Ende-Verschlüsselung, Schlüsselhoheit beim Datenexporteur, Zugriffskontrollen, MFA |
Datensparsamkeit | Keine unnötige Datenerhebung oder Drittweitergabe, kurze Aufbewahrungsfristen |
Reversibilität | Datenexport und Toolwechsel müssen möglich sein, vertragliche Zusicherung Rückgabe/Löschung. |
Bewertungen durch Aufsichtsbehörden | Aktuelle Einschätzungen der Aufsichtsbehörden, DSK, EDPB-Empfehlungen etc. prüfen und in TIA berücksichtigen |
Unsere Empfehlung: Dokumentieren Sie bereits jetzt alle Drittlandsübertragungen und prüfen Sie kritische Tools auf diese Kriterien!
5 HANDLUNGSEMPFEHLUNG FÜR VEREINE UND UNTERNEHMEN
Bestandsaufnahme: Welche Tools oder Dienstleister nutzen Sie mit US-Bezug? Die Ergebnisse im VVT dokumentieren.
Risikobewertung/DSFA durchführen: Gibt es rechtliche Alternativen oder Absicherungen? Für jede Übermittlung ist eine TIA zu erstellen.
Geeignete Garantien wählen und nachweisen: SCC prüfen oder alternativ BCR, genehmigte Verhaltensregeln oder Zertifizierungsmechanismen. Zusätzliche technische, organisatorische und vertragliche Maßnahmen gemäß TIA umsetzen. Ausnahmen nach Art. 49 DSGVO bleiben eng und sind für regelmäßige Transfers ungeeignet.
EU-Alternativen prüfen: Bei sensiblen Daten lieber auf EU-Dienstleister wechseln. Auch hier gilt: Prüfen und dokumentieren, denn auch EU Anbieter können Drittlandzugriffe haben.
Exit-Strategie in der Hinterhand haben: Für Tools mit fraglicher Rechtsgrundlage.
6 WARUM JEDE ORGANISATION EINE EXIT-STRATEGIE BRAUCHT
Wenn das EU-US Data Privacy Framework kippt, genügt Abwarten nicht. Vereine und Unternehmen benötigen proaktiv eine dokumentierte Handlungsoption, um internationale Übermittlungen in die USA weiterhin rechtmäßig zu gestalten.
Denn die Aufsichtsbehörden und die geltenden Gesetze verlangen, dass Verantwortliche jederzeit nachweisen können, dass ein Drittlandtransfer auf einer gültigen und dokumentierten Rechtsgrundlage beruht, auch bei Wegfall eines Angemessenheitsbeschlusses (Art. 44 ff. DSGVO, § 40 KDG). EDPB-Empfehlungen und nationale Orientierungshilfen betonen die Pflicht zur fortlaufenden Prüfung und Absicherung („Exit-Strategie“). Bei Verarbeitungsvorgängen mit voraussichtlich hohem Risiko ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bzw. § 35 KDG das zentrale Instrument, um Risiken systematisch zu bewerten und geeignete Maßnahmen festzulegen.
6.1 WAS GEHÖRT ZU EINER EXIT-STRATEGIE?
Geeignete Garantien (Art. 46 DSGVO/§ 40 KDG): meist Standardvertragsklauseln (SCCs), alternativ Binding Corporate Rules (BCR). Transfer-Impact-Assessment (TIA): Risikoprüfung des Empfängerlandes inkl. technischer Maßnahmen ist Pflicht.
Zusatzmaßnahmen je Risiko: echte Client-Verschlüsselung mit eigener Schlüsselhoheit, Pseudonymisierung, strikte Zugriffe.
AV-Verträge prüfen: DPA nach Art. 28 DSGVO/§ 29 KDG, insbesondere Unterauftragnehmer, Datenlokation, Remote-Support.
Reversibilität sicherstellen: Export, Löschung, getesteter Migrationspfad.
Dokumentation: Entscheidung und Bewertung müssen nachweisbar sein (Rechenschaftspflicht!)
6.2 WARUM DAS AUCH FÜR KLEINE ORGANISATIONEN GILT:
Ob internationaler Mittelständler oder gemeinnütziger Verein: Sobald personenbezogene Daten in die USA fließen z. B. über Newsletter-Tools, Videokonferenzsysteme oder Zahlungsanbieter sind Sie bei nicht ausreichender Sicherheit der Verarbeitung als Verantwortliche:r voll haftbar.
Tipp der Aufsichtsbehörden: Prüfen Sie regelmäßig, ob Ihre Dienstleister auf alternativen Rechtsgrundlagen basieren und halten Sie Exit-Strategien schriftlich fest. (Quelle: Datenschutzkonferenz DSK, EDPB-Leitlinien)
KURZ GESAGT:
Eine Exit-Strategie ist kein Luxus, sie ist die einzige Möglichkeit, DSGVO/KDG-Konformität auch im Krisenfall nachzuweisen. Besser ist es direkt auf EU-Anbieter zu setzen.
7 FAZIT: JETZT VORBEREITET SEIN, SPÄTER SICHER SEIN!
Der EU-US-Datentransfer bleibt ein Risikothema. Organisationen, die heute proaktiv handeln, sichern sich Compliance-Vorteile, minimieren Risiken und schützen die Daten ihrer Mitglieder, Mitarbeitenden und Kund:innen.
Sie möchten Ihre Tools DSGVO/KDG-konform prüfen lassen? Wir bieten Ihnen ein schnelles, fundiertes Audit mit klaren Empfehlungen.
Jetzt Termin buchen: Online-Beratung Oder schreiben Sie an: info@datafreshup.de
