Steht der Datentransfer in die USA schon wieder auf der Kippe?

13. März 2026 / Norbert Amlacher

Es ist ein Thema, das bei vielen Unternehmern und IT-Verantwortlichen immer wieder heiß diskutiert wird: Die Übermittlung von europäischen Nutzer- oder Kundendaten in die USA. Cloud-Dienste sind aus dem Geschäftsalltag kaum noch wegzudenken. Auf dem europäischen Markt geben ganz klar US-amerikanische Anbieter wie Amazon Web Services, Microsoft und Google den Ton an – ihr Marktanteil liegt nach Schätzungen aktuell bei über 70 Prozent.

Doch wer Daten in die USA schickt, bewegt sich juristisch oft auf dünnem Eis. Es sind bei solchen Übermittlungen in „Drittländer“ (außerhalb des EWR) nicht nur die normalen Datenschutzstandards einzuhalten (wie z.B. ordentliche Rechtsgrundlagen für Verarbeitungen), sondern darüber hinaus auch spezielle DSGVO-Regeln zu berücksichtigen. Im Wesentlichen geht es dabei darum, eine rechtliche Rechtfertigung nachzuweisen, warum personenbezogene Daten in Drittländer übermittelt werden dürfen.

Die DSGVO sieht mehrere Instrumente vor, die einen solchen Transfer ermöglichen (Art 44ff DSGVO), u.a. sogenannte Angemessenheitsbeschlüsse (Art 45 DSGVO). Dabei handelt es sich um Beschlüsse der Europäischen Kommission, die bestätigen, dass ein Drittland ein dem EU-Standard vergleichbares Datenschutzniveau bietet; solche gibt es u.a. für die Schweiz oder das Vereinigte Königreich (UK). Diese Angemessenheitsbeschlüsse sind in der Praxis das einfachste Mittel, um Datenübertragungen in Drittländer zu rechtfertigen. Daneben gibt es andere Instrumente, wovon in der Praxis besonders den Standarddatenschutzklauseln (manchmal auch als Standardvertragsklauseln bzw. SCC bezeichnet) besondere Bedeutung zukommen (Art 46 Abs 2 lit c DSGVO).

Angemessenheitsbeschlüsse mit den USA

In der Vergangenheit gab es bereits Angemessenheitsbeschlüsse, welche den Datenaustausch zwischen USA und Europa ermöglichten, und zwar „Safe Harbor“ und „Privacy Shield“. Diese wurden vom Europäischen Gerichtshof (EuGH) aber aufgehoben (Urteile Schrems I und Schrems II), u.a. wegen Massenüberwachung (Stichwort: Snowden) bzw. umfassender Zugriffsmöglichkeiten von US-Sicherheitsbehörden (Stichworte: FISA Section 702, Executive Order 12333).

Im Juli 2023 wurde nach längeren Verhandlungen ein neuer Angemessenheitsbeschluss, das EU-U.S. Data Privacy Framework (DPF), gefasst.  Unter dem DPF können sich US-Unternehmen zertifizieren lassen und verpflichten sich damit, europäische Datenschutzstandards einzuhalten.

Zentraler Pfeiler des DPF ist eine US-Verordnung (die „Executive Order 14086“) aus der Biden-Ära. Diese regelt im Wesentlichen, dass amerikanische Geheimdienste nur dann auf europäische Daten zugreifen dürfen, wenn es wirklich erforderlich und verhältnismäßig ist. Zudem wurde ein Verfahren eingerichtet, bei dem sich Betroffene bei einem speziellen US-Gericht (Data Protection Review Court, DPRC) beschweren können.

Mit der aktuellen Trump-Regierung wackelt das politische Fundament des Abkommens. Die Regierung hat angekündigt, sämtliche Executive Orders aus der Biden-Zeit zu überprüfen. Zwar ist die Executive Order 14086 formell noch in Kraft, aber das US-Kontrollgremium PCLOB (Privacy and Civil Liberties Oversight Board), welches u.a. die Mitglieder des DPRC benennt, wurde bereits massiv geschwächt. Im Januar 2025 wurden drei Mitglieder abberufen, sodass das PCLOB faktisch nur noch aus einer einzigen Person besteht.

Parallel dazu hat der französische Abgeordnete Philippe Latombe vor dem Europäischen Gericht (EuG) auf Nichtigkeit des DPF geklagt. Das EuG wies diese (eher eng gefasste) Klage im September 2025 ab. Dagegen wurde von Herrn Latombe aber ein Rechtsmittel eingereicht, sodass sich nunmehr der EuGH damit beschäftigen muss. Zudem hat der bekannte Datenschutzaktivist Max Schrems (NOYB) bereits angekündigt, rechtliche Schritte gegen das DPF zu ergreifen. Es ist aktuell daher nicht auszuschließen, dass auch das DPF in Zukunft vom EuGH aufgehoben wird.

Sollte das DPF fallen, droht erneut rechtliches Unbehagen, da im Regelfall keine Übergangsfristen gelten und das DPF daher „von heute auf morgen“ wegfallen kann. Typischerweise muss man dann auf andere Transfer-Mechanismen, wie z.B. den Standardvertragsklauseln/SCC „umsteigen“.

Wenn man Standardvertragsklauseln nutzen möchte, sind diese zunächst mit den jeweiligen Cloud-Anbietern vertraglich zu vereinbaren. Es sind auch zusätzliche Compliance-Maßnahmen erforderlich, und zwar im Regelfall die Durchführung von sogenannten Transfer Impact Assessments (TIA). Ein TIA ist eine datenschutzrechtliche Risikoanalyse, mit der Unternehmen vor der Übermittlung personenbezogener Daten in ein Nicht-EU-Land prüfen, ob dort ein der DSGVO gleichwertiges Schutzniveau gewährleistet werden kann. Es dient v.a. dazu, rechtliche Risiken – insbesondere durch mögliche Zugriffe ausländischer staatlicher Behörden – zu bewerten und bei Bedarf zusätzliche Schutzmaßnahmen für die Daten festzulegen. Bei Datenübermittlungen in die USA muss gemäß Schrems II Urteil des EuGH sowie Behördenmeinungen auch sichergestellt werden, dass ergänzende (Sicherheits-)Maßnahmen (z.B. technischer, organisatorischer oder rechtlicher Natur) ergriffen werden; auch diese sind mit dem jeweiligen Anbieter zu vereinbaren. Ansonsten riskiert man, dass trotz formalen Abschlusses von Standardvertragsklauseln die Datentransfers in die USA gegen die DSGVO verstoßen – was u.a. zu Bußgeldern führen kann.

Ausblick

Es ist daher empfehlenswert, bereits jetzt die rechtliche Situation rund um das DPF laufend zu beobachten und zu analysieren. Man sollte sich überlegen, ob bzw. inwiefern nach einem allfälligen Wegfall des DPF der Transfer von personenbezogenen Daten in die USA noch rechtssicher möglich ist bzw. welche ergänzenden Maßnahmen und Schritte zu ergreifen sind.

Im Ergebnis sind also ein vorausschauendes Risikomanagement und belastbare rechtliche Rückversicherungen gefordert, um böse Überraschungen zu vermeiden. Denn eines zeigt die Vergangenheit deutlich: Bei transatlantischen Datenschutzabkommen ist kaum etwas so beständig wie der Wandel.

Über den Autor:

Norbert Amlacher ist Rechtsanwalt und Partner bei andréewitch & partner rechtsanwälte GmbH. Der anerkannte Experte für Wirtschafts-, IT- und Technologierecht geht komplexe rechtliche Fragen mit Pragmatismus und Klarheit an und begleitet innovative Themen und Digitalisierungsprojekte mit fundiertem Verständnis und klarem juristischen Kompass.