Transatlantische Datenübermittlungen zwischen der Europäischen Union und den Vereinigten Staaten sind seit Langem ein Eckpfeiler internationaler digitaler Geschäftsabläufe. Europäische Unternehmen verlassen sich dabei auf US-basierte Dienste. Diese reichen von Cloud-Speicherung bis hin zu Analyse- und Marketing-Tools. Dabei werden personenbezogene Daten grenzüberschreitend verarbeitet.
Diese Übermittlungen stehen jedoch zunehmend unter Beobachtung. In den letzten Jahren wurden sie mehrfach rechtlich angefochten. Das neueste Instrument zur Regelung dieses transatlantischen Datenflusses ist das EU-U.S. Data Privacy Framework (DPF). Es wurde eingeführt, um sicherzustellen, dass solche Datenübermittlungen den strengen Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) entsprechen.
Mit der Rückkehr von Donald Trump in das US-Präsidentenamt haben mehrere Entscheidungen neue Besorgnis bei EU-Regulierungsbehörden und Unternehmen ausgelöst. Insbesondere der operative Status von Aufsichtsmechanismen wie dem Privacy and Civil Liberties Oversight Board (PCLOB) steht im Fokus und wirft kritische Fragen hinsichtlich der fortlaufenden Angemessenheit des DPF und dessen Bedeutung für europäische Unternehmen auf.
Aktuelle Rechtsgrundlage für Datenübermittlungen in die USA (Stand 2025)
Mit Stand Anfang 2025 bleibt das EU-U.S. Data Privacy Framework der primäre rechtliche Mechanismus, der die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in die Vereinigten Staaten erlaubt. Die Angemessenheitsentscheidung der Europäischen Kommission ist weiterhin gültig, was bedeutet, dass EU-Unternehmen personenbezogene Daten rechtmäßig an US-Organisationen übermitteln können, die nach dem DPF zertifiziert sind.
Diese Organisationen müssen im EU-U.S. Data Privacy Framework List geführt sein und sich an strenge Datenschutzgrundsätze halten, darunter Datenminimierung, Zweckbindung sowie Zugriffs- und Beschwerderechte für EU-Bürger. Diese Grundsätze werden von der US-Handelskommission (FTC) und dem Handelsministerium durchgesetzt.
Aufgrund jüngster politischer Entwicklungen – insbesondere solcher, die Aufsichtsmechanismen wie das PCLOB betreffen – üben EU-Behörden jedoch verstärkte Wachsamkeit. Die norwegische Datenschutzbehörde (Datatilsynet) betonte kürzlich, dass das DPF zwar weiterhin rechtlich gültig sei, Unternehmen sich jedoch auf mögliche Störungen vorbereiten sollten, falls sich dieser Status ändert. Vollständigen Artikel hier lesen.
Privacy and Civil Liberties Oversight Board (PCLOB)
Das PCLOB spielt eine zentrale Rolle bei der Sicherstellung, dass US-Überwachungspraktiken mit demokratischen Grundsätzen und dem Schutz der bürgerlichen Freiheiten im Einklang stehen. Dieses unabhängige Aufsichtsgremium ist damit beauftragt, US-Geheimdienstoperationen zu überprüfen und sicherzustellen, dass sie insbesondere die Rechte ausländischer Staatsbürger, deren Daten möglicherweise unter Ausnahmeregelungen für die nationale Sicherheit verarbeitet werden, nicht verletzen.
Im Kontext des DPF war das PCLOB ein zentrales Element zur Erlangung der Angemessenheitsentscheidung der EU. Die Europäische Kommission hob die Unabhängigkeit und Ermittlungsbefugnisse des Gremiums als entscheidende Schutzmaßnahme hervor, die die Behauptung stützt, dass US-Rechtsvorschriften einen Schutz bieten, der „im Wesentlichen gleichwertig“ zur DSGVO ist.
Ohne ein funktionierendes PCLOB wird es deutlich schwieriger, die Einhaltung der Anforderungen des DPF seitens der USA zu validieren.
Neueste Entwicklungen im PCLOB unter der Trump-Administration
Eine der bedeutendsten und umstrittensten Maßnahmen der Trump-Administration im Jahr 2025 war die Entlassung mehrerer Mitglieder des PCLOB. Mit nur einem verbleibenden Mitglied ist das Gremium derzeit nicht entscheidungsfähig. Dies setzt seine Fähigkeit außer Kraft, Berichte zu veröffentlichen, Untersuchungen durchzuführen oder seine vollständigen Aufsichtsrechte auszuüben.
Obwohl es Anzeichen dafür gibt, dass neue Ernennungen erfolgen werden, hat der derzeitige Stillstand europäische Regulierungsbehörden alarmiert. Laut Datatilsynet untergräbt dieser funktionsunfähige Zustand des PCLOB eine der zentralen Säulen, auf denen die Angemessenheitsentscheidung beruht.
Diese Situation bringt ein Maß an Unsicherheit mit sich, das – sollte es anhalten – die rechtliche Grundlage des DPF gefährden und rechtliche Anfechtungen neu entfachen könnte, wie es zuvor bereits zur Aufhebung von Safe Harbor und Privacy Shield kam.
Warum die Inaktivität des PCLOB Besorgnis erregt
Der funktionslose Zustand des PCLOB stellt nicht nur eine Verwaltungslücke dar – er trifft das Herzstück der EU-Argumentation für die Erlaubnis von Datenübermittlungen in die Vereinigten Staaten im Rahmen des DPF. Europäische Regulierungsbehörden und Rechtsexperten warnen davor, dass die Unfähigkeit des PCLOB, seine Aufsichtspflichten zu erfüllen, das grundlegende Vertrauen untergräbt, auf dem die Angemessenheitsentscheidung basiert.
Ohne ein voll funktionsfähiges Aufsichtsgremium stellt sich die Frage, wie US-Geheimdienste für Missbrauch oder Überschreitungen bei Überwachungsmaßnahmen zur Rechenschaft gezogen werden können. Diese Unsicherheit zieht sich durch die europäische Datenschutzlandschaft und weckt Befürchtungen, dass rechtliche Anfechtungen das DPF – wie seine Vorgänger – erneut zu Fall bringen könnten.
Europäische Reaktionen: Leitlinien von Norwegens Datatilsynet
Die norwegische Datenschutzbehörde Datatilsynet hat eine proaktive Haltung eingenommen und Unternehmen vor der rechtlichen Fragilität des DPF in seinem derzeitigen Zustand gewarnt. In ihrer Erklärung vom Februar 2025 bestätigte sie zwar die fortbestehende Gültigkeit des DPF, betonte jedoch, dass die Situation in den Vereinigten Staaten – insbesondere die Funktionsunfähigkeit des PCLOB – ernsthafte Überlegungen erfordert.
Datatilsynet rät europäischen Unternehmen, mit der Entwicklung einer Ausstiegsstrategie zu beginnen. Diese sollte die Identifikation alternativer rechtlicher Mechanismen oder den Wechsel zu Dienstleistern beinhalten, die Daten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten.
Was das für Marketer und Website-Betreiber bedeutet, die weiterhin US-basierte Tools nutzen
Wenn Ihr Marketing-Stack weiterhin Google Analytics, Google Tag Manager oder andere US-basierte Plattformen enthält, empfiehlt es sich, Ihre Compliance-Strategie zu überdenken. Die jüngsten Entwicklungen in der US-Datenschutzaufsicht – insbesondere die Inoperabilität des PCLOB – werfen Zweifel an der langfristigen Tragfähigkeit des EU-U.S. Data Privacy Framework (DPF) auf.
Wir haben das bereits erlebt: Als das Privacy Shield im Jahr 2020 für ungültig erklärt wurde, reagierten mehrere europäische Datenschutzbehörden rasch und erließen Urteile, die die Nutzung von Google Analytics in ihren Jurisdiktionen effektiv untersagten. Nun, da die norwegische Datenschutzbehörde Bedenken äußert, stehen europäische Unternehmen erneut vor Unsicherheit.
Statt auf behördliche Durchsetzungsmaßnahmen zu warten oder unter Druck improvisieren zu müssen, können Sie jetzt handeln. Wechseln Sie zu einer datenschutzkonformen, europäisch entwickelten Plattform wie JENTIS. Mit einer serverseitigen Tracking-Architektur und DSGVO-konformer Datenverarbeitung – vollständig innerhalb der EU gehostet – bietet JENTIS zukunftssichere Analytics mit maximaler Datenkontrolle.
Mehr erfahren: Was ist das EU-US Data Privacy Framework (DPF)?
Das Data Privacy Framework wurde entwickelt, um seine Vorgänger – Safe Harbor und das Privacy Shield – abzulösen, die jeweils vom Gerichtshof der Europäischen Union (EuGH) in den Urteilen Schrems I und Schrems II für ungültig erklärt wurden. Diese Urteile bemängelten insbesondere die fehlenden Möglichkeiten für EU-Bürger, gegen US-Regierungsüberwachung vorzugehen, sowie das Fehlen angemessener rechtlicher Schutzmaßnahmen.
Das DPF wurde 2023 eingeführt, um neues Vertrauen in transatlantische Datenübermittlungen zu schaffen. Es soll einen strukturierten und verlässlichen Mechanismus bieten, mit dem US-Unternehmen personenbezogene Daten von EU-Bürgern in Übereinstimmung mit europäischen Datenschutzprinzipien verarbeiten können. Um sich zu qualifizieren, müssen sich US-Unternehmen selbst zur Einhaltung einer Reihe von Datenschutzgrundsätzen verpflichten, die vom US-Handelsministerium durchgesetzt und von der Federal Trade Commission (FTC) überwacht werden.
Wichtig: Nur Unternehmen, die in der Data Privacy Framework List (verfügbar unter dataprivacyframework.gov) aufgeführt sind, gelten als zulässige Empfänger personenbezogener Daten aus der EU im Rahmen dieses Mechanismus.
Angemessenheitsentscheidungen und ihre Rolle
Eine Angemessenheitsentscheidung ist eine formale Erklärung der Europäischen Kommission, dass ein Drittland ein Datenschutzniveau bietet, das im Wesentlichen dem der EU entspricht. Eine solche Entscheidung erlaubt den freien Fluss personenbezogener Daten in das betreffende Land, ohne dass zusätzliche Schutzmaßnahmen wie Standardvertragsklauseln (SCCs) oder verbindliche Unternehmensregeln (BCRs) erforderlich sind.
Die der USA im Rahmen des DPF erteilte Angemessenheitsentscheidung stellte einen bedeutenden Fortschritt in den transatlantischen Beziehungen dar, insbesondere nach der Rechtsunsicherheit infolge der Aufhebung des Privacy Shield. Sie basiert auf einer detaillierten Bewertung des US-Rechtssystems, der Überwachungspraktiken und der bestehenden Rechtsmittelmöglichkeiten für EU-Bürger.
Die Entscheidung der Kommission stützte sich maßgeblich auf die Funktionsfähigkeit des PCLOB und anderer Aufsichtsorgane. Diese wurden als wesentlich dafür erachtet, dass die Rechte von EU-Bürgern bei der Datenverarbeitung in den USA gewahrt und durchgesetzt werden können.