Transatlantischer Datenverkehr

Allgemeine Informationen zur erleichterten Übermittlung personenbezogener Daten in die USA

Für zahlreiche deutsche Unternehmen bildet der Transfer personenbezogener Daten in die Vereinigten Staaten einen wesentlichen Bestandteil ihres Geschäftsmodells, etwa indem sie amerikanische Software, Konferenzplattformen oder CRM-Systeme einsetzen oder US-Cloud-Dienste nutzen.
Seit Juli 2023 erleichtert das nach langwierigen Verhandlungen zwischen der Europäischen Kommission und der US-Regierung ausgehandelte EU-U.S. Data Privacy Framework (DPF) den hierfür notwendigen Datenverkehr zwischen der Europäischen Union und den Vereinigten Staaten wesentlich. Leider ist jedoch der geltende Datenschutzrahmen seit Januar 2025 erheblichen Unsicherheiten ausgesetzt, die der US-amerikanischen Innenpolitik geschuldet sind:
Generell sind auf Grundlage von Art. 45 der Europäischen Datenschutz-Grundverordnung (DSGVO) Transfers personenbezogener Daten aus einem Mitgliedstaat der Europäischen Union in einen Drittstaat ohne weitere Schutzmaßnahmen möglich, sofern die EU-Kommission durch einen sogenannten Angemessenheitsbeschluss feststellt, dass in dem jeweiligen Drittstaat ein vergleichbares datenschutzrechtliches Schutzniveau gewährleistet ist.
In der Vergangenheit hat der Europäische Gerichtshof (EuGH) bereits von der EU-Kommission erlassene Angemessenheitsbeschlüsse für den Datenverkehr zwischen der EU und den USA aufgrund unzureichender Datenschutzstandards in den Vereinigten Staaten für nichtig erklärt (dazu ausführlicher unten).
Die Bemühungen sowohl der EU-Kommission als auch der früheren US-Administration Biden, eine mit den Anforderungen des EU-Datenschutzrechts konforme Einigung zu erzielen, gipfelten schließlich in dem EU-U.S. Data Privacy Framework (DPF) des Jahres 2023. Am 3. Juli 2023 hat die damalige US-Handelsministerin erklärt, dass die USA alle Verpflichtungen zur Umsetzung des EU-US Datenschutzrahmens erfüllen. Die Europäische Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss (adequacy decision) für den Datenverkehr zwischen der EU und den USA erlassen.
Der Beschluss legt fest, dass die USA für personenbezogene Daten ein mit dem europäischen Standard vergleichbares Schutzniveau gewährleisten. Somit gelten die USA gemäß Art. 45 Datenschutz-Grundverordnung als sicheres Drittland und die Übermittlung personenbezogener Daten bedarf keiner zusätzlichen Genehmigung. Die Gültigkeit des Beschlusses ist zeitlich nicht begrenzt. Es ist aber eine regelmäßige Überprüfung seitens der EU-Kommission vorgesehen, um die Wirksamkeit in der Praxis zu evaluieren.
Der Angemessenheitsbeschluss gilt für Datenübermittlungen von öffentlichen und privaten Einrichtungen an US-Unternehmen, die am EU-USA-Datenschutzrahmen teilnehmen. US-Unternehmen müssen zur Teilnahme am Datenschutzrahmen eine Selbstzertifizierung durchlaufen und angeben, dass sie detaillierte Datenschutzpflichten einhalten.

Aktuelle Entwicklungen in den USA

Grundlage für die Umsetzung der bilateralen Vereinbarungen des EU-USA-Datenschutzrahmens in den Vereinigten Staaten ist die im Oktober 2022 vom damaligen US-Präsidenten Joe Biden erlassene Executive Order 14086 („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“).
Durch die Executive Order 14086 wurde das Privacy and Civil Liberties Oversight Board (PCLOB) mit neuen Kompetenzen ausgestattet, um die Einhaltung der Vorgaben des EU-U.S. Data Privacy Framework in den USA zu überwachen. Insbesondere soll das PCLOB prüfen, ob die US-Geheimdienste die datenschutzrechtlichen Anforderungen der Executive Order 14086 einhalten, was zu den wesentlichen Voraussetzungen der Einigung zwischen der US-Regierung und der EU-Kommission zählte.
Allerdings ist die Zukunft des EU-U.S. Data Privacy Framework seit dem Amtsantritt der zweiten Trump-Administration im Januar 2025 fraglich.
Bereits am 22. Januar 2025 hat US-Präsident Donald Trump die Entlassung von drei Mitgliedern des Privacy and Civil Liberties Oversight Board (PCLOB), welche der Demokratischen Partei angehören, veranlasst. Seitdem verfügt das PCLOB nur noch über ein (republikanisches) Mitglied und ist somit beschlussunfähig, was die Überwachung der Anforderungen des EU-U.S. Data Privacy Framework (DPF) grundsätzlich infragestellt. Verschiedentlich wurde gar vermutet, dass US-Präsident Trump die von seinem Vorgänger Biden erlassene Executive Order 14086 schlichtweg aufheben könnte, um die US-Geheimdienste von datenschutzrechtlichen Beschränkungen zu befreien.
Diese Entscheidungen könnten weitreichende Folgen für transatlantische Datentransfers haben.
Die Schwächung des PCLOB durch politische Entscheidungen könnte nicht nur das Vertrauen der EU in die Wirksamkeit des Frameworks untergraben, sondern auch die Grundlage für künftige Datenschutzabkommen infrage stellen. Auch der für die Entscheidung über Beschwerden von EU-Bürgern berufenen Data Protection Review Court dürfte mit dieser Auslegung nicht mehr unbedingt als unabhängiges Gremium bestehen bleiben können, selbst wenn die das DPF stützende „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ bislang bestehen bleibt.
Dieses Verständnis könnte langfristig mit den europäischen Anforderungen an Datenschutzabkommen kollidieren. Das EU-U.S. Data Privacy Framework hängt entscheidend von der Wirksamkeit und Unabhängigkeit der US-Datenschutzkontrollmechanismen ab.
Diese politischen Entscheidungen und das zugrunde liegende Staatsverständnis werfen jedoch die Frage auf, ob die USA langfristig die Anforderungen der EU erfüllen können. Sollte das PCLOB dauerhaft geschwächt bleiben oder die Executive Order 14086 geändert werden, kann nicht nur das Scheitern des EU-U.S. Data Privacy Framework drohen, sondern auch möglicherweise das Ende künftiger transatlantischer Datenschutzabkommen.
In den Vereinigten Staaten selbst sind zwei der drei früheren demokratischen Mitglieder des PCLOB klageweise gegen ihre Entlassung vorgegangen. In erster Instanz hat zunächst der U.S. District Court for the District of Columbia am 21. Mai 2025 die Entlassungen der beiden Mitglieder für rechtswidrig befunden und ihrem Antrag auf Erlass einer einstweiligen Anordnung zur Wiedereinsetzung in ihre Positionen stattgegeben. Hiervon abweichend hat indes in zweiter Instanz der U.S. Court of Appeals am 1. Juli 2025 die einstweilige Anordnung bis zur Entscheidung über die Berufung ausgesetzt, sodass das PCLOB bis auf Weiteres beschlussunfähig bleibt.
Das verbliebene (republikanische) Mitglied des PCLOB, Beth A. Williams, hat indessen zugesichert, die Executive Order 14086 unverändert auch gegenüber den US-Geheimdiensten durchzusetzen.

Reaktion der Europäischen Kommission auf die Entwicklungen in den USA

Trotz der Entwicklungen in den USA scheint die Europäische Kommission an ihrem Angemessenheitsbeschluss für den transatlantischen Datenverkehr weiterhin festhalten zu wollen.
Im April 2025 hat die Kommission auf eine parlamentarische Anfrage eines Abgeordneten des Europäischen Parlaments (E-000520/2025 [ASW]) hin erklärt, dass sie davon ausgehe, dass die Executive Order 14086 in den Vereinigten Staaten weiterhin in Kraft bleibe und Garantien für den Datenschutz im transatlantischen Datenverkehr biete. Zuletzt hat im Mai 2025 der EU-Kommissar für Justiz und Rechtsstaatlichkeit, Michael McGrath, im Rahmen eines Treffens mit dem verbliebenen republikanischen Mitglied des PCLOB explizit die Absicht der EU-Kommission bekräftigt, das EU-U.S. Data Privacy Framework aufgrund seiner ökonomischen Bedeutung zu erhalten.
Insgesamt scheint die EU-Kommission also bestrebt, den mit der Biden-Administration mühsam erzielten Kompromiss ungeachtet der drohenden datenschutzrechtlichen Defizite in den USA infolge der Handlungsunfähigkeit des PCLOB nicht zu gefährden, um Unternehmen in der EU weiterhin eine erleichterte Datenübermittlung in die USA zu ermöglichen. Die weiteren Entwicklungen in den Vereinigten Staaten – insbesondere eine immer noch mögliche förmliche Aufhebung der Executive Order 14086 – werden zeigen, ob die EU-Kommission an diesem Kurs dauerhaft festhalten kann.
Unternehmen sollten die Entwicklungen im Bereich des grenzüberschreitenden Datenverkehrs für personenbezogene Angaben genau im Auge behalten, um schnell auf Änderungen reagieren zu können.
Der Rechtsrahmen ist essentiell für Unternehmen, wenn sie zum Beispiel amerikanische Software, Konferenzplattformen oder CRM-Systeme einsetzen oder US-Cloud-Dienste nutzen.
Sollte es tatsächlich zu einer Aufhebung des Angemessenheitsbeschlusses der EU-Kommission kommen, könnte eine Datenübermittlung in die Vereinigten Staaten durch deutsche Unternehmen noch auf der Grundlage sogenannten Standarddatenschutzklauseln erfolgen.
Dabei handelt es sich um von der EU-Kommission erlassene Musterklauseln, welche die Unternehmen in ihre Verträge mit Geschäftspartnern in Drittstaaten aufnehmen können, um eine Datenübermittlung in einen Drittstaat zu ermöglichen. Dies setzt allerdings nach der EU-Datenschutz-Grundverordnung (DSGVO) verbindlich voraus, dass der Auftragsverarbeiter in diesem Drittstaat ein vergleichbares Niveau des Schutzes der personenbezogenen Daten garantieren kann. Könnte dies in den USA nicht gewährleistet werden, so wäre eine Datenübermittlung zukünftig auf der Grundlage des europäischen Datenschutzrechts nicht mehr möglich.
Unter diesen Umständen wären deutsche Unternehmen gezwungen, auf die Kooperation mit US-amerikanischen Datenverarbeitungsunternehmen zu verzichten und stattdessen auf alternative Dienstleister in Mitgliedstaaten der EU, des Europäischen Wirtschaftsraums (EWR) oder in Drittstaaten mit vergleichbarem Schutzniveau zurückzugreifen.
Nähere Informationen zur bisherigen Regelung stehen auf der Webseite der Germany Trade and Invest GmbH (GTAI) bereit:

Aktuelles Urteil des EuG vom 3. September 2025

Ebenfalls ungeachtet der Entwicklungen in den USA hat das Gericht der Europäischen Union (EuG) mit Urteil vom 3. September 2025 (Rechtssache T-553/23 – Latombe/Kommission) eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss der EU-Kommission für den Datenverkehr zwischen der Europäischen Union und den Vereinigten Staaten aus dem Jahr 2023 abgewiesen.
In seiner Urteilsbegründung hat der EuG insbesondere ausgeführt, dass der auf Grundlage der Executive Order 14086 geschaffene Data Protection Review Court (DPRC) eine unparteiliche rechtliche Kontrolle der Datenverarbeitungen durch US-Geheimdienste in den Vereinigten Staaten gewährleiste. Eine effektive Aufsicht über den DPRC werde durch das PCLOB sichergestellt. Für den Fall, dass es zu wesentlichen Veränderungen des geltenden Rechtsrahmens beziehungsweise der Datenschutzpraxis in den USA kommen sollte, etwa durch Aufhebung der Executive Order 14086 durch den US-Präsidenten, so könne hierauf die EU-Kommission hierauf mit der Aussetzung, Änderung oder Aufhebung des Angemessenheitsbeschlusses reagieren.
Gegen das Urteil des EuG ist eine Berufung vor dem Europäischen Gerichtshof (EuGH) möglich.

Frühere Rechtsprechung des EuGH zur Datenübermittlung in die Vereinigten Staaten

In der Vergangenheit hat der Europäische Gerichtshof (EuGH) bereits am 16. Juli 2020 die frühere Rechtsgrundlage für die Datenübermittlung in die USA gekippt aufgrund des unzureichenden Datenschutzniveaus. Das sogenannte „Privacy Shield Abkommen“ ermöglichte bislang vielen Unternehmen in der EU, personenbezogene Daten von Kunden/-innen, Mitarbeitenden oder auch für die Nutzung von Internetdiensten in die USA zu transportieren und dort verarbeiten zu lassen. Eine besondere Prüfung der Angemessenheit des Datenschutzniveaus in den USA durch die Betriebe selbst war nicht notwendig.
Weil sich ein Datenzugriff durch US-Nachrichtendienste nicht ausschließen ließ, sah der EuGH allerdings keine Möglichkeit, ein dem europäischen Recht angemessenes Datenschutzniveau in den USA anzuerkennen. Auch die von der EU-Kommission definierten sogenannten Standarddatenschutzklauseln, mit denen der Datenexporteur in der EU personenbezogene Daten an einen Datenimporteur in den USA übermitteln durfte, konnten als alternative Rechtsgrundlage nur bedingt helfen.

Was bedeutete das Urteil in der Praxis?

Unternehmen, die ihre Daten in den USA selbst verarbeiteten oder durch einen IT-Dienstleister in den Vereinigten Staaten verarbeiten ließen, mussten genau prüfen, ob ihr Vertragspartner jenseits des Atlantiks ein Datenschutzniveau gewährleistete, das dem der EU gleichwertig war.
Dafür konnten die Standarddatenschutzklauseln die Grundlage sein. In der Regel mussten aber noch zusätzliche Vereinbarungen getroffen werden, um die Daten zu schützen.
Konnte die Gleichwertigkeit nicht hergestellt werden, durften die Daten nicht in die USA übermittelt werden.
Damit war auch die Nutzung vieler IT-Standardanwendungen US-amerikanischer Dienstleister – etwa von Cloud-Lösungen oder Konferenz-Tools – neuen Risiken unterworfen.

Welche Aufgaben entstanden daraus für die Unternehmen?

Zunächst war zu prüfen, welche Rechtsgrundlage die Datenübermittlung in die USA rechtfertigte. Wurden die Daten beispielsweise zur Erfüllung eines Vertragsverhältnisses dorthin übermittelt, waren keine weiteren Grundlagen erforderlich. Ferner musste festgestellt werden, mit welchen Dienstleistern zusammengearbeitet und wo die Daten tatsächlich verarbeitet wurden.
Die Vertragspartner mussten offenlegen, welche Subunternehmen sie mit der Datenverarbeitung beauftragt hatten und wo diese die Informationen verarbeiten. Werden die Daten allein auf Grundlage des Privacy Shield übermittelt, war zu prüfen, ob mit dem Vertragspartner in den USA die Standarddatenschutzklauseln vereinbart werden können – eventuell mit zusätzlichen Vereinbarungen.
Voraussetzung waren entsprechende Recherchen über die komplexen Sicherheitsgesetze, denen der US-amerikanische Vertragspartner unterliegt. Das war in vielen Fällen für kleine und mittlere Unternehmen aber praktisch nicht möglich.
Die Neuregelung des transatlantischen Datenverkehrs birgt nun also Erleichterungen.

Betrifft das EuGH-Urteil auch den Datenverkehr mit weiteren Staaten?

Zunächst galt die Entscheidung des EuGHs nur für die USA, aber die allgemeinen Anforderungen aus dem Urteil finden auch auf den Datentransfer in andere Drittstaaten, also Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraumes, Anwendung.
Da die EU nur zu wenigen Staaten einen Angemessenheitsbeschluss gefasst hat (beispielsweise zu Japan), gibt es viele Handelspartner, bei denen eine Datenübermittlung nur auf Grundlage der Standarddatenschutzklauseln rechtmäßig erfolgen kann.
Auch hier müssen die Unternehmen selbst prüfen, ob ein der komplexen EU-Regelung gleichwertiges Datenschutzniveau besteht. Insbesondere bei Staaten, in denen Nachrichten- beziehungsweise Geheimdienste umfassende Kompetenzen haben, wird dies erhebliche Probleme bereiten.
Stand: 16. Oktober 2025