Data Privacy Framework wackelt: Was KMU jetzt tun müssen
Ein Urteil des US Supreme Court vom 29. Juni 2026 bringt das EU-US Data Privacy Framework ins Wanken – die wichtigste Rechtsgrundlage für Datentransfers in die USA. Für kleine und mittlere Unternehmen, die Microsoft 365, Google Workspace oder andere US-Cloud-Dienste nutzen, ist das mehr als eine juristische Randnotiz.
Was ist passiert?
Der Oberste Gerichtshof der USA hat in der Rechtssache Trump v. Slaughter entschieden, dass es keine vom US-Präsidenten unabhängigen Behörden gibt. Betroffen ist damit auch die Federal Trade Commission (FTC) – ausgerechnet jene Behörde, deren Unabhängigkeit die EU-Kommission ihrem Angemessenheitsbeschluss für das Data Privacy Framework zugrunde gelegt hatte.
Datenschutz-Aktivist Max Schrems und seine Organisation noyb haben bereits angekündigt, gegen das Data Privacy Framework zu klagen. Nach „Schrems I“ (Safe Harbor) und „Schrems II“ (Privacy Shield) droht damit zum dritten Mal das Aus für einen transatlantischen Datendeal.
Professionelle Compliance-Tools und Beratung von TSMONDO: ISO 27001, NIS2, DSGVO, BCM — mandantenfähig, auf deutschen Servern.
Warum betrifft das auch Ihr Unternehmen?
Fast jedes deutsche KMU überträgt täglich personenbezogene Daten in die USA – oft ohne es bewusst wahrzunehmen:
- E-Mail und Office über Microsoft 365 oder Google Workspace
- Videokonferenzen mit Zoom oder Teams
- Newsletter-Tools, CRM-Systeme und Cloud-Speicher von US-Anbietern
- Website-Dienste wie Google Analytics oder US-Hosting
All diese Übermittlungen stützen sich derzeit überwiegend auf das Data Privacy Framework. Fällt es, brauchen Unternehmen eine tragfähige Alternative – sonst drohen Beschwerden, Untersagungen und Bußgelder.
Bleibt der Datentransfer in die USA vorerst legal?
Ja. Der Angemessenheitsbeschluss nach Art. 45 DSGVO gilt weiter, bis der Europäische Gerichtshof ihn aufhebt – ein solches Verfahren dürfte zwei bis drei Jahre dauern. Panik ist also nicht angebracht. Wer jedoch erst reagiert, wenn das Urteil fällt, wiederholt den Fehler vieler Unternehmen nach „Schrems II“: hektische Nachbesserungen unter Zeitdruck.
Was KMU jetzt konkret tun sollten
1. Bestandsaufnahme machen
Verschaffen Sie sich einen Überblick: Welche US-Dienste sind im Einsatz, welche Daten fließen wohin? Ein Datenschutz-Audit deckt systematisch auf, wo Ihr Unternehmen steht.
2. Standardvertragsklauseln als Fallback vorbereiten
Prüfen Sie, ob Ihre US-Anbieter zusätzlich Standardvertragsklauseln (SCC) anbieten. Viele große Provider tun das bereits – so haben Sie ein zweites Standbein, falls das Framework kippt.
3. Verträge und Alternativen prüfen
Aktualisieren Sie Auftragsverarbeitungsverträge und Transfer Impact Assessments. Prüfen Sie bei anstehenden Vertragsverlängerungen, ob europäische Alternativen infrage kommen. Eine unabhängige Datenschutz-Beratung hilft, Aufwand und Risiko realistisch abzuwägen.
4. Verantwortlichkeiten klären
Ein externer Datenschutzbeauftragter behält die Entwicklung rund um das Data Privacy Framework für Sie im Blick und sorgt dafür, dass Ihr Unternehmen rechtzeitig handelt statt hinterherzulaufen.
Fazit: Jetzt vorbereiten, nicht abwarten
Das Data Privacy Framework gilt noch – aber die Zweifel wachsen. Unternehmen, die ihre US-Datentransfers jetzt dokumentieren und Alternativen vorbereiten, sind klar im Vorteil, wenn der EuGH entscheidet.
Sie benötigen Unterstützung beim Datenschutz? Die Experten von Datenschutz Einfach helfen Ihnen gerne weiter. Kontaktieren Sie uns für eine unverbindliche Erstberatung.
Weitere Beiträge zum Thema
Compliance-Software für Ihr Unternehmen
DSGVO, ISO 27001, NIS2 — alles in einer Plattform.
Zum Shop →