Ist der EU-US Data Privacy Framework nach dem 12. Juni 2026 noch gültig?

Der DPF-Angemessenheitsbeschluss der EU-Kommission vom Juli 2023 ist formal weiterhin in Kraft. FISA 702 ist am 12. Juni 2026 ausgelaufen, ohne dass der US-Kongress eine Verlängerung verabschiedet hat. Ob das Auslaufen von FISA 702 unmittelbare Auswirkungen auf die Gültigkeit des DPF hat, ist rechtlich ungeklärt. Die FISA-Richter haben in ihrer Zertifizierung vom März 2026 eine gewisse Übergangsdeckung bis März 2027 geschaffen. Dennoch besteht erhebliche Rechtsunsicherheit, weshalb parallel auf SCCs als Fallback gesetzt werden sollte.

Was sind Standardvertragsklauseln und warum sind sie jetzt wichtig?

Standardvertragsklauseln (SCCs) sind von der EU-Kommission verabschiedete Musterverträge nach Art. 46 Abs. 2 lit. c DSGVO, die einen Datentransfer in Drittländer ohne Angemessenheitsbeschluss absichern. Seit der Überarbeitung 2021 müssen SCCs mit einem Transfer Impact Assessment (TIA) kombiniert werden, das die tatsächlichen Schutzstandards im Empfängerland bewertet. Bei US-Anbietern ist das TIA derzeit wegen der ungeklärten FISA-702-Lage besonders kritisch.

Was ist ein Transfer Impact Assessment und wie wird es erstellt?

Ein Transfer Impact Assessment (TIA) bewertet, ob das Recht und die Praxis im Empfängerland den DSGVO-Standard faktisch wahren. Für US-Transfers prüft das TIA insbesondere den Zugriff US-amerikanischer Behörden auf übertragene Daten (FISA 702, Executive Order 14086), die Wirksamkeit der Beschwerdestelle DPRC sowie die technischen und vertraglichen Schutzmaßnahmen des US-Anbieters. Das EDPB hat mit Stellungnahme 5/2023 Leitlinien zur TIA-Methodik veröffentlicht.

Was ist das anhängige EuGH-Verfahren C-703/25 P?

C-703/25 P ist ein Rechtsmittelverfahren vor dem EuGH, das die Gültigkeit des DPF-Angemessenheitsbeschlusses der EU-Kommission direkt angreift. Das Gericht erster Instanz hatte die Klage im September 2025 wegen fehlender unmittelbarer Betroffenheit des Klägers abgewiesen. Das Rechtsmittelverfahren ist anhängig. Ein Urteil, das den DPF für ungültig erklärt, würde die Rechtslage grundlegend verändern und alle DPF-gestützten Transfers sofort infrage stellen.

Datenschutz-Beratung DSGVO Externer DSB

Ratgeber

DPF und FISA 702: Was gilt jetzt für US-Datentransfers?

Q: Müssen Unternehmen jetzt alle US-Dienste abschalten?

Nein. Ein sofortiger Stopp aller US-Dienste ist weder rechtlich geboten noch praktisch möglich. Geboten ist eine strukturierte Prüfung: Welche US-Anbieter verarbeiten personenbezogene Daten? Sind diese DPF-zertifiziert? Liegen aktuelle SCCs mit TIA vor? Sind die TIAs angesichts der FISA-702-Lage noch tragfähig? Auf Basis dieser Bestandsaufnahme lässt sich der Handlungsbedarf einschätzen und priorisieren.

FISA Section 702 ist am 12. Juni 2026 ausgelaufen. Welche Auswirkungen das auf den EU-US Data Privacy Framework hat, welche Fallback-Mechanismen greifen und was Unternehmen jetzt konkret prüfen müssen.

Zuletzt aktualisiert: Juni 2026

Kurz erklärt

Wer Dienste wie Microsoft 365, Google Workspace, AWS, Zoom oder Salesforce nutzt, speichert personenbezogene Daten auf US-Servern. Das ist nach DSGVO nur erlaubt, wenn eine Rechtsgrundlage für diesen Datentransfer in die USA vorliegt.

Die bisher einfachste Grundlage war der EU-US Data Privacy Framework (DPF) — ein 2023 vereinbartes Datenschutzabkommen zwischen der EU und den USA. Dieses Abkommen stützte sich auf ein US-Gesetz namens FISA Section 702, das US-Geheimdiensten unter Auflagen den Zugriff auf Kommunikationsdaten regelt und gleichzeitig Schutzrechte für EU-Bürger vorschreibt.

Dieses Gesetz ist am 12. Juni 2026 ausgelaufen. Der US-Kongress hat keine Verlängerung verabschiedet. Ob das DPF-Abkommen damit seine Grundlage verliert, ist rechtlich noch ungeklärt. Für Unternehmen bedeutet das: Den DPF nicht mehr als einzige Absicherung nutzen, sondern parallel auf Standardvertragsklauseln (SCCs) setzen.

Hintergrund

Die Rechtsgrundlage transatlantischer Datenübertragungen gerät ins Wanken.

Der EU-US Data Privacy Framework (DPF), den die EU-Kommission im Juli 2023 als Angemessenheitsbeschluss nach Art. 45 DSGVO anerkannt hat, setzt auf US-Seite die Geltung von FISA Section 702 voraus. FISA 702 ist die US-Rechtsgrundlage für behördliche Abhörprogramme wie PRISM und bildet zugleich die Grundlage für die Schutzpflichten, die US-Präsident Biden per Executive Order 14086 (Präsidialerlass) für EU-Bürger eingeführt hat. Am 12. Juni 2026 ist FISA 702 ausgelaufen, weil der US-Kongress keine Verlängerung verabschiedet hat.

Die unmittelbaren Rechtsfolgen sind ungeklärt. Der FISA Court hat im März 2026 neue Zertifizierungen erteilt, die eine gewisse operative Kontinuität bis März 2027 schaffen. Der DPF-Angemessenheitsbeschluss der EU-Kommission ist formal nicht aufgehoben. Zugleich besteht erhebliche Rechtsunsicherheit: Ob der Beschluss ohne funktionierende FISA-702-Grundlage aufrechterhalten werden kann, ist eine offene Frage, die europäische Datenschutzbehörden und der EuGH beantworten werden.

Parallel ist beim EuGH das Rechtsmittelverfahren C-703/25 P zur Gültigkeit des DPF anhängig. Hinzu kommt, dass der Privacy and Civil Liberties Oversight Board (PCLOB — eine unabhängige US-Kontrollbehörde) derzeit nicht handlungsfähig ist und die vorgeschriebenen Jahresberichte ausbleiben. Der Europäische Datenschutzausschuss (EDPB) hat in seinen FAQ 2.0 vom Januar 2026 Handlungsempfehlungen für Unternehmen veröffentlicht.

Handlungsbedarf

Unternehmen, die US-Dienstleister einsetzen (AWS, Microsoft 365, Google Workspace, Salesforce u. a.), sollten unverzüglich prüfen, ob valide Standardvertragsklauseln (SCCs) mit Transfer Impact Assessment (TIA) als Fallback-Grundlage vorliegen. Der DPF-Beitritt eines US-Anbieters allein reicht in der aktuellen Unsicherheitssituation als einzige Absicherung nicht mehr aus.

Das EDPB empfiehlt, die DPF-Zertifizierung des US-Empfängers vor jedem Transfer zu verifizieren und sicherzustellen, dass die Zertifizierung den konkreten Datentransfer (einschließlich HR-Daten, falls relevant) abdeckt.

Kernaspekte

Sechs Dimensionen des US-Datentransfers unter DSGVO.

FISA Section 702 — Das US-Überwachungsgesetz

FISA 702 (Foreign Intelligence Surveillance Act) ist ein US-Gesetz, das US-Geheimdiensten erlaubt, Kommunikationsdaten ausländischer Personen auf US-Servern zu überwachen. Die EU akzeptierte das DPF nur, weil FISA 702 gleichzeitig Schutzrechte für EU-Bürger festlegt. Dieses Gesetz ist jetzt ausgelaufen.

Ausgelaufen am 12. Juni 2026
Keine Verlängerung durch US-Kongress verabschiedet
FISA-Court-Zertifizierungen vom März 2026 schaffen Übergangsdeckung
Rechtslage auf US-Seite ungeklärt

EU-US Data Privacy Framework

Der DPF ist der Nachfolger des von Schrems II (EuGH C-311/18) gekippten Privacy Shield. Über 2.800 US-Unternehmen sind zertifiziert. Der Angemessenheitsbeschluss gilt formal weiterhin, steht aber unter erheblichem Rechtfertigungsdruck.

Angemessenheitsbeschluss formal nicht aufgehoben
EuGH C-703/25 P zur DPF-Gültigkeit anhängig
PCLOB nicht handlungsfähig, Jahresberichte ausgeblieben
EDPB beobachtet Entwicklung aktiv

Standardvertragsklauseln (SCCs)

SCCs nach Art. 46 Abs. 2 lit. c DSGVO sind der wichtigste Fallback-Mechanismus für US-Transfers. Die EU-Kommission hat die aktuellen SCC-Module 2021 verabschiedet. SCCs gelten unabhängig vom DPF-Status, müssen aber mit einem TIA kombiniert werden.

Module 1-4 je nach Übertragungskonstellation
Pflicht zur Kombination mit Transfer Impact Assessment
Technische und organisatorische Schutzmaßnahmen dokumentieren
Regelmäßige Überprüfung auf Aktualität erforderlich

Transfer Impact Assessment (TIA)

Ein TIA ist eine interne Risikoprüfung: "Schützt das Recht des Empfängerlandes die Daten unserer Nutzer wirklich?" Für US-Transfers prüft das TIA insbesondere, wie stark US-Behörden auf übermittelte Daten zugreifen können (FISA, CLOUD Act), ob die US-Beschwerdestelle für EU-Bürger (DPRC — Data Protection Review Court) wirksam ist, und welche technischen Schutzmaßnahmen der Anbieter bietet.

Rechtslage im Empfängerland analysieren
FISA-702-Lage als erhöhtes Risiko einstufen
Technische Maßnahmen (Verschlüsselung, Pseudonymisierung) einbeziehen
Dokumentation für Aufsichtsbehörden bereithalten

Betroffene US-Dienste

Praktisch alle marktführenden Cloud-Dienste übertragen personenbezogene Daten in die USA. Die DPF-Zertifizierung schützt nur, wenn der konkrete Anbieter zertifiziert ist und die Zertifizierung den jeweiligen Datenkategorien entspricht.

Amazon Web Services, Microsoft Azure/365, Google Cloud
Salesforce, HubSpot, Workday, ServiceNow
Zoom, Slack, Atlassian, GitHub
DPF-Zertifizierungsstatus unter dataprivacyframework.gov prüfen

EuGH-Verfahren C-703/25 P — Klage gegen den DPF

Eine europäische Bürgerrechtsorganisation klagt vor dem EuGH direkt gegen den DPF-Beschluss der EU-Kommission. Das Verfahren trägt die Nummer C-703/25 P. Es erinnert an "Schrems II" (2020), das EuGH-Urteil, das den Vorgänger Privacy Shield kippte. Ein erneutes Klageerfolg würde alle DPF-gestützten Transfers sofort infrage stellen.

Anhängig beim EuGH, kein Urteilstermin bekannt
Kläger: europäische Bürgerrechtsorganisation
Vorwurf: DPF ohne FISA 702 nicht angemessen
Präzedenzfall Schrems II (C-311/18) als Referenz

Vorgehen

US-Datentransfers strukturiert absichern.

Datenmapping US-Transfers

Alle Verarbeitungstätigkeiten mit US-Datentransfer identifizieren: Welche Anbieter, welche Daten, welche Zwecke? Verzeichnis der Verarbeitungstätigkeiten auf vollständige Drittlandsangaben prüfen.

DPF-Zertifizierungen verifizieren

Für jeden US-Anbieter den aktuellen DPF-Zertifizierungsstatus unter dataprivacyframework.gov prüfen. Sicherstellen, dass die Zertifizierung die übertragenen Datenkategorien abdeckt, insbesondere HR-Daten.

SCCs und TIA als Fallback

Für alle wesentlichen US-Transfers SCCs nach Modul 2 (Verantwortlicher zu Auftragsverarbeiter) prüfen oder neu abschließen. Transfer Impact Assessment erstellen oder auf Aktualität prüfen, Bewertung der FISA-702-Lage einbeziehen.

Entwicklung beobachten

EDPB-Stellungnahmen und Entscheidungen nationaler Datenschutzbehörden zum DPF-Status verfolgen. Interne Eskalationskette für den Fall definieren, dass der DPF durch den EuGH oder die EU-Kommission ausgesetzt wird.

FAQ

Häufige Fragen zu DPF und FISA 702.

Verwandte Themen

Was ist FISA 702 und warum betrifft mich das als Unternehmen?+

FISA 702 ist ein US-amerikanisches Gesetz (Foreign Intelligence Surveillance Act, Abschnitt 702), das US-Geheimdiensten wie NSA oder FBI erlaubt, unter bestimmten Bedingungen Kommunikationsdaten ausländischer Personen auf US-Servern zu überwachen. Das klingt abstrakt — ist aber konkret relevant für jedes Unternehmen, das Tools wie Microsoft 365, Google Workspace, Salesforce, Zoom oder AWS nutzt: Diese Dienste speichern und verarbeiten personenbezogene Daten Ihrer Mitarbeitenden und Kunden auf US-Servern. Die DSGVO erlaubt das nur mit einer gültigen Rechtsgrundlage. Der EU-US Data Privacy Framework (DPF) war diese Grundlage — und er stützte sich auf FISA 702. Seit dem 12. Juni 2026 ist FISA 702 ausgelaufen.

Ist der DPF nach dem 12. Juni 2026 noch gültig?+

Der Angemessenheitsbeschluss der EU-Kommission ist formal nicht aufgehoben. Die FISA-Court-Zertifizierungen vom März 2026 schaffen eine gewisse operative Übergangsdeckung bis März 2027. Dennoch besteht erhebliche Rechtsunsicherheit: Ob der Beschluss ohne aktive FISA-702-Grundlage aufrechterhalten werden kann, ist eine offene Rechtsfrage. Parallel ist beim EuGH das Verfahren C-703/25 P zur DPF-Gültigkeit anhängig. Unternehmen sollten den DPF nicht als alleinige Absicherung verwenden.

Was sind SCCs und warum sind sie jetzt besonders wichtig?+

Standardvertragsklauseln (SCCs) sind von der EU-Kommission verabschiedete Musterverträge nach Art. 46 Abs. 2 lit. c DSGVO. Sie erlauben Datentransfers in Drittländer ohne Angemessenheitsbeschluss, wenn die vertraglichen Schutzpflichten eingehalten werden. In der aktuellen Unsicherheitslage rund um FISA 702 und DPF sind SCCs der wichtigste Fallback-Mechanismus. Sie müssen mit einem Transfer Impact Assessment (TIA) kombiniert werden.

Was muss ein TIA für US-Transfers enthalten?+

Das TIA bewertet die Rechtslage im Empfängerland. Für US-Transfers umfasst das: eine Analyse der Behördenzugriffsrechte (FISA 702, CLOUD Act, Executive Order 14086), eine Bewertung der Wirksamkeit der DPRC-Beschwerdestelle, eine Einschätzung der aktuellen FISA-702-Rechtslage sowie die Berücksichtigung technischer Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung, die behördlichen Zugriff faktisch einschränken.

Müssen Unternehmen jetzt alle US-Dienste abschalten?+

Nein. Ein sofortiger Stopp ist weder rechtlich geboten noch angesichts der faktischen Abhängigkeit von US-Cloud-Diensten realistisch. Geboten ist eine strukturierte Risikoprüfung: Welche US-Dienste verarbeiten personenbezogene Daten? Sind SCCs mit aktuellem TIA vorhanden? Deckt die DPF-Zertifizierung des Anbieters die jeweiligen Datenkategorien ab? Auf Basis dieser Prüfung lässt sich einschätzen, wo akuter Handlungsbedarf besteht.

Was ist das EuGH-Verfahren C-703/25 P?+

C-703/25 P ist ein Rechtsmittelverfahren vor dem EuGH, das die Gültigkeit des DPF-Angemessenheitsbeschlusses angreift. Das Gericht erster Instanz hatte die Klage im September 2025 wegen fehlender Klagebefugnis abgewiesen. Das Rechtsmittel ist anhängig. Ein Urteil zugunsten des Klägers würde eine erneute Prüfung des DPF erzwingen und könnte im Ergebnis zu einem Schrems-III-Szenario führen, bei dem der DPF-Beschluss für ungültig erklärt wird.

Leistung Datenschutz-Beratung Zur Leistung Grundlage DSGVO Zur Seite Leistung Externer DSB Zur Leistung

Sind Ihre US-Datentransfers für die Zeit nach FISA 702 abgesichert?

Lassen Sie uns gemeinsam prüfen, ob Ihre SCCs und Transfer Impact Assessments der aktuellen Rechtslage standhalten.

Kostenloses Erstgespräch buchen