Zwischen Stabilität und Unsicherheit: Datentransfers in die USA 2025 

Am 19. September 2025 hat das Gericht der Europäischen Union eine der ersten Klagen gegen das EU-US Data Privacy Framework (DPF) abgewiesen. Damit bleibt der Nachfolger des Privacy Shield vorerst bestehen, und Datenübermittlungen in die USA sind auf Basis des DPF weiterhin rechtlich zulässig. Für viele Unternehmen bedeutet das ein Stück Rechtssicherheit nach Jahren der Unsicherheit. 

Aber sicher ist die Sache nicht. Weitere Verfahren laufen, und niemand kann ausschließen, dass das DPF eines Tages wieder fällt. 

Warum sollten Sie sich jetzt trotzdem kümmern? 

Auch wenn das DPF hält, Unternehmen müssen vorbereitet sein. Es gibt vier Punkte, die jetzt zählen: 

  • Dokumentation 

Das DPF ist nur eine von mehreren zulässigen Übermittlungsgrundlagen. Unternehmen sollten in ihren Verarbeitungsverzeichnissen klar dokumentieren, auf welcher Grundlage Datenübermittlungen erfolgen und welche ergänzenden Maßnahmen geprüft wurden. 

 

  • Transfer Impact Assessments (TIAs) 

Ein TIA ist eine Risikobewertung für internationale Datenübermittlungen. Dabei wird geprüft, ob im Empfängerland ein vergleichbares Schutzniveau für personenbezogene Daten besteht und welche zusätzlichen Maßnahmen ggf. erforderlich sind. Der Europäische Datenschutzausschuss (EDPB) empfiehlt ausdrücklich, TIAs vor allem dann durchzuführen, wenn Daten an Dienstleister übermittelt werden, die nicht nach dem DPF zertifiziert sind.  

 

  • Fallback-Mechanismen vorbereiten 

Falls das DPF fällt, bleiben Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs). Wer diese Optionen schon vorbereitet, spart sich später Stress. 

 

  • Vertragspartner regelmäßig prüfen 

Nicht jeder US-Dienstleister ist automatisch im DPF zertifiziert. Unternehmen sollten regelmäßig im Register nachsehen, ob ihre Partner gelistet sind und den Status aktiv halten. 

 

Warum dieser Aufwand? 

Weil sich Kunden, Geschäftspartner und Aufsichtsbehörden nicht allein auf die aktuelle Rechtsprechung verlassen, sondern konkrete Compliance-Nachweise erwarten. Ein „Business as usual“ ohne dokumentierte Absicherung kann im Audit schnell zum Risiko werden, unabhängig davon, ob das DPF weiterhin Bestand hat. 

Was sollten Sie jetzt tun? 

  • Überprüfen Sie, ob alle eingesetzten US-Dienstleister eine gültige DPF-Zertifizierung haben. 

  • Führen Sie bei nicht zertifizierten Dienstleistern unbedingt ein TIA durch und dokumentieren Sie die Ergebnisse. 

  • Ergänzen Sie Ihre internen Prozesse um einen klaren Fallback-Plan (SCCs/BCRs). 

  • Aktualisieren Sie Ihre Verzeichnisse und Prozesse mit Verweis auf das DPF und ergänzende Maßnahmen. 

Sie brauchen Unterstützung? 

Bei Bitkom Consult helfen wir Unternehmen, internationale Datentransfers rechtskonform abzusichern. Ob DPF-Monitoring, SCC-Fallbacks oder strategische Transfer-Audits: wir sorgen dafür, dass Sie vorbereitet bleiben, auch wenn sich die Rechtslage erneut ändert. 

Sprechen Sie uns an. Gemeinsam machen wir Ihre Datenströme zukunftssicher. 

Share