DSGVO-Datentransfers 2026: Orientierung im Post-Schrems-II-Rechtsrahmen
Praxisorientierte Analyse der internationalen Datentransfermechanismen der DSGVO im Jahr 2026: aktueller Rechtsstatus des EU-US-Datenschutzrahmens unter politischem Druck, Standardvertragsklauseln, Verbindliche interne Datenschutzvorschriften, Angemessenheitsbeschlüsse für Nicht-USA-Drittländer, Transferfolgenabschätzungen sowie Notfallplanung für Datenschutzbeauftragte, Chief Legal Officer, CTO und Datenschutzberater.
Morvantine Editorial — Legal
19 January 2026
Einleitung: Die strukturelle Instabilität transatlantischer Datenströme
Die Ungültigerklärung des Privacy Shield durch den Gerichtshof der Europäischen Union in der Rechtssache Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (C-311/18, Schrems II, 16. Juli 2020) legte eine strukturelle Unvereinbarkeit zwischen dem US-amerikanischen Überwachungsrecht — vornehmlich Executive Order 12333 und Section 702 des Foreign Intelligence Surveillance Act (FISA) — und den Anforderungen der DSGVO an ein gleichwertiges Datenschutzniveau in Drittländern offen. Der EU-US-Datenschutzrahmen (DPF), angenommen durch Kommissionsbeschluss C(2023) 4745 vom 10. Juli 2023, wurde als dauerhafte Lösung präsentiert. Drei Jahre später steht er vor einem Bündel rechtlicher, politischer und institutioneller Belastungen, die jeder Datenschutzprofi als akutes Risiko — nicht als gelöstes Problem — behandeln sollte.
Dieser Artikel analysiert das gesamte Spektrum der nach Artikel 44 DSGVO und dem DPF-Angemessenheitsbeschluss verfügbaren Transfermechanismen, bewertet ihre relative rechtliche Robustheit und bietet praxistaugliche Handlungsrahmen für Organisationen, die ihre Betriebskontinuität unabhängig vom Schicksal des DPF sichern müssen.
Der EU-US-Datenschutzrahmen: Rechtsstatus 2026
Die Architektur des DPF
Kommissionsbeschluss C(2023) 4745 stellte fest, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die an nach dem DPF zertifizierte Organisationen übermittelt werden. Die zentrale Rechtsinfrastruktur des DPF umfasst:
- EO 14086 (Enhancing Safeguards for United States Signals Intelligence Activities, 7. Oktober 2022), der Verhältnismäßigkeitsanforderungen für die Fernmeldeaufklärung und den Rechtsbehelfsmechanismus einführte
- Den Data Protection Review Court (DPRC), nach EO 14086 als unabhängiges Gremium zur Entgegennahme und Entscheidung von EU-Individualbeschwerden über den Zugriff US-amerikanischer Nachrichtendienste auf personenbezogene Daten eingerichtet
- Die DPF-Grundsätze (den früheren Privacy-Shield-Grundsätzen im Wesentlichen entsprechend), verwaltet vom US-Handelsministerium unter Durchsetzungsbefugnis der FTC
Aktuelle Rechtliche Herausforderungen
Im ersten Quartal 2026 sieht sich der DPF drei erheblichen Rechtsbedrohungen ausgesetzt.
Erste Herausforderung: La Quadrature du Net (EuGH-Rechtssache C-078/25). Im Januar 2025 beim EuGH eingereicht, macht diese Klage geltend, dass EO 14086 die Massenerfassung nach FISA Section 702 nicht hinreichend einschränkt und dass der DPRC — ein Nicht-Artikel-III-Gericht unter Exekutivgewalt — die im Schrems-II-Urteil aufgestellten Anforderungen des EuGH an „wirksamen gerichtlichen Rechtsschutz" nicht erfüllt. Der EuGH ordnete im März 2025 ein beschleunigtes Verfahren an; das Schlussantrag des Generalanwalts wird für das dritte Quartal 2026 erwartet, ein abschließendes Urteil möglicherweise Ende 2026 oder Anfang 2027. Schlussanträge der Generalanwälte des EuGH im Datenschutzbereich wurden historisch betrachtet im abschließenden Urteil übernommen (der Schlussantrag im Schrems-II-Verfahren kündigte die Ungültigerklärung an).
Zweite Herausforderung: Politische Entwicklungen in den USA. Die Haltung der zweiten Trump-Administration gegenüber der Wiederermächtigung von FISA Section 702 und der Reform der Signalaufklärung hat Fragen zur operativen Kontinuität der US-seitigen DPF-Verpflichtungen aufgeworfen. Der DPRC hat in seinen ersten 18 Monaten weniger als 50 Fälle bearbeitet — deutlich weniger, als europäische Datenschutzbehörden angesichts des Volumens der von US-Unternehmen verarbeiteten EU-Bürgerdaten erwartet hatten —, was zu akademischen und zivilgesellschaftlichen Zweifeln an seiner praktischen Wirksamkeit geführt hat.
Dritte Herausforderung: Überprüfung durch den Europäischen Datenschutzausschuss (EDPB). Gemäß Erwägungsgrund 186 des DPF-Angemessenheitsbeschlusses verpflichtete sich die Kommission, den Beschluss innerhalb von drei Jahren nach Erlass (d. h. bis Juli 2026) zu überprüfen. Die Stellungnahme des EDPB nach Artikel 70 zur ersten Jahresüberprüfung (Oktober 2024) verzeichnete anhaltende Bedenken hinsichtlich der Transparenz des DPRC, der Reichweite von Section 702 und des Fehlens von Beschränkungen der Massenerfassung, die den europäischen Verhältnismäßigkeitsstandards entsprechen.
Praktisches Fazit: Der DPF sollte als primärer Transfermechanismus eingesetzt werden, wo verfügbar; jedoch sollte keine Organisation, die eine plötzliche Ungültigerklärung des Angemessenheitsbeschlusses operativ nicht tolerieren kann, sich allein auf den DPF verlassen, ohne einen aktiven Ausweichmechanismus vorzuhalten.
Standardvertragsklauseln: Der unverzichtbare Rückfallmechanismus
Rechtsrahmen
Standardvertragsklauseln (SVK) sind das bewährte Instrument internationaler DSGVO-Datentransfers. Der Kommissionsdurchführungsbeschluss 2021/914 (4. Juni 2021) ersetzte die bisherigen SVK durch ein modulares Rahmenwerk, das vier Transferkonfigurationen abdeckt:
- Modul 1: Übermittlung zwischen Verantwortlichen
- Modul 2: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter
- Modul 3: Übermittlung zwischen Auftragsverarbeitern
- Modul 4: Übermittlung vom Auftragsverarbeiter an den Verantwortlichen
Die neuen SVK integrierten die Schrems-II-Anforderungen unmittelbar: Klausel 14 verlangt eine Prüfung des Rechtsrahmens des Drittlands; Klausel 15 begründet Benachrichtigungs- und Transparenzpflichten bei behördlichen Datenzugangsersuchen.
Die Pflicht zur Transferfolgenabschätzung
Das Schrems-II-Urteil stellte fest, dass der Einsatz von SVK kein angemessenes Schutzniveau automatisch gewährleistet — der Exporteur muss eine fallbezogene Transferfolgenabschätzung (TFA) durchführen, um zu prüfen, ob die SVK im Bestimmungsland wirksam sein können. Die Empfehlung 01/2020 des EDPB zu Transfers (verabschiedet November 2020, aktualisiert Juni 2021) bietet das methodische Gerüst:
Schritt 1: Transfers kartieren — ermitteln, welche personenbezogenen Daten an welches Land, zu welchem Zweck und unter welchem Transfermechanismus übermittelt werden.
Schritt 2: Das Transferinstrument prüfen — das anwendbare SVK-Modul und seine korrekte Implementierung bestätigen.
Schritt 3: Den Rechtsrahmen des Drittlands prüfen — beurteilen, ob das Recht des Bestimmungslands zum behördlichen Datenzugang mit den Garantien der SVK vereinbar ist. Maßgebliche Faktoren: Verhältnismäßigkeit der Zugangsbefugnisse, Bestehen wirksamen gerichtlichen oder quasi-gerichtlichen Rechtsschutzes, Zulässigkeit der Massenerfassung.
Schritt 4: Ergänzende Maßnahmen identifizieren und einführen — ergibt die TFA, dass die SVK allein kein angemessenes Schutzniveau gewährleisten können, sind technische (Verschlüsselung, Pseudonymisierung), vertragliche (zusätzliche Garantien des Importeurs) oder organisatorische Maßnahmen zu treffen.
Schritt 5: Formale Verfahrensschritte vornehmen — SVK abschließen, TFA-Dokumentation führen, Datenschutzbehörden nach Maßgabe benachrichtigen.
SVK und US-Transfers 2026
Die EDPB-Leitlinien nach Schrems II stellten fest, dass SVK allein für US-Transfers von Datenkategorien, die das Interesse der Nachrichtendienste auf sich ziehen dürften (Telekommunikationsmetadaten, Inhalte von Cloud-Kommunikation), nicht ausreichten. Die Benachrichtigungspflicht nach Klausel 15 der überarbeiteten SVK — die den US-amerikanischen Importeur verpflichtet, den EU-Exporteur über behördliche Datenzugangsersuchen zu informieren — begründet eine praktische Compliance-Pflicht, der die meisten US-Cloud-Anbieter durch von Datenschutzbehörden gebilligte Benachrichtigungsklauseln nachgekommen sind.
Für US-Transfers, die nicht durch den DPF gedeckt sind (weil der US-Empfänger nicht DPF-zertifiziert ist oder die Datenkategorie außerhalb des DPF-Anwendungsbereichs fällt), stellen SVK Modul 2 mit einer angemessenen TFA und ergänzenden technischen Maßnahmen (Verschlüsselung mit EU-verwalteten Schlüsseln, Pseudonymisierung an der Quelle) den rechtlich robustesten Rückfallmechanismus dar.
Verbindliche Interne Datenschutzvorschriften: Der Goldstandard und sein Aufwand
Was BCR leisten
Verbindliche interne Datenschutzvorschriften (Artikel 46(2)(b) und 47 DSGVO) sind genehmigte konzerninterne Transfermechanismen, die die Übermittlung personenbezogener Daten zwischen Konzernunternehmen über Jurisdiktionsgrenzen hinweg gestatten. Von der federführenden Aufsichtsbehörde im Kohärenzverfahren nach Artikel 60 genehmigt, binden BCR alle Konzernunternehmen als Drittbegünstigte und gewähren betroffenen Personen durchsetzbare Rechte gegenüber dem BCR-Verantwortlichen.
BCR sind der robusteste DSGVO-Transfermechanismus für multinationale Konzerne, weil:
- Sie nicht auf eine bestimmte Jurisdiktion beschränkt sind — nach Genehmigung decken sie Transfers an alle Konzernunternehmen weltweit ab (nicht nur in die USA)
- Sie Ungültigerklärungen von Angemessenheitsbeschlüssen überdauern — BCR verkörpern die eigene Verpflichtung des Konzerns zu angemessenem Schutz, ohne sich auf den Rechtsrahmen eines Drittlands zu stützen
- Sie stärkere Drittbegünstigung gewähren als SVK
BCR-Genehmigungszeitraum und Kosten
Das BCR-Genehmigungsverfahren ist langwierig und ressourcenintensiv:
- Ermittlung der federführenden Aufsichtsbehörde: 1–3 Monate
- Antragseinreichung: 3–6 Monate für die Aufbereitung der BCR-Dokumentation (Verantwortlichen-BCR oder Auftragsverarbeiter-BCR) nach den EDPB-Mustern WP256 (BCR für Verantwortliche) und WP257 (BCR für Auftragsverarbeiter)
- Behördliche Prüfung und Artikel-60-Verfahren: 12–24 Monate von der Einreichung bis zur Genehmigung
- Kosten: 500.000 bis 2 Millionen Euro an externen Rechtsberatungskosten und internen Compliance-Ressourcen für große multinationale Konzerne
Zum 1. Januar 2026 verzeichnet das BCR-Register des EDPB 148 genehmigte Verantwortlichen-BCR und 79 genehmigte Auftragsverarbeiter-BCR — überwiegend für große Technologieunternehmen, Finanzinstitute und Industriekonzerne. BCR sind für mittelständische Unternehmen oder für Unternehmen, die erhebliche M&A-Aktivitäten planen, nicht praktikabel (jede Akquisition einer Einheit ohne BCR erfordert ein BCR-Änderungsverfahren).
Angemessenheitsbeschlüsse jenseits der USA: Die globale Transferlandkarte
Die Europäische Kommission hat Angemessenheitsbeschlüsse für 15 Länder/Territorien nach Artikel 45 DSGVO erlassen, die SVK-freie Transferwege eröffnen. Diese Beschlüsse unterscheiden sich erheblich in Anwendungsbereich und rechtlicher Bestandssicherheit:
| Land/Territorium | Angemessenheitsbeschluss | Anwendungsbereich | Rechtsstatus (März 2026) | Hauptrisiken |
|---|---|---|---|---|
| Vereinigtes Königreich | C(2021) 4800 (Juni 2021) | Allgemein (Art. 45 DSGVO) | Gültig; Sunset-Überprüfung Juni 2025 — bis Juni 2027 verlängert | Abweichungen im britischen Überwachungsrecht nach dem Brexit; mögliche EuGH-Anfechtung |
| Schweiz | C(2000) 3503 | Allgemein (Rahmen der Richtlinie 95/46/EG) | Vor-DSGVO; Kommission leitete 2022 Aktualisierungsprüfung ein; bleibt in Kraft | Vor-DSGVO-Vintage; Rechtsunsicherheit bei DSGVO-Maßstäben |
| Japan | C(2019) 61 | Allgemein (Art. 45 DSGVO) | Gültig; Vierjahresüberprüfung läuft | Ergänzende Regeln erforderlich; APPI-DSGVO-Lückenanalyse nötig |
| Südkorea | C(2021) 6065 | Allgemein (Art. 45 DSGVO) | Gültig | PIPA-Änderungen könnten Neubewertung erfordern |
| Kanada (PIPEDA) | 2002/2/EC | Nur kommerzielle Organisationen | Vor-DSGVO; Kommissionsüberprüfung 2023 eingeleitet; CPPA-Reform ausstehend | PIPEDA-Ablösung (CPPA) könnte Adäquanzabdeckung beeinflussen |
| Israel | C(2011) 332 | Allgemein | Vor-DSGVO; Neubewertung läuft | Vor-DSGVO-Vintage; Fragen zum israelischen Überwachungsrecht |
| Neuseeland | C(2013) 2896 | Allgemein | Überprüfung nach Änderungen des Privacy Act 2020 | Generell robust |
| Argentinien | C(2003) 1731 | Allgemein | Vor-DSGVO; Modernisierungsüberprüfung läuft | Vor-DSGVO-Vintage |
| USA (nur DPF) | C(2023) 4745 | Nur DPF-zertifizierte Organisationen | Siehe oben — Rechtstreit anhängig | EuGH-Anfechtung; Wirksamkeit des DPRC |
Für Organisationen, die ihre Transferarchitektur gestalten, bietet die Kombination Japan (Angemessenheitsbeschluss) + Vereinigtes Königreich (Angemessenheitsbeschluss) + EU-SVK für nicht angemessene Zielländer die breiteste Abdeckung bei der geringsten laufenden Compliance-Last.
Transferfolgenabschätzungen: Methodik und Dokumentation
Die behördlichen Anforderungen
Die Durchsetzungspraxis der Aufsichtsbehörden seit Schrems II hat die TFA-Dokumentation zu einem Standardziel bei Prüfungen gemacht. Die Irische Datenschutzkommission (DPC) untersuchte in ihren Durchsetzungsmaßnahmen gegen Meta (Dezember 2022, 390 Mio. Euro Bußgeld; und die Transferentscheidung Meta Platforms Ireland, Mai 2023, 1,2 Mrd. Euro Bußgeld — das höchste DSGVO-Bußgeld bis dato) gezielt die Qualität der TFA von Meta für US-Transfers. Die DPC stellte fest, dass Metas Abstützung auf SVK ohne angemessene ergänzende Maßnahmen in Verbindung mit unzureichender TFA-Dokumentation das Bußgeld und die Aussetzungsanordnung rechtfertigte.
Die französische CNIL, der deutsche DSK und die niederländische AP haben jeweils TFA-Leitlinien veröffentlicht, die — zwar kohärent mit den EDPB-Empfehlungen 01/2020 — jurisdiktionsspezifische Schwerpunkte setzen: Die französische Durchsetzung konzentrierte sich auf Cloud-Provider-Transfers; die deutsche auf HR-Datenverarbeiter; die niederländische auf grenzüberschreitende Gesundheitsdatenströme.
Mindeststandards für die TFA-Dokumentation
Ein TFA-Dokument sollte mindestens enthalten:
- Transferkartierungsauszug: Datenkategorien, betroffene Personen, Zweck, Rechtsgrundlage der Verarbeitung, Bestimmungsland, Identität des Empfängers
- Transfermechanismus: anwendbares SVK-Modul, BCR oder Angemessenheitsbeschluss (mit Angabe des Kommissionsbeschlusses)
- Drittlandsrechtliche Analyse: Bewertung des Überwachungsrechtsrahmens, der Verhältnismäßigkeit und der gerichtlichen Kontrolle — unter Bezugnahme auf länderspezifische EDPB-Empfehlungen, soweit vorhanden
- Umgesetzte ergänzende Maßnahmen: technische (mit Beschreibung), vertragliche (unter Verweis auf SVK-Klauseln), organisatorische
- Schlussfolgerung: ob die Maßnahmen einen wirksamen, dem DSGVO-Standard gleichwertigen Schutz gewährleisten
- Überprüfungsdatum: TFA sollten jährlich und bei wesentlichen Änderungen des Transfermechanismus oder des Rechtsrahmens des Bestimmungslands überprüft werden
- Freigabe: Freigabe durch Datenschutzbeauftragten und Rechtsabteilung; Berichterstattung an den Vorstand bei Hochrisikotransfers
Notfallplanung: Was passiert, wenn der DPF erneut fällt?
Das Schrems-I/II-Playbook
Organisationen, die nach Schrems I (2015) und Schrems II (2020) die Betriebskontinuität aufrechterhalten haben, teilen ein gemeinsames Merkmal: Sie hatten SVK mit allen US-amerikanischen Auftragsverarbeitern vor der Ungültigerklärung abgeschlossen und hielten aktuelle TFA bereit. Jene, die sich ausschließlich auf den Privacy Shield gestützt und keine Ausweich-SVK abgeschlossen hatten, sahen sich sofortigen Betriebsunterbrechungen gegenüber — technisch rechtswidrige Transfers in dem Zeitraum zwischen der Ungültigerklärung und der SVK-Implementierung.
Das Schrems-II-Urteil des EuGH erging am 16. Juli 2020 ohne Übergangsfrist. Die Aufsichtsbehörden kündigten an, angesichts der erforderlichen Implementierungszeiten nicht sofort zu vollstrecken, doch laufende Transfers ohne gültigen Mechanismus blieben technisch rechtswidrig. Ein Wiederholungsszenario nach einer DPF-Ungültigerklärung würde voraussichtlich dieselbe Regulierungshaltung erzeugen — behördliche Toleranz für eine kurze Übergangsphase, gefolgt von Durchsetzungsmaßnahmen gegen nicht vorbereitete Organisationen.
Notfallrahmen
Sofortmaßnahmen (innerhalb von 90 Tagen nach einem DPF-Ungültigerklärungsurteil):
-
SVK Modul 2 abschließen mit allen US-Auftragsverarbeitern, die derzeit ausschließlich auf die DPF-Zertifizierung setzen. Die SVK können jetzt als Schutzebene neben dem DPF abgeschlossen werden — Doppelabsicherung ist rechtlich zulässig und empfehlenswert.
-
TFA aktualisieren für US-Transfers unter Berücksichtigung der Post-Ungültigerklärungslage: Der DPRC-Mechanismus stünde nicht mehr zur Verfügung, EO 14086 wäre nicht mehr der operative Rechtsbehelfrahmen, und die ergänzenden Maßnahmen müssten ohne DPF-Schutzgarantien bewertet werden.
-
Technische ergänzende Maßnahmen umsetzen für Hochrisiko-Transferkategorien (besondere Datenkategorien nach Artikel 9; Kinderdaten; Daten mit erhöhter Behördenaufmerksamkeit): Verschlüsselung mit EU-verwalteten Schlüsseln, sodass die Daten selbst im Fall einer US-behördlichen Zugangsverfügung nicht intelligibel sind.
-
Datensparsamkeitspotenziale prüfen: Bei betrieblich nicht essenziellen Transfers diese einstellen oder Daten vor dem Transfer pseudonymisieren. Das Transfervolumen bestimmt das Risikoprofil.
-
Vorstand informieren: Die Bußgeldexposition nach Artikel 83(4) DSGVO (bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für Verfahrensverstöße) und Artikel 83(5) (bis zu 20 Mio. Euro oder 4 % für materielle Verstöße einschließlich rechtswidriger Transfers) erfordert Awareness auf Vorstandsebene für die Notfallpositionierung.
Mittelfristige Restrukturierung (6–18 Monate):
-
EU-Datenresidenz prüfen: Für Datenkategorien mit dem höchsten Risikoprofil prüfen, ob EU-basierte Cloud-Infrastruktur (AWS EU, Azure EU, Google Cloud EU) mit vertraglichen Datenresidenz-Zusagen den Transfer vollständig eliminiert. Ein Transfer findet nicht statt, wenn die Daten den EWR nicht verlassen.
-
BCR-Antrag prüfen: Für Konzerne mit laufenden transatlantischen Datenströmen über mehrere Konzerngesellschaften sollte die BCR-Antragstrecke (18–24 Monate) jetzt eingeleitet werden, nicht nach einer Ungültigerklärung.
Vergleichende Analyse der Transfermechanismen
| Mechanismus | Rechtsgrundlage (DSGVO) | Abdeckung | Rechtliche Robustheit | Operativer Aufwand | Geeignet für |
|---|---|---|---|---|---|
| Angemessenheitsbeschluss (DPF) | Art. 45 | Nur DPF-zertifizierte US-Organisationen | Mittel — EuGH-Anfechtung anhängig | Gering (keine SVK erforderlich) | US-Cloud-SaaS-Anbieter mit DPF-Zertifizierung |
| Angemessenheitsbeschluss (UK, Japan usw.) | Art. 45 | Allgemeine Transfers in angemessene Länder | Hoch (UK unter Überprüfung) | Sehr gering | Transfers in UK, Japan, Südkorea |
| SVK (Modul 2) | Art. 46(2)(c) | Beliebiges Drittland; alle Datenkategorien | Hoch bei korrekter Implementierung mit TFA | Mittel (TFA + ergänzende Maßnahmen) | US-Auftragsverarbeiterverhältnisse; Nicht-DPF-Transfers |
| BCR | Art. 46(2)(b), 47 | Nur konzerninterne Transfers | Sehr hoch — behördlich genehmigt | Sehr hoch (18–24 Monate, 500 T€+) | Große multinationale Konzerne mit häufigen konzerninternen Transfers |
| Ausnahmen (Art. 49) | Art. 49 | Einzelfallbezogen; nicht repetitiv | Gering — auf Ausnahmesituationen beschränkt | Hoch (Einzelfallbegründung) | Einmalige Transfers (Prozessdaten, medizinische Notfälle) |
| Ausdrückliche Einwilligung Art. 49 | Art. 49(1)(a) | Beliebiger Transfer mit informierter Einwilligung | Gering — Einwilligung widerruflich | Hoch (DSGVO-konformer Einwilligungsmechanismus) | Verbraucherdaten, bei denen echte Wahlfreiheit besteht |
Praxishinweise für Datenschutzbeauftragte, Chief Legal Officer und Datenschutzberater
-
Verlassen Sie sich für operativ kritische US-Transfers nicht allein auf den DPF. Schließen Sie jetzt SVK Modul 2 mit allen US-Auftragsverarbeitern ab, parallel zur DPF-Nutzung. Die Kosten der Doppelabsicherung sind administrativer Natur; die Kosten einer unvorhergesehenen Transferaussetzung nach einer EuGH-Ungültigerklärung sind operativer Natur. Das Bußgeld von 1,2 Mrd. Euro gegen Meta für rechtswidrige Transfers ist der Maßstab für das, was Regulatoren als verhältnismäßige Sanktion gegen einen großen Auftragsverarbeiter betrachten, der keine angemessenen Rückfallmechanismen implementiert hatte.
-
Behandeln Sie Ihre TFA als lebendes Dokument, nicht als einmalige Bewertung. Die Durchsetzungspraxis der Regulatoren zeigt konsistent, dass Organisationen TFA bei Vertragsabschluss erstellten, aber bei Änderungen des US-Überwachungsrechts oder des Transfermechanismus keine Aktualisierung vornahmen. Die EDPB-Empfehlungen 01/2020 verlangen ausdrücklich periodische Überprüfungen. Jährliche TFA-Überprüfungen, ausgelöst durch wesentliche Rechtsänderungen im Bestimmungsland oder Änderungen der transferierten Datenkategorien, sind der Mindeststandard. Verankern Sie den Überprüfungsrhythmus in Ihrem DSGVO-Compliance-Kalender.
-
Kartieren Sie Ihr US-Cloud- und SaaS-Portfolio gegen den DPF-Zertifizierungsstatus. Die DPF-Zertifizierungsliste (verfügbar unter dataprivacyframework.gov) ist die maßgebliche Referenz. Organisationen stellen regelmäßig fest, dass wesentliche Unterauftragsverarbeiter ihrer primären SaaS-Anbieter nicht DPF-zertifiziert sind. Der DPF-Zertifizierungsstatus der Unterauftragsverarbeiter muss über die Unterauftragsverarbeiterliste des Hauptauftragsverarbeiters geprüft und im Zertifizierungsregister bestätigt werden. Fehlende Abdeckung von Unterauftragsverarbeitern ist ein häufiger Prüfungsbefund.
-
Für Hochrisiko-Datenkategorien ist Verschlüsselung mit EU-kontrollierten Schlüsseln die zuverlässigste ergänzende Maßnahme. Technische ergänzende Maßnahmen, die intelligiblen Zugang selbst bei einer FISA-Section-702-Verfügung verhindern — konkret Ende-zu-Ende-Verschlüsselung, bei der die Entschlüsselungsschlüssel in der EU gehalten und dem US-Auftragsverarbeiter nicht zugänglich sind — wurden vom EDPB und nationalen Datenschutzbehörden als wirksame Maßnahmen zur Überbrückung des Adäquanzgefälles bestätigt. Diese Architektur ist bei den großen Cloud-Anbietern verfügbar (Google CMEK, AWS KMS mit EU-Schlüsselverwaltung, Azure Customer-Managed Keys) und sollte für Hochsensitivitätsdatenkategorien gegen den operativen Mehraufwand abgewogen werden.
-
Beginnen Sie jetzt mit der BCR-Vorbereitung, wenn Ihr Konzern mehr als drei Nicht-EWR-Konzerngesellschaften hat. Die BCR-Genehmigung dauert 18–24 Monate ab Einreichung. Eine Organisation, die heute mit der BCR-Vorbereitung beginnt, verfügt vor dem erwarteten EuGH-Urteil zu La Quadrature du Net (Ende 2026 / Anfang 2027) über einen genehmigten Mechanismus. Eine Organisation, die eine Ungültigerklärung abwartet, sieht sich einer zweijährigen Lücke zwischen dem Urteil und der BCR-Genehmigung gegenüber — in diesem Zeitraum würden alle konzerninternen Transfers unter erhöhter behördlicher Aufmerksamkeit auf SVK und TFA gestützt.
Aufsichtsbehördliche Durchsetzung: Die Regulatorische Risikolandschaft
Wegweisende Durchsetzungsentscheidungen zu Datentransfers
Die Durchsetzungslandschaft bei internationalen Datentransfers wurde durch eine Reihe von Entscheidungen geprägt, die sowohl den behördlichen Durchsetzungswillen als auch die praktische Bußgeldexposition veranschaulichen.
Meta Platforms Ireland — Irische DPC, Mai 2023 (1,2 Mrd. Euro). Die Entscheidung der Irischen Datenschutzkommission gegen Meta Platforms Ireland Limited verhängte das bislang höchste DSGVO-Bußgeld — 1,2 Mrd. Euro — für Metas Übermittlung von Facebook-EU-Nutzerdaten in die USA unter SVK ohne angemessene ergänzende Maßnahmen. Die DPC stellte fest, dass Metas TFA defizitär war, weil sie die nach FISA Section 702 anwendbare Massenüberwachungsexposition der übermittelten Daten nicht berücksichtigte und die SVK allein keinen angemessenen Schutz gewährleisteten. Die DPC ordnete außerdem die Aussetzung künftiger Transfers und die Löschung der rechtswidrig übermittelten Daten an. Die Entscheidung, im Rahmen des verbindlichen Streitbeilegungsverfahrens nach Artikel 65 DSGVO erlassen (nach EDPB-Überprüfung des ursprünglichen DPC-Entscheidungsentwurfs), wurde beim Irischen High Court angefochten und ist zum ersten Quartal 2026 anhängig.
WhatsApp Ireland — Irische DPC, September 2021 (225 Mio. Euro). Ebenfalls das WhatsApp-Dienst von Meta betreffend, befasste sich diese Entscheidung primär mit Transparenzpflichten, enthielt aber Feststellungen zu grenzüberschreitenden Transfers an WhatsApps US-Muttergesellschaft.
TikTok — Italienischer Garante, verschiedene Entscheidungen 2021–2024. Die Italienische Datenschutzbehörde (Garante per la protezione dei dati personali) verhängte mehrere Bußgelder gegen die EU-Aktivitäten von TikTok wegen der Übermittlung von EU-Nutzerdaten nach China, wo das PIPL (chinesisches Datenschutzgesetz, in Kraft seit November 2021) einen Rechtsrahmen bietet, den EDPB und nationale Datenschutzbehörden als nicht dem DSGVO-Standard gleichwertig eingestuft haben. China verfügt über keinen EU-Angemessenheitsbeschluss. TikToks SVK für China-Transfers und die Angemessenheit seiner TFA für China-spezifische Behördenzugangsrisiken (insbesondere nach Artikel 7 des chinesischen Nationalen Geheimdienstgesetzes, der Organisationen zur „Unterstützung, Assistenz und Kooperation bei nationalen Geheimdienstarbeiten" verpflichtet) sind Gegenstand laufender Prüfung.
SRB v Advocate General (EuGH, Dezember 2023, C-337/21). Das EuGH-Urteil bestätigte, dass die Transferbeschränkungen des DSGVO-Kapitels V für EU-Institutionen gelten (EWR-interne Transfers, die nicht von Artikel 3 DSGVO erfasst werden), und klärte das Zusammenspiel zwischen Artikel-46-Transferinstrumenten und der Verarbeitung durch Behörden. Obwohl nicht unmittelbar US-Transfers betreffend, bekräftigte das Urteil den extensiven EuGH-Ansatz zum Transferbegriff des Kapitels V — relevant für Organisationen, die prüfen, ob ihre Datenverarbeitungsarchitektur einen „Transfer" im Sinne des Kapitels V darstellt.
Ermittlungstrends der Datenschutzbehörden 2025–2026
Mehrere nationale Datenschutzbehörden haben aktive Ermittlungen zu Datentransferpraktiken in 2025–2026 angekündigt oder führen diese durch:
-
Deutscher DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder): Gemeinschaftsermittlung zur Nutzung US-amerikanischer Cloud-Analysetools (Google Analytics, Adobe Analytics, Salesforce) durch deutsche Unternehmen für Website-Besucherdaten. Die DSK-Orientierungsdokumente stellen fest, dass IP-Adressen personenbezogene Daten sind und die Übermittlung von EU-Besucherdaten an US-Server über Analyse-Skripte einen Transfer darstellt, der einen gültigen Kapitel-V-Mechanismus erfordert.
-
Französische CNIL: laufende Ermittlung zu Cookie-Consent-Bannern und durch Drittanbieter-Tracking-Skripte ausgelösten Datentransfers — die Schnittstelle zwischen ePrivacy-Richtlinienkonformität und DSGVO-Kapitel V ist ein aktiver Durchsetzungsschwerpunkt.
-
Niederländische AP: Ermittlung zu grenzüberschreitenden Transfers im Gesundheitssektor nach einem 2024er Vorfall, bei dem niederländische Patientendaten unter SVK an einen US-amerikanischen Medizin-KI-Anbieter übermittelt wurden und die TFA das Nichteingreifen von HIPAA für die konkrete Datenverarbeitung nicht berücksichtigt hatte.
Das Muster ist eindeutig: Datenschutzbehörden gehen über die Ahndung großer Plattformen hinaus und richten ihre Durchsetzung gegen mittelständische Unternehmen in regulierten Sektoren (Gesundheit, Finanzdienstleistungen, Personal), die auf Vorlage-SVK gesetzt haben, ohne spezifische TFA durchzuführen.
Fazit
Das Schrems-II-Urteil des EuGH etablierte ein Rechtsprinzip, das der DPF nicht aufgelöst hat: Das EU-Grundrechterecht verlangt, dass in die USA exportierte EU-Personendaten einen Schutz genießen, der dem DSGVO-Standard „im Wesentlichen gleichwertig" ist — einschließlich wirksamen gerichtlichen Rechtsschutzes gegen staatliche Überwachung. Ob der DPRC diesen Standard erfüllt, wird der EuGH entscheiden, nicht die Kommission in ihrer Adäquanzbeurteilung. Die umsichtige Rechtsstrategie besteht darin, den DPF während seiner Gültigkeit als Erleichterungsmechanismus zu nutzen, während robuste SVK- und TFA-Infrastruktur als dauerhaftes Fundament vorgehalten wird.
Die Organisationen, die am besten positioniert sein werden — in behördlicher Compliance, Betriebskontinuität und Prozessrisikosteuerung —, sind jene, die SVK über ihre gesamten Auftragsverarbeiterverhältnisse implementiert, aktuelle TFA-Dokumentation vorgehalten, technische ergänzende Maßnahmen für sensible Daten eingesetzt und die BCR-Vorbereitung für konzerninterne Transfers begonnen haben. Dies ist keine Frage der Compliance-Lasten-Abwägung; es ist eine Risikosteuerungsentscheidung mit direkt kalkulierbarem Downside-Exposure.
Haftungsausschluss: Dieser Artikel dient ausschließlich allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Die beschriebenen Gesetze und Vorschriften sind komplex, unterliegen Änderungen und variieren je nach spezifischen Tatsachen und Umständen. DSGVO-Durchsetzungspositionen, EuGH-Urteile und Kommissions-Angemessenheitsbeschlüsse, auf die in diesem Artikel Bezug genommen wird, unterliegen laufenden rechtlichen Entwicklungen. Nichts in diesem Artikel sollte als Ersatz für Beratung durch qualifizierte Rechtsanwälte mit Spezialisierung auf EU-Datenschutz und grenzüberschreitende Datentransfer-Compliance herangezogen werden. Morvantine und seine Autoren übernehmen keine Haftung für Handlungen, die auf der Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden.
Need expert advice on this topic?
Our team at Morvantine specializes in exactly these issues. Get in touch for a consultation.
Get in Touch