Schrems III? Wackelt das EU-US Data Privacy Framework?
Die US-Handelsaufsicht FTC verliert nach einem aktuellen Gerichtsurteil des Supreme Court ihre Unabhängigkeit. Die aber ist Voraussetzung, dass Unternehmen in der EU Datenverarbeitung in US-Clouds von AWS, Google oder Microsoft rechtssicher durchführen können. Datenschutzaktivist Max Schrems fordert von der EU-Kommission eine Kurskorrektur. "Einordnung statt Panikmache": RA Wilfried Reiners zur eigentlichen Lehre aus der aktuellen Diskussion.
Viele Kommentare von Rechtsanwälten und Datenschützern lassen kein gutes Haar an dem nun bahnbrechendem Urteil des Obersten Gerichtshofs in den USA am Montg dieser Woche. Im Fall "Trump versus Slaughter" kippte der Supreme Court mit 6 zu 3 Stimmen den bisherigen Status der US-Handelsaufsicht FTC: Unabhängig von politischer Einflussnahme agieren zu können.
Hintergrund: Zu Beginn der zweiten Amtszeit von Präsident Donald Trump im Jahr 2025 hatte der US-Präsident mehrere hochrangige Mitglieder unabhängiger Behörden – darunter die demokratische Kommissarin der FTC, Rebecca Kelly Slaughter, gefeuert. Slaughter klagte gegen ihre Entlassung und bekam in den Vorinstanzen zunächst recht. Der Supreme Court kassierte die Urteile der Vorinstanzen und entschied im Sinne Trumps. Die parteipolitische Neutralität wichtiger US-Bundesbehörden könnte somit ausgehebelt sein. So viel zur US-Innenpolitik. Das Urteil hat allerdings Konsequenzen für Unternehmen in der EU.
Denn die Unabhängigkeit der FTC ist eine wichtige Voraussetzung des sogenannten EU-US Data Privacy Framework (DPF). Das ist der rechtliche Rahmen, der den Transfer personenbezogener Daten von der EU in die USA regelt. Die Europäische Kommission hat das Abkommen im Juli 2023 über einen sogenannten Angemessenheitsbeschluss (Art. 45 DSGVO) in Kraft gesetzt. Diese Rechtsgrundlage für den transatlantischen Datenverkehr war nötig, weil der der Europäische Gerichtshof (EuGH) die zuvor geschlossenen Ankommen Safe Harbor (2015) und Privacy Shield (2020) für ungültig erklärt hatte. Geklagt hatte Rechtsanwalt und Datenschutzaktivist Max Schrems. Mit seiner Klage gegen den EU/USA Privacy Shield schrieb der Österreicher Rechtsgeschichte, das Urteil "Schrems II" trägt seinen Namen.
Kommt es nun zur Neuauflage und damit zu "Schrems III" vor dem EuGH? Dazu Max Schrems auf der Seite der Datenschutz-Organisation noby: "Da es in den USA keine unabhängigen Behörden mehr gibt, fordern wir die [EU-]Kommission auf, die Angemessenheitsentscheidung für die USA in einem geordneten Prozess aufzuheben."
Für CRN ordnet Rechtsanwalt Wilfried Reiners, Chef der PRW Legal Tech GmbH aus München, das aktuelle Urteil "Trump versus Slaughter" ein. Er lenkt den Blick auf grundlegende rechtsrelevante Herausforderungen, wenn Unternehmen in der EU ihre Daten in Rechenzentren der US-Hyperscaler verarbeiten.
Amerikanische Kontrollmechanismen werfen Fragen auf
In den vergangenen Tagen wurde vielfach darüber berichtet, dass das EU-US Data Privacy Framework (DPF) aufgrund aktueller Entwicklungen in den USA erheblich unter Druck geraten sei. So auch Herr Schrems, der sich am 30. Juni 2026 mit einem Schreiben an die EU Kommission gewandt hat. Tatsächlich gibt es Anlass, die weitere Entwicklung aufmerksam zu beobachten.
Die politischen Veränderungen bei den amerikanischen Kontrollmechanismen werfen Fragen auf, die durchaus Auswirkungen auf die Stabilität des Angemessenheitsbeschlusses haben könnten. Im Interesse der Rechtssicherheit ist zu erwarten, dass sowohl die Europäische Kommission als auch der Europäische Gerichtshof die offenen datenschutzrechtlichen Fragestellungen in angemessener Zeit einer abschließenden Klärung zuführen. Das geschieht aber nicht von heute auf morgen. Die EU-Kommission wird auch die wirtschaftlichen Themen betrachten. Das Verfahren Schrems II dauerte 4 Jahre und 7 Monate.
Data Privacy Framework gilt weiterhin – aber …
Man sollte eines klar auseinanderhalten: Die Rechtslage hat sich bislang nicht geändert. Das Data Privacy Framework gilt weiterhin. Microsoft ist weiterhin zertifiziert. Datenübermittlungen auf dieser Grundlage bleiben derzeit zulässig.
Die eigentliche Lehre aus der aktuellen Diskussion liegt deshalb an einer anderen Stelle. Viele Unternehmen und Behörde betrachten Datenschutz-Compliance noch immer als einmaliges Projekt. Ein Tenant wird geprüft, eine Datenschutz-Folgenabschätzung erstellt, technische Maßnahmen werden umgesetzt – und anschließend verschwindet das Projekt in der Schublade.
Genau dieses Verständnis passt jedoch nicht mehr zur heutigen Cloud-Welt. Microsoft 365 verändert sich kontinuierlich. Monat für Monat kommen neue Funktionen hinzu. Microsoft Copilot entwickelt sich in rasantem Tempo weiter. Gleichzeitig ändern sich regulatorische Anforderungen durch Datenschutzaufsichtsbehörden, den AI Act, nationale Spezialgesetze oder – wie aktuell – durch politische Entwicklungen rund um internationale Datentransfers. Die entscheidende Frage lautet daher nicht mehr: "Ist mein Microsoft-365-Tenant heute compliant?" sondern: "Kann ich nachweisen, dass ich Veränderungen erkenne, bewerte und meine Compliance kontinuierlich fortschreibe?"
Genau das verlangen letztlich auch die Datenschutz-Grundverordnung (DSGVO) und moderne Governance-Konzepte. Compliance ist kein statischer Zustand, sondern ein fortlaufender Prozess. Aus unserer Sicht wird deshalb ein kontinuierliches Compliance-Management für Microsoft 365 zum entscheidenden Erfolgsfaktor.
Regulatorische Entwicklungen müssen fortlaufend beobachtet werden
Technische Tenant-Analysen, regelmäßige Re-Scans, die Bewertung neuer Microsoft-Funktionen und die laufende Beobachtung regulatorischer Entwicklungen schaffen die Transparenz, die Organisationen heute benötigen. Mit dem "PRW®Compliance Set M365" verfolgen wir genau diesen Ansatz: Nicht die einmalige Bewertung steht im Mittelpunkt, sondern die Fähigkeit, die Entwicklung eines Microsoft-365-Tenants über Jahre hinweg nachvollziehbar zu dokumentieren und auf neue technische sowie rechtliche Anforderungen reagieren zu können.
Die Diskussion um das EU-US Data Privacy Framework zeigt deshalb vor allem eines: Nicht die Unsicherheit ist das größte Risiko. Das eigentliche Risiko besteht darin, Veränderungen nicht rechtzeitig zu erkennen.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden