Auf dieser Seite
    Autoren

    Rita Fromm, Maître en droit

    Senior Associate

    Berlin
    Read More
    Wiebke Reuter

    Wiebke Reuter, LL.M. (London)

    Salary Partnerin

    Berlin
    Read More
    Autoren

    Rita Fromm, Maître en droit

    Senior Associate

    Berlin
    Read More
    Wiebke Reuter

    Wiebke Reuter, LL.M. (London)

    Salary Partnerin

    Berlin
    Read More
    • Auf dieser Seite

    15. Mai 2025

    Internationale Datentransfers unter Druck: DPF wankt, neue US-Regeln greifen, China wieder im Fokus

    • Briefing

    Internationale Datentransfers führen erneut zu Unsicherheiten und erweisen sich als „Dauerbrenner“. Bereits 2020 war das Thema wegen des von Max Schrems erwirkten „Schrems II“-Urteils des EuGH akut, weil der damalige Angemessenheitsbeschluss für die USA für ungültig erklärt wurde. Seitdem änderte die EU ihre Standardvertragsklauseln (SCC) und Verantwortliche mussten ihre Datenschutzverträge umstellen und sind seitdem ausdrücklich verpflichtet, für ihre Datenempfänger ein Transfer Impact Assessment (TIA) durchzuführen, um damit verbundene Datenschutzrisiken zu bewerten und, soweit nötig, zusätzliche Schutzmaßnahmen zu ergreifen. 

    DPF – Abschied auf Raten? 

    Die Hoffnung, trotz des Scheiterns des Privacy Shields auf einen neuen Angemessenheitsbeschluss für die USA zurückgreifen zu können, wurde schnell zur Realität. 2022 kam das Data Privacy Framework (DPF). Für nach dem DPF zertifizierte US-Datenempfänger entfallen SCCs und TIAs. Für nicht-zertifizierte US-Empfänger bleiben SCCs und TIAs erforderlich – wenngleich die für das DPF vorgenommenen Rechtsänderungen in den USA zumindest das Datenschutzrisiko reduzieren und die TIA-Bewertung erleichtern. 

    Das DPF wurde von Beginn an kritisiert, etwa von der Max Schrems-Organisation None Of Your Business (noyb), weil es Kritikpunkte des EuGH nicht behebe. Parallel warnten Aufsichtsbehörden vor verfrühter Entwarnung bei US-Übermittlungen. Dennoch wurde es stiller um das Thema. 

    Die Trump-Administration könnte das DPF nun ernsthaft gefährden: Rechtsänderungen, die Grundlage des Abkommens sind, geraten ins Wanken. Im Fokus stehen die Entlassung demokratischer Mitglieder eines zentralen Kontrollorgans und Berichte über weitreichende Datenzugriffe der neuen Behörde „Department of Government Efficiency“ (DOGE).  

    Erste parlamentarische Anfragen an die EU-Kommission folgten im Januar 2025. In ihrer Antwort bleibt die EU-Kommission jedoch vage. Sie verweist auf die weiterhin geltende Executive Order 14086 als Grundlage des DPF und betont, dass Schutzmechanismen in den USA formell bestehen. Auch das EDSA-Protokoll zeigt: Es wurde informiert, aber nicht diskutiert. Kritiker dürfte das kaum beruhigen – weitere Gerichtsverfahren sind möglich. 

    Neue US Bulk Data Rule: Transatlantische Datenflüsse unter Druck 

    Mit der Bulk Data Rule haben die USA im April 2025 Vorgaben zur Beschränkung bestimmter Datenübermittlungen aus den USA heraus erlassen, die bis Oktober 2025 umgesetzt werden müssen. Ziel ist, sensible personenbezogene und regierungsbezogene Daten vor dem Zugriff sogenannter Countries of Concern – derzeit China, Russland, Iran, Nordkorea, Kuba und Venezuela – zu schützen. Die Regelung untersagt bestimmte Datenübermittlungen vollständig, etwa großvolumige Weitergabe genetischer Daten, und erlaubt andere nur unter Einhaltung strenger Sicherheitsvorgaben sowie Risiko- und Transfervalidierung. Auch verschlüsselte, pseudonymisierte oder anonymisierte Daten können erfasst sein – ein bloß theoretischer Zugriff durch die genannten Staaten genügt. 

    Betroffen sind US-Unternehmen, die Daten an ausländische Akteure übermitteln, die direkt oder indirekt mit einem Country of Concern verbunden sind – etwa durch Sitz, Eigentumsverhältnisse oder politische Kontrolle. Aber auch aus EU-Sicht ist das Regelwerk relevant, etwa bei Datenverarbeitungen im Konzernverbund mit US-Bezug, bei der Nutzung US-Dienstleister oder bei Verträgen mit US-Unternehmen, die ihrerseits Daten ins Ausland weitergeben. In diesen Fällen müssen Unternehmen sicherstellen, dass keine unzulässige Weitergabe an Dritte in betroffene Staaten erfolgt. EU-Unternehmen sollten daher zeitnah ihre Daten- und Lieferketten prüfen, US-Partner einbinden und die neuen Vorgaben in ihre Compliance-Prozesse integrieren. 

    Chinesische Unternehmen als Datenempfänger in der Kritik 

    Im Januar 2025 reichte noyb Beschwerden gegen sechs chinesische Unternehmen ein wegen mutmaßlich unrechtmäßiger Übermittlung personenbezogener Daten aus der EU nach China. Eine vom EDSA beauftragte Studie kritisierte zwar bereits 2021 das Datenschutzniveau Chinas vor dem Hintergrund möglicher staatlicher Zugriffsrechte auf Daten, eine behördliche Stellungnahme oder gerichtliche Feststellungen zum Datenschutzniveau Chinas stehen jedoch aus – ebenso wie die Entscheidungen zu den noyb-Beschwerden. 

    Unter den strengen TIA-Vorgaben zeigt sich häufig ein Konflikt zwischen chinesischem Recht und den Pflichten aus den SCCs. Zusätzliche Maßnahmen gewinnen daher an Bedeutung, um nationale Rechtswirkungen und Zugriffsrisiken abzufedern und den Datentransfer dennoch zu ermöglichen. 

    Eine aktuelle Entscheidung der irischen Datenschutzbehörde DPC verdeutlicht die praktischen und rechtlichen Herausforderungen bei Datenübermittlungen nach China. Am 2. Mai 2025 verhängte die DPC ein Bußgeld in Höhe von 530 Mio. Euro gegen den chinesischen Anbieter einer Social Media Plattform. Im Verfahren ging es um den Schutz von EU-Nutzerdaten bei (Fern-)Zugriffen aus China und die Transparenzpflichten nach Art. 13 DSGVO. Die DPC stellte fest, dass bereits der Fernzugriff einen Datentransfer darstelle. Er müsse daher entsprechend behandelt werden. Das Unternehmen konnte aber weder ein vergleichbares Datenschutzniveau noch ausreichende Schutzmaßnahmen nachweisen. Die Plattform will nachbessern; die DPC setzte eine Frist von sechs Monaten, danach könnte eine Aussetzung der Datenübermittlungen folgen.  

    Was bedeutet all das für die Praxis? 

    Der politische und regulatorische Kurs bleibt ungewiss. Unternehmen sind gut beraten, flexibel zu bleiben: 

    • Datenflüsse überprüfen: Unternehmen sollten ihre internationalen Datenströme regelmäßig analysieren.
    • DPF-Zertifizierung von US-Empfängern prüfen: Beim Einsatz des DPF ist sicherzustellen, dass der US-Empfänger tatsächlich zertifiziert ist und die Zertifizierung den Datentransfer abdeckt.
    • SCCs und TIAs vorbereiten: Diese sollten als belastbare Alternativen verfügbar und vertraglich umsetzbar sein. 
    • Bulk Data Rule beachten: EU-Unternehmen mit US-Bezug sollten nun prüfen, ob ihre Datenflüsse unter die neuen US-Regelungen fallen. 
    • Risikoanalyse und Transparenz sicherstellen: Der DPC-Fall zeigt, dass auch bei Transfers mit SCCs eine fundierte – und ständig aktualisierte – Bewertung des Datenschutzniveaus im Drittland über das TIA erforderlich ist. 
    Rechtsgebiete und Gruppen Daten & Cyber-SicherheitInformationstechnologie
    Branchen Technologie-, Medien & Kommunikationsrecht
    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    Related Insights

    Daten & Cyber-Sicherheit

    Artikel 48 DSGVO – Neue EDSA-Leitlinien schaffen Klarheit bei Datenanfragen aus Drittstaaten

    11. Juni 2025
    Quick read

    von Wiebke Reuter, LL.M. (London)

    Klicken Sie hier für Details
    Daten & Cyber-Sicherheit

    Update zum Artikel vom 23. Januar 2025: Kommission weicht Bedenken zur DPF-Stabilität aus

    23. April 2025
    Briefing

    von mehreren Autoren

    Klicken Sie hier für Details
    Daten & Cyber-Sicherheit

    Generalanwalt: Auch kostenlose Angebote können „Verkauf“ im Sinne der ePrivacy-Richtlinie sein - Rückgriff auf Art. 6 DSGVO nicht geboten

    31. März 2025
    Briefing

    von mehreren Autoren

    Klicken Sie hier für Details

    © Taylor Wessing