--- title: "EU-US Data Privacy Framework: Wie stabil ist der neue Rahmen?" date: 2026-02-10T10:15:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de/de/blog/eu-us-data-privacy-framework-wie-stabil-ist-der-neue-rahmen" section: "Entries: Articles" --- ### Was ist das EU-US Data Pri­va­cy Frame­work? [\#](#was-ist-das-eu-us-data-privacy-framework "Was ist das EU-US Data Privacy Framework?") #### Hin­ter­grund: Pri­va­cy Shield und Schrems II [\#](#hintergrund-privacy-shield-und-schrems-ii "Hintergrund: Privacy Shield und Schrems II") **Pri­va­cy Shield (2016):** Ein Abkom­men, das Daten-Trans­fers in die USA vereinfachte. **Schrems II Urteil (2020):** Der EU-Gerichts­hof sagt: Pri­va­cy Shield ist ungül­tig. Grund: Der CLOUD Act erlaubt US-Behör­den, auf EU-Per­so­nen­da­ten zuzu­grei­fen — das ver­stößt gegen DSGVO. **Fol­gen:** Unter­neh­men muss­ten plötz­lich Cloud-Ser­vices (AWS, Micro­soft, Goog­le) neu bewer­ten. Für EU-Unter­neh­men mit US-Cloud ent­stand mas­si­ve Rechtsunsicherheit. **EU-US DPF (2023):** Ein neu­er Ver­such, Daten-Trans­fers wie­der zu erleichtern. #### Wie das DPF funk­tio­niert [\#](#wie-das-dpf-funktioniert "Wie das DPF funktioniert") **Grund­idee:** US-Unter­neh­men, die dem DPF bei­tre­ten, müs­sen zusätz­li­che Garan­tien geben: 1. **Data Pro­tec­tion Review Court:** Ein spe­zi­el­ler US-Gerichts­hof, der Daten­schutz-Beschwer­den anhört (neu, Herbst 2023 operational) 2. **Beschrän­kung von Mas­sen­über­wa­chung:** US-Geheim­diens­te sol­len Daten nur ​“pro­por­tio­nal” für natio­na­le Sicher­heit sam­meln (nicht alles pauschal) 3. **Trans­pa­renz:** US-Unter­neh­men müs­sen Zugrif­fe auf EU-Daten berichten **Zer­ti­fi­kat:** Unter­neh­men, die bei­tre­ten (z. B. AWS, Micro­soft, Goog­le) bekom­men ein DPF-Zertifikat. --- ### Das kri­ti­sche Pro­blem: CLOUD Act gilt WEI­TER [\#](#das-kritische-problem-cloud-act-gilt-weiter "Das kritische Problem: CLOUD Act gilt WEITER") #### Was ist der CLOUD Act? [\#](#was-ist-der-cloud-act "Was ist der CLOUD Act?") Der US **Cla­ri­fy­ing Lawful Over­se­as Use of Data (CLOUD) Act** von 2018 erlaubt: - **Alle US-Unter­neh­men welt­weit** (z. B. AWS, Micro­soft, Goog­le — egal wo Ser­ver ste­hen) müs­sen Daten auf Gerichts­be­schluss herausgeben - **Geheim­dienst­li­che Zugrif­fe:** Der FISA-Court kann Daten-Zugriff anord­nen (weni­ger strik­te Anfor­de­run­gen als nor­ma­le Gerichte) - **Kei­ne Aus­nah­me für EU-Daten:** Die EU-Gebäu­de schüt­zen EU-Per­so­nen­da­ten NICHT vor CLOUD Act #### Bei­spiel-Sze­na­rio [\#](#beispiel-szenario "Beispiel-Szenario") ``` Szenario: Ein EU-Unternehmen speichert Kundendaten bei AWS EU-Frankfurt. 1. FBI hat Verdacht gegen einzelne US-Kriminelle 2. FBI beauftragt AWS per Gerichtsbeschluss: "Gib uns alle Daten von Kunden in EU" 3. AWS muss diese Daten rausgeben (-Pflicht) 4. EU-Personendaten verlassen EU, gehen an FBI 5. sagt: Das ist illegal! Aber: Wer haftet? AWS? Das Unternehmen? Das ist die rechtliche Grauzone. ``` #### DPF ändert das nicht wirk­lich [\#](#dpf-%C3%A4ndert-das-nicht-wirklich "DPF ändert das nicht wirklich") Der DPF sagt: - “Zugrif­fe sol­len ​‘nach­ge­la­gert’ über­prüf­bar sein” (Review Court) - “Aber der CLOUD Act gilt weiter” **Das ist ein Wider­spruch:** Wenn der CLOUD Act gütig ist, kann die US-Regie­rung zugrei­fen, bevor der Review Court etwas tun kann. --- ### Schrems III: Die nächs­te Kata­stro­phe? [\#](#schrems-iii-die-n%C3%A4chste-katastrophe "Schrems III: Die nächste Katastrophe?") **Max Schrems (Daten­schutz-Akti­vist):** Hat bereits neue Kla­ge ein­ge­reicht gegen DPF. **Argu­ment:** DPF löst das CLOUD-Act-Pro­blem nicht wirklich. **Wahr­schein­lich:** Urteil kommt 2025 – 2026. Wenn Schrems gewinnt, könn­te DPF wie­der ungül­tig werden. **Risi­ko für Unternehmen:** - Wie­der mas­si­ve Rechtsunsicherheit - AWS/​Azure/​Google wie­der poten­ti­ell nicht DSGVO-konform - Plötz­li­che Not­wen­dig­keit, Daten rauszuziehen --- ### Prak­ti­sche Impli­ka­tio­nen für IT-Ent­schei­der [\#](#praktische-implikationen-f%C3%BCr-it-entscheider "Praktische Implikationen für IT-Entscheider") #### Sze­na­ri­en [\#](#szenarien "Szenarien") **Sze­na­rio 1: Unkri­ti­sche Daten in US-Cloud** - Nicht-per­so­nen­be­zo­ge­ne Daten (Test-Daten, öffent­li­che Inhalte) - **Mit DPF:** Okay, AWS/​Azure sind DPF-zertifiziert - **Risi­ko:** Low (kei­ne Personendaten) **Sze­na­rio 2: Per­so­nen­da­ten in US-Cloud (z. B. Kundenliste)** - Mit DPF: Juris­tisch zuläs­sig (aktu­ell) - Mit Schrems III mög­lich: Wie­der ungültig - **Risi­ko:** Medi­um (müss­ten schnell migrie­ren bei Urteil) **Sze­na­rio 3: Hoch­sen­si­ble Daten (Medi­zin, Finanz)** - Daten, wo DSGVO-Ver­let­zung beson­ders schäd­lich ist - **Mit DPF:** Juris­tisch zuläs­sig, aber poli­tisch riskant - **Emp­feh­lung:** Nicht in US-Cloud, nur in EU-Cloud oder On-Premises --- ### Was ist die rich­ti­ge Stra­te­gie? [\#](#was-ist-die-richtige-strategie "Was ist die richtige Strategie?") #### Opti­on 1: AWS/​Azure/​Google US mit DPF (aktu­ell sicher, aber fra­gil) [\#](#option-1-aws-azure-google-us-mit-dpf-aktuell-sicher-aber-fragil "Option 1: AWS/Azure/Google US mit DPF (aktuell sicher, aber fragil)") **Vor­tei­le:** - ✅ Güns­tig - ✅ Gro­ße Funktions-Auswahl - ✅ Ska­lie­rung einfach **Nach­tei­le:** - ❌ CLOUD-Act-Risi­ko bleibt - ❌ Schrems III könn­te alles ändern - ❌ Politisches/​Geopolitisches Risi­ko (US-Sank­tio­nen) **Emp­foh­len für:** Unkri­ti­sche Daten, wenn Kos­ten wich­ti­ger sind als Sicherheit #### Opti­on 2: Euro­päi­sche Cloud (Sca­le­way, OVH­cloud, Gaia‑X) [\#](#option-2-europ%C3%A4ische-cloud-scaleway-ovhcloud-gaia-x "Option 2: Europäische Cloud (Scaleway, OVHcloud, Gaia-X)") **Vor­tei­le:** - ✅ CLOUD Act gilt nicht (Unter­neh­men sind europäisch) - ✅ DSGVO auto­ma­tisch erfüllt - ✅ Poli­tisch sicherer - ✅ Daten­sou­ve­rä­ni­tät **Nach­tei­le:** - ❌ Teu­rer als AWS/​Azure/​Google - ❌ Weni­ger Funktionen - ❌ Weni­ger Ökosystem **Emp­foh­len für:** Per­so­nen­da­ten, Finanz-Daten, Medizin-Daten #### Opti­on 3: Hybrid (kri­tisch On-Pre­mi­ses, unkri­tisch US-Cloud) [\#](#option-3-hybrid-kritisch-on-premises-unkritisch-us-cloud "Option 3: Hybrid (kritisch On-Premises, unkritisch US-Cloud)") **Vor­tei­le:** - ✅ Siche­re Daten local - ✅ Trotz­dem Cloud-Skalierbarkeit - ✅ Kos­ten­op­ti­miert **Nach­tei­le:** - ❌ Kom­ple­xe­re Infrastruktur - ❌ Data-Trans­fer-Kos­ten - ❌ Migra­ti­on spä­ter schwierig **Emp­foh­len für:** Die meis­ten Unter­neh­men (balan­ciert) --- ### Kon­kre­te Schrit­te: Daten-Klas­si­fi­zie­rung [\#](#konkrete-schritte-daten-klassifizierung "Konkrete Schritte: Daten-Klassifizierung") #### 1. Klas­si­fi­zie­rung durch­füh­ren [\#](#1-klassifizierung-durchf%C3%BChren "1. Klassifizierung durchführen") Für jedes Sys­tem: Wel­che Daten lie­gen dort? ``` AD / Active Directory: ├─ Personendaten: User-Namen, E-Mail-Adressen ✅ Sensibel ├─ Rechte-Informationen: Gruppenmitgliedschaften ✅ Mittel └─ Passwort-Hashes ✅ Kritisch Fileserver: ├─ Kundendaten / Contracts ✅ Sehr sensibel ├─ Interne E-Mails ✅ Mittel └─ Grafik-Dateien (Produktbilder) ❌ Unkritisch E-Mail: ├─ Kundenkommunikation ✅ Sensibel ├─ Interne Meetings ✅ Mittel └─ Newsletter ❌ Unkritisch ``` #### 2. Ent­schei­dung pro Daten-Kate­go­rie [\#](#2-entscheidung-pro-daten-kategorie "2. Entscheidung pro Daten-Kategorie") ``` CH (personenbezogen, hochwertig): → Nur EU-Cloud oder On-Premises → Alternative: AWS EU-Frankfurt + Encryption SENSIBEL (personenbezogen, mittlerer Wert): → DPF-zertifizierter US-Provider (AWS/Azure/Google) ODER EU-Cloud UNCH (öffentlich, test-data): → Jeder Cloud-Provider okay ``` #### 3. Akti­ons­plan [\#](#3-aktionsplan "3. Aktionsplan") - \[ \] Daten-Klas­si­fi­zie­rung durchführen - \[ \] Aktu­ell: Wel­che Daten lie­gen wo? - \[ \] Ziel: Kri­ti­sche Daten nur in EU/On-Prem - \[ \] Migra­ti­on: Plan machen (dau­ert Monate) - \[ \] Ver­si­che­rung: Cyber-Poli­cy che­cken auf DPF-Risiko - \[ \] Legal: Daten­schutz­be­hör­de kon­sul­tie­ren (für Ihre Bran­che spezifisch) --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Kön­nen Unter­neh­men US-Cloud wei­ter nutzen?** Ja, mit DPF ist es aktu­ell juris­tisch okay. Aber: Schrems III Risi­ko bleibt. **Was pas­siert, wenn Schrems III DPF ungül­tig macht?** Das wäre eine Kata­stro­phe. Tau­sen­de Unter­neh­men müss­ten schnell umstei­gen. Die EU wür­de wahr­schein­lich eine Über­gangs­frist geben. **Ist euro­päi­sche Cloud teurer?** Ja, typisch 30 – 50% teu­rer. Aber: Sie zah­len für Sicherheit/​Compliance. **Soll­te ich jetzt weg von AWS/​Azure/​Google?** Depends: - Unkri­ti­sche Daten: Nein, bleibt bei US-Cloud - Kri­ti­sche Daten: Ja, über­le­gen Sie EU-Cloud oder On-Premises **Was ist mit Daten­kryp­ti­on? Schützt die?** Teil­wei­se. Wenn Sie die Keys kon­trol­lie­ren (nicht der Cloud-Pro­vi­der), dann schützt Kryp­ti­on vor Zugriff. Aber: Der Cloud-Pro­vi­der kann trotz­dem auf Ihre Keys zugrei­fen (wenn Sie ihm Zugang geben). --- ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de/de/glossar/dsgvo) ### US CLOUD Act Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen. [Mehr erfahren →](https://www.fast-lta.de/de/glossar/us-cloud-act) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de/de/glossar/dsgvo) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de/de/glossar/kritis) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de/de/glossar/kritis) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de/de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de/de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de/de/glossar/dsgvo)