Schrems II + DPF Update 2026: was nach Trump-2-Regierung gilt
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
- EU-US Data Privacy Framework seit 10.07.2023 in Kraft, Stand 04/2026 weiter gültig
- Trump-Executive-Order 20.01.2025 schwächt DPRC-Garantie — Schrems-III-Klage von noyb angekündigt, Stand 02.05.2026 nicht eingereicht
- EDSA-Stellungnahme 03/2026: TIA bleibt empfohlen, auch unter DPF
- Empfohlen: Plan B mit EU-Alternative pro kritischem US-Tool
- Kosten TIA: 200-5.000 EUR pro Anbieter
1. DPF-Status 04/2026
Das EU-US Data Privacy Framework (DPF) ist seit 10. Juli 2023 in Kraft (Angemessenheitsbeschluss 2023/1795). Es ersetzt den 2020 gekippten Privacy Shield. Stand April 2026:
- 2.870 zertifizierte US-Unternehmen (Stand 03/2026, dataprivacyframework.gov)
- Jährliche Rezertifizierung erforderlich
- EDSA Annual Report 03/2026: Effektivität "weitgehend gegeben, mit Verbesserungsbedarf"
- EU-Parlament 11/2024: Aufforderung zur Suspendierung — abgelehnt von Kommission
2. Trump-EO + DPRC-Risiko
Mit Executive Order 14.149 vom 20.01.2025 hat Trump das Data Protection Review Court geschwächt:
- Reduzierung des Personals um 40%
- Ernennung neuer DPRC-Mitglieder ohne Konsultation
- Beschränkung des Mandats für "Foreign Intelligence" Klagen
Stand 02.05.2026: noyb (Max Schrems) hat eine Schrems-III-Klage angekündigt, aber bisher nicht eingereicht. Die DPF-Klage von Latombe (T-553/23) wurde am 03.09.2025 vom EuG abgewiesen — DPF gilt formal weiter; Berufung Latombe beim EuGH eingelegt 31.10.2025.
3. Entscheidungsmatrix US-Anbieter
| Datenklasse | DPF-zertifiziert | Empfehlung |
|---|---|---|
| Marketing-E-Mail-Verteiler (Stammdaten) | ja (Mailchimp, Brevo-USA) | OK + TIA |
| HR-Daten / Lohnabrechnung | ja (ADP, Workday) | EU-Alternative bevorzugen |
| Sondersensible (Art. 9) | ja | NICHT in US verarbeiten |
| Telemetrie-Daten Software | ja (Microsoft, Google) | EU-Datenboundary aktivieren |
| Customer-Support-Tickets | variabel | EU-Region erzwingen |
4. SCC 2021/914 + TIA
Falls US-Anbieter NICHT DPF-zertifiziert: Standardvertragsklauseln 2021/914 + Transfer Impact Assessment (TIA).
TIA-Mindestinhalte:
- Datenkategorien + Empfängerkategorien
- Zugriffe US-Behörden? (FISA 702, EO 12333, CLOUD Act)
- Datenkategorie sondersensibel?
- Verschlüsselung at-rest + in-transit?
- Schlüssel beim Verantwortlichen oder Anbieter?
- Zusätzliche technische/vertragliche Maßnahmen
- Restrisiko-Bewertung
5. EU-Alternativen-Liste 2026
| US-Tool | EU-Alternative (Sitz) | Migrationsdauer |
|---|---|---|
| Microsoft 365 | Stack-IT (DE), MagentaBusiness Cloud (DE), IONOS Cloud (DE) | 2-6 Monate |
| Google Workspace | OpenDesk / openCoDE (DE-PHOENIX) | 3-9 Monate |
| Slack | Mattermost (US, selfhosted), Element (UK), Rocket.Chat (BR/DE-Hosting) | 1-3 Monate |
| Salesforce | Pipedrive (EE), Hubspot mit EU-DC, Zoho EU-Region | 3-12 Monate |
| AWS | OVH (FR), Hetzner (DE), Stack-IT (DE), IONOS Cloud (DE) | 3-18 Monate |
| Mailchimp | Brevo (FR), CleverReach (DE), GetResponse (PL) | 2-4 Wochen |
Risiko-Bewertung pro Anbieter mit dem DSGVO-Kit Drittland-Modul — TIA-Vorlage + Anbieter-Bewertungs-Excel.
6. Drittland-Audit-Checkliste
- Welche US-Anbieter habe ich? (VVT-Auszug)
- Pro Anbieter: DPF-Zertifizierung gültig?
- Datenkategorien sondersensibel?
- SCC 2021/914 in AVV verankert?
- TIA dokumentiert?
- Datenschutzerklärung Drittland-Hinweis (Art. 13 Abs. 1 lit. f)?
- Vorbereitetes EU-Alternative-Szenario?
- Notfallplan: Was, wenn DPF gekippt wird?
Häufig gestellte Fragen
Ist das DPF noch gültig?
Stand 04/2026 ja, aber Risiko hoch. Trump-Executive-Order vom 20.01.2025 schwächt das Data Protection Review Court (DPRC). EDSA-Stellungnahme 03/2026 fordert Nachbesserung.
Muss ich trotz DPF eine TIA machen?
Empfehlung ja. EDSA-Empfehlung 01/2020 + 03/2026: Bei US-Sub-Auftragsverarbeitern auch unter DPF eine TIA als Backup.
Welche Alternativen zu US-Anbietern?
M365 → IONOS Cloud, MagentaBusiness Cloud, Stack-IT (Schwarz-Gruppe). Salesforce → Pipedrive (EU), Zoho (EU-Region). Slack → Mattermost (selfhosted), Element.
Was kostet ein TIA?
Anwaltsbasiert: 1.500-5.000 EUR pro Anbieter. Mit Vorlage und KI-Tools (z.B. Compliance-Kit): 200-500 EUR Eigenleistung.
DPF-zertifiziert wie prüfen?
Liste auf dataprivacyframework.gov. Nur Unternehmen, die jährlich rezertifizieren. Stand 03/2026: 2.870 Unternehmen, davon 134 deutsche Tochtergesellschaften.
Wer haftet wenn DPF kippt?
Verantwortlicher (Sie). Übergangsfristen historisch 0-3 Monate (Privacy Shield 2020). Empfehlung: Plan B vorbereiten, EU-Alternative testen.
Quellen
- Commission Implementing Decision (EU) 2023/1795 — EU-US Data Privacy Framework (Stand: 02.05.2026)
- EuG T-553/23 — Latombe v Kommission (DPF-Klage abgewiesen) (Stand: 02.05.2026)
- EuGH C-413/23 — EDPS v Single Resolution Board (Personenbezug-Begriff) (Stand: 02.05.2026)
- Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
- EDPB Binding Decision 1/2023 — Meta Facebook Datentransfer USA (Stand: 02.05.2026)
Werkzeuge & Selbsttests
DSGVO-Checkliste
30 Pruefpunkte fuer Datenschutz-Compliance im KMU.
Bussgeld-Rechner
Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen.
DSGVO Self-Assessment
Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap.
Cookie-Banner-Audit
TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.