Datenschutz-Pakt mit USA droht erneut zu kippen

Die Zukunft des transatlantischen Datenverkehrs steht auf der Kippe. Neue Dekrete der US-Regierung untergraben die Privatsphäre-Garantien, auf denen das EU-US-Datenschutzabkommen (DPF) beruht – und könnten einen dritten Anlauf von Datenschützer Max Schrems provozieren.

Auslöser der Krise sind zwei präsidiale Verfügungen aus Washington. Eine Mitte Dezember 2025 unterzeichnete „Executive Order“ zur KI-Förderung zielt explizit auf Deregulierung des Tech-Sektors ab. Ein weiterer Erlass vom 2. Januar 2026 blockiert einen Halbleiter-Deal mit Verweis auf weit gefasste nationale Sicherheitsinteressen.

Datenschutzexperten schlagen Alarm: Diese Schritte widersprechen fundamental den Zusagen aus Ex-Präsident Bidens Erlass 14086 von 2022. Jenes Dokument hatte die „Verhältnismäßigkeit“ US-amerikanischer Überwachungsaktivitäten festgeschrieben – die Grundvoraussetzung für das DPF.

Gerichtsurteil von 2025 verliert seine Grundlage

Die Timing könnte kaum ungünstiger sein. Erst im September 2025 hatte das EU-Gericht eine Klage des französischen Abgeordneten Philippe Latombe gegen das DPF abgewiesen. Das Urteil gab Unternehmen vorübergehend Sicherheit. Die Richter sahen die Beschwerdemechanismen des Abkommens damals als ausreichend an.

Doch diese Faktenlage hat sich binnen weniger Tage radikal verändert. Latombes Berufung liegt nun beim Europäischen Gerichtshof (EuGH). Die neuen Dekrete aus Washington liefern wohl entscheidende Beweise, dass die US-Regierung sich nicht länger an die datenschutzrechtlichen Beschränkungen gebunden fühlt.

„Das Urteil des Gerichts war eine Momentaufnahme“, erklärt ein Regulierungsexperte von Baker McKenzie. „Mit den neuen Erlassen sieht der EuGH ein völlig verändertes Bild. Wenn nationale Sicherheit über Privatsphäre gestellt wird, bricht die Rechtsgrundlage des DPF zusammen.“

KI-Strategie kollidiert mit EU-Regulierung

Besonders brisant ist der KI-Erlass. Indem das Weiße Haus „bürokratische“ Regulierungen auf Bundesstaaten-Ebene eindämmen und eine Politik minimaler Eingriffe etablieren will, steuert es auf Kollisionskurs mit der EU-KI-Verordnung zu. Diese wird im August 2026 vollständig anwendbar.

Analysen von NOYB, der von Max Schrems geführten Datenschutzorganisation, legen nahe: Die US-Richtlinie könnte Geheimdiensten erlauben, unter dem Deckmantel der „nationalen Sicherheitsinnovation“ massenhaft personenbezogene Daten für KI-Training zu sammeln. Die EU-Bürgern zugesicherten Beschwerdemechanismen würden umgangen.

Passend zum Thema KI-Compliance: Die EU-KI-Verordnung bringt konkrete Pflichten für Unternehmen – von Risikoklassifizierung über Kennzeichnungsregeln bis zu umfangreicher Dokumentation. Unser kostenloses E-Book erklärt praxisnah, welche Anforderungen jetzt relevant sind, welche Übergangsfristen Sie im Blick behalten müssen und wie Sie technische sowie organisatorische Maßnahmen korrekt dokumentieren. Ideal für Verantwortliche, Entwickler und Entscheider, die schnell handlungsfähig werden müssen. Jetzt kostenlosen KI-Umsetzungsleitfaden sichern

NOYB verwies diese Woche in einer Stellungnahme darauf, dass diese Entwicklungen ihre langjährige Skepsis gegenüber dem DPF bestätigen. Die Gruppe hat stets betont, dass präsidiale Erlasse vergänglich sind – ein Szenario, das sich nun zu bewahrheiten scheint.

Unternehmen stehen vor erneuter Unsicherheit

Für die Wirtschaft bedeutet die erneute Instabilität ein Albtraum-Szenario. Über 3.400 US-Unternehmen haben sich seit Juli 2023 unter dem DPF zertifiziert. Sollte das Abkommen gekippt werden – ein möglicher „Schrems III“-Moment – blieben nur noch Standardvertragsklauseln (SCCs). Doch auch diese stehen unter verschärfter Beobachtung.

„Wir raten Mandanten dringend, ihre Transferfolgenabschätzungen zu überprüfen“, heißt es in einer Kundenmitteilung einer großen internationalen Kanzlei vom 5. Januar. „Die Annahme, dass US-Recht angemessenen Schutz bietet, steht unter enormem Druck.“

Die EU-Kommission hat bereits „ernste Besorgnis“ über die jüngsten US-Maßnahmen geäußert. Die diplomatischen Spannungen verschärfen sich zusätzlich durch den Streit um die Durchsetzung des Digital Services Act (DSA) gegen US-Tech-Giganten. Die USA drohen ihrerseits mit Vergeltungsmaßnahmen wie Visa-Beschränkungen.

Ausblick: Alles hängt am Europäischen Gerichtshof

Der Fokus liegt nun auf Luxemburg, wo der EuGH über Latombes Berufung verhandeln wird. Juristische Beobachter erwarten, dass die Kläger die neuen US-Erlasse als Beweis für eine verschlechterte Datenschutzlage vorbringen werden.

Gleichzeitig steht die EU-Kommission unter Druck, die Aussetzungsklausel des DPF zu ziehen. Das Abkommen verpflichtet Brüssel zur Überwachung der US-Rechtsentwicklung. Wenn die neuen Erlasse den Schutz unter EU-Standards senken, müsste die Kommission möglicherweise sogar noch vor einem Gerichtsurteil handeln.

Stand 8. Januar 2026 gilt das DPF zwar noch – doch seine rechtliche Stabilität erscheint fragiler als je zuvor. Für den transatlantischen Geschäftsverkehr ist die Ära der Datenschutz-Unsicherheit noch lange nicht vorbei.

Übrigens: Kleine Versäumnisse bei der Umsetzung der KI-Verordnung können schnell teuer werden – von Nachbesserungsaufträgen bis zu Reputationsrisiken. Holen Sie sich unseren kostenlosen Umsetzungsleitfaden mit konkreten Checklisten für Kennzeichnungspflichten, Dokumentationsvorlagen und praktischen Tipps für die Risikobewertung, damit Ihr Projekt rechtssicher startet und Übergangsfristen eingehalten werden. Gratis E-Book zur EU-KI-Verordnung anfordern