Spoiler: wahrscheinlich weniger, als du denkst — aber einen Schritt mehr, als du gerade tust.
Das Data Privacy Framework wackelt. Wer die Datenschutz-Szene beobachtet, hat das in den letzten Wochen mitbekommen: Ein US-Gericht hat die Unabhängigkeit einer zentralen Aufsichtsbehörde infrage gestellt — genau der Behörde, auf deren Unabhängigkeit das gesamte Konstrukt beruht. noyb hat der EU-Kommission bereits einen Brief geschrieben. Eine Klage ist angekündigt.
Muss du jetzt Microsoft 365 abschalten?
Nein.
Muss du gar nichts tun?
Auch nein.
Hier ist, was tatsächlich relevant ist — ohne Panikmache, aber auch ohne das übliche „Wir beobachten die Lage“-Beruhigungsmittel.
Was das Data Privacy Framework überhaupt ist
Das Data Privacy Framework (DPF) ist der aktuelle Rechtsrahmen, über den personenbezogene Daten legal in die USA übertragen werden dürfen. Ohne ihn fehlt die Grundlage für fast jeden US-Cloud-Dienst, den europäische Unternehmen nutzen: Microsoft 365, Google Workspace, Salesforce, Zoom, Slack, HubSpot — alle laufen über diesen Rahmen.
Das DPF ist der dritte Versuch der EU-Kommission, dieses Problem zu lösen. Dem ersten (Safe Harbor, 2000) wurde 2015 die Grundlage entzogen. Der zweiten Version (Privacy Shield, 2016) erging es 2020 genauso. Das DPF läuft seit 2023.
Das Muster ist bekannt. Die strukturelle Schwäche ist dieselbe.
Wann kippt es — und was passiert dann?
Eine realistische Einschätzung: Ein EuGH-Verfahren dauert drei bis fünf Jahre. Schrems I: Klage 2013, Urteil 2015. Schrems II: Klage 2013, Urteil 2020. Der DPF steht also wahrscheinlich noch bis 2027 bis 2029.
Das ist die Puffer-Zeit.
Was danach passiert, ist fast sicher: Die EU-Kommission baut ein neues Konstrukt. Zu viele Behörden, zu viele Unternehmen, zu viel kritische Infrastruktur hängt an US-Cloud-Diensten. Eine politische Entscheidung, alle Transfers über Nacht zu stoppen, ist unrealistisch. Das war nach Schrems I so, nach Schrems II so — und wird nach einem möglichen Schrems III nicht anders sein.
Das bedeutet nicht, dass es kein Risiko gibt. Es bedeutet, dass du Zeit hast, den Kopf frei zu behalten.
Was du jetzt konkret tun solltest
Schritt 1: Inventar machen
Welche deiner Daten liegen bei US-Diensten — und welche davon sind wirklich schutzbedürftig? Personaldaten, Kundendaten, Gesundheitsdaten stehen oben. Interne Projekt-Notizen oder Kalendereinträge stehen weiter unten.
Aus meiner Praxis im norddeutschen Mittelstand: Die meisten KMU wissen nicht, wie viele US-Dienste sie tatsächlich nutzen. Die Antwort ist fast immer höher als erwartet — weil Subauftragnehmer der Hauptanbieter mitgezählt werden müssen.
Schritt 2: Auftragsverarbeitungsverträge prüfen
Viele AVVs, die nach dem DPF-Start 2023 abgeschlossen wurden, stützen sich auf das DPF als Übertragungsgrundlage — nicht auf Standardvertragsklauseln (SCCs). Wenn das DPF fällt, braucht der AVV eine neue Grundlage. Jetzt inventarisieren kostet wenig. Im Krisenmoment kostet es viel.
Schritt 3: Abhängigkeiten kennen — nicht sofort auflösen
Kein Aufruf zum Überstürzen. Aber: Wer nicht weiß, wo er abhängig ist, kann nicht entscheiden. Das ist kein Datenschutzthema. Das ist Betriebshygiene.
Typischer Fehler in KMU: Man denkt, Microsoft 365 mit europäischen Rechenzentren sei das Problem. Das stimmt nur teilweise. Der physische Serverstandort ist eine Frage. Der Zugriff aus den USA — durch US-Recht erzwingbar — ist eine andere. Diese beiden Fragen sind nicht dasselbe.
Schritt 4: EU-Alternativen kennen, ohne sofort zu wechseln
Nextcloud, Infomaniak, Hetzner, IONOS — europäische Anbieter, die keine US-Konzernmutter haben. Nicht als sofortiger Wechsel, sondern als Backup-Wissen. Wer diese Dienste kennt, kann im Ernstfall schneller handeln.
Was sicher bleibt — auch wenn das DPF fällt
Hier ist ein Punkt, der in der Diskussion fast immer untergeht:
Microsoft Office als lokal installierte Software überträgt keine personenbezogenen Daten — sofern du die entsprechenden Datenschutzeinstellungen aktiviert hast und keine Cloud-Synchronisation nutzt. Word, Excel, Microsoft Access: alle lokal, alle ohne DPF-Abhängigkeit.
Das heißt konkret: Wer seine Kundendaten in einer Access-Datenbank verwaltet, die lokal auf einem Server im eigenen Haus läuft, hat dieses Problem schlicht nicht. Der DPF-Wegfall trifft die Cloud, nicht die eigene Infrastruktur.
Das gilt genauso für lokale KI. Wer sprachliche KI-Assistenz nutzen will, ohne Daten in US-Rechenzentren zu schicken, hat heute eine praktikable Option: lokale Sprachmodelle, die auf einem eigenen Rechner laufen — Tools wie LM Studio oder Ollama machen das auch ohne Spezialwissen handhabbar. Die Daten verlassen das Haus nicht.
Das ist kein Aufruf, auf Cloud zu verzichten. Es ist ein Hinweis, dass „Cloud first“ als generelle Strategie Abhängigkeiten produziert, die nicht immer sichtbar sind — und manchmal auch nicht notwendig sind.
Was „Datensouveränität“ in der Praxis bedeutet
Datensouveränität ist kein Datenschutz-Buzzword. Es ist eine betriebswirtschaftliche Frage: Wo liegen deine Daten, wer kann im Ernstfall darauf zugreifen, und wie abhängig ist dein Geschäft von Entscheidungen, die ohne dein Zutun fallen?
Aus meiner Praxis: KMU, die ihre Kerndaten in eigener Infrastruktur halten — SQL Server im eigenen Haus, Access-Datenbank auf dem eigenen Server — sind von dieser Diskussion weniger betroffen als Unternehmen, die alles in die US-Cloud migriert haben. Nicht weil On-Premise grundsätzlich besser ist. Sondern weil die Abhängigkeit überschaubar bleibt.
Das ist auch der Grund, warum ich bei Projekten immer frage: Muss das in der Cloud sein — oder soll es da rein, weil „Cloud“ gerade Standard klingt?
Fazit: Was du heute tun kannst
- Inventar: Welche Daten liegen wo?
- AVVs: Auf DPF oder SCCs gestützt?
- Abhängigkeiten kennen — nicht in Panik auflösen
- EU-Alternativen testen, während kein Druck da ist
- „Cloud first“ hinterfragen — nicht als Ideologie, sondern als Risikobewertung
Das DPF gilt heute noch. Aber abwarten und hoffen ist keine Strategie. Inventarisieren schon.
Über den Autor
Sönke Schäfer berät seit über 25 Jahren norddeutsche KMU in Fragen der Datenarchitektur — mit Schwerpunkt auf Microsoft Access, SQL Server und der pragmatischen Weiterentwicklung gewachsener IT-Strukturen. Sein Ansatz: Struktur vor KI, Kontrolle vor Komfort. Er ist erreichbar über sesoft.de/datenschaefer-soenke-schaefer/.
Quellen
- noyb.eu, Brief an EU-Kommission zum DPF, Juni/Juli 2026: https://noyb.eu
- EuGH, Urteil Schrems I (C-362/14), 6. Oktober 2015
- EuGH, Urteil Schrems II (C-311/18), 16. Juli 2020
- EU-Kommission, Angemessenheitsbeschluss DPF, Juli 2023

