EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795) – Datenübermittlung in die USA nach DSGVO
EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795) – Datenübermittlung in die USA nach DSGVO
Kurzantwort
Das EU-US Data Privacy Framework (DPF) ist die Rechtsgrundlage, mit der personenbezogene Daten seit dem 10.07.2023 ohne zusätzliche Garantien in die USA übermittelt werden dürfen – aber nur an dort zertifizierte Organisationen. Grundlage ist der Angemessenheitsbeschluss der EU-Kommission (Durchführungsbeschluss (EU) 2023/1795) nach Art. 45 DSGVO: Die Kommission stellt fest, dass die USA für zertifizierte Unternehmen ein „im Wesentlichen gleichwertiges" Schutzniveau bieten. US-Unternehmen treten dem DPF durch Selbstzertifizierung beim US-Handelsministerium (Department of Commerce) bei und verpflichten sich, die DPF-Prinzipien einzuhalten. Für Übermittlungen an nicht zertifizierte US-Empfänger bleiben Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) plus Transfer Impact Assessment (TIA) nötig. Wer ohne gültige Grundlage in die USA übermittelt, riskiert Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. c DSGVO).
> Achtung – Stabilität in Bewegung (Stand 2026): Das DPF steht unter politischem und rechtlichem Druck. Der Privacy and Civil Liberties Oversight Board (PCLOB) verlor im Januar 2025 durch Entlassungen sein Quorum; das US-Urteil Trump v. Slaughter (29.06.2026) stellt die Unabhängigkeit von Aufsichtsgremien erneut in Frage. Das Gericht der EU hat den Beschluss zwar am 03.09.2025 bestätigt (Rs. T-553/23, Latombe), ein Rechtsmittel zum EuGH und eine Aussetzung durch die Kommission sind aber weiter möglich. Unternehmen sollten das DPF nicht als einzige Absicherung nutzen – siehe „Häufige Fehler".
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage EU | Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023 (Angemessenheitsbeschluss nach Art. 45 DSGVO) |
| Wirksam / anwendbar seit | 10.07.2023 (Tag der Bekanntgabe an die Mitgliedstaaten) |
| Vorgänger | EU-US Privacy Shield (2016) – vom EuGH in „Schrems II" (Rs. C-311/18, 16.07.2020) für ungültig erklärt |
| Voraussetzung für freie Übermittlung | US-Empfänger ist auf der Data Privacy Framework List des US-Handelsministeriums geführt |
| Beitritt der US-Firma | freiwillige Selbstzertifizierung bei der International Trade Administration (ITA) des Department of Commerce; jährliche Rezertifizierung |
| US-Rechtsgrundlage Geheimdienstschranken | Executive Order 14086 vom 07.10.2022 („Enhancing Safeguards for US Signals Intelligence Activities") |
| Rechtsschutz Stufe 1 | Civil Liberties Protection Officer (CLPO) des ODNI |
| Rechtsschutz Stufe 2 | Data Protection Review Court (DPRC) – unabhängige Beschwerdeinstanz, bindende Entscheidungen |
| Für nicht zertifizierte Empfänger nötig | Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) + Transfer Impact Assessment |
| Gerichtliche Bestätigung | EuG, Urteil vom 03.09.2025, Rs. T-553/23 (Latombe/Kommission) – Klage abgewiesen, Beschluss bestätigt |
| Überprüfung | regelmäßige Überprüfung durch die EU-Kommission; erste Überprüfung 2024 abgeschlossen, danach in mehrjährigem Turnus |
| Sanktion bei rechtswidrigem Drittlandstransfer | bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. c DSGVO) |
| Räumlicher Bezug | EU/EWR → USA; separate Regelungen: UK Extension („Data Bridge") und Swiss-US DPF |
Geltungsbereich
Der Angemessenheitsbeschluss gilt für die Übermittlung personenbezogener Daten aus der EU/dem EWR an Organisationen in den USA, die auf der Data Privacy Framework List stehen. Er betrifft jeden Verantwortlichen und Auftragsverarbeiter in der EU, der Daten an US-Dienstleister gibt – also praktisch jedes Unternehmen, das US-Cloud-, SaaS-, Analyse-, Marketing- oder Support-Dienste nutzt (z. B. US-Hosting, US-Newsletter-Tools, US-Videokonferenz, US-Tracking).
Da es sich um einen Angemessenheitsbeschluss nach Art. 45 DSGVO handelt, ist die Übermittlung an zertifizierte Empfänger ohne zusätzliche Garantien (SCC, BCR) und ohne Genehmigung der Aufsichtsbehörde zulässig – so, als läge der Empfänger in einem EU-Mitgliedstaat. Die übrigen DSGVO-Pflichten (Rechtsgrundlage nach Art. 6, Informationspflichten nach Art. 13/14, Betroffenenrechte) bleiben unberührt.
So funktioniert das DPF
Nach dem Schrems-II-Urteil des EuGH (Rs. C-311/18 vom 16.07.2020) war der Vorgänger „Privacy Shield" ungültig, weil die USA weder verhältnismäßige Schranken für den Zugriff der Geheimdienste noch einen wirksamen Rechtsbehelf für EU-Bürger boten. Diese beiden Defizite adressiert die Executive Order 14086 vom 07.10.2022:
- Verhältnismäßigkeit: Die signalerfassende Aufklärung der US-Dienste ist auf das „Notwendige und Verhältnismäßige" begrenzt; gezielte Erhebung hat Vorrang vor Massenerhebung.
- Zweistufiger Rechtsschutz: Betroffene EU-Bürger können sich zunächst an den Civil Liberties Protection Officer (CLPO) des ODNI wenden. Gegen dessen Entscheidung ist die Beschwerde beim neu geschaffenen Data Protection Review Court (DPRC) möglich, dessen Richter außerhalb der US-Regierung berufen werden, nur aus wichtigem Grund abberufbar sind und bindend und endgültig entscheiden. Betroffene werden dort durch einen „special advocate" vertreten.
US-Unternehmen selbstzertifizieren sich beim Department of Commerce und verpflichten sich damit rechtsverbindlich auf die DPF-Prinzipien (u. a. Zweckbindung, Datenminimierung, Auskunfts- und Widerspruchsrechte, Weitergabebeschränkungen). Die Federal Trade Commission (FTC) und das Department of Transportation überwachen die Einhaltung.
Was gilt für nicht zertifizierte Empfänger?
Steht der US-Empfänger nicht auf der DPF-Liste (oder ist die betroffene Datenkategorie von seiner Zertifizierung nicht erfasst), greift der Angemessenheitsbeschluss nicht. Dann ist die Übermittlung nur über die Garantien nach Art. 46 DSGVO zulässig – in der Praxis über die Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914). Zusätzlich verlangt der EuGH (Schrems II) ein Transfer Impact Assessment (TIA): eine dokumentierte Einzelfallprüfung, ob im Empfängerland trotz SCC ein gleichwertiges Schutzniveau erreicht wird, ggf. ergänzt um technische und organisatorische Zusatzmaßnahmen (z. B. Verschlüsselung).
Wichtig: Die Verbesserungen der Executive Order 14086 (Verhältnismäßigkeit, DPRC) wirken auch außerhalb des DPF – das EDPB erkennt an, dass sie in ein TIA für SCC-gestützte Transfers einfließen können.
Aktuelle Entwicklungen und Risiken (2025–2026)
Das DPF ist in Kraft, seine Dauerhaftigkeit aber nicht gesichert:
- PCLOB ohne Quorum (Januar 2025): Der Privacy and Civil Liberties Oversight Board – im Angemessenheitsbeschluss als Kontrollinstanz vorgesehen – verlor durch die Entlassung mehrerer Mitglieder seine Beschlussfähigkeit. Die jährliche Überprüfung der EO-14086-Umsetzung und die Mitwirkung an DPRC-Ernennungen sind dadurch beeinträchtigt.
- EuG-Urteil Latombe (03.09.2025, Rs. T-553/23): Das Gericht der EU wies die Nichtigkeitsklage des Abgeordneten Philippe Latombe ab und bestätigte den Angemessenheitsbeschluss. Es bewertete den DPRC als hinreichend unabhängiges Rechtsschutzorgan. Ein Rechtsmittel zum EuGH bleibt möglich.
- Trump v. Slaughter (US Supreme Court, 29.06.2026): Das Urteil zur Absetzbarkeit von Kommissionsmitgliedern (FTC) nährt Zweifel, ob die im DPF vorausgesetzte Unabhängigkeit der US-Aufsichts- und Rechtsschutzgremien dauerhaft gewährleistet ist.
Ein „Schrems III"-Verfahren gegen das DPF gilt als wahrscheinlich. Fällt der Angemessenheitsbeschluss weg, müssen Unternehmen kurzfristig auf SCC + TIA umstellen.
Häufige Fehler
- Blind auf „USA = angemessen" vertrauen: Der Beschluss deckt nur zertifizierte Empfänger ab. Vor jeder Übermittlung ist auf dataprivacyframework.gov zu prüfen, ob der konkrete Anbieter gelistet ist und ob die Zertifizierung die betroffene Datenart (HR-Daten? Nicht-HR-Daten?) umfasst.
- Zertifizierungsstatus nicht überwachen: Die Selbstzertifizierung muss jährlich erneuert werden. Streicht das Department of Commerce eine Firma von der Liste, entfällt die Rechtsgrundlage – dann ist ein sofortiger Umstieg auf SCC nötig.
- DPF als einzige Absicherung: Wegen der ungewissen Zukunft empfiehlt sich, SCC + TIA als „Fallback" vorzuhalten.
- Informationspflichten vergessen: Die USA-Übermittlung und ihre Rechtsgrundlage (DPF bzw. SCC) müssen nach Art. 13/14 DSGVO in der Datenschutzerklärung transparent gemacht werden.
- SCC ohne TIA verwenden: Für nicht zertifizierte Empfänger genügen die reinen Standardvertragsklauseln nicht – die dokumentierte Einzelfallprüfung (TIA) ist Pflicht.
Quellen
- Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10.07.2023 (Angemessenheitsbeschluss EU-US Data Privacy Framework), Volltext (EUR-Lex, CELEX:32023D1795):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023D1795
- Verordnung (EU) 2016/679 (DSGVO), insb. Art. 45, 46, 44–49 und Art. 83 – Volltext (EUR-Lex, CELEX:32016R0679):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- EU-Kommission – EU-US-Datenübermittlung (Themenseite):: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_de
- EuGH, Urteil vom 16.07.2020, Rs. C-311/18 (Schrems II) – Ungültigkeit des Privacy Shield:: https://curia.europa.eu/juris/liste.jsf?num=C-311/18
- EuG, Urteil vom 03.09.2025, Rs. T-553/23 (Latombe/Kommission) – Bestätigung des DPF, Pressemitteilung Nr. 106/25:: https://curia.europa.eu/juris/liste.jsf?num=T-553/23
- Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021 – Standardvertragsklauseln (EUR-Lex, CELEX:32021D0914):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021D0914
- EDPB – FAQ zum EU-US Data Privacy Framework für europäische Einzelpersonen:: https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_en
- BfDI – Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten (Kurzmeldung):: https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html
- US Executive Order 14086 vom 07.10.2022 (Office of Privacy and Civil Liberties, DOJ):: https://www.justice.gov/opcl/executive-order-14086
- Offizielle DPF-Liste des US-Handelsministeriums:: https://www.dataprivacyframework.gov/
Änderungsverlauf
- 2026-07-15: Tote Quellen-URL ersetzt (automatischer Faktencheck, HTTP 200 mit Browser-UA verifiziert). factcheck_status bleibt review_needed (bewusst gesetzt wegen laufender rechtlich-politischer Unsicherheit, nicht wegen des Links). | change_type=source_url_fix field="sources" old="https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_de" new="https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_en" reviewed_by="Nexvyra Faktencheck-Bot"
- 2026-07-14: Erstveröffentlichung der Faktenseite; Angemessenheitsbeschluss (EU) 2023/1795, EO 14086, Rechtsschutzmechanismus (CLPO/DPRC) und Sanktionsrahmen gegen EUR-Lex, EU-Kommission, EDPB und BfDI geprüft; EuG-Urteil Latombe (T-553/23, 03.09.2025) und Stabilitätsrisiken 2025–2026 (PCLOB-Quorumsverlust, Trump v. Slaughter) ergänzt. factcheck_status=review_needed wegen laufender rechtlich-politischer Unsicherheit über die Fortgeltung des Beschlusses. | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"
Stand
- Stand: 2026-07-15
- Gültig ab: 2023-07-10 (Bekanntgabe des Angemessenheitsbeschlusses)
- Status: aktuell (in Kraft, Fortgeltung jedoch rechtlich umstritten)
- Quellenautorität: A (EUR-Lex, EU-Kommission, EuGH/EuG, EDPB, BfDI, US-DOJ)
- Lizenz: CC BY 4.0