Nexvyra

EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795) – Datenübermittlung in die USA nach DSGVO

EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795) – Datenübermittlung in die USA nach DSGVO

Kurzantwort

Das EU-US Data Privacy Framework (DPF) ist die Rechtsgrundlage, mit der personenbezogene Daten seit dem 10.07.2023 ohne zusätzliche Garantien in die USA übermittelt werden dürfen – aber nur an dort zertifizierte Organisationen. Grundlage ist der Angemessenheitsbeschluss der EU-Kommission (Durchführungsbeschluss (EU) 2023/1795) nach Art. 45 DSGVO: Die Kommission stellt fest, dass die USA für zertifizierte Unternehmen ein „im Wesentlichen gleichwertiges" Schutzniveau bieten. US-Unternehmen treten dem DPF durch Selbstzertifizierung beim US-Handelsministerium (Department of Commerce) bei und verpflichten sich, die DPF-Prinzipien einzuhalten. Für Übermittlungen an nicht zertifizierte US-Empfänger bleiben Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) plus Transfer Impact Assessment (TIA) nötig. Wer ohne gültige Grundlage in die USA übermittelt, riskiert Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. c DSGVO).

> Achtung – Stabilität in Bewegung (Stand 2026): Das DPF steht unter politischem und rechtlichem Druck. Der Privacy and Civil Liberties Oversight Board (PCLOB) verlor im Januar 2025 durch Entlassungen sein Quorum; das US-Urteil Trump v. Slaughter (29.06.2026) stellt die Unabhängigkeit von Aufsichtsgremien erneut in Frage. Das Gericht der EU hat den Beschluss zwar am 03.09.2025 bestätigt (Rs. T-553/23, Latombe), ein Rechtsmittel zum EuGH und eine Aussetzung durch die Kommission sind aber weiter möglich. Unternehmen sollten das DPF nicht als einzige Absicherung nutzen – siehe „Häufige Fehler".

Kernfakten

PunktWert
Rechtsgrundlage EUDurchführungsbeschluss (EU) 2023/1795 vom 10.07.2023 (Angemessenheitsbeschluss nach Art. 45 DSGVO)
Wirksam / anwendbar seit10.07.2023 (Tag der Bekanntgabe an die Mitgliedstaaten)
VorgängerEU-US Privacy Shield (2016) – vom EuGH in „Schrems II" (Rs. C-311/18, 16.07.2020) für ungültig erklärt
Voraussetzung für freie ÜbermittlungUS-Empfänger ist auf der Data Privacy Framework List des US-Handelsministeriums geführt
Beitritt der US-Firmafreiwillige Selbstzertifizierung bei der International Trade Administration (ITA) des Department of Commerce; jährliche Rezertifizierung
US-Rechtsgrundlage GeheimdienstschrankenExecutive Order 14086 vom 07.10.2022 („Enhancing Safeguards for US Signals Intelligence Activities")
Rechtsschutz Stufe 1Civil Liberties Protection Officer (CLPO) des ODNI
Rechtsschutz Stufe 2Data Protection Review Court (DPRC) – unabhängige Beschwerdeinstanz, bindende Entscheidungen
Für nicht zertifizierte Empfänger nötigStandardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) + Transfer Impact Assessment
Gerichtliche BestätigungEuG, Urteil vom 03.09.2025, Rs. T-553/23 (Latombe/Kommission) – Klage abgewiesen, Beschluss bestätigt
Überprüfungregelmäßige Überprüfung durch die EU-Kommission; erste Überprüfung 2024 abgeschlossen, danach in mehrjährigem Turnus
Sanktion bei rechtswidrigem Drittlandstransferbis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. c DSGVO)
Räumlicher BezugEU/EWR → USA; separate Regelungen: UK Extension („Data Bridge") und Swiss-US DPF

Geltungsbereich

Der Angemessenheitsbeschluss gilt für die Übermittlung personenbezogener Daten aus der EU/dem EWR an Organisationen in den USA, die auf der Data Privacy Framework List stehen. Er betrifft jeden Verantwortlichen und Auftragsverarbeiter in der EU, der Daten an US-Dienstleister gibt – also praktisch jedes Unternehmen, das US-Cloud-, SaaS-, Analyse-, Marketing- oder Support-Dienste nutzt (z. B. US-Hosting, US-Newsletter-Tools, US-Videokonferenz, US-Tracking).

Da es sich um einen Angemessenheitsbeschluss nach Art. 45 DSGVO handelt, ist die Übermittlung an zertifizierte Empfänger ohne zusätzliche Garantien (SCC, BCR) und ohne Genehmigung der Aufsichtsbehörde zulässig – so, als läge der Empfänger in einem EU-Mitgliedstaat. Die übrigen DSGVO-Pflichten (Rechtsgrundlage nach Art. 6, Informationspflichten nach Art. 13/14, Betroffenenrechte) bleiben unberührt.

So funktioniert das DPF

Nach dem Schrems-II-Urteil des EuGH (Rs. C-311/18 vom 16.07.2020) war der Vorgänger „Privacy Shield" ungültig, weil die USA weder verhältnismäßige Schranken für den Zugriff der Geheimdienste noch einen wirksamen Rechtsbehelf für EU-Bürger boten. Diese beiden Defizite adressiert die Executive Order 14086 vom 07.10.2022:

US-Unternehmen selbstzertifizieren sich beim Department of Commerce und verpflichten sich damit rechtsverbindlich auf die DPF-Prinzipien (u. a. Zweckbindung, Datenminimierung, Auskunfts- und Widerspruchsrechte, Weitergabebeschränkungen). Die Federal Trade Commission (FTC) und das Department of Transportation überwachen die Einhaltung.

Was gilt für nicht zertifizierte Empfänger?

Steht der US-Empfänger nicht auf der DPF-Liste (oder ist die betroffene Datenkategorie von seiner Zertifizierung nicht erfasst), greift der Angemessenheitsbeschluss nicht. Dann ist die Übermittlung nur über die Garantien nach Art. 46 DSGVO zulässig – in der Praxis über die Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914). Zusätzlich verlangt der EuGH (Schrems II) ein Transfer Impact Assessment (TIA): eine dokumentierte Einzelfallprüfung, ob im Empfängerland trotz SCC ein gleichwertiges Schutzniveau erreicht wird, ggf. ergänzt um technische und organisatorische Zusatzmaßnahmen (z. B. Verschlüsselung).

Wichtig: Die Verbesserungen der Executive Order 14086 (Verhältnismäßigkeit, DPRC) wirken auch außerhalb des DPF – das EDPB erkennt an, dass sie in ein TIA für SCC-gestützte Transfers einfließen können.

Aktuelle Entwicklungen und Risiken (2025–2026)

Das DPF ist in Kraft, seine Dauerhaftigkeit aber nicht gesichert:

Ein „Schrems III"-Verfahren gegen das DPF gilt als wahrscheinlich. Fällt der Angemessenheitsbeschluss weg, müssen Unternehmen kurzfristig auf SCC + TIA umstellen.

Häufige Fehler

Quellen

Änderungsverlauf

Stand