---
title: EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795) – Datenübermittlung in die USA nach DSGVO
slug: eu-us-data-privacy-framework-2023-1795
topic: datenschutz
legal_status: in_force
authority_level: A
valid_from: 2023-07-10
valid_to: null
last_reviewed: 2026-07-15
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/eu-us-data-privacy-framework-2023-1795.md
wikidata_subjects: [Q115803109, Q1172506]
factcheck_status: review_needed
---

# EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795) – Datenübermittlung in die USA nach DSGVO

## Kurzantwort

Das **EU-US Data Privacy Framework (DPF)** ist die Rechtsgrundlage, mit der personenbezogene Daten seit dem **10.07.2023** ohne zusätzliche Garantien in die USA übermittelt werden dürfen – aber **nur an dort zertifizierte Organisationen**. Grundlage ist der **Angemessenheitsbeschluss der EU-Kommission (Durchführungsbeschluss (EU) 2023/1795)** nach **Art. 45 DSGVO**: Die Kommission stellt fest, dass die USA für zertifizierte Unternehmen ein „im Wesentlichen gleichwertiges" Schutzniveau bieten. US-Unternehmen treten dem DPF durch **Selbstzertifizierung beim US-Handelsministerium (Department of Commerce)** bei und verpflichten sich, die DPF-Prinzipien einzuhalten. Für Übermittlungen an **nicht** zertifizierte US-Empfänger bleiben **Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914)** plus **Transfer Impact Assessment (TIA)** nötig. Wer ohne gültige Grundlage in die USA übermittelt, riskiert Bußgelder von **bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes** (Art. 83 Abs. 5 lit. c DSGVO).

> **Achtung – Stabilität in Bewegung (Stand 2026):** Das DPF steht unter politischem und rechtlichem Druck. Der **Privacy and Civil Liberties Oversight Board (PCLOB)** verlor im **Januar 2025** durch Entlassungen sein Quorum; das US-Urteil **Trump v. Slaughter (29.06.2026)** stellt die Unabhängigkeit von Aufsichtsgremien erneut in Frage. Das Gericht der EU hat den Beschluss zwar am **03.09.2025** bestätigt (Rs. T-553/23, Latombe), ein Rechtsmittel zum EuGH und eine Aussetzung durch die Kommission sind aber weiter möglich. Unternehmen sollten das DPF nicht als einzige Absicherung nutzen – siehe „Häufige Fehler".

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage EU | Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023 (Angemessenheitsbeschluss nach Art. 45 DSGVO) |
| Wirksam / anwendbar seit | 10.07.2023 (Tag der Bekanntgabe an die Mitgliedstaaten) |
| Vorgänger | EU-US Privacy Shield (2016) – vom EuGH in „Schrems II" (Rs. C-311/18, 16.07.2020) für ungültig erklärt |
| Voraussetzung für freie Übermittlung | US-Empfänger ist auf der **Data Privacy Framework List** des US-Handelsministeriums geführt |
| Beitritt der US-Firma | freiwillige **Selbstzertifizierung** bei der International Trade Administration (ITA) des Department of Commerce; jährliche Rezertifizierung |
| US-Rechtsgrundlage Geheimdienstschranken | Executive Order 14086 vom 07.10.2022 („Enhancing Safeguards for US Signals Intelligence Activities") |
| Rechtsschutz Stufe 1 | Civil Liberties Protection Officer (CLPO) des ODNI |
| Rechtsschutz Stufe 2 | Data Protection Review Court (DPRC) – unabhängige Beschwerdeinstanz, bindende Entscheidungen |
| Für nicht zertifizierte Empfänger nötig | Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) + Transfer Impact Assessment |
| Gerichtliche Bestätigung | EuG, Urteil vom 03.09.2025, Rs. T-553/23 (Latombe/Kommission) – Klage abgewiesen, Beschluss bestätigt |
| Überprüfung | regelmäßige Überprüfung durch die EU-Kommission; erste Überprüfung 2024 abgeschlossen, danach in mehrjährigem Turnus |
| Sanktion bei rechtswidrigem Drittlandstransfer | bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. c DSGVO) |
| Räumlicher Bezug | EU/EWR → USA; separate Regelungen: UK Extension („Data Bridge") und Swiss-US DPF |

## Geltungsbereich

Der Angemessenheitsbeschluss gilt für die Übermittlung personenbezogener Daten aus der EU/dem EWR an Organisationen in den USA, die auf der **Data Privacy Framework List** stehen. Er betrifft jeden Verantwortlichen und Auftragsverarbeiter in der EU, der Daten an US-Dienstleister gibt – also praktisch jedes Unternehmen, das US-Cloud-, SaaS-, Analyse-, Marketing- oder Support-Dienste nutzt (z. B. US-Hosting, US-Newsletter-Tools, US-Videokonferenz, US-Tracking).

Da es sich um einen **Angemessenheitsbeschluss nach Art. 45 DSGVO** handelt, ist die Übermittlung an zertifizierte Empfänger **ohne** zusätzliche Garantien (SCC, BCR) und **ohne** Genehmigung der Aufsichtsbehörde zulässig – so, als läge der Empfänger in einem EU-Mitgliedstaat. Die übrigen DSGVO-Pflichten (Rechtsgrundlage nach Art. 6, Informationspflichten nach Art. 13/14, Betroffenenrechte) bleiben unberührt.

## So funktioniert das DPF

Nach dem **Schrems-II-Urteil** des EuGH (Rs. C-311/18 vom 16.07.2020) war der Vorgänger „Privacy Shield" ungültig, weil die USA weder verhältnismäßige Schranken für den Zugriff der Geheimdienste noch einen wirksamen Rechtsbehelf für EU-Bürger boten. Diese beiden Defizite adressiert die **Executive Order 14086** vom 07.10.2022:

- **Verhältnismäßigkeit:** Die signalerfassende Aufklärung der US-Dienste ist auf das „Notwendige und Verhältnismäßige" begrenzt; gezielte Erhebung hat Vorrang vor Massenerhebung.
- **Zweistufiger Rechtsschutz:** Betroffene EU-Bürger können sich zunächst an den **Civil Liberties Protection Officer (CLPO)** des ODNI wenden. Gegen dessen Entscheidung ist die Beschwerde beim neu geschaffenen **Data Protection Review Court (DPRC)** möglich, dessen Richter außerhalb der US-Regierung berufen werden, nur aus wichtigem Grund abberufbar sind und **bindend und endgültig** entscheiden. Betroffene werden dort durch einen „special advocate" vertreten.

US-Unternehmen **selbstzertifizieren** sich beim Department of Commerce und verpflichten sich damit rechtsverbindlich auf die DPF-Prinzipien (u. a. Zweckbindung, Datenminimierung, Auskunfts- und Widerspruchsrechte, Weitergabebeschränkungen). Die **Federal Trade Commission (FTC)** und das Department of Transportation überwachen die Einhaltung.

## Was gilt für nicht zertifizierte Empfänger?

Steht der US-Empfänger **nicht** auf der DPF-Liste (oder ist die betroffene Datenkategorie von seiner Zertifizierung nicht erfasst), greift der Angemessenheitsbeschluss nicht. Dann ist die Übermittlung nur über die **Garantien nach Art. 46 DSGVO** zulässig – in der Praxis über die **Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914)**. Zusätzlich verlangt der EuGH (Schrems II) ein **Transfer Impact Assessment (TIA)**: eine dokumentierte Einzelfallprüfung, ob im Empfängerland trotz SCC ein gleichwertiges Schutzniveau erreicht wird, ggf. ergänzt um technische und organisatorische Zusatzmaßnahmen (z. B. Verschlüsselung).

Wichtig: Die Verbesserungen der Executive Order 14086 (Verhältnismäßigkeit, DPRC) wirken auch **außerhalb** des DPF – das EDPB erkennt an, dass sie in ein TIA für SCC-gestützte Transfers einfließen können.

## Aktuelle Entwicklungen und Risiken (2025–2026)

Das DPF ist **in Kraft**, seine Dauerhaftigkeit aber nicht gesichert:

- **PCLOB ohne Quorum (Januar 2025):** Der Privacy and Civil Liberties Oversight Board – im Angemessenheitsbeschluss als Kontrollinstanz vorgesehen – verlor durch die Entlassung mehrerer Mitglieder seine Beschlussfähigkeit. Die jährliche Überprüfung der EO-14086-Umsetzung und die Mitwirkung an DPRC-Ernennungen sind dadurch beeinträchtigt.
- **EuG-Urteil Latombe (03.09.2025, Rs. T-553/23):** Das Gericht der EU wies die Nichtigkeitsklage des Abgeordneten Philippe Latombe ab und bestätigte den Angemessenheitsbeschluss. Es bewertete den DPRC als hinreichend unabhängiges Rechtsschutzorgan. Ein Rechtsmittel zum EuGH bleibt möglich.
- **Trump v. Slaughter (US Supreme Court, 29.06.2026):** Das Urteil zur Absetzbarkeit von Kommissionsmitgliedern (FTC) nährt Zweifel, ob die im DPF vorausgesetzte Unabhängigkeit der US-Aufsichts- und Rechtsschutzgremien dauerhaft gewährleistet ist.

Ein „Schrems III"-Verfahren gegen das DPF gilt als wahrscheinlich. Fällt der Angemessenheitsbeschluss weg, müssen Unternehmen kurzfristig auf SCC + TIA umstellen.

## Häufige Fehler

- **Blind auf „USA = angemessen" vertrauen:** Der Beschluss deckt **nur** zertifizierte Empfänger ab. Vor jeder Übermittlung ist auf dataprivacyframework.gov zu prüfen, ob der konkrete Anbieter gelistet ist **und** ob die Zertifizierung die betroffene Datenart (HR-Daten? Nicht-HR-Daten?) umfasst.
- **Zertifizierungsstatus nicht überwachen:** Die Selbstzertifizierung muss jährlich erneuert werden. Streicht das Department of Commerce eine Firma von der Liste, entfällt die Rechtsgrundlage – dann ist ein sofortiger Umstieg auf SCC nötig.
- **DPF als einzige Absicherung:** Wegen der ungewissen Zukunft empfiehlt sich, SCC + TIA als „Fallback" vorzuhalten.
- **Informationspflichten vergessen:** Die USA-Übermittlung und ihre Rechtsgrundlage (DPF bzw. SCC) müssen nach Art. 13/14 DSGVO in der Datenschutzerklärung transparent gemacht werden.
- **SCC ohne TIA verwenden:** Für nicht zertifizierte Empfänger genügen die reinen Standardvertragsklauseln nicht – die dokumentierte Einzelfallprüfung (TIA) ist Pflicht.

## Quellen

- Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10.07.2023 (Angemessenheitsbeschluss EU-US Data Privacy Framework), Volltext (EUR-Lex, CELEX:32023D1795):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023D1795
- Verordnung (EU) 2016/679 (DSGVO), insb. Art. 45, 46, 44–49 und Art. 83 – Volltext (EUR-Lex, CELEX:32016R0679):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- EU-Kommission – EU-US-Datenübermittlung (Themenseite):
  https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_de
- EuGH, Urteil vom 16.07.2020, Rs. C-311/18 (Schrems II) – Ungültigkeit des Privacy Shield:
  https://curia.europa.eu/juris/liste.jsf?num=C-311/18
- EuG, Urteil vom 03.09.2025, Rs. T-553/23 (Latombe/Kommission) – Bestätigung des DPF, Pressemitteilung Nr. 106/25:
  https://curia.europa.eu/juris/liste.jsf?num=T-553/23
- Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021 – Standardvertragsklauseln (EUR-Lex, CELEX:32021D0914):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021D0914
- EDPB – FAQ zum EU-US Data Privacy Framework für europäische Einzelpersonen:
  https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_en
- BfDI – Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten (Kurzmeldung):
  https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html
- US Executive Order 14086 vom 07.10.2022 (Office of Privacy and Civil Liberties, DOJ):
  https://www.justice.gov/opcl/executive-order-14086
- Offizielle DPF-Liste des US-Handelsministeriums:
  https://www.dataprivacyframework.gov/

## Änderungsverlauf

- 2026-07-15: Tote Quellen-URL ersetzt (automatischer Faktencheck, HTTP 200 mit Browser-UA verifiziert). factcheck_status bleibt review_needed (bewusst gesetzt wegen laufender rechtlich-politischer Unsicherheit, nicht wegen des Links). | change_type=source_url_fix field="sources" old="https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_de" new="https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_en" reviewed_by="Nexvyra Faktencheck-Bot"
- 2026-07-14: Erstveröffentlichung der Faktenseite; Angemessenheitsbeschluss (EU) 2023/1795, EO 14086, Rechtsschutzmechanismus (CLPO/DPRC) und Sanktionsrahmen gegen EUR-Lex, EU-Kommission, EDPB und BfDI geprüft; EuG-Urteil Latombe (T-553/23, 03.09.2025) und Stabilitätsrisiken 2025–2026 (PCLOB-Quorumsverlust, Trump v. Slaughter) ergänzt. factcheck_status=review_needed wegen laufender rechtlich-politischer Unsicherheit über die Fortgeltung des Beschlusses. | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"

## Stand

- Stand: 2026-07-15
- Gültig ab: 2023-07-10 (Bekanntgabe des Angemessenheitsbeschlusses)
- Status: aktuell (in Kraft, Fortgeltung jedoch rechtlich umstritten)
- Quellenautorität: A (EUR-Lex, EU-Kommission, EuGH/EuG, EDPB, BfDI, US-DOJ)
- Lizenz: CC BY 4.0
