Zuletzt aktualisiert am 7. April 2026

Am 10. Juli 2023 wurde das neue EU-U.S. Data Privacy Framework (DPF) als Nachfolger des Privacy Shield verabschiedet. Das DFP stellt damit eine wichtige Entwicklung dar, die den Herausforderungen des transatlantischen Datenschutzes entgegentreten soll.

Erfahren Sie hier alles, was Sie über das neue  EU-U.S. Data Privacy Framework wissen müssen.

Was ist das EU-U.S. Data Privacy Framework (DPF)?

Das DPF schützt personenbezogene Daten bei der Übertragung von der EU aus an US-Organisationen. Der Mechanismus soll sicherstellen, dass dabei europäische Datenschutzstandards eingehalten werden.

Es gab schon früher Vereinbarungen zwischen der EU und den USA wie zum Beispiel Save Harbour oder Privacy Shield. Diese Abkommen wurden jedoch vom Europäischen Gerichtshof (EuGH) gekippt.

Warum braucht es ein solches Abkommen?

Mit der DSGVO gibt es in der EU eine Rechtsgrundlage, die garantiert, dass ein einheitlichen Datenschutzniveau besteht. Dabei regelt sie auch Einschränkungen für den Datentransfer in Länder außerhalb der EU, die ein solches Schutzniveau nicht bieten können. In diese Länder dürfen unter Umständen keine personenbezogenen Daten aus der EU transferiert werden.

Aktuell ist ein globaler Datenaustausch kaum wegzudenken. Dass die Datenschutzstandards in den USA grundsätzlich niedriger sind, als von der DSGVO gefordert, hat diesen Datenaustausch bisher vor große Schwierigkeiten gestellt. Diesen soll das Data Privacy Framework nun begegnen.

Was regelt das DPF?

Das DPF enthält im wesentlichen drei Kernelemente.

Zum einen macht es die Teilnahme am DPF für US-amerikanische Unternehmen notwendig, an einem Selbstzertifizierungsprozess teilzunehmen. Diesen Prozess leitet das US-Handelsministerium. Es überwacht auch, ob die zertifizierten Unternehmen die Regelungen des DFP einhalten. Damit handelt es als Durchsetzungsbehörde.

Des weiteren werden Beschwerdemechanismen eingeführt. So soll die Rechenschaftspflicht gestärkt werden. Hierfür wird ein Data Protection Review Court neu eingerichtet, welches Untersuchungsbefugnisse haben wird und Lösungsvorschläge machen kann, durch die effektive Mittel zur Lösung von Datenschutzbedenken ermöglicht werden.

Zuletzt regelt das DFP die Einführung verbindlicher Sicherheitsvorkehrungen. Damit wird der Zugriff von US-amerikanischen Geheimdiensten auf europäische Daten deutlich beschränkt. Ein Zugriff soll nur noch in einem Maße stattfinden, der für die nationalen Sicherheitszwecke notwendig und angemessen ist. Hier wird deutlich auf die bisherige Kritik des EuGH an den früheren Abkommen eingegangen.

Welche Auswirkungen hat das DPF auf Unternehmen?

Zunächst einmal sorgt das DPF für Unternehmen für mehr Sicherheit. Die Datenübertragung von der EU in die USA war im Datenschutzrecht lange ein rotes Tuch. Nun existieren aber klare Regelungen. Das DPF schreibt eine vertragliche Vereinbarung zwischen den Akteuren vor, die die Einhaltung des Sicherheitsniveaus gewährleistet.

US-amerikanische Unternehmen müssen ihre Berechtigung behördlich bestätigen lassen und vorher zunächst einmal selbst überprüfen.

Zwar wird die Einbeziehung von Standardvertragsklauseln weiterhin empfohlen, ist aber keine Notwendigkeit mehr. Dies erleichtert das Agieren für multinationale Unternehmen enorm.

Trotz des DPF ist von Unternehmen weiterhin kontinuierliches Handeln erforderlich, um den datenschutzrechtlichen Bestimmungen gerecht zu werden. Unternehmen sind weiterhin gefragt, wenn es um die Einrichtung von Mechanismen zur Streitbeilegung und Verfahren zum Beschwerdemanagement geht. Auch müssen sie weiter die Verantwortung für die von ihnen verarbeiteten Daten übernehmen.

Zudem ist damit zu rechnen, dass das DPF sich in einem fortlaufenden Prozess der Anpassung befinden wird, womit Unternehmen dauerhaft umgehen können müssen.

Fazit

Das EU-U.S. Data Privacy Framework ist ein großer Schritt hin zu mehr globalem Datenschutz. Es wagt dabei einen schwierigen Balanceakt zwischen der Regulierung des Schutzes und der Erleichterung der Übertragung.

Das Abkommen ist ein Beispiel für internationale Zusammenarbeit im Bereich Datenschutz, wird aber nicht alle Schwierigkeiten von heute auf morgen beseitigen. Vielmehr ist auch hier mit einem stetigen Prozess zu rechnen, der viele weitere Entwicklungen nach sich ziehen wird.

Das DPF und die Gefahr von „Schrems III“

Trotz der Fortschritte, die das EU-U.S. Data Privacy Framework mit sich bringt, steht es bereits unter erheblichem juristischem Druck. Die Datenschutzorganisation noyb hat angekündigt, den Angemessenheitsbeschluss der EU-Kommission vor dem Europäischen Gerichtshof (EuGH) anzufechten. Ein solches Verfahren wird gemeinhin als „Schrems III“ bezeichnet, in Anlehnung an die früheren Urteile, die Safe Harbor und Privacy Shield zu Fall gebracht haben.

Die Hauptkritikpunkte betreffen den Data Protection Review Court: Dieser sei kein echtes Gericht im europäischen Sinne, da seine Mitglieder vom US-Präsidenten ernannt und abberufen werden können. Zudem könne der US-Präsident die Executive Orders, auf denen die Beschränkungen des Geheimdienstzugriffs basieren, jederzeit ändern oder aufheben, ohne dass die EU darauf Einfluss hätte. Die Beständigkeit des Rahmens hängt somit maßgeblich von der jeweiligen US-Regierung ab.

Wie prüfe ich, ob ein US-Unternehmen DPF-zertifiziert ist?

Das US-Handelsministerium (Department of Commerce) führt eine öffentlich zugängliche Liste aller zertifizierten Unternehmen unter dataprivacyframework.gov. Bevor Sie personenbezogene Daten an ein US-Unternehmen übertragen, sollten Sie prüfen, ob dieses Unternehmen auf der Liste aufgeführt ist und ob die Zertifizierung aktuell und gültig ist.

Achten Sie dabei auf den genauen Geltungsbereich der Zertifizierung. Ein Unternehmen kann sich für bestimmte Datenkategorien zertifizieren lassen, etwa für Mitarbeiterdaten (HR Data) oder Kundendaten (Non-HR Data). Die Zertifizierung muss jährlich erneuert werden. Ein Unternehmen, dessen Zertifizierung abgelaufen ist, bietet keine gültige Grundlage mehr für den Datentransfer.

DPF und Standardvertragsklauseln: Was gilt jetzt?

Mit dem Angemessenheitsbeschluss für das DPF sind Standardvertragsklauseln (Standard Contractual Clauses, SCC) für Datentransfers an DPF-zertifizierte US-Unternehmen nicht mehr zwingend erforderlich. Allerdings empfehlen viele Datenschutzexperten und auch einige Aufsichtsbehörden, bestehende SCC dennoch beizubehalten. Sollte das DPF wie seine Vorgänger vom EuGH gekippt werden, hätten Unternehmen mit bestehenden SCC eine Rückfalloption.

Für Datentransfers an US-Unternehmen, die nicht DPF-zertifiziert sind, bleiben die Standardvertragsklauseln weiterhin das primäre Instrument. In diesen Fällen muss zusätzlich ein Transfer Impact Assessment (TIA) durchgeführt werden, das die Risiken des Datentransfers im Lichte des US-Rechts bewertet. Das DPF ändert hieran nichts.

Praktische Handlungsempfehlungen für Unternehmen

Angesichts der rechtlichen Unsicherheiten rund um das DPF empfehlen wir Unternehmen folgende konkrete Maßnahmen:

• Erstellen Sie eine vollständige Übersicht aller Datenflüsse in die USA und identifizieren Sie die jeweils genutzten US-Dienstleister
• Prüfen Sie für jeden Dienstleister den DPF-Zertifizierungsstatus und dokumentieren Sie das Ergebnis
• Behalten Sie bestehende Standardvertragsklauseln als Rückfalloption bei
• Führen Sie für jeden Datentransfer eine dokumentierte Risikoabwägung durch
• Prüfen Sie europäische Alternativen für besonders sensible Verarbeitungen
• Beobachten Sie die Rechtsprechung des EuGH zum DPF und passen Sie Ihre Maßnahmen zeitnah an
• Dokumentieren Sie alle Maßnahmen im Rahmen Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Eine sorgfältige Dokumentation ist in jedem Fall wichtig. Sollte der Angemessenheitsbeschluss fallen, müssen Unternehmen nachweisen können, dass sie die Situation bewertet und angemessene Vorkehrungen getroffen haben. Ein externer Datenschutzbeauftragter kann Sie bei der Bewertung und Dokumentation der transatlantischen Datenflüsse unterstützen.

Das DPF im Kontext weiterer internationaler Datenschutzabkommen

Das EU-U.S. Data Privacy Framework steht nicht isoliert. Auch andere Länder arbeiten an Abkommen mit der EU, um den Datentransfer zu erleichtern. Großbritannien hat nach dem Brexit einen eigenen Angemessenheitsbeschluss erhalten. Die Schweiz hat ihr Datenschutzgesetz modernisiert, um die Angemessenheit zu wahren. Südkorea und Japan verfügen ebenfalls über Angemessenheitsbeschlüsse.

Für international tätige Unternehmen ist es daher wichtig, nicht nur den transatlantischen Datentransfer, sondern alle internationalen Datenflüsse systematisch zu erfassen und zu bewerten. Das Verarbeitungsverzeichnis nach Art. 30 DSGVO bietet hierfür die ideale Grundlage.

Erste Überprüfung des DPF durch die EU-Kommission

Die EU-Kommission ist verpflichtet, den Angemessenheitsbeschluss für das DPF regelmäßig zu überprüfen. Die erste Überprüfung fand im Herbst 2024 statt. Dabei wurden insbesondere die Funktionsweise des Data Protection Review Court, die Effektivität der Selbstzertifizierung und die tatsächliche Umsetzung der Beschränkungen für den Geheimdienst-Zugriff bewertet. Die Ergebnisse dieser Überprüfung sind für Unternehmen von großer Bedeutung, da sie Aufschluss darüber geben, wie stabil der Rechtsrahmen mittelfristig sein wird.

Die Europäische Datenschutzausschuss (EDPB) hat in seiner Stellungnahme zur ersten Überprüfung mehrere Bedenken geäußert. Insbesondere wurde kritisiert, dass die Anzahl der beim Data Protection Review Court eingegangenen Beschwerden sehr gering war, was Zweifel an der praktischen Wirksamkeit des Rechtsschutzmechanismus aufkommen lässt. Auch die Frage, ob die Executive Order 14086 unter einer veränderten politischen Landschaft in den USA Bestand haben wird, wurde als Risikofaktor identifiziert.

Unternehmen sollten die Entwicklungen rund um das DPF aufmerksam verfolgen und ihre Datentransferstrategie flexibel halten. Eine Multi-Layer-Absicherung mit DPF-Zertifizierung, Standardvertragsklauseln und ergänzenden technischen Maßnahmen bietet den bestmöglichen Schutz gegen regulatorische Veränderungen. Ein erfahrener Datenschutzbeauftragter kann Sie bei der Entwicklung einer solchen robusten Strategie unterstützen.

Besondere Aufmerksamkeit verdient die Frage, wie Unternehmen mit dem Einsatz US-amerikanischer Cloud-Dienste umgehen sollten. Dienste wie Amazon Web Services, Google Cloud, Microsoft Azure und Salesforce sind tief in die IT-Infrastruktur vieler Unternehmen integriert. Auch wenn diese Anbieter DPF-zertifiziert sind, sollten Unternehmen prüfen, ob für besonders sensible Datenverarbeitungen europäische Cloud-Anbieter eine Alternative darstellen. Die europäische Cloud-Initiative GAIA-X zielt darauf ab, eine souveräne und datenschutzkonforme Cloud-Infrastruktur in Europa aufzubauen, die langfristig eine Alternative zu US-Anbietern bieten könnte.

Der transatlantische Datentransfer wird auch in Zukunft eine der zentralen Herausforderungen des europäischen Datenschutzes bleiben. Unternehmen, die frühzeitig eine robuste und flexible Datentransferstrategie entwickeln, sind für alle Szenarien gut aufgestellt, unabhängig davon, ob das Data Privacy Framework dauerhaft Bestand haben wird oder ob eine erneute Anpassung erforderlich wird.

Sie brauchen Unterstützung und Beratung im Bereich Datenschutz und Datensicherheit? Unser Team an Experten hilft Ihnen gerne weiter. Kontaktieren Sie uns hier!