# EU-US Data Privacy Framework (DPF)

Der Angemessenheitsbeschluss für die USA gilt nur für Empfänger, die nach dem EU-US Data Privacy Framework zertifiziert sind. Wie die Zertifizierung geprüft wird, welche Folgen sie hat, warum kein Transfer Impact Assessment nötig ist und wie sich der Transfer vertraglich absichern lässt.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.3-data-privacy-framework
> Sprache: de



Die USA sind nicht generell ein sicheres Drittland. Für Datenübermittlungen in die USA besteht ein Angemessenheitsbeschluss der EU-Kommission jedoch dann, wenn der konkrete Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023). Ist der Empfänger zertifiziert und erfasst die Zertifizierung die übermittelten Daten, ist die Übermittlung wie eine Inlandsübermittlung zu behandeln.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Der Angemessenheitsbeschluss gilt **nur für zertifizierte US-Empfänger**, nicht für die USA insgesamt. Übermittlungen an nicht zertifizierte Empfänger bleiben Übermittlungen in ein unsicheres Drittland.
  * Für zertifizierte Empfänger sind **weder Standardvertragsklauseln noch ein Transfer Impact Assessment** erforderlich.
  * Zu prüfen sind zwei Punkte: ob das Unternehmen aktiv zertifiziert ist und ob die Zertifizierung die konkret übermittelten Daten umfasst.
  * Der Beschluss begründet **keine Rechtsgrundlage**; eine Rechtsgrundlage nach Art. 6 DSGVO muss zusätzlich vorliegen.
</Callout>

## 1. Wann das Data Privacy Framework greift [#1-wann-das-data-privacy-framework-greift]

Der Angemessenheitsbeschluss knüpft nicht an das Land, sondern an den einzelnen Empfänger an. Maßgeblich ist, ob das US-Unternehmen sich nach dem Data Privacy Framework zertifiziert hat und ob die Zertifizierung die übermittelten Daten abdeckt. Unternehmen, die zuvor nach dem Privacy Shield zertifiziert waren, sind unter dem Data Privacy Framework weiter erfasst.

## 2. Prüfung der Zertifizierung [#2-prüfung-der-zertifizierung]

Die Zertifizierung lässt sich über die offizielle Liste prüfen. Zwei Punkte sind zu klären:

<Steps>
  <Step>
    **Liste aufrufen**

     und den Namen des US-Empfängers in der Data Privacy Framework List suchen.
  </Step>

  <Step>
    **Aktive Zertifizierung prüfen**

    : Ist das Unternehmen aufgeführt und die Zertifizierung aktiv?
  </Step>

  <Step>
    **Reichweite prüfen**

    : Umfasst die Zertifizierung die konkret übermittelten Daten? Die Zertifizierung kann auf bestimmte Datenarten beschränkt sein und zum Beispiel Personaldaten (HR-Daten) nicht erfassen.
  </Step>
</Steps>

Ergibt die Prüfung, dass der Empfänger nicht oder nicht für die betreffenden Daten zertifiziert ist, liegt eine Übermittlung in ein unsicheres Drittland vor. Dann sind [Standardvertragsklauseln mit Transfer Impact Assessment](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.2-eu-standardvertragsklauseln) erforderlich.

## 3. Folgen und vertragliche Absicherung [#3-folgen-und-vertragliche-absicherung]

Ist der Empfänger wirksam zertifiziert, sind für die Übermittlung keine zusätzlichen Garantien erforderlich. Insbesondere müssen keine Standardvertragsklauseln geschlossen und kein Transfer Impact Assessment durchgeführt werden.

Zur Absicherung empfiehlt es sich, mit dem Datenempfänger vertraglich zu vereinbaren, dass er die Zertifizierung während der gesamten Vertragslaufzeit aufrechterhält. Zwingend ist das nicht. Denkbar ist außerdem, ergänzend die Standardvertragsklauseln als Auffanglösung zu schließen. Hintergrund ist, dass der EuGH die Vorgängerregelungen Safe Harbor und Privacy Shield für unwirksam erklärt hat und das Data Privacy Framework überprüfen könnte. Bis zu einer etwaigen gegenteiligen Entscheidung bleibt der Angemessenheitsbeschluss wirksam.

<Callout type="info">
  Die mit dem Data Privacy Framework eingeführten Datenschutzgarantien beruhen auf einer Executive Order vom 7. Oktober 2022 (unter anderem ein Rechtsmittelverfahren und ein eingeschränkter Zugriff durch US-Sicherheitsbehörden). Diese Garantien gelten unabhängig von der Zertifizierung des einzelnen Empfängers und können daher in einem Transfer Impact Assessment positiv berücksichtigt werden, wenn der Empfänger nicht zertifiziert ist.
</Callout>

## 4. Hintergrund: vom Safe Harbor zum Data Privacy Framework [#4-hintergrund-vom-safe-harbor-zum-data-privacy-framework]

Das Data Privacy Framework ist der dritte Anlauf, Datenübermittlungen in die USA auf einen Angemessenheitsbeschluss zu stützen. Die beiden Vorgänger sind am Zugriff der US-Sicherheitsbehörden und am fehlenden Rechtsschutz für EU-Bürger gescheitert.

* **Safe Harbor (2000 bis 2015).** Auf Grundlage einer Selbstzertifizierung erklärte die Kommission Übermittlungen an teilnehmende US-Unternehmen für zulässig. Der EuGH erklärte die Safe-Harbor-Entscheidung 2015 für unwirksam, weil die Grundsätze gegenüber den US-Sicherheitsbedürfnissen nachrangig waren und ein wirksamer Rechtsschutz fehlte ([EuGH, Urt. v. 06.10.2015, C-362/14, Schrems](/docs/dsgvo-hub/rechtsprechung/1.4.51-eugh-schrems-i)).
* **Privacy Shield (2016 bis 2020).** Das Nachfolgeprogramm führte unter anderem ein Ombudsmann-Verfahren und Zusicherungen der US-Behörden ein. Der EuGH erklärte auch diesen Beschluss für ungültig, weil die Überwachungsprogramme nicht auf das notwendige Maß begrenzt waren und der Ombudsmann nicht die erforderliche Unabhängigkeit und Durchsetzungsmacht besaß ([EuGH, Urt. v. 16.07.2020, C-311/18, Schrems II](/docs/dsgvo-hub/rechtsprechung/1.4.50-eugh-schrems-ii)).
* **Data Privacy Framework (seit 2023).** Grundlage der Nachbesserungen ist die Executive Order 14086 vom 7. Oktober 2022. Sie bindet die Zugriffe der US-Nachrichtendienste an die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit und schafft ein zweistufiges Rechtsbehelfssystem einschließlich eines Data Protection Review Court. Auf dieser Grundlage erließ die Kommission am 10. Juli 2023 den Angemessenheitsbeschluss (Durchführungsbeschluss (EU) 2023/1795).

<Callout type="warn">
  Sowohl der Europäische Datenschutzausschuss als auch das Europäische Parlament haben den Beschluss kritisch begleitet und Zweifel an einzelnen Punkten geäußert (unter anderem an den Betroffenenrechten und der Wirksamkeit des Rechtsbehelfssystems). Eine erneute gerichtliche Überprüfung ist angekündigt. Bis zu einer etwaigen gegenteiligen Entscheidung bleibt der Angemessenheitsbeschluss wirksam; viele Unternehmen sichern Übermittlungen daher zusätzlich über Standardvertragsklauseln ab (siehe Abschnitt 3).
</Callout>

## 5. Transparenz gegenüber den Betroffenen [#5-transparenz-gegenüber-den-betroffenen]

Auch beim Data Privacy Framework ist die Übermittlung in den Datenschutzhinweisen anzugeben (Art. 13 Abs. 1 lit. f DSGVO). Ein Hinweis kann etwa lauten:

> Wir übermitteln Ihre Daten in die USA. Nach einem Angemessenheitsbeschluss der EU-Kommission bieten Unternehmen in den USA, die nach dem EU-US Data Privacy Framework zertifiziert sind, ein angemessenes Schutzniveau für personenbezogene Daten. Der Datenempfänger ist nach dem EU-US Data Privacy Framework zertifiziert.

<Cards>
  <Card title="Data Privacy Framework List" href="https://www.dataprivacyframework.gov/list" description="Offizielle Liste der zertifizierten US-Unternehmen zur Prüfung von Zertifizierung und Reichweite." />

  <Card title="Durchführungsbeschluss (EU) 2023/1795" href="https://eur-lex.europa.eu/eli/dec_impl/2023/1795/oj" description="Angemessenheitsbeschluss zum EU-US Data Privacy Framework vom 10. Juli 2023." />

  <Card title="EuGH, Schrems II (C-311/18)" href="/docs/dsgvo-hub/rechtsprechung/1.4.50-eugh-schrems-ii" description="Unwirksamkeit des Vorgängers Privacy Shield; Hintergrund der Befristungsrisiken." />

  <Card title="EuGH, Schrems I (C-362/14)" href="/docs/dsgvo-hub/rechtsprechung/1.4.51-eugh-schrems-i" description="Unwirksamkeit des Safe-Harbor-Abkommens; Beginn der Kette von US-Angemessenheitsentscheidungen." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.