Das EU-US Data Privacy Framework (DPF) ist ein Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten, das die Übermittlung personenbezogener Daten aus der EU an zertifizierte US-Unternehmen auf eine rechtssichere Grundlage stellt. Es beruht auf einem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, der den USA – für unter dem Framework zertifizierte Organisationen – ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO bescheinigt. Für Unternehmen in der EU, die US-Dienste wie Cloud-Plattformen, Analyse-Tools oder KI-Dienste nutzen, ist das DPF damit eines der zentralen Instrumente, um Datentransfers in die USA zu legitimieren.
Praktisch bedeutet das: Überträgt ein in der EU ansässiges Unternehmen personenbezogene Daten an einen US-Anbieter, der sich unter dem DPF zertifiziert hat, ist dieser Transfer ohne zusätzliche Instrumente zulässig – vergleichbar mit einer Datenübermittlung innerhalb der EU. Ist der Anbieter nicht zertifiziert, greift das DPF nicht, und es braucht ein anderes Übermittlungsinstrument, in der Regel die Standardvertragsklauseln (SCC).
Wie es zum DPF kam: von Safe Harbor zu Privacy Shield
Das DPF ist bereits der dritte Anlauf, transatlantische Datentransfers rechtssicher zu regeln – und das ist kein Zufall, sondern Folge einer jahrelangen rechtlichen Auseinandersetzung. Die beiden Vorgängerabkommen wurden jeweils vom Europäischen Gerichtshof (EuGH) gekippt:
- Safe Harbor (2000) wurde 2015 im Urteil Schrems I für ungültig erklärt, weil es keinen ausreichenden Schutz vor dem Zugriff US-amerikanischer Geheimdienste bot.
- EU-US Privacy Shield (2016) fiel 2020 im Urteil Schrems II aus denselben Gründen – der EuGH bemängelte erneut die Zugriffsmöglichkeiten der US-Behörden und das Fehlen wirksamer Rechtsbehelfe für EU-Bürger.
Das DPF (2023) soll diese Schwächen beheben. Grundlage ist auf US-Seite die Executive Order 14086 von Präsident Biden, die den Datenzugriff der Nachrichtendienste auf das „Notwendige und Verhältnismäßige“ begrenzt und mit dem Data Protection Review Court (DPRC) eine unabhängige Beschwerdeinstanz für EU-Bürger schafft. Wegen dieser Vorgeschichte trägt das DPF in der Fachwelt den inoffiziellen Beinamen „Privacy Shield 2.0“.
Wie funktioniert das DPF?
Das DPF ist ein Selbstzertifizierungs-System. US-Unternehmen, die unter dem Department of Commerce der Datenschutzbehörde unterstehen, können sich zur Einhaltung eines definierten Datenschutz-Prinzipienkatalogs verpflichten und werden dann in eine öffentliche Liste eingetragen. Für die Praxis ergeben sich daraus drei Konsequenzen:
- Prüfbarkeit: Ob ein Anbieter zertifiziert ist, lässt sich in der offiziellen Liste auf dataprivacyframework.gov nachschlagen.
- Geltungsbereich: Die Zertifizierung kann sich auf bestimmte Datenkategorien beschränken (z. B. nur HR-Daten oder nur Nicht-HR-Daten). Der Status ist also nicht pauschal, sondern im Detail zu prüfen.
- Durchsetzung: Hält ein zertifiziertes Unternehmen die Prinzipien nicht ein, drohen Durchsetzungsmaßnahmen der US-Handelsbehörde FTC und die Streichung von der Liste.
Wichtig: Das DPF legitimiert nur das „Wohin“ des Transfers. Verarbeitet der US-Anbieter Daten im Auftrag, braucht es zusätzlich einen Auftragsverarbeitungsvertrag (AVV), der das „Wie“ der Verarbeitung regelt. Beide Instrumente ergänzen sich.
Aktueller Status 2026
Wie schon seine Vorgänger steht auch das DPF unter juristischer Beobachtung. Eine Nichtigkeitsklage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss wurde am 3. September 2025 vom Gericht der Europäischen Union (EuG) abgewiesen (Rechtssache T-553/23). Das Gericht sah zum Zeitpunkt des Beschlusses ein angemessenes Schutzniveau als gegeben an. Der Angemessenheitsbeschluss gilt damit weiter.
Allerdings wurde Ende Oktober 2025 Rechtsmittel zum Europäischen Gerichtshof (EuGH) eingelegt (Rechtssache C-703/25 P). Das DPF durchläuft damit eine höchstrichterliche Überprüfung. Hinzu kommt ein politisches Risiko: Der US-amerikanische Unterbau des Frameworks – insbesondere die Executive Order 14086 – ist von der jeweiligen US-Regierung abhängig und steht unter Beobachtung. Ein „Schrems III“-Szenario, also ein erneutes Kippen des Beschlusses durch das Höchstgericht, ist nicht ausgeschlossen. Für Unternehmen heißt das: Das DPF ist derzeit eine gültige, aber keine endgültig gesicherte Transfergrundlage.
| Abkommen | In Kraft | Status |
|---|---|---|
| Safe Harbor | 2000 | 2015 gekippt (Schrems I) |
| EU-US Privacy Shield | 2016 | 2020 gekippt (Schrems II) |
| EU-US Data Privacy Framework | 2023 | gültig; Rechtsmittel beim EuGH anhängig (C-703/25 P) |
Was Unternehmen jetzt tun sollten
Aus dem aktuellen Stand ergeben sich zwei konkrete Handlungsempfehlungen für den Umgang mit US-Datentransfers:
- Zertifizierung prüfen und benennen. Vor dem Einsatz eines US-Dienstes feststellen, ob der Anbieter tatsächlich DPF-zertifiziert ist (und für die passende Datenkategorie), und diese Grundlage in der Datenschutz-Dokumentation benennen.
- Auf einen Plan B vorbereiten. Da ein Wegfall des DPF nicht ausgeschlossen ist, sollten Standardvertragsklauseln (SCC) als alternative Transfergrundlage griffbereit sein. Die Transfergrundlage in der Datenschutzerklärung sollte zudem so formuliert sein, dass sie eine Änderung der Rechtslage übersteht.
Ein konkretes Realbeispiel: OpenAI bietet für seine Geschäftsprodukte sowohl eine DPF-Zertifizierung als auch SCC und eine EU-Datenresidenz an. Ein Unternehmen, das ChatGPT Enterprise einsetzt, kann den Transfer also auf das DPF stützen – und hat mit den SCC zugleich einen Rückfallweg, falls der Angemessenheitsbeschluss fallen sollte. Diese doppelte Absicherung ist 2026 der pragmatische Standard für die Nutzung von US-Diensten.
Die Datenschutz-Prinzipien des DPF
Ein US-Unternehmen, das sich unter dem DPF zertifiziert, verpflichtet sich zur Einhaltung eines festen Katalogs von Datenschutz-Prinzipien, die in ihrer Struktur an die Grundsätze der DSGVO angelehnt sind. Sie bilden den materiellen Kern des Frameworks und sind der Grund, warum die EU-Kommission den USA für zertifizierte Organisationen ein angemessenes Schutzniveau bescheinigt:
- Informationspflicht (Notice): Das Unternehmen muss offenlegen, welche Daten es zu welchem Zweck verarbeitet und an wen es sie weitergibt.
- Wahlmöglichkeit (Choice): Betroffene können einer Weitergabe an Dritte oder einer zweckfremden Nutzung widersprechen.
- Verantwortung bei Weitergabe (Accountability for Onward Transfer): Werden Daten an weitere Dienstleister gegeben, muss das Schutzniveau vertraglich erhalten bleiben.
- Sicherheit (Security): Angemessene technische und organisatorische Schutzmaßnahmen sind verpflichtend.
- Datenintegrität und Zweckbindung (Data Integrity & Purpose Limitation): Daten dürfen nur für den angegebenen Zweck und nur so lange wie nötig verarbeitet werden.
- Auskunftsrecht (Access): Betroffene haben das Recht, ihre Daten einzusehen und korrigieren oder löschen zu lassen.
- Rechtsbehelf und Durchsetzung (Recourse, Enforcement & Liability): Es muss wirksame Beschwerdewege und eine unabhängige Aufsicht geben – für EU-Bürger über den eigens geschaffenen Data Protection Review Court.
DPF, Standardvertragsklauseln und BCR im Vergleich
Das DPF ist nur eines von mehreren Instrumenten, mit denen sich ein Drittlandtransfer nach Kapitel V der DSGVO rechtfertigen lässt. Welches passt, hängt vom Anbieter und vom Szenario ab.
| Instrument | Wann einschlägig |
|---|---|
| EU-US Data Privacy Framework (DPF) | Empfänger ist ein DPF-zertifiziertes US-Unternehmen – kein Zusatzinstrument nötig |
| Standardvertragsklauseln (SCC) | Empfänger ist nicht (DPF-)zertifiziert oder sitzt in einem anderen Drittland – ergänzt um eine Risikoabschätzung (Transfer Impact Assessment) |
| Binding Corporate Rules (BCR) | Konzerninterne Übermittlungen innerhalb einer Unternehmensgruppe, von der Aufsichtsbehörde genehmigt |
In der Praxis sind DPF und SCC die beiden relevanten Wege für die meisten mittelständischen Unternehmen. Häufig kombiniert man beides: Man stützt den Transfer auf das DPF, hält aber SCC als Rückfalloption bereit, falls der Angemessenheitsbeschluss fallen sollte. Diese doppelte Absicherung ist nach den Erfahrungen mit Safe Harbor und dem Privacy Shield die pragmatische Antwort auf die anhaltende Rechtsunsicherheit.
Bedeutung für den Mittelstand
Für mittelständische Unternehmen ist das DPF vor allem deshalb wichtig, weil ein großer Teil der gängigen Software-Landschaft aus US-Diensten besteht – von Cloud-Hosting über Kollaborations- und Marketing-Tools bis zu KI-Diensten. Ohne ein tragfähiges Transferinstrument wäre deren Einsatz datenschutzrechtlich angreifbar. Das DPF senkt diese Hürde erheblich, weil es bei zertifizierten Anbietern den sonst nötigen Aufwand für SCC und Risikoabschätzung entfallen lässt. Gleichzeitig bleibt die Verantwortung beim datenverarbeitenden Unternehmen: Es muss die Zertifizierung prüfen, den Transfer in seiner Datenschutz-Dokumentation benennen und auf eine mögliche Änderung der Rechtslage vorbereitet sein.
Häufige Missverständnisse zum DPF
Rund um das DPF halten sich einige Fehlannahmen, die in der Praxis zu rechtlichen Lücken führen. Drei davon sind besonders verbreitet.
Das erste Missverständnis lautet: „Ein US-Anbieter ist automatisch DPF-konform.“ Das ist falsch – nur ausdrücklich zertifizierte Unternehmen fallen unter das Framework, und die Zertifizierung kann auf bestimmte Datenkategorien beschränkt sein. Ein Blick in die offizielle Liste ist daher unverzichtbar. Das zweite Missverständnis ist die Annahme, das DPF mache jede weitere Maßnahme überflüssig. Tatsächlich legitimiert es nur den Transfer; AVV, korrekte Angaben in der Datenschutzerklärung und gegebenenfalls eine Einwilligung für den dahinterliegenden Verarbeitungszweck bleiben erforderlich. Das dritte Missverständnis betrifft die Dauerhaftigkeit: Weil bereits zwei Vorgängerabkommen vom EuGH gekippt wurden, ist es leichtfertig, das DPF als endgültig gesichert zu behandeln. Wer in der Datenschutzerklärung pauschal „rechtssicher auf Basis des DPF“ schreibt, riskiert ein falsches Dokument, sobald sich die Rechtslage ändert. Die änderungsrobuste Formulierung – konkrete Grundlage benennen, SCC als Rückfall vorhalten – ist die sichere Wahl.
Häufig gestellte Fragen (FAQ)
Was ist das EU-US Data Privacy Framework?
Es ist ein Angemessenheitsbeschluss der EU-Kommission aus dem Jahr 2023, der die Übermittlung personenbezogener Daten an unter dem Framework zertifizierte US-Unternehmen ohne zusätzliche Instrumente erlaubt. Es ist der Nachfolger von Safe Harbor und dem Privacy Shield.
Ist das DPF 2026 noch gültig?
Ja. Eine Klage dagegen wurde am 3. September 2025 vom EuG abgewiesen (T-553/23, Latombe); der Beschluss gilt weiter. Es ist aber ein Rechtsmittel zum EuGH anhängig (C-703/25 P), und ein erneutes Kippen („Schrems III“) ist nicht ausgeschlossen.
Woher weiß ich, ob ein US-Anbieter zertifiziert ist?
Die Zertifizierung lässt sich in der offiziellen, öffentlich einsehbaren Liste auf dataprivacyframework.gov prüfen. Dabei auch darauf achten, ob die Zertifizierung die jeweils relevante Datenkategorie abdeckt.
Was passiert, wenn das DPF gekippt wird?
Dann entfällt die Transfergrundlage für DPF-gestützte Übermittlungen. Unternehmen müssten kurzfristig auf Standardvertragsklauseln (SCC) samt Risikoabschätzung umstellen. Deshalb empfiehlt es sich, SCC bereits jetzt als Rückfalloption vorzuhalten.
Reicht das DPF allein für den Einsatz eines US-Tools?
Nein. Das DPF legitimiert nur den Datentransfer in die USA. Verarbeitet der Anbieter Daten im Auftrag, braucht es zusätzlich einen Auftragsverarbeitungsvertrag, und in der Datenschutzerklärung müssen Zweck, Empfänger und Transfergrundlage genannt werden.