Gilt die DSGVO für US-Unternehmen? Artikel 3 erklärt (2026)

Die DSGVO gilt für US-Unternehmen, die Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten dort beobachten, gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679. Eine EU-Niederlassung, EU-Beschäftigte oder eine EU-Betriebsstätte sind dafür nicht erforderlich. Dieser Leitfaden behandelt jeden Auslösetatbestand, jede Pflicht und jedes Bußgeldrisiko, das ein US-Unternehmen kennen sollte.
Einen vollständigen Überblick darüber, was die DSGVO verlangt, einschließlich der sieben Grundsätze der Datenverarbeitung und der sechs Rechtsgrundlagen, finden Sie im begleitenden Erklärartikel.
Gilt die DSGVO wirklich für ein US-Unternehmen ohne EU-Präsenz?
Ja. Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 erweitert den Anwendungsbereich der DSGVO über die Grenzen der EU hinaus. Die Bestimmung gilt für jeden Verantwortlichen oder Auftragsverarbeiter, der nicht in der Union niedergelassen ist, wenn seine Verarbeitung personenbezogener Daten Folgendes betrifft: (a) das Anbieten von Waren oder Dienstleistungen, unabhängig davon, ob hierfür eine Zahlung zu leisten ist, für Betroffene, die sich in der Union befinden; oder (b) die Beobachtung des Verhaltens von Betroffenen, soweit dieses Verhalten in der Union erfolgt.
Der entscheidende Ausdruck lautet "nicht in der Union niedergelassen". Artikel 3 Absatz 2 wurde gezielt formuliert, um Nicht-EU-Einrichtungen zu erfassen. Ein Softwareunternehmen in Austin, ein Medienverlag in Chicago und ein Online-Händler in Phoenix können allesamt in den Anwendungsbereich der DSGVO fallen, allein aufgrund der Art und Weise, wie sie Informationen über Personen verarbeiten, die sich zum Zeitpunkt dieser Verarbeitung physisch in der EU befinden. Das ist der zentrale Punkt, den US-Unternehmen häufig übersehen: Der räumliche Anknüpfungspunkt der DSGVO richtet sich nach dem Standort der betroffenen Person zum Zeitpunkt der Verarbeitung, nicht nach dem Standort des Unternehmens oder seiner Server.
Es gibt einen zweiten Zugang zur DSGVO, der unabhängig von Artikel 3 Absatz 2 gilt. Artikel 3 Absatz 1 erfasst Verantwortliche und Auftragsverarbeiter, die in der EU niedergelassen sind. Dies ist für US-Unternehmen relevant, die eine Zweigniederlassung, eine Tochtergesellschaft oder auch nur eine stabile Vertriebsstruktur in einem EU-Mitgliedstaat eröffnet haben. Ist diese EU-Niederlassung an der Verarbeitung personenbezogener Daten beteiligt, gilt Artikel 3 Absatz 1 für diese Verarbeitung im Rahmen der Tätigkeiten der EU-Niederlassung, selbst wenn die eigentliche Datenverarbeitung auf US-Servern stattfindet. Ein US-Unternehmen mit einem deutschen Vertriebsbüro, einer französischen Vertriebstochter oder einem niederländischen Kundendienstteam fällt für seine EU-Tätigkeiten wahrscheinlich unabhängig von der Prüfung nach Artikel 3 Absatz 2 unter Artikel 3 Absatz 1.
Der Niederlassungstest nach Artikel 3 Absatz 1 geht auf die Rechtsprechung des EuGH vor der DSGVO zurück, insbesondere auf Google Spain gegen AEPD (Rechtssache C-131/12, 2014), in der festgestellt wurde, dass die spanische Tochtergesellschaft eines US-Mutterunternehmens eine EU-Niederlassung darstellte, wodurch die Datenverarbeitung der Muttergesellschaft dem EU-Datenschutzrecht unterstellt wurde. Dieselbe Logik gilt für Artikel 3 Absatz 1 der DSGVO.
Die zwei Auslösetatbestände nach Artikel 3 Absatz 2: Zielgerichtetheit und Überwachung
Auslösetatbestand 1: Der Zielgerichtetheitstest nach Artikel 3 Absatz 2 Buchstabe a
Der erste Auslösetatbestand greift, wenn ein US-Unternehmen Betroffenen in der Union Waren oder Dienstleistungen anbietet. "Anbieten" setzt ein Element bewusster Zielgerichtetheit voraus. Erwägungsgrund 23 der DSGVO zieht die Grenze ausdrücklich: "Die bloße Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland allgemein gebräuchlich ist, in dem der Verantwortliche niedergelassen ist, reicht nicht aus, um eine solche Absicht festzustellen."
Vereinfacht ausgedrückt: Ein US-Unternehmen mit einer englischsprachigen Website richtet sich nicht automatisch an EU-Bewohner, weil Englisch in Europa weit verbreitet ist. Die Leitlinien 3/2018 des EDSA zum räumlichen Anwendungsbereich (Version 2.0, angenommen am 12. November 2019) erläutern diese Grenze im Detail. Der EDSA nennt eine nicht abschließende Liste von Faktoren, die zusammen oder einzeln betrachtet auf eine Absicht hindeuten können, Betroffenen in der EU Waren oder Dienstleistungen anzubieten.
Faktoren, die nach Erwägungsgrund 23 und den EDSA-Leitlinien 3/2018 auf Zielgerichtetheit hindeuten:
- Verwendung einer in einem oder mehreren EU-Mitgliedstaaten gebräuchlichen Sprache oder Währung zusammen mit der Möglichkeit, Waren oder Dienstleistungen in dieser Sprache zu bestellen (etwa eine Produktseite auf Deutsch mit einem Warenkorb, der Euro akzeptiert).
- Ausdrückliche Erwähnung von Kunden oder Nutzern aus der EU oder bestimmten Mitgliedstaaten.
- Angebot von Versandoptionen an Adressen in EU-Mitgliedstaaten.
- Verwendung einer länderspezifischen Top-Level-Domain eines EU-Mitgliedstaats (etwa .de, .fr, .nl).
- Durchführung bezahlter Werbekampagnen mit geografischer Ausrichtung auf EU-Mitgliedstaaten.
- Angabe EU-spezifischer Umsatzsteuerinformationen oder Anzeige von Bruttopreisen für EU-Rechtsordnungen.
- Bereitstellung eines Kundensupportkanals in einer EU-Sprache oder Zeitzone.
Jeder dieser Faktoren ist ein Indiz für Absicht; keiner ist für sich allein zwingend entscheidend. Die EDSA-Leitlinien erkennen an, dass eine Kombination von Faktoren das Gewicht der Analyse erhöht. Ein US-Unternehmen, das in die EU versendet, Euro akzeptiert und französischsprachige Google-Anzeigen schaltet, hat drei starke Indikatoren für Zielgerichtetheit gesammelt.
Konkrete Beispiele, in denen Zielgerichtetheit nahezu sicher vorliegt:
| Szenario | Gilt die DSGVO nach Art. 3 Abs. 2 Buchst. a? |
|---|---|
| US-Online-Händler versendet nach Deutschland und Frankreich; Bezahlung in Euro | Nahezu sicher ja |
| US-SaaS, dessen Preisseite vermerkt: "Für EU-Kunden wird an der Kasse Umsatzsteuer hinzugefügt" | Nahezu sicher ja |
| US-Abonnementdienst schaltet Facebook- oder Google-Werbekampagnen mit geografischer Ausrichtung auf EU-Mitgliedstaaten | Nahezu sicher ja |
| US-App fügt eine deutschsprachige Version ihres Produkts hinzu | Nahezu sicher ja |
| US-Nachrichtenseite ausschließlich auf Englisch, keine EU-spezifische Preisgestaltung, kein EU-Versand, keine EU-Werbung | Unwahrscheinlich für sich allein |
| Website einer US-Anwaltskanzlei mit rein englischsprachigem Kontaktformular, keine EU-gerichteten Dienstleistungen | Unwahrscheinlich für sich allein |
| US-Blogger, dessen Beiträge weltweit zugänglich sind, ohne EU-gerichtete Funktionen | Unwahrscheinlich für sich allein |
Der entscheidende Unterschied liegt in Absicht plus Kapazität. Erreichbarkeit ohne Zielgerichtetheit fällt nicht unter Artikel 3 Absatz 2 Buchstabe a. Gezielte Ansprache oder eine Infrastruktur, die dem Zweck dient, EU-Nutzer zu bedienen, überschreitet die Grenze.
Auslösetatbestand 2: Der Überwachungstest nach Artikel 3 Absatz 2 Buchstabe b
Der zweite Auslösetatbestand betrifft die Verhaltensüberwachung. Erwägungsgrund 24 der DSGVO erläutert, dass hierunter die Verfolgung von EU-Bewohnern im Internet fällt, insbesondere der Einsatz von Profiling-Techniken zur Analyse oder Vorhersage persönlicher Vorlieben, Verhaltensweisen und Einstellungen. Der Überwachungstatbestand ist weiter gefasst, als er zunächst erscheint: Er setzt keine gezielte Ansprache von EU-Nutzern voraus. Erfasst Ihre technische Infrastruktur personenbezogene Daten von Personen, die sich zufällig in der EU befinden, und werden diese Daten genutzt, um Entscheidungen über sie zu treffen, kann der Überwachungstatbestand unabhängig von der Prüfung der Zielgerichtetheit greifen.
Die EDSA-Leitlinien 3/2018 betonen, dass "Überwachung" ein Element der Verfolgung oder Beobachtung des Verhaltens einer Person über die Zeit voraussetzt. Eine einmalige Erfassung einer IP-Adresse in einem Zugriffsprotokoll, ohne Profiling oder Folgenutzung, stellt eher keine Überwachung dar. Fortlaufende Verfolgung mittels Cookies, Pixeln, Geräte-Fingerprinting oder seitenübergreifenden Tracking-Technologien tut dies in der Regel.
Tätigkeiten, die für US-Unternehmen häufig den Überwachungstatbestand auslösen:
- Einbindung von Werbe- oder Retargeting-Pixeln Dritter (Google-Ads-Conversion-Tags, Meta-Pixel, LinkedIn-Insight-Tag) auf einer von EU-Nutzern besuchten Website, wobei diese Pixel IP-Adressen und Surfverhalten erfassen, um Zielgruppensegmente zu bilden.
- Betrieb von Web-Analysewerkzeugen (einschließlich selbst gehosteter Analysewerkzeuge), die so konfiguriert sind, dass sie über die Zeit personenbezogene IP-Adressen oder Geräte-Kennungen von EU-Besuchern erfassen und speichern.
- Nutzung einer Customer-Data-Platform (CDP), die Surfverlauf, Kaufmuster und E-Mail-Öffnungsdaten von EU-Nutzern zu einem Verhaltensprofil für nachgelagertes Targeting oder Personalisierung zusammenfügt.
- Betrieb einer mobilen App, die über die Zeit Standortdaten oder In-App-Verhalten von EU-Nutzern protokolliert.
- Betrieb eines Treue- oder Bonusprogramms, das die Kaufhistorie von EU-Mitgliedern verfolgt und darauf basierende gezielte Angebote versendet.
- Nutzung eines CRM-Anreicherungswerkzeugs, das personenbezogene Kontaktdaten von EU-Personen mit Verhaltenssignalen Dritter kombiniert.
Ein US-Unternehmen muss nicht wissen, dass sich ein bestimmter Nutzer in der EU befindet, damit der Überwachungstatbestand greift. Erfasst die eingesetzte Technologie personenbezogene Daten von Personen in der EU und werden diese Daten verarbeitet, um Entscheidungen über sie zu treffen, ist der Tatbestand erfüllt. Der EDSA weist ausdrücklich darauf hin, dass die Verfolgung des Verhaltens von Betroffenen "soweit dieses Verhalten in der Union stattfindet" auf den Ort abstellt, an dem das beobachtete Verhalten erfolgt, nicht auf den Ort der Verarbeitung.
Die Szenario-Tabelle: Gilt die DSGVO?
| Szenario | Art. 3 Abs. 2 Buchst. a (Zielgerichtetheit) | Art. 3 Abs. 2 Buchst. b (Überwachung) | Gilt die DSGVO? |
|---|---|---|---|
| US-Händler versendet in die EU, Bezahlung in Euro | Ja | Abhängig von Analysewerkzeugen | Ja |
| US-SaaS mit EU-Abonnentenbasis und EU-spezifischer Preisseite | Ja | Wahrscheinlich (Nutzungsanalyse) | Ja |
| US-Adtech-Unternehmen mit Retargeting-Pixeln bei EU-Nutzern | Unwahrscheinlich für sich allein | Ja (Profiling) | Ja |
| US-Unternehmen ohne EU-Kunden, aber GA4 erfasst EU-IPs für Profiling | Nein | Möglicherweise | Möglicherweise (Analysekonfiguration prüfen) |
| US-Blogger, nur Englisch, kein EU-Versand, keine EU-gerichtete Werbung, kein EU-Profiling durch Analysewerkzeuge | Nein | Nein | Nein |
| US-Unternehmen mit deutscher Vertriebstochter | Niederlassung nach Art. 3 Abs. 1 | Niederlassung nach Art. 3 Abs. 1 | Ja (Art. 3 Abs. 1) |
Artikel 27: Die Pflicht zur Bestellung eines EU-Vertreters
Sobald Artikel 3 Absatz 2 ein US-Unternehmen in den Anwendungsbereich der DSGVO zieht, verpflichtet Artikel 27 Absatz 1 zu einer strukturellen Maßnahme: Das Unternehmen muss schriftlich einen Vertreter benennen, der in einem der EU-Mitgliedstaaten niedergelassen ist, in denen sich die Betroffenen des Unternehmens befinden.
Die Rolle des EU-Vertreters ist inhaltlicher, nicht bloß formaler Natur. Der Vertreter dient als lokaler Ansprechpartner des Unternehmens sowohl für Betroffene als auch für Aufsichtsbehörden. EU-Bewohner können ihre DSGVO-Rechte (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch) unmittelbar über den Vertreter ausüben. Jede EU-Datenschutzbehörde kann Durchsetzungskorrespondenz, behördliche Anordnungen und Verfahren an den Vertreter richten. Nach Artikel 27 Absatz 4 entbindet die Benennung den Verantwortlichen oder Auftragsverarbeiter nicht von seiner Haftung nach der DSGVO; der Vertreter handelt zusätzlich zum, nicht anstelle des US-Unternehmens.
Der Vertreter muss in einem EU-Mitgliedstaat niedergelassen sein (eine tatsächliche Präsenz haben, nicht nur eine registrierte Adresse), nicht lediglich im EWR. Diese Unterscheidung ist relevant: Norwegen, Island und Liechtenstein haben die DSGVO als EWR-Staaten übernommen, und eine reine EWR-Präsenz (etwa ein Vertreter in Norwegen) erfüllt Artikel 27 für Zwecke der EU-Aufsichtsbehörden nicht zwingend, obwohl der EDSA in der Praxis angemerkt hat, dass EWR-ansässige Vertreter angesichts der EWR-weiten Umsetzung der DSGVO in der Regel akzeptiert werden. US-Unternehmen sollten mit ihrer Rechtsberatung klären, ob ein EWR-Staat für ihre konkrete Situation infrage kommt.
Die Identität und die Kontaktdaten des Vertreters nach Artikel 27 müssen im Datenschutzhinweis des Unternehmens offengelegt werden. Betroffene müssen den Vertreter erreichen können. Kommerzielle Vertreterdienste gibt es in allen großen EU-Mitgliedstaaten eigens zu diesem Zweck; die Kosten liegen typischerweise bei einigen hundert bis wenigen tausend Euro pro Jahr, weit unter dem Bußgeldrisiko bei Nichteinhaltung dieser Pflicht.
Die eng gefasste Ausnahme nach Artikel 27 Absatz 2
Nicht jedes US-Unternehmen, das unter Artikel 3 Absatz 2 fällt, muss einen Vertreter bestellen. Artikel 27 Absatz 2 Buchstabe a nimmt Verarbeitungen aus, die gleichzeitig: (a) gelegentlich erfolgen (nicht routinemäßig oder fortlaufend); (b) keine umfangreiche Verarbeitung besonderer Datenkategorien nach Artikel 9 Absatz 1 umfassen (Gesundheitsdaten, biometrische Daten, genetische Daten, rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, politische Meinungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder strafrechtliche Verurteilungen); und (c) unter Berücksichtigung von Art, Kontext, Umfang und Zwecken der Verarbeitung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen bergen. Behörden sind zudem nach Artikel 27 Absatz 2 Buchstabe b ausgenommen.
Diese Ausnahme ist in der Praxis eng gefasst. Die meisten US-Unternehmen, die eine Website mit Werbe-Cookies, eine Marketing-E-Mail-Liste, eine mobile App oder Verhaltensanalysen betreiben, erfüllen sie nicht. Ihre Verarbeitung ist fortlaufend (nicht gelegentlich) und umfasst eine dauerhafte personenbezogene Nachverfolgung. Ein US-Wissenschaftler, der eine einmalige anonyme Befragung von EU-Teilnehmern durchführt, könnte die Ausnahme erfüllen; ein US-SaaS-Unternehmen mit wiederkehrender EU-Kundenbasis in der Regel nicht.
Die unterlassene Bestellung eines erforderlichen Vertreters nach Artikel 27 ist ein Verstoß der Stufe 1 (Artikel 83 Absatz 4), was ein Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes zur Folge haben kann, je nachdem, welcher Betrag höher ist.
DSGVO und US-Datenschutzgesetze der Bundesstaaten: Das Zusammenspiel
Viele US-Unternehmen, die der DSGVO unterliegen, unterliegen auch US-Datenschutzgesetzen der Bundesstaaten, allen voran dem California Consumer Privacy Act (CCPA), geändert und verschärft durch den California Privacy Rights Act (CPRA, in Kraft seit 1. Januar 2023). Das CCPA/CPRA-Regime und die DSGVO teilen eine gewisse konzeptionelle Verwandtschaft (beide verlangen Datenschutzhinweise, Betroffenenrechte und eine Steuerung der Datenflüsse), unterscheiden sich jedoch in mehreren wichtigen Punkten, die eigenständige Compliance-Arbeit statt eines einheitlichen Programms erfordern.
Rechtsgrundlage gegenüber Opt-out-Modell. Die DSGVO verlangt für jede Verarbeitungstätigkeit eine Rechtsgrundlage, bevor die Verarbeitung beginnt (Opt-in als Standard). CCPA/CPRA verwendet ein anderes Modell: Verarbeitung ist grundsätzlich erlaubt, Verbraucher haben jedoch das Recht, dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten zu widersprechen. Der Einwilligungsstandard der DSGVO nach Artikel 7 verlangt eine freiwillige, spezifische, informierte und eindeutige Willensbekundung; die CCPA-Einwilligung für sensible Daten erfordert ein Opt-in, der allgemeine "Verkauf/Weitergabe"-Mechanismus nutzt jedoch ein deutlich sichtbares Opt-out. Ein US-Unternehmen kann die Rechtsgrundlagen-Anforderung der DSGVO nicht allein durch Bereitstellung eines CCPA-Opt-out-Mechanismus erfüllen.
Umfang der Betroffenenrechte. Beide Regelwerke gewähren Rechte auf Auskunft, Löschung und Übertragbarkeit. Die DSGVO gewährt zusätzlich das Widerspruchsrecht nach Artikel 21 und das Recht auf Einschränkung der Verarbeitung nach Artikel 18, für die es kein direktes Äquivalent in CCPA/CPRA gibt. Die DSGVO gewährt zudem Rechte im Zusammenhang mit automatisierten Entscheidungen nach Artikel 22, die über das Profiling-Opt-out der CCPA hinausgehen.
Definitionen sensibler Daten. Die CPRA hat eine Kategorie "sensibler personenbezogener Informationen" (SPI) mit Opt-in-Einwilligungspflichten für bestimmte Nutzungen eingeführt. Die besonderen Kategorien nach Artikel 9 der DSGVO sind ähnlich, aber nicht identisch. Die CPRA erfasst beispielsweise staatliche Ausweisnummern, präzise Standortdaten und Gewerkschaftszugehörigkeit als SPI; die DSGVO erfasst rassische/ethnische Herkunft, religiöse Überzeugungen und Gesundheitsdaten. Ein Unternehmen muss seine Datentypen getrennt gegen beide Definitionen abgleichen.
Anwendungsschwellen. CCPA/CPRA gilt für gewinnorientierte Unternehmen, die eine von drei Schwellen erfüllen: einen jährlichen Bruttoumsatz von über 25 Millionen US-Dollar; jährlich den Kauf, Verkauf oder die Weitergabe personenbezogener Daten von 100.000 oder mehr Verbrauchern oder Haushalten; oder die Erzielung von 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten. Die DSGVO kennt keine Umsatz- oder Volumenschwelle; jedes Unternehmen, das die Tests nach Artikel 3 Absatz 2 erfüllt, unterliegt ihr unabhängig von der Größe, vorbehaltlich engerer Pflichten für kleinere Auftragsverarbeiter nach bestimmten Artikeln.
Auftragsverarbeiter gegenüber Dienstleister. Artikel 28 der DSGVO verwendet den Begriff "Auftragsverarbeiter" für Dienstleister, die im Auftrag eines Verantwortlichen Daten verarbeiten. CCPA/CPRA verwendet den Begriff "Service Provider". Beide erfordern einen schriftlichen Vertrag mit Angaben zum Umfang der Verarbeitung, die geforderten Vertragsinhalte unterscheiden sich jedoch. Ein kombinierter Auftragsverarbeitungs-/Service-Provider-Vertrag, der beide Anforderungen erfüllt, ist möglich, erfordert jedoch eine sorgfältige Ausarbeitung.
Praktische Konsequenz. Ein mittelgroßes US-Unternehmen mit EU-Nutzern und in Kalifornien ansässigen Kunden oder Beschäftigten sollte DSGVO und CCPA/CPRA als zwei parallele Compliance-Programme mit einer gemeinsamen Grundlage aus Datenkartierung und Lieferantenmanagement behandeln, nicht als eine einzige Aufgabe. Die Prüfungsschritte überschneiden sich (Datenbestandsaufnahme, Lieferantenverträge, Aktualisierung des Datenschutzhinweises, Workflow für Betroffenenrechte), die materiellen rechtlichen Standards weichen jedoch bei der Rechtsgrundlage und der Einwilligung voneinander ab.
Den vollständigen Vergleich finden Sie im Vergleichsleitfaden DSGVO gegenüber CCPA.
EU-US-Datenübermittlungen: Das DPF und die SCCs von 2021
Empfängt ein US-Unternehmen personenbezogene Daten von einer EU-Stelle (Kunde, Partner oder Dienstleister), stellt sich eine gesonderte Rechtsfrage: Kapitel V der DSGVO (Artikel 44 bis 49) verlangt einen wirksamen Übermittlungsmechanismus für personenbezogene Daten, die von der EU in ein Drittland fließen, einschließlich der Vereinigten Staaten. Das Schrems-II-Urteil des EuGH (Datenschutzbeauftragter gegen Facebook Ireland, Rechtssache C-311/18, 16. Juli 2020) erklärte den Vorgängermechanismus Privacy Shield für unwirksam, wodurch eine Lücke entstand, bis das derzeitige DPF angenommen wurde.
Derzeit stehen zwei zentrale Instrumente zur Verfügung.
Das EU-US-Datenschutzrahmenwerk (DPF)
Am 10. Juli 2023 nahm die Europäische Kommission ihren Angemessenheitsbeschluss für das EU-US-Datenschutzrahmenwerk als Durchführungsbeschluss (EU) 2023/1795 nach Artikel 45 Absatz 3 der DSGVO an. Der Angemessenheitsbeschluss stellt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die an DPF-zertifizierte US-Organisationen übermittelt werden. Das bedeutet, EU-Unternehmen und -Personen können personenbezogene Daten an ein zertifiziertes US-Unternehmen übermitteln, ohne für diese konkrete Übermittlung einen gesonderten Übermittlungsvertrag abzuschließen oder eine Transferfolgenabschätzung durchzuführen.
Das DPF wird vom US-Handelsministerium (Department of Commerce) verwaltet. Ein US-Unternehmen zertifiziert sich jährlich selbst gegenüber dem Handelsministerium und verpflichtet sich zur Einhaltung der sieben DPF-Grundsätze: Benachrichtigung, Wahlmöglichkeit, Verantwortlichkeit bei Weiterübermittlung, Sicherheit, Datenintegrität und Zweckbindung, Zugang sowie Rechtsbehelf, Durchsetzung und Haftung. Die Zertifizierung ist öffentlich: Das Handelsministerium führt unter dataprivacyframework.gov eine durchsuchbare Liste zertifizierter Organisationen, die EU-Unternehmen zur Überprüfung des Status eines US-Partners heranziehen können.
Die Berechtigung zur DPF-Zertifizierung ist auf US-Organisationen beschränkt, die der Zuständigkeit der Federal Trade Commission oder des US-Verkehrsministeriums unterliegen. Dies erfasst die meisten privaten US-Unternehmen. Finanzinstitute, die ausschließlich dem Gramm-Leach-Bliley-Gesetz unterliegen, Telekommunikationsanbieter unter der Zuständigkeit der FCC sowie bestimmte gemeinnützige Organisationen können jedoch nicht infrage kommen. Unternehmen, die sich ihrer Berechtigung nicht sicher sind, sollten dies mit dem Handelsministerium oder ihrer Rechtsberatung klären, bevor sie sich auf das DPF als Übermittlungsmechanismus verlassen.
Nach dem DPF-Angemessenheitsbeschluss stehen EU-Personen, deren Daten an ein DPF-zertifiziertes US-Unternehmen übermittelt werden, vier Rechtsbehelfsstufen zur Verfügung: (1) direkte Beschwerde bei der zertifizierten Organisation (die innerhalb von 45 Tagen antworten muss); (2) unabhängige Streitbeilegung durch eine der vom DPF anerkannten Stellen; (3) verbindliches Schiedsverfahren durch das DPF-Panel für ungelöste Restansprüche; und (4) das Privacy and Civil Liberties Oversight Board (PCLOB) für Beschwerden über den Zugriff der US-Regierung auf übermittelte Daten, ein Mechanismus, der eigens eingeführt wurde, um die nationalen Sicherheitsbedenken zu adressieren, die den EuGH zur Aufhebung des Privacy Shield veranlasst hatten.
Die langfristige Stabilität des DPF unterliegt anhaltender rechtlicher Prüfung. Die französische Datenschutzbehörde (CNIL) und andere haben angemerkt, dass die strukturellen Unterschiede zwischen dem EU- und dem US-Überwachungsrecht fortbestehen und künftige Klagen vor dem EuGH möglich sind. Der Angemessenheitsbeschluss unterliegt einer regelmäßigen Überprüfung durch die Europäische Kommission. US-Unternehmen, die einen Übermittlungsmechanismus wünschen, der weniger von der politischen Beständigkeit eines einzelnen Angemessenheitsbeschlusses abhängt, sollten zusätzlich als Absicherung die SCCs von 2021 abschließen.
Eine ausführliche Behandlung des Prozessrisikos des DPF und des PCLOB-Mechanismus finden Sie im Leitfaden zu internationalen DSGVO-Datenübermittlungen.
Standardvertragsklauseln von 2021
US-Unternehmen, die nicht DPF-zertifiziert sind oder einen vertraglichen Übermittlungsmechanismus bevorzugen, nutzen die 2021 eingeführten Standardvertragsklauseln (SCCs), festgelegt im Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021. Die SCCs von 2021 ersetzen die Vorgänger-Beschlüsse aus den Jahren 2001 und 2010; jene alten Klauseln dürfen für neue Übermittlungen nicht mehr verwendet werden.
Die SCCs von 2021 verwenden eine Vier-Module-Struktur, die unterschiedlichen Übermittlungsbeziehungen entspricht:
- Modul 1 (Verantwortlicher an Verantwortlicher): Das US-Unternehmen empfängt personenbezogene EU-Daten von einem EU-Verantwortlichen und verarbeitet sie für eigene Zwecke. Beispiel: ein US-Datenanalyseunternehmen, das Kundensegmentierungsdaten von einer EU-Marke für eine eigenständige Analyse erhält.
- Modul 2 (Verantwortlicher an Auftragsverarbeiter): Das US-Unternehmen verarbeitet personenbezogene EU-Daten ausschließlich im Auftrag eines EU-Verantwortlichen. Beispiel: ein US-Cloud-Hosting-Anbieter, eine E-Mail-Zustellplattform oder ein Marketing-Automatisierungswerkzeug, das als Auftragsverarbeiter für ein EU-Unternehmen agiert.
- Modul 3 (Auftragsverarbeiter an Unterauftragsverarbeiter): Das US-Unternehmen agiert als Unterauftragsverarbeiter, der von einem EU-Auftragsverarbeiter eingesetzt wird. Beispiel: ein US-Rechenzentrum, das von einem EU-Cloud-Anbieter genutzt wird.
- Modul 4 (Auftragsverarbeiter an Verantwortlichen): Das US-Unternehmen sendet als Auftragsverarbeiter Daten an seinen EU-Verantwortlichen zurück. Dies ist das seltenste Szenario.
Eine falsche Modulwahl stellt selbst einen Compliance-Mangel dar. Ein US-Unternehmen, das von einem EU-Geschäftspartner EU-Daten erhält, muss vor Abschluss der SCCs korrekt einordnen, ob es für diese Verarbeitungstätigkeit als Verantwortlicher oder als Auftragsverarbeiter agiert.
Die SCCs von 2021 verlangen zudem, dass die Parteien eine Transferfolgenabschätzung (Transfer Impact Assessment, TIA) durchführen, in der der US-Datenimporteur bewertet, ob US-Recht (einschließlich nationaler Sicherheitsbehörden wie Section 702 des FISA und Executive Order 12333) mit seinen SCC-Pflichten kollidiert. Der Importeur muss den EU-Exporteur benachrichtigen, wenn er die SCCs nicht einhalten kann, und muss zusätzlichen Maßnahmen zustimmen (Verschlüsselung, Pseudonymisierung, vertragliche Zugriffsbeschränkungen), wo US-Recht eine Lücke schafft. Betroffene sind Drittbegünstigte der SCCs und können die Klauseln gegen beide Parteien durchsetzen.
Binding Corporate Rules für multinationale Konzerne
Ein dritter Übermittlungsmechanismus, Binding Corporate Rules (BCRs), steht multinationalen Konzernen für die konzerninterne, grenzüberschreitende Datenübermittlung zur Verfügung. BCRs erfordern die Genehmigung einer federführenden Datenschutzbehörde und benötigen Monate bis zur Erteilung. Sie eignen sich praktisch nur für große Konzerne mit erheblichen, fortlaufenden konzerninternen grenzüberschreitenden Übermittlungen. Für die meisten US-Unternehmen sind die DPF-Selbstzertifizierung oder die SCCs von 2021 die geeignete Wahl.
DSGVO-Durchsetzung gegen US-Unternehmen: Reale Beispiele
Bußgelder nach Artikel 83 der DSGVO gelten für Nicht-EU-Unternehmen zu denselben Bedingungen wie für in der EU niedergelassene Stellen. Mehrere wegweisende Durchsetzungsmaßnahmen betrafen unmittelbar Unternehmen mit US-Hauptsitz oder US-Ursprung.
Meta Platforms (irische DPC, Mai 2023): Die irische Datenschutzbehörde (DPC) verhängte gegen Meta Platforms Ireland ein Bußgeld von 1,2 Milliarden Euro, weil das Unternehmen EU-Nutzerdaten auf Grundlage von SCCs ohne angemessene zusätzliche Maßnahmen zur Behebung der in Schrems II festgestellten Lücke im US-Überwachungsrecht an Metas US-Server übermittelt hatte. Dies ist Mitte 2026 das höchste bekannte DSGVO-Bußgeld und betraf ein Unternehmen US-amerikanischen Ursprungs mit EU-Niederlassung (Artikel 3 Absatz 1 galt über die irische Tochtergesellschaft). Die DPC ordnete zudem an, dass Meta die EU-US-Datenübermittlungen aussetzen müsse.
WhatsApp Ireland (irische DPC, September 2021): Die DPC verhängte gegen WhatsApp ein Bußgeld von 225 Millionen Euro wegen Transparenzverstößen, insbesondere weil das Unternehmen EU-Nutzern keine ausreichend klaren Informationen darüber bereitgestellt hatte, wie ihre Daten zwischen WhatsApp und anderen Meta-Unternehmen weitergegeben wurden. Der Fall wurde im Rahmen des One-Stop-Shop-Mechanismus mit der EU-Niederlassung von Meta als federführendem Verantwortlichen verfolgt.
Amazon Europe (luxemburgische CNPD, Juli 2021): Die luxemburgische Datenschutzkommission (CNPD) verhängte gegen Amazon ein Bußgeld von 746 Millionen Euro, weil das Unternehmen Verhaltensdaten von EU-Nutzern für Werbezwecke ohne gültige Rechtsgrundlage verarbeitet hatte, insbesondere für das auf Surf- und Kaufhistorien der Nutzer aufgebaute Werbe-Targeting. Amazon ist ein US-Unternehmen, das über EU-Stellen tätig ist; die CNPD agierte angesichts der EU-Hauptniederlassung von Amazon in Luxemburg als federführende Behörde.
Google LLC (französische CNIL, Januar 2022): Die CNIL verhängte gegen Google LLC (die US-Muttergesellschaft) ein Bußgeld von 150 Millionen Euro, weil das Unternehmen Werbe-Cookies ohne gültige Einwilligung auf Geräten von Nutzern platziert und die Ablehnung von Cookies schwieriger gestaltet hatte als die Zustimmung. Dieses Bußgeld richtete sich gegen die US-Muttergesellschaft, nicht lediglich gegen ihre EU-Tochtergesellschaft.
Google Ireland (irische DPC, mehrere Verfahren): Die DPC hat mehrere Untersuchungen gegen Google Ireland geführt, die die Aufbewahrung von Analysedaten und Praktiken zielgerichteter Werbung betreffen.
Diese Durchsetzungsmaßnahmen verdeutlichen mehrere Punkte, die US-Unternehmen verinnerlichen sollten. Erstens werden Bußgelder gegen das Unternehmen als Ganzes bemessen, einschließlich der US-Muttergesellschaften. Zweitens umfassen die Durchsetzungsmechanismen gegen Nicht-EU-Stellen die Zustellung über EU-Vertreter sowie kommerziellen Druck durch Anordnungen an EU-Stellen, Übermittlungen an nicht konforme US-Partner auszusetzen. Drittens bestimmt beim One-Stop-Shop-Mechanismus die Wahl des Standorts der EU-Niederlassung eines US-Unternehmens, welche Datenschutzbehörde grenzüberschreitende Untersuchungen federführend leitet, wobei sich die irische DPC und die luxemburgische CNPD als besonders aktive federführende Behörden für große Technologieunternehmen etabliert haben.
Die vollständige DSGVO-Compliance-Checkliste für US-Unternehmen
Die Feststellung, dass die DSGVO gilt, ist der Einstieg, nicht das Ziel. Ein US-Unternehmen im Anwendungsbereich von Artikel 3 Absatz 2 muss die vollständige Bandbreite der Pflichten eines Verantwortlichen nach der DSGVO erfüllen:
Schritt 1: Einen EU-Vertreter nach Artikel 27 bestellen. Schriftliche Benennung, Präsenz in einem EU-Mitgliedstaat, Offenlegung der Identität im Datenschutzhinweis. Ausnahme: nur wenn die eng gefasste Ausnahme nach Art. 27 Abs. 2 tatsächlich greift.
Schritt 2: Eine Datenkartierung durchführen. Erfassen Sie jede Kategorie verarbeiteter personenbezogener EU-Daten, den Zweck jeder Verarbeitungstätigkeit, die herangezogene Rechtsgrundlage, die Aufbewahrungsfrist sowie etwaige Auftragsverarbeiter oder Empfänger Dritter. Dies bildet die Grundlage für das Verarbeitungsverzeichnis nach Artikel 30.
Schritt 3: Rechtsgrundlagen für jede Verarbeitungstätigkeit festlegen. Nach Artikel 6 Absatz 1 muss jede Verarbeitungstätigkeit auf einer von sechs Rechtsgrundlagen beruhen: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen (die eine Abwägungsprüfung erfordern). Marketingtätigkeiten erfordern in der Regel eine Einwilligung. Die Rechtsgrundlage der Vertragserfüllung gilt, wenn die Verarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist. Berechtigte Interessen erfordern eine dokumentierte dreiteilige Prüfung: Das Interesse ist berechtigt, die Verarbeitung ist hierfür erforderlich, und die Interessen und Rechte der betroffenen Person überwiegen nicht.
Schritt 4: Den Datenschutzhinweis aktualisieren. Der Informationshinweis nach Artikel 13/14 muss offenlegen: Identität und Kontaktdaten des Verantwortlichen und, sofern zutreffend, des EU-Vertreters; die Zwecke und Rechtsgrundlagen jeder Verarbeitungstätigkeit; etwaige Übermittlungen in Drittländer und den verwendeten Mechanismus; Aufbewahrungsfristen; sowie die Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde).
Schritt 5: Einen Workflow für Betroffenenrechte (DSR) aufbauen. Die DSGVO gewährt EU-Bewohnern das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), eine übertragbare Kopie (Art. 20) sowie Widerspruch gegen die Verarbeitung (Art. 21). Anfragen müssen in der Regel innerhalb eines Kalendermonats beantwortet werden, mit einer möglichen Verlängerung um zwei Monate bei komplexen Anfragen. Für die erste Anfrage im Jahr darf keine Gebühr erhoben werden.
Schritt 6: Eine Cookie- und Einwilligungsprüfung durchführen. Die meisten Websites von US-Unternehmen setzen Werbe- und Analyse-Cookies ein, die vor Aktivierung eine gültige DSGVO-Einwilligung erfordern (freiwillig, spezifisch, informiert, eindeutig und ebenso leicht zu widerrufen wie zu erteilen). Der EDSA und mehrere Datenschutzbehörden haben bestätigt, dass vorangekreuzte Kästchen, gebündelte Einwilligungen und "Einwilligungswände" (die eine Einwilligung für den Zugriff auf die Website voraussetzen) keine gültige DSGVO-Einwilligung darstellen. Ein konformer Ansatz für das Einwilligungsmanagement erfordert einen abgestuften Hinweis mit granularen Opt-ins und einer jederzeitigen Widerrufsmöglichkeit.
Schritt 7: Auftragsverarbeitungsverträge nach Artikel 28 abschließen. Jeder Dienstleister oder Subunternehmer, der personenbezogene EU-Daten im Auftrag des Unternehmens verarbeitet (Cloud-Speicher, E-Mail-Zustellung, CRM, Analysewerkzeuge, Support-Tools), benötigt einen schriftlichen Auftragsverarbeitungsvertrag nach Artikel 28 Absatz 3 mit Angaben zum Umfang der Verarbeitung, den Weisungen, den Sicherheitspflichten, den Regeln für Unterauftragsverarbeiter, den Prüfrechten sowie den Rückgabe- oder Löschpflichten bei Vertragsende.
Schritt 8: Einen Datenübermittlungsmechanismus wählen. Empfängt das Unternehmen personenbezogene EU-Daten von EU-Stellen oder -Personen, prüfen Sie, ob das Unternehmen DPF-zertifiziert ist oder ob für jede relevante Übermittlungsbeziehung SCCs von 2021 vorliegen.
Schritt 9: Ein Verfahren zur Meldung von Datenschutzverletzungen einrichten. Artikel 33 verlangt die Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung einer Verletzung des Schutzes personenbezogener Daten, es sei denn, die Verletzung birgt voraussichtlich kein Risiko für natürliche Personen. Die 72-Stunden-Frist beginnt, sobald das interne Team des Unternehmens Kenntnis von der Verletzung erlangt, nicht erst nach Abschluss der forensischen Untersuchung. Eine vorläufige Meldung kann innerhalb von 72 Stunden mit weiteren Angaben zu einem späteren Zeitpunkt erfolgen.
Schritt 10: Prüfen, ob ein Datenschutzbeauftragter erforderlich ist. Artikel 37 der DSGVO verlangt einen Datenschutzbeauftragten für: Behörden; Unternehmen, deren Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfordert; sowie Unternehmen, deren Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien umfasst (Gesundheitsdaten, biometrische Daten, genetische Daten, Daten über strafrechtliche Verurteilungen). Die meisten US-Unternehmen im Bereich SaaS, E-Commerce oder Dienstleistungen erreichen die Schwelle für einen Datenschutzbeauftragten nicht, Unternehmen mit umfangreichen Adtech-, Gesundheits- oder HR-Analyseplattformen sollten dies jedoch sorgfältig prüfen.
Schritt 11: Datenschutz-Folgenabschätzungen (DSFA) durchführen, wo erforderlich. Artikel 35 verlangt eine Datenschutz-Folgenabschätzung vor Beginn jeder Verarbeitung, die voraussichtlich ein hohes Risiko für natürliche Personen birgt, einschließlich umfangreichem Profiling, systematischer Überwachung öffentlich zugänglicher Bereiche sowie umfangreicher Verarbeitung besonderer Datenkategorien.
Schritt 12: Ein Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 führen. Verantwortliche müssen ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten führen, das Aufsichtsbehörden auf Anfrage zur Verfügung gestellt wird. Die Ausnahme nach Artikel 30 Absatz 5 für Unternehmen mit weniger als 250 Beschäftigten ist eng gefasst und gilt nicht, wenn die Verarbeitung fortlaufend erfolgt, Risiken für Betroffene birgt oder besondere Datenkategorien umfasst.
Haftungsausschluss: Dieser Artikel enthält allgemeine rechtliche Informationen über den räumlichen Anwendungsbereich der DSGVO und ihre Anwendung auf US-Unternehmen. Er stellt keine Rechtsberatung dar und begründet kein Mandatsverhältnis. Die Beurteilung der DSGVO-Compliance ist einzelfallabhängig und richtet sich danach, wie Ihre Organisation personenbezogene Daten verarbeitet. Wenden Sie sich für eine Beratung zu Ihrer konkreten Situation an eine in Ihrer Rechtsordnung zugelassene Rechtsanwältin oder einen zugelassenen Rechtsanwalt oder eine Fachperson für Datenschutz. Angaben mit Stand Juni 2026 geprüft.
Frequently Asked Questions
Gilt die DSGVO für US-Unternehmen?
Ja, die DSGVO gilt für US-Unternehmen, die einen der beiden Tests nach Artikel 3 Absatz 2 erfüllen: Das Unternehmen bietet Personen in der EU Waren oder Dienstleistungen an (auch kostenlos), oder es überwacht das Verhalten von Personen in der EU, etwa durch Werbe-Pixel, Analyse-Profiling oder Standortverfolgung. Eine physische Präsenz oder Niederlassung in der EU ist nicht erforderlich. Entscheidend ist, ob das Unternehmen gezielt EU-Nutzer anspricht oder deren Verhalten technisch überwacht, während sie sich in der Union befinden.
Muss meine US-Website die DSGVO einhalten?
Das hängt davon ab, ob Ihre Website einen der beiden Auslösetatbestände in Artikel 3 Absatz 2 erfüllt. Akzeptiert Ihre Website eine Bezahlung in EU-Währung, bietet sie EU-Versand an, schaltet sie EU-gerichtete Werbung oder verwendet sie Analyse- oder Werbe-Pixel, die einzelne EU-Besucher über die Zeit verfolgen, gilt die DSGVO wahrscheinlich. Erwägungsgrund 23 macht deutlich, dass die bloße Erreichbarkeit einer Website in der EU nicht ausreicht: Eine rein englischsprachige US-Website ohne EU-gerichtete Funktionen, EU-Zahlungsoptionen oder EU-gerichtete Werbung löst die DSGVO für sich allein wahrscheinlich nicht aus, selbst wenn sie gelegentlich von EU-Bewohnern besucht wird.
Was ist ein EU-Vertreter nach Artikel 27, und benötigt mein US-Unternehmen einen solchen?
Ein Vertreter nach Artikel 27 ist eine natürliche Person oder Organisation mit Sitz in einem EU-Mitgliedstaat, die ein Nicht-EU-Unternehmen als lokalen Ansprechpartner für Betroffene und Aufsichtsbehörden benennt. Ihr US-Unternehmen benötigt einen solchen Vertreter, wenn Artikel 3 Absatz 2 für Ihre Verarbeitung gilt und die eng gefasste Ausnahme nach Artikel 27 Absatz 2 nicht greift: Diese Ausnahme erfasst nur Verarbeitungen, die gelegentlich erfolgen, keine umfangreiche Verarbeitung besonderer Datenkategorien umfassen und ein minimales Risiko für Betroffene bergen. Die meisten US-Unternehmen mit einer fortlaufenden EU-Kundenbasis, Marketingliste oder Analyseprogramm müssen einen Vertreter bestellen. Die Unterlassung stellt einen Verstoß der Stufe 1 nach Artikel 83 Absatz 4 dar, mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Kann die EU ein US-Unternehmen ohne EU-Vermögenswerte mit einem Bußgeld belegen?
Ja. DSGVO-Bußgelder werden gegen das Unternehmen als Ganzes bemessen und können auf mehreren Wegen durchgesetzt werden: über den Vertreter nach Artikel 27, durch Anordnungen, die EU-ansässige Partner zur Aussetzung von Datenübermittlungen an das nicht konforme US-Unternehmen verpflichten, sowie über grenzüberschreitende rechtliche Durchsetzungsmechanismen. EU-Datenschutzbehörden haben bereits Bußgelder von über 1 Milliarde Euro gegen Unternehmen mit US-Hauptsitz verhängt, die über EU-Tochtergesellschaften tätig sind. Ein US-Unternehmen, das vollständig ohne EU-Vermögenswerte tätig ist, ist schwerer zur Zahlung zu bewegen, doch die Reputations- und geschäftlichen Folgen einer Anordnung, die EU-Datenübermittlungen blockiert, sind unabhängig davon erheblich.
Was unterscheidet die DSGVO vom CCPA für ein US-Unternehmen?
Die DSGVO verlangt für jede Verarbeitungstätigkeit vor deren Beginn eine Rechtsgrundlage (ein Modell der vorherigen Erlaubnis), während CCPA/CPRA ein nachträgliches Opt-out-Modell für den Verkauf oder die Weitergabe personenbezogener Daten verwendet. Der Einwilligungsstandard der DSGVO verlangt eine freiwillige, spezifische, informierte und eindeutige Willensbekundung; das allgemeine Rahmenwerk der CCPA erlaubt die Verarbeitung, sofern der Verbraucher dem Verkauf oder der Weitergabe nicht widerspricht. Die DSGVO gilt für jedes Unternehmen, das EU-Bewohner gezielt anspricht oder überwacht, unabhängig vom Umsatz; CCPA/CPRA gilt für gewinnorientierte kalifornische Unternehmen, die bestimmte Umsatz- oder Datenvolumenschwellen erfüllen. Ein Unternehmen mit EU- und kalifornischer Präsenz benötigt beide Compliance-Programme, wobei die Grundlage aus Datenkartierung und Lieferantenmanagement gemeinsam genutzt werden kann.
Was ist das EU-US-Datenschutzrahmenwerk, und wie funktioniert die Selbstzertifizierung?
Das EU-US-Datenschutzrahmenwerk (Data Privacy Framework, DPF) ist ein Angemessenheitsmechanismus, den die Europäische Kommission am 10. Juli 2023 angenommen hat (Beschluss 2023/1795). Er erlaubt es EU-Stellen, personenbezogene Daten an selbstzertifizierte US-Organisationen zu übermitteln, ohne für jede Übermittlung Standardvertragsklauseln abzuschließen. Ein US-Unternehmen zertifiziert sich jährlich selbst gegenüber dem US-Handelsministerium, indem es sich zu den sieben DPF-Grundsätzen verpflichtet (Benachrichtigung, Wahlmöglichkeit, Verantwortlichkeit bei Weiterübermittlung, Sicherheit, Datenintegrität und Zweckbindung, Zugang sowie Rechtsbehelf, Durchsetzung und Haftung). Die Zertifizierung ist auf Unternehmen beschränkt, die der Zuständigkeit der FTC oder des Verkehrsministeriums unterliegen. DPF-zertifizierte Organisationen werden öffentlich unter dataprivacyframework.gov gelistet.
Bedeutet eine DPF-Zertifizierung, dass ein US-Unternehmen vollständig DSGVO-konform ist?
Nein. Die DPF-Zertifizierung betrifft nur den Übermittlungsmechanismus: Sie ermöglicht den rechtmäßigen Fluss personenbezogener EU-Daten an das zertifizierte US-Unternehmen, ohne dass für jede Übermittlung SCCs abgeschlossen werden müssen. Sie ersetzt nicht die vollständige DSGVO-Compliance. Ein DPF-zertifiziertes US-Unternehmen muss weiterhin für jede Verarbeitungstätigkeit eine Rechtsgrundlage haben, einen Datenschutzhinweis nach Artikel 13/14 bereitstellen, auf Anfragen zu Betroffenenrechten reagieren, ein Verarbeitungsverzeichnis nach Artikel 30 führen, Auftragsverarbeitungsverträge nach Artikel 28 mit Dienstleistern abschließen und alle weiteren DSGVO-Pflichten erfüllen. Das DPF ist eine Lösung für das Übermittlungsrecht, kein allgemeines Gütesiegel für DSGVO-Compliance.
Welche EU-Aufsichtsbehörde ist für ein US-Unternehmen zuständig?
Ein Nicht-EU-Unternehmen ohne EU-Niederlassung unterliegt der Zuständigkeit jeder EU-Aufsichtsbehörde des Mitgliedstaats, in dem sich seine EU-Betroffenen befinden. Benennt ein US-Unternehmen beispielsweise einen Vertreter nach Artikel 27 in Irland, ist die irische Datenschutzbehörde für über den Vertreter entstehende Angelegenheiten primär zuständig. Ohne Vertreter kann jede Datenschutzbehörde eines Mitgliedstaats, in dem betroffene Personen ansässig sind, eine Untersuchung eröffnen. Dies unterscheidet sich vom One-Stop-Shop-Mechanismus, der für in der EU niedergelassene Verantwortliche gilt, bei dem eine einzige federführende Behörde die grenzüberschreitende Durchsetzung koordiniert.
Müssen US-B2B-Unternehmen die DSGVO für EU-Geschäftskontakte einhalten?
Ja, sofern sie personenbezogene Daten von Personen bei EU-Unternehmen verarbeiten. Die DSGVO schützt natürliche Personen, nicht juristische Personen. Individuelle Geschäftskontakte (Namen, dienstliche E-Mail-Adressen, Durchwahlnummern von Beschäftigten bei EU-Unternehmen) sind personenbezogene Daten nach der DSGVO, weil sie eine natürliche Person identifizieren. Eine US-SaaS-Plattform, ein Marketing-Automatisierungswerkzeug oder ein Vertriebsteam, das Kontaktdaten von EU-Beschäftigten für Akquise, Ansprache oder CRM-Zwecke verarbeitet, kann unter den Zielgerichtetheitstest fallen (wenn EU-Unternehmen gezielt angesprochen werden) oder unter den Überwachungstest (wenn Kontaktdaten für Profiling oder Verhaltensverfolgung genutzt werden). Die in einigen nationalen Datenschutzgesetzen vorgesehene Ausnahme für Geschäftskontaktdaten existiert in der DSGVO nicht.
Was sind die höchsten DSGVO-Bußgelder gegen US-Unternehmen?
Das höchste bekannte Bußgeld Mitte 2026 ist das Bußgeld von 1,2 Milliarden Euro gegen Meta Platforms, das die irische DPC im Mai 2023 verhängte, weil das Unternehmen EU-Nutzerdaten ohne angemessene Garantien an US-Server übermittelt hatte. Die luxemburgische CNPD verhängte im Juli 2021 ein Bußgeld von 746 Millionen Euro gegen Amazon, weil das Unternehmen Werbedaten von EU-Nutzern ohne gültige Rechtsgrundlage verarbeitet hatte. Die irische DPC verhängte im September 2021 ein Bußgeld von 225 Millionen Euro gegen WhatsApp wegen Transparenzverstößen. Die französische CNIL verhängte im Januar 2022 ein Bußgeld von 150 Millionen Euro gegen Google LLC wegen Cookie-Einwilligungspraktiken, die eine Ablehnung schwieriger machten als eine Zustimmung. Diese Maßnahmen betrafen Unternehmen mit US-Hauptsitz, die über EU-Tochtergesellschaften tätig sind.
Sources and References
- DSGVO Art. 3, 27, 83 und Erwägungsgründe 23-24 (Verordnung (EU) 2016/679)(eur-lex.europa.eu)
- EDSA-Leitlinien 3/2018 zum räumlichen Anwendungsbereich (Artikel 3 DSGVO), Version 2.0, angenommen am 12. November 2019(edpb.europa.eu)
- Durchführungsbeschluss (EU) 2023/1795: Angemessenheitsbeschluss zum EU-US-Datenschutzrahmenwerk, 10. Juli 2023(eur-lex.europa.eu)
- Durchführungsbeschluss (EU) 2021/914: Standardvertragsklauseln für internationale Übermittlungen, 4. Juni 2021(eur-lex.europa.eu)
- EU-US Data Privacy Framework Program: Die sieben Grundsätze(dataprivacyframework.gov)
- EU-US-Datenübermittlungen: Überblick über verfügbare Mechanismen(commission.europa.eu)
- EuGH: Datenschutzbeauftragter gegen Facebook Ireland (Schrems II), Rechtssache C-311/18, 16. Juli 2020(curia.europa.eu)
- EuGH: Google Spain gegen AEPD und Mario Costeja Gonzalez, Rechtssache C-131/12, 13. Mai 2014(curia.europa.eu)