EU-US Data Privacy Framework: Vollständiger Leitfaden (2026)
Das EU-US Data Privacy Framework (DPF) für Datenschutz ist ein Angemessenheitsbeschluss, den die Europäische Kommission am 10. Juli 2023 nach Artikel 45 DSGVO erlassen hat. Er erlaubt die rechtmäßige Übermittlung personenbezogener Daten aus der EU an US-Organisationen, die ihre Einhaltung über das US-Handelsministerium selbst zertifizieren.
Das EU-US Data Privacy Framework (DPF) ist der dritte Versuch der Europäischen Union und der Vereinigten Staaten, einen stabilen Rechtsmechanismus für die Übermittlung personenbezogener Daten über den Atlantik zu schaffen. Seine beiden Vorgänger, Safe Harbor und Privacy Shield, wurden beide vom Gerichtshof der Europäischen Union (EuGH) gekippt. Zu verstehen, warum diese Rahmenwerke scheiterten, wie das DPF konzipiert wurde, um diese Schwächen zu beheben, und welche Anfechtungen es nun bedrohen, ist für jede Organisation unerlässlich, die personenbezogene Daten zwischen der EU und den USA bewegt.
Dieser Leitfaden behandelt die vollständige Geschichte, die Funktionsweise des DPF, den neuen Beschwerdemechanismus, die erste Überprüfung 2024, das Verfahren Latombe und die anhängige Berufung beim EuGH, die PCLOB-Krise sowie praktische Schritte, die Unternehmen jetzt ergreifen sollten.
Kurzantwort
Das EU-US Data Privacy Framework ist geltendes Recht. Der Angemessenheitsbeschluss der Europäischen Kommission vom Juli 2023 hat weiterhin Bestand. Das Gericht der Europäischen Union bestätigte ihn im September 2025, und das DPF bleibt die einfachste Rechtsgrundlage für Datenübermittlungen von der EU in die USA. Allerdings ist eine Berufung beim EuGH (Rechtssache C-703/25 P) anhängig, die Aufsichtsbehörde, die die nachrichtendienstlichen Schutzmaßnahmen des DPF überprüft (das PCLOB), befindet sich in einem rechtlichen Schwebezustand, und Section 702 FISA wird im Rahmen einer kurzfristigen Verlängerung betrieben, während der Kongress über eine Erneuerung debattiert. Organisationen, die sich ausschließlich auf das DPF verlassen, sollten Standardvertragsklauseln als Absicherung bereithalten.
Von Safe Harbor über Privacy Shield zum DPF
Der Weg zum aktuellen Rahmenwerk erstreckt sich über mehr als zwei Jahrzehnte und zwei wegweisende Urteile des EuGH.
Safe Harbor (2000 bis 2015)
Das Safe-Harbor-Rahmenwerk wurde im Jahr 2000 eingeführt, um die grundlegenden Unterschiede zwischen den Datenschutzansätzen der EU und der USA zu überbrücken. US-Unternehmen konnten selbst bestätigen, dass sie eine Reihe von Datenschutzgrundsätzen einhielten, die an EU-Standards angelehnt waren. Rund 4.500 Unternehmen nahmen daran teil.
Im Oktober 2015 erklärte der EuGH Safe Harbor im Urteil Schrems I (Rechtssache C-362/14) für ungültig. Der österreichische Datenschutzaktivist Max Schrems focht die Datenübermittlungen von Facebook Ireland an und argumentierte, dass die Enthüllungen von Edward Snowden über die massenhafte Überwachung durch die NSA zeigten, dass die USA keinen angemessenen Schutz böten. Der Gerichtshof folgte dieser Argumentation: Safe Harbor beschränkte den Zugriff der US-Regierung auf personenbezogene Daten aus der EU nicht ausreichend und bot EU-Bürgern keinen wirksamen gerichtlichen Rechtsschutz.
Privacy Shield (2016 bis 2020)
Der EU-US Privacy Shield ersetzte Safe Harbor im August 2016. Er enthielt strengere Datenschutzgrundsätze, eine verstärkte Aufsicht durch die FTC und einen Ombudsmann des US-Außenministeriums zur Bearbeitung von EU-Beschwerden über nachrichtendienstliche Tätigkeiten. Über 5.300 US-Unternehmen zertifizierten sich.
Im Juli 2020 kippte der EuGH den Privacy Shield im Urteil Schrems II (Rechtssache C-311/18). US-Überwachungsprogramme, insbesondere Section 702 des Foreign Intelligence Surveillance Act (FISA) und die Executive Order 12333, erlaubten eine massenhafte Datenerhebung, die über das nach EU-Recht "unbedingt Erforderliche" hinausging. Der Ombudsmann war nicht ausreichend unabhängig und hatte keine verbindliche Befugnis gegenüber den Nachrichtendiensten.
Verhandlungen auf dem Weg zum DPF (2020 bis 2023)
Nach Schrems II stützten sich Organisationen hauptsächlich auf Standardvertragsklauseln in Verbindung mit Transfer Impact Assessments. Die Verhandlungen zwischen der EU und den USA begannen fast unmittelbar danach.
Im März 2022 kündigten Präsident Biden und Kommissionspräsidentin von der Leyen eine grundsätzliche Einigung an. Am 7. Oktober 2022 unterzeichnete Präsident Biden die Executive Order 14086 ("Enhancing Safeguards for United States Signals Intelligence Activities"), die die materiell-rechtlichen Änderungen schuf, die das neue Rahmenwerk erforderte.
Die Kommission veröffentlichte ihren Entwurf des Angemessenheitsbeschlusses im Dezember 2022. Der EDSA veröffentlichte seine Stellungnahme im Februar 2023 und erkannte darin Verbesserungen an, äußerte aber auch Bedenken. Der endgültige Angemessenheitsbeschluss wurde am 10. Juli 2023 erlassen.
Wie das DPF funktioniert
Das DPF besteht aus zwei sich ergänzenden Teilen: der Selbstzertifizierung durch US-Unternehmen und verbindlichen Zusagen der US-Regierung zu nachrichtendienstlichen Tätigkeiten.
Der Zertifizierungsprozess
US-Unternehmen treten dem DPF bei, indem sie sich über die International Trade Administration (ITA) des US-Handelsministeriums selbst zertifizieren. Die Zertifizierung ist freiwillig, begründet aber, einmal erfolgt, rechtlich verbindliche Pflichten.
Für die Zertifizierung muss eine Organisation:
- bestätigen, dass sie der Durchsetzungszuständigkeit der FTC oder des Verkehrsministeriums (DOT) unterliegt
- eine Datenschutzrichtlinie entwickeln, die den DPF-Grundsätzen entspricht
- einen unabhängigen Beschwerdemechanismus zur Bearbeitung individueller Beschwerden benennen
- die geltende Jahresgebühr entsprechend dem Jahresumsatz entrichten
- ihre Zertifizierung über die Website des Data Privacy Framework einreichen
Mehr als 2.800 Organisationen halten Stand 2026 eine aktive Zertifizierung. Die ITA führt eine öffentliche Liste zertifizierter Organisationen, die EU-Datenexporteure vor jeder Übermittlung prüfen sollten.
Die DPF-Grundsätze
Zertifizierte Organisationen müssen Datenschutzgrundsätze einhalten, die zentrale DSGVO-Konzepte widerspiegeln:
- Benachrichtigung: Betroffene über Zwecke, Praktiken und Rechte der Datenerhebung informieren
- Wahlmöglichkeit: Betroffenen ermöglichen, wesentlich abweichenden Nutzungen oder Weitergaben an Dritte zu widersprechen
- Verantwortung bei Weiterübermittlung: An Dritte weitergegebene Daten durch Verträge schützen, die gleichwertige Schutzmaßnahmen verlangen
- Sicherheit: Angemessene und geeignete Maßnahmen gegen Verlust, Missbrauch und unbefugten Zugriff umsetzen
- Datenintegrität und Zweckbindung: Personenbezogene Daten auf das für den angegebenen Zweck Relevante beschränken
- Zugang: Betroffenen ermöglichen, auf ihre personenbezogenen Daten zuzugreifen, sie zu berichtigen oder zu löschen
- Rechtsschutz, Durchsetzung und Haftung: Robuste Compliance-Mechanismen und Abhilfemaßnahmen vorhalten
Durchsetzung
Die FTC ist die zuständige Durchsetzungsbehörde. Unternehmen, die ihre DPF-Verpflichtungen nicht einhalten, müssen mit Durchsetzungsmaßnahmen nach Section 5 des FTC Act rechnen, der unlautere oder irreführende Geschäftspraktiken untersagt. Das Handelsministerium überwacht die Einhaltung, führt Stichprobenprüfungen durch und kann nicht konforme Organisationen von der Zertifizierungsliste streichen.
Executive Order 14086: Die Rechtsgrundlage
Die Executive Order 14086 adressierte unmittelbar die beiden Schwächen, die der EuGH in Schrems II festgestellt hatte: das Fehlen von Verhältnismäßigkeitsschranken bei der US-Nachrichtendatenerhebung und das Fehlen eines unabhängigen Beschwerdemechanismus.
Beschränkungen der nachrichtendienstlichen Datenerhebung
Die Anordnung beschränkt die Erhebung von Signals Intelligence auf 12 festgelegte Ziele der nationalen Sicherheit, darunter Terrorismusbekämpfung, Spionageabwehr und der Schutz kritischer Infrastruktur. Erstmals in einer US-Executive-Order erscheint "Verhältnismäßigkeit" als verbindliche Schranke: Maßnahmen müssen im Verhältnis zur validierten nachrichtendienstlichen Priorität stehen und diese Priorität gegen die Auswirkungen auf die Privatsphäre aller Personen abwägen, nicht nur US-Bürger.
Anforderungen an Datenschutz und Bürgerrechte
Jeder Nachrichtendienst muss seine Richtlinien aktualisieren, um diese Schutzmaßnahmen zu berücksichtigen. Dem Privacy and Civil Liberties Oversight Board (PCLOB) kommt eine zentrale Rolle zu: Es überprüft die Verfahren der Behörden auf Konformität, berät bei der Ernennung von DPRC-Richtern und führt eine jährliche Überprüfung darüber durch, wie Beschwerdestellen mit Beschwerden umgehen.
Schwachstelle: Es handelt sich um eine Executive Order
Da die Executive Order 14086 keine gesetzliche Regelung, sondern eine Präsidialverordnung ist, kann sie von jedem Präsidenten ohne Zustimmung des Kongresses geändert oder aufgehoben werden. Diese strukturelle Schwachstelle ist seit Langem ein Kritikpunkt von Datenschutzorganisationen und des EDSA. Der Umgang der Trump-Regierung mit dem PCLOB im Jahr 2025 zeigte, wie leicht Bestandteile des Rahmenwerks auf Ebene der Exekutive gestört werden können.
Der Data Protection Review Court
Die bedeutendste Neuerung des DPF ist der Data Protection Review Court (DPRC), der durch die Executive Order 14086 eingerichtet und durch Verordnungen des Justizministeriums umgesetzt wurde.
Wie der DPRC funktioniert
EU-Bürger, die der Ansicht sind, dass ihre Daten unrechtmäßig von US-Nachrichtendiensten erhoben wurden, reichen eine Beschwerde bei ihrer nationalen Datenschutzbehörde ein. Diese Behörde leitet die Beschwerde an den US Civil Liberties Protection Officer (CLPO) im Büro des Director of National Intelligence weiter, der eine erste Prüfung vornimmt.
Ist der Beschwerdeführer mit dem Ergebnis nicht zufrieden, kann er beim DPRC Berufung einlegen. Das Gericht besteht aus Richtern, die vom Justizminister außerhalb der US-Regierung ernannt werden und über die entsprechenden Sicherheitsfreigaben verfügen. Ein Sonderanwalt wird bestellt, um die Interessen des Beschwerdeführers zu vertreten, da geheime Verfahren eine direkte Teilnahme ausschließen. Der DPRC verfügt über verbindliche Befugnisse gegenüber den Nachrichtendiensten, die zentrale strukturelle Verbesserung gegenüber dem Ombudsmann des Privacy Shield.
Die Feststellungen des Gerichts der EU im Fall Latombe
Als die Rechtssache T-553/23 vor das Gericht der Europäischen Union kam, war eines der zentralen Argumente von Latombe, dass der DPRC kein hinreichend unabhängiges Gericht sei. Das Gericht wies dieses Argument in seinem Urteil vom 3. September 2025 zurück und stellte fest, dass die Zusammensetzung, die Aufsichtsmechanismen und die verbindlichen Befugnisse des DPRC den Anforderungen des EU-Rechts genügen. Das Gericht stellte außerdem fest, dass das US-Recht die massenhafte Datenerhebung hinreichend beschränkt und dass die Schutzmaßnahmen zu Datensicherheit und automatisierter Entscheidungsfindung im Wesentlichen den EU-Standards entsprechen.
Anhaltende Kritik
Datenschutzorganisationen, darunter NOYB (unter der Leitung von Max Schrems), argumentieren weiterhin, dass der DPRC den vom EuGH geforderten Standard eines wirksamen gerichtlichen Rechtsschutzes verfehlt, da Beschwerdeführer lediglich eine allgemeine Bestätigung erhalten, dass ihre Überprüfung abgeschlossen wurde, jedoch keine inhaltliche Erläuterung des Ergebnisses. Der geheime Charakter der Verfahren ist ein strukturelles Merkmal, kein behebbares Versäumnis.
Die UK-Erweiterung und das Swiss-US DPF
Das DPF deckt Datenübermittlungen aus dem Vereinigten Königreich oder der Schweiz nicht automatisch ab. Für beide war ein eigenes Angemessenheitsverfahren erforderlich.
UK-US Data Bridge (UK-Erweiterung)
Das Vereinigte Königreich richtete im Oktober 2023 die UK-Erweiterung des DPF ein, gemeinhin als UK-US Data Bridge bezeichnet. US-Unternehmen mit aktiver DPF-Zertifizierung können sich über dasselbe ITA-Portal zusätzlich für die Abdeckung britischer Datenübermittlungen entscheiden. Die UK-Erweiterung gilt im Rahmen der britischen UK-DSGVO und nicht der EU-DSGVO, was das eigenständige britische Datenschutzregime nach dem Brexit widerspiegelt. Die Erweiterung verfügt über eigene ergänzende Regeln, die Unterschiede zwischen britischem und EU-Datenschutzrecht berücksichtigen.
Swiss-US Data Privacy Framework
Die Schweiz beschritt einen eigenen Weg. Am 14. August 2024 erkannte der Schweizer Bundesrat die Angemessenheit des Datenschutzes an, den von unter dem DPF zertifizierten US-Unternehmen geboten wird. Der Beschluss trat am 15. September 2024 in Kraft. Die Medienmitteilung des Schweizer Bundesrats bestätigte, dass die Vereinigten Staaten in die Liste der Länder mit angemessenem Datenschutz der Schweiz aufgenommen wurden, beschränkt auf DPF-zertifizierte Organisationen. US-Unternehmen können ihre DPF-Zertifizierung über das ITA-Portal auf Übermittlungen in die Schweiz erweitern.
Das Swiss-US DPF ist derselben Schwachstelle der Executive Order 14086 ausgesetzt wie die EU-US-Version. Schweizer Datenschutzorganisationen haben darauf hingewiesen, dass die Störung des PCLOB im Jahr 2025 Unsicherheit über die Aufsichtsmechanismen schafft, auf die sich die Schweizer Angemessenheitsprüfung stützte.
Die erste turnusmäßige Überprüfung des Angemessenheitsbeschlusses (Oktober 2024)
Artikel 45 Absatz 3 DSGVO verpflichtet die Europäische Kommission, Angemessenheitsbeschlüsse regelmäßig zu überprüfen. Die erste Überprüfung des DPF fand im Oktober 2024 statt.
Feststellungen der Kommission
Der erste Überprüfungsbericht der Europäischen Kommission kam zu dem Schluss, dass das DPF weiterhin ein angemessenes Schutzniveau gewährleistet. US-Behörden hatten die Executive Order 14086 umgesetzt, der DPRC war einsatzbereit, und das Handelsministerium überwachte aktiv die zertifizierten Organisationen.
Die Kommission stellte einen wesentlichen Kritikpunkt fest: Dem PCLOB fehlte während eines Großteils des Überprüfungszeitraums die Beschlussfähigkeit. Die Kommission erklärte, dass die Wiederherstellung der vollen Handlungsfähigkeit des PCLOB für das fortlaufende Funktionieren des Rahmenwerks von Bedeutung sei.
Feststellungen des EDSA
Der erste Überprüfungsbericht des EDSA erkannte Verbesserungen an, forderte jedoch mehr Transparenz darüber, wie der DPRC mit Beschwerden umgeht, und empfahl weitere Klarstellungen dazu, wie US-Nachrichtendienste den Verhältnismäßigkeitsgrundsatz in der Praxis anwenden.
Rechtliche Anfechtungen und Risiken
Der Fall Latombe: T-553/23 und die anhängige Berufung C-703/25 P beim EuGH
Philippe Latombe, Mitglied der französischen Nationalversammlung, reichte beim Gericht der Europäischen Union eine Klage auf Nichtigerklärung des Angemessenheitsbeschlusses der Kommission ein. Dies war die erste direkte gerichtliche Anfechtung des DPF.
Am 3. September 2025 wies das Gericht die Klage ab. Das Gericht stellte fest, dass der DPRC hinreichend unabhängig und unparteiisch sei, dass das US-Recht die massenhafte Datenerhebung angemessen beschränke und dass die US-Schutzmaßnahmen für Datensicherheit und automatisierte Entscheidungsfindung im Wesentlichen dem EU-Recht entsprächen.
Latombe legte am 31. Oktober 2025 Berufung ein. Die Rechtssache wurde beim Gerichtshof als Rechtssache C-703/25 P registriert. Die Berufung beim EuGH beschränkt sich auf Rechtsfragen. Ein Verhandlungstermin war Stand Mai 2026 noch nicht bekannt gegeben worden. Sollte der EuGH in der Sache gegen das DPF entscheiden, wäre dies die dritte aufeinanderfolgende Ungültigerklärung eines transatlantischen Datenübermittlungsrahmenwerks.
NOYB und die Drohung eines "Schrems III"
NOYB hat bislang keine eigene Klage gegen das DPF eingereicht, kritisiert es aber durchgehend. Zentrale Argumente: Das Rahmenwerk stützt sich auf eine Executive Order und nicht auf ein Gesetz; der DPRC bietet Beschwerdeführern keine Transparenz; Section 702 FISA wurde nicht grundlegend reformiert. NOYB beobachtet die Berufung von Latombe und die Entwicklungen beim PCLOB auf mögliche Auslöser für eine eigene Klage.
Die PCLOB-Krise
Die Störung des PCLOB ist das unmittelbarste operative Risiko für die zugrunde liegenden Schutzmaßnahmen des DPF.
Am 27. Januar 2025 entließ Präsident Trump drei der fünf PCLOB-Mitglieder, allesamt Demokraten, per einzeiliger E-Mail und ohne Angabe von Gründen. Dies beseitigte die Beschlussfähigkeit des Gremiums. Zwei der entlassenen Mitglieder, Edward Felten und Travis LeBlanc, klagten vor einem Bundesgericht. Am 21. Mai 2025 erklärte ein Bezirksgericht ihre Entlassung für rechtswidrig und ordnete die Wiedereinsetzung an.
Die Trump-Regierung legte Berufung ein. Am 1. Juli 2025 setzte der DC Circuit Court of Appeals die Wiedereinsetzungsanordnung bis zur Entscheidung über die Berufung aus, und das Verfahren wurde anschließend bis zur Entscheidung des Supreme Court in Trump v. Slaughter (Nr. 25-332) zurückgestellt, die die verfassungsrechtlichen Grenzen der präsidialen Befugnis zur Entlassung von Mitgliedern unabhängiger Aufsichtsgremien klären wird. Bis diese Frage geklärt ist, kann das PCLOB nicht in voller Kapazität arbeiten.
Die praktischen Folgen für das DPF: Das PCLOB kann die von der Anordnung selbst geforderten jährlichen Überprüfungen der Einhaltung der Executive Order 14086 nicht durchführen; seine beratende Rolle bei der Ernennung von DPRC-Richtern ist ausgesetzt; und sowohl der EDSA als auch die Europäische Kommission haben die Handlungsunfähigkeit des PCLOB als Bedenken für die laufende Angemessenheitsprüfung des Rahmenwerks angeführt.
FISA Section 702
Section 702 FISA erlaubt die Erhebung ausländischer Nachrichteninformationen von Nicht-US-Personen außerhalb der Vereinigten Staaten. Die im April 2024 verabschiedete zweijährige Verlängerung (der Reforming Intelligence and Securing America Act, RISAA) lief im April 2026 aus. Der Kongress verabschiedete eine kurzfristige Verlängerung um 45 Tage, wodurch Section 702 bis Mitte Juni 2026 in Kraft bleibt, während die Debatte über eine längerfristige Erneuerung andauert.
Die von RISAA vorgenommene Ausweitung der Definition von "electronic communications service provider" stieß bei europäischen Datenschutzorganisationen auf Kritik, die argumentierten, dass sie den Kreis der Unternehmen erweitere, die Überwachungspflichten unterliegen. Der Ausgang der Verlängerungsdebatte 2026 wird von Kommission und EDSA aufmerksam verfolgt werden, um zu beurteilen, ob die Angemessenheitsvoraussetzungen des DPF weiterhin erfüllt sind.
Wenn das DPF fällt: Die Rückfalllösung Standardvertragsklauseln
Da sowohl Safe Harbor als auch Privacy Shield für ungültig erklärt wurden, sollten Organisationen einen Notfallplan bereithalten.
Standardvertragsklauseln (SCC) sind die wichtigste Rückfalllösung. SCC sind von der Europäischen Kommission genehmigte Standardvertragsbedingungen nach Artikel 46 DSGVO. Sie verpflichten den US-Datenimporteur zu EU-gleichwertigen Schutzmaßnahmen und verleihen betroffenen Personen vertragliche Rechte, die unmittelbar gegenüber dem Importeur durchsetzbar sind.
SCC machen eine Übermittlung von der EU in die USA nicht automatisch rechtmäßig, der Exporteur muss zusätzlich ein Transfer Impact Assessment (TIA) durchführen, um zu bewerten, ob US-Recht und -Praxis dem Importeur die praktische Einhaltung der SCC ermöglichen. Nach Schrems II entwickelten Organisationen TIA-Methoden; die meisten dieser Bewertungen bleiben heute gültig und können aktualisiert werden, falls das DPF fällt.
Weitere Übermittlungsmechanismen nach Artikel 46 DSGVO umfassen verbindliche interne Datenschutzvorschriften (BCR) für konzerninterne Übermittlungen, genehmigte Verhaltensregeln und die eng gefassten Ausnahmen nach Artikel 49 (Einwilligung, Vertragserfüllung, wichtige Gründe des öffentlichen Interesses). Ausnahmen eignen sich nicht als routinemäßige Übermittlungsgrundlage.
Organisationen, die neben dem DPF auch SCC vorhielten, könnten Übermittlungen bei einer Ungültigerklärung des DPF mit minimalen Unterbrechungen fortsetzen. Wer sich ausschließlich auf das DPF verlässt, stünde vor einem deutlich größeren Übergang, wie jeder bestätigen kann, der in den Wochen nach Schrems II hektisch SCC-Nachträge ausarbeiten musste.
Wie sich das DPF vom Privacy Shield unterscheidet
Grenzen der nachrichtendienstlichen Datenerhebung: Der Privacy Shield stützte sich auf die Presidential Policy Directive 28 (PPD-28), die forderte, dass die massenhafte Datenerhebung "so gezielt wie möglich" sein solle. Der EuGH befand dies als zu großzügig. Die Executive Order 14086 ersetzt dies durch ein verbindliches Verhältnismäßigkeitserfordernis und 12 aufgezählte zulässige Ziele.
Beschwerdemechanismus: Dem Ombudsmann des US-Außenministeriums beim Privacy Shield fehlte die Unabhängigkeit von der Exekutive, und er hatte keine verbindlichen Befugnisse. Der DPRC ist strukturell unabhängiger (Richter von außerhalb der Regierung), und seine Entscheidungen binden die Nachrichtendienste.
Aufsicht: Die Rolle des PCLOB ist unter der Executive Order 14086 mit spezifischen Überprüfungs- und Berichtspflichten ausdrücklich festgelegt, auch wenn 2025 gezeigt hat, dass Aufsichtskomponenten auf Ebene der Exekutive anfällig für politische Störungen sind.
Praktische Hinweise für Organisationen
Für US-Unternehmen, die EU-Daten erhalten
Prüfen Sie, ob Ihre Organisation der Zuständigkeit der FTC oder des DOT unterliegt. Vervollständigen oder erneuern Sie die Selbstzertifizierung über dataprivacyframework.gov. Aktualisieren Sie Ihre öffentliche Datenschutzrichtlinie, damit sie alle DPF-Grundsätze widerspiegelt. Benennen Sie eine unabhängige Streitbeilegungsstelle. Führen Sie interne Verfahren für Auskunftsanfragen und Beschwerden ein. Erneuern Sie die Zertifizierung jährlich, eine abgelaufene Zertifizierung macht die Übermittlungsgrundlage für in der Zwischenzeit erhaltene Daten ungültig.
Wer auch britische Daten erhält, sollte sich über das ITA-Portal für die UK-Erweiterung entscheiden. Wer Schweizer Daten erhält, sollte sich für die Swiss-US-DPF-Erweiterung entscheiden.
Für EU-Organisationen, die Daten übermitteln
Prüfen Sie vor jeder Übermittlung, ob der Empfänger auf der offiziellen Teilnehmerliste eine aktive DPF-Zertifizierung hält. Der Zertifizierungsstatus ändert sich; prüfen Sie ihn stichprobenartig, bevor neue, bedeutende Datenströme beginnen. Dokumentieren Sie den Angemessenheitsbeschluss als Rechtsgrundlage in Ihrem Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO.
Überwachen Sie das jährliche Erneuerungsdatum des Empfängers. Eine abgelaufene Zertifizierung bedeutet, dass die Angemessenheitsgrundlage für neue Übermittlungen nicht mehr gilt.
Notfallplanung
Angesichts der Geschichte für ungültig erklärter Rahmenwerke und der anhängigen Berufung beim EuGH in der Rechtssache C-703/25 P sollten umsichtige Organisationen:
- SCC parallel zur DPF-Zertifizierung für Datenströme mit hohem Volumen oder sensiblen Daten abschließen
- ein Transfer Impact Assessment vorhalten, das bei einer Ungültigerklärung des DPF aktiviert werden kann
- einen Übergangsplan dokumentieren, der festlegt, welche Datenströme auf dem DPF beruhen und wie jeder davon über SCC abgedeckt werden könnte
- die Entwicklungen beim EuGH in der Rechtssache C-703/25 P sowie die Entscheidung des Supreme Court in Trump v. Slaughter verfolgen
Dies sind allgemeine rechtliche Informationen, keine Rechtsberatung. Organisationen, die grenzüberschreitende Datenübermittlungen durchführen, sollten sich von qualifizierten Rechtsberatern zu ihrer spezifischen Situation beraten lassen.
Frequently Asked Questions
Was ist das EU-US Data Privacy Framework?
Das EU-US Data Privacy Framework (DPF) ist der Rechtsmechanismus, der die Übermittlung personenbezogener Daten aus der Europäischen Union an zertifizierte US-Organisationen ermöglicht. Die Europäische Kommission erließ ihren Angemessenheitsbeschluss am 10. Juli 2023. Er ersetzte den Privacy Shield, den der EuGH 2020 für ungültig erklärt hatte. Das DPF verbindet die freiwillige Selbstzertifizierung durch US-Unternehmen mit verbindlichen Zusagen der US-Regierung, den Zugriff der Nachrichtendienste auf personenbezogene Daten aus der EU zu beschränken und über den Data Protection Review Court einen unabhängigen Rechtsbehelf bereitzustellen.
Wurde das DPF vor Gericht angefochten?
Ja. Der französische Abgeordnete Philippe Latombe focht den Angemessenheitsbeschluss der Kommission vor dem Gericht der Europäischen Union an (Rechtssache T-553/23). Das Gericht wies seine Klage am 3. September 2025 ab und bestätigte damit die Gültigkeit des DPF. Latombe legte am 31. Oktober 2025 Berufung beim Gerichtshof der Europäischen Union ein (Rechtssache C-703/25 P). Diese Berufung ist Stand Mai 2026 noch anhängig. Ein Urteil des EuGH gegen das DPF wäre die ernsteste Bedrohung, der das Rahmenwerk bisher ausgesetzt war, angesichts der Geschichte des Gerichtshofs, die Vorgängerregelungen für ungültig zu erklären.
Was ist der Data Protection Review Court?
Der Data Protection Review Court (DPRC) ist eine unabhängige Stelle, die durch die Executive Order 14086 eingerichtet wurde, um Beschwerden von EU-Bürgern zu prüfen, die der Ansicht sind, dass ihre Daten unrechtmäßig von US-Nachrichtendiensten erhoben wurden. Seine Richter werden von außerhalb der US-Regierung ernannt, und seine Entscheidungen binden die Nachrichtendienste. Er ersetzte den Ombudsmann des US-Außenministeriums beim Privacy Shield, den der EuGH als nicht hinreichend unabhängig eingestuft hatte. Das Gericht der Europäischen Union bestätigte die Unabhängigkeit und Unparteilichkeit des DPRC im September 2025.
Was geschah mit dem PCLOB?
Am 27. Januar 2025 entließ Präsident Trump drei demokratische Mitglieder des fünfköpfigen Privacy and Civil Liberties Oversight Board per einzeiliger E-Mail und beseitigte damit dessen Beschlussfähigkeit. Zwei entlassene Mitglieder klagten und erreichten vor dem Bezirksgericht ihre Wiedereinsetzung. Die Trump-Regierung legte Berufung ein, und der DC Circuit setzte die Wiedereinsetzungsanordnung aus. Das Verfahren wurde bis zur Entscheidung des Supreme Court in Trump v. Slaughter (Nr. 25-332) zurückgestellt. Das PCLOB kann seine jährlichen DPF-Aufsichtsprüfungen nicht durchführen und seine beratende Rolle bei der Ernennung von DPRC-Richtern nicht erfüllen, bis die Frage der Beschlussfähigkeit geklärt ist.
Was ist die Executive Order 14086?
Die von Präsident Biden am 7. Oktober 2022 unterzeichnete Executive Order 14086 bildet die Rechtsgrundlage des DPF. Sie beschränkt die Erhebung von Signals Intelligence durch die USA auf 12 festgelegte Ziele der nationalen Sicherheit, führt ein Verhältnismäßigkeitserfordernis für Überwachungstätigkeiten ein, das erste in einer US-Executive-Order, und richtet den Data Protection Review Court ein. Da es sich um eine Präsidialverordnung und nicht um ein Gesetz handelt, kann sie von jedem nachfolgenden Präsidenten ohne Zustimmung des Kongresses geändert oder aufgehoben werden, ein anhaltender struktureller Kritikpunkt am DPF.
Deckt das DPF Datenübermittlungen aus dem Vereinigten Königreich oder der Schweiz ab?
Nicht automatisch. Das Vereinigte Königreich richtete im Oktober 2023 eine eigene Regelung ein, die UK-Erweiterung des DPF, gemeinhin als UK-US Data Bridge bezeichnet. Die Schweiz erkannte am 14. August 2024 die Angemessenheit DPF-zertifizierter US-Unternehmen an, wobei der Schweizer Angemessenheitsbeschluss am 15. September 2024 in Kraft trat. US-Unternehmen mit aktiver DPF-Zertifizierung können sich über dasselbe ITA-Portal für die Abdeckung britischer und schweizerischer Übermittlungen entscheiden.
Was ist die Rückfalllösung SCC, falls das DPF für ungültig erklärt wird?
Standardvertragsklauseln (SCC) sind der wichtigste Rückfallmechanismus nach Artikel 46 DSGVO. Es handelt sich um von der Europäischen Kommission genehmigte Standardvertragsbedingungen, die den US-Datenimporteur zu EU-gleichwertigen Schutzmaßnahmen verpflichten. Organisationen, die SCC nutzen, müssen zusätzlich ein Transfer Impact Assessment durchführen. Organisationen, die bereits über SCC verfügen, könnten Datenströme von der EU in die USA unmittelbar nach einer Ungültigerklärung des DPF fortsetzen; wer sich ausschließlich auf das DPF verlässt, stünde vor einem deutlich störenderen Übergang.
Wie ist der aktuelle Status von Section 702 FISA?
Section 702 des Foreign Intelligence Surveillance Act erlaubt die Erhebung ausländischer Nachrichteninformationen von Nicht-US-Personen außerhalb der Vereinigten Staaten. Die zweijährige Verlängerung vom April 2024 lief im April 2026 aus. Der Kongress verabschiedete eine kurzfristige Verlängerung um 45 Tage, wodurch Section 702 bis Mitte Juni 2026 in Kraft bleibt, während die Debatte über eine längerfristige Erneuerung andauert. Der Ausgang ist für das DPF von Bedeutung, da Section 702 eine der US-Überwachungsbefugnisse war, die in Schrems II angeführt wurden, und europäische Regulierungsbehörden verfolgen ihren Umfang genau.
Wie zertifiziert sich ein US-Unternehmen unter dem DPF?
Unternehmen zertifizieren sich, indem sie über die International Trade Administration einen Antrag auf dataprivacyframework.gov einreichen. Das Unternehmen muss der Durchsetzungszuständigkeit der FTC oder des DOT unterliegen, eine DPF-konforme Datenschutzrichtlinie entwickeln, einen unabhängigen Streitbeilegungsmechanismus benennen und eine Jahresgebühr entrichten. Die Zertifizierung muss jährlich erneuert werden. Über 2.800 Organisationen hielten Stand 2026 eine aktive Zertifizierung.
Sources and References
- Europäische Kommission - EU-US-Datenübermittlungen(commission.europa.eu).gov
- Europäische Kommission - Pressemitteilung zum Angemessenheitsbeschluss(ec.europa.eu).gov
- Executive Order 14086(whitehouse.gov).gov
- Data Privacy Framework Programm(dataprivacyframework.gov).gov
- DPF-Grundsätze(dataprivacyframework.gov).gov
- Data Protection Review Court(justice.gov).gov
- Verordnungen des Justizministeriums zum DPRC(justice.gov).gov
- EDSA-Stellungnahme 5/2023 zum DPF(edpb.europa.eu).gov
- Erste Überprüfung des DPF durch die Europäische Kommission(commission.europa.eu).gov
- EDSA-Bericht zur ersten DPF-Überprüfung(edpb.europa.eu).gov
- Pressemitteilung des Gerichts der EU - Rechtssache T-553/23 Latombe(curia.europa.eu).gov
- EUR-Lex - Rechtssache C-703/25 P, Berufung Latombe(eur-lex.europa.eu).gov
- NOYB-Analyse des DPF(noyb.eu)
- Schweizer Bundesrat - Angemessenheitsbeschluss Swiss-US DPF(admin.ch).gov
- DPF-Überblick Schweiz(dataprivacyframework.gov).gov
- UK-US Data Bridge(gov.uk).gov
- Überblick Safe Harbor(trade.gov).gov
- FTC-Verfahren zum Privacy Shield(ftc.gov).gov
- Brennan Center - Verfahren LeBlanc gegen PCLOB(brennancenter.org)
- Ressourcenseite zu FISA Section 702 (2026)(brennancenter.org)
- EDSA - DPF-FAQ für Unternehmen v2.0(edpb.europa.eu).gov