Datentransfer in die USA: Das neue EU-U.S. Data Privacy Framework einfach erklärt
Seit Juli 2023 gibt es mit dem Data Privacy Framework (DPF) eine neue Grundlage für Datentransfers in die USA. Unternehmen gewinnen dadurch mehr Rechtssicherheit. Wir erklären, was Sie jetzt wissen müssen.
- Was ist das DPF?
- Wie funktioniert das Zertifizierungsverfahren für US-Unternehmen?
- Wo finde ich die Liste der zertifizierten Unternehmen?
- Gilt das DPF automatisch für alle Datentransfers in die USA?
- Genügt das DPF alleine als Rechtsgrundlage für Datentransfers?
- Welche Vorteile hat das DPF für Unternehmen innerhalb der EU?
- Gibt es eine Überprüfung des DPF?
- Was bedeutet das für Unternehmen in der Praxis?
Was ist das DPF?
Das DPF ist ein Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023. Es ermöglicht die Übermittlung personenbezogener Daten aus der EU in die USA, ohne dass zusätzliche Instrumente wie Standardvertragsklauseln (SCC) oder Binding Corporate Rules (BCR) erforderlich sind.
Wie funktioniert das Zertifizierungsverfahren für US-Unternehmen?
Das DPF basiert auf einem Selbstzertifizierungsmechanismus:
- US-Unternehmen müssen sich beim U.S. Department of Commerce (DoC) eintragen.
- Die Federal Trade Commission (FTC) bzw. das Department aof Transportation (DoT) überwacht die Einhaltung.
- Die Zertifizierung ist jährlich zu erneuern. Nur Unternehmen auf der offiziellen DPF-Liste dürfen rechtmäßig Daten empfangen.
Wo finde ich die Liste der zertifizierten Unternehmen?
Seit dem 17. Juli 2023 ist die öffentlich zugängliche Liste mit DPF-zertifizierten Unternehmen online verfügbar auf der offiziellen Website des DPF.
Gilt das DPF automatisch für alle Datentransfers in die USA?
Das DPF gilt nicht automatisch für alle Datentransfers in die USA. Nur zertifizierte Unternehmen dürfen Daten auf Grundlage des DPF empfangen. Für andere US-Unternehmen sind weiterhin Standardvertragsklauseln (engl. Standard Contractual Clauses,, kurz SCC), Binding Corporate Rules (BCR) oder Transfer Impact Assessments (TIA) erforderlich.
Genügt das DPF alleine als Rechtsgrundlage für Datentransfers?
Für Datentransfers genügt das DPF alleine als Rechtsgrundlage nicht. Zusätzlich muss immer eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen.
Welche Vorteile hat das DPF für Unternehmen innerhalb der EU?
- mehr Rechtssicherheit als bei SCC's, da ein anerkannter EU-Beschluss vorliegt
- einheitlicher, transparenter Rahmen für zertifizierte US-Unternehmen
- vereinfachte Prozesse, da keine Einzelfallverträge mehr notwendig sind
Gibt es eine Überprüfung des DPF?
Die erste Review des DPF fand im Juli 2024 statt und bestätigte die Funktionsfähigkeit der zentralen Mechanismen bei über 2.800 zertifizierten Unternehmen. Der EDPB sah Fortschritte, mahnte jedoch Verbesserungen bei der praktischen Umsetzung an. Die nächste Überprüfung ist für 2027 vorgesehen.
Was bedeutet das für Unternehmen in der Praxis?
- Kurzfristig: Prüfen, ob die US-Partner zertifiziert sind.
- Mittelfristig: Umstellen von SCCs auf DPF-basierte Transfers.
- Langfristig: Entwicklungen beobachten, da eine erneute EuGH-Prüfung möglich ist.
Stand: September 2025
Die Informationen und Auskünfte der IHK Schwaben enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall (z. B. durch einen Rechtsanwalt, Steuerberater, Unternehmensberater etc.) nicht ersetzen.