EU-U.S. Data Privacy Framework (Datenübermittlungsabkommen EU-USA)
Das EU-U.S. Data Privacy Framework (DPF) ist ein seit Juli 2023 gültiger Angemessenheitsbeschluss der Europäischen Kommission, der die Übermittlung personenbezogener Daten aus dem EWR an zertifizierte US-Unternehmen ohne zusätzliche Garantien erlaubt.
Ausführliche Erklärung
Das EU-U.S. Data Privacy Framework ist der dritte Versuch, einen rechtssicheren Rahmen für Datenübermittlungen zwischen der Europäischen Union und den USA zu schaffen. Nach dem Safe-Harbor-Abkommen (ungültig seit 2015) und dem EU-U.S. Privacy Shield (ungültig seit 2020) trat am 10. Juli 2023 der neue Angemessenheitsbeschluss in Kraft. Die Vorgänger waren vom Europäischen Gerichtshof gekippt worden, insbesondere wegen unzureichender Schutzmechanismen gegen den Zugriff US-amerikanischer Nachrichtendienste auf Daten europäischer Bürger:innen.
Das DPF basiert auf einem Selbstzertifizierungsmechanismus: US-Unternehmen melden sich freiwillig beim U.S. Department of Commerce an und verpflichten sich, die DPF-Prinzipien einzuhalten. Nur Unternehmen, die in der offiziellen DPF-Liste geführt sind, dürfen personenbezogene Daten aus der EU empfangen, ohne dass zusätzliche Maßnahmen wie Standardvertragsklauseln erforderlich sind. Zu beachten ist dabei, dass die Zertifizierung zwischen allgemeinen Daten (Non-HR Data) und Beschäftigtendaten (HR Data) unterscheidet. Zudem muss zusätzlich zum DPF weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen.
Als Reaktion auf die Kritik am Privacy Shield enthält das DPF neue Garantien: Die Executive Order 14086 des US-Präsidenten schränkt den Zugriff von US-Nachrichtendiensten auf das Notwendige und Verhältnismäßige ein. Ein neues zweistufiges Rechtsbehelfsystem mit einem unabhängigen Data Protection Review Court wurde eingerichtet, bei dem EU-Bürger:innen Beschwerden gegen unrechtmäßigen Datenzugriff durch US-Behörden einreichen können. Die Europäische Kommission führte im Oktober 2024 die erste Überprüfung des Frameworks durch und bestätigte dessen Funktionsfähigkeit.
Trotz dieser Verbesserungen besteht Rechtsunsicherheit: Datenschutzaktivist Max Schrems und die NGO noyb kündigten bereits eine neuerliche Klage vor dem Europäischen Gerichtshof an. Im September 2025 wies das EU-Gericht der ersten Instanz eine Klage des französischen Abgeordneten Philippe Latombe ab, eine Berufung zum EuGH bleibt jedoch möglich. Unternehmen sollten die rechtliche Entwicklung engmaschig verfolgen und gegebenenfalls ergänzend Standardvertragsklauseln vereinbaren, um für den Fall einer erneuten Ungültigerklärung vorbereitet zu sein.
Praxisbeispiel
Ein 35-Mitarbeiter-Unternehmen aus der Steuerberatung in Graz nutzt zur Kundenverwaltung eine cloudbasierte CRM-Software des US-Anbieters Salesforce. Da Salesforce seit Oktober 2023 im Data Privacy Framework zertifiziert ist und die Zertifizierung sowohl Non-HR als auch HR-Daten umfasst, kann die Kanzlei personenbezogene Kundendaten rechtmäßig übermitteln. Voraussetzung bleibt, dass eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt und die Kanzlei die DPF-Zertifizierung des Anbieters regelmäßig überprüft.
Quellen
- Data protection adequacy for non-EU countries – Europäische Kommission
- EU-U.S. Data Privacy Framework – Österreichische Datenschutzbehörde
- Data Privacy Framework Website – U.S. Department of Commerce
- European Commission report reviews progress of EU-US DPF – IAPP
- EU-U.S. Data Privacy Framework Survives First Challenge – DLA Piper