Seit dem 10. Juli 2023 können Unternehmen dank der Angemessenheitsentscheidung der EU-Kommission zum EU-U.S. Data Privacy Framework (DPF) personenbezogene Daten wieder rechtssicher in die USA übertragen. Das DPF ist der Nachfolger des gekippten Privacy Shield und bildet nun die zentrale Rechtsgrundlage nach Art. 45 DSGVO für rechtssichere Datentransfers in die USA.
In diesem Beitrag erfährst Du verständlich und praxisnah, was das DPF ist, wie es funktioniert und was Du dabei beachten musst.
Kurzdefinition: Das EU-U.S. Data Privacy Framework ist ein Angemessenheitsrahmen, der Datentransfers aus der EU an teilnehmende US-Unternehmen unter festgelegten Datenschutz-Pflichten erlaubt.
Das EU-U.S. Data Privacy Framework ist ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO. Er bescheinigt: Für Unternehmen, die am DPF teilnehmen, besteht ein Datenschutzniveau, das im Wesentlichen mit dem in der EU vergleichbar ist. Für diese zertifizierten US-Unternehmen gelten Datentransfers aus der EU in die USA daher als rechtlich zulässig, ohne dass zusätzlich Standardvertragsklauseln oder vergleichbare Garantien abgeschlossen werden müssen.
Das DPF ist ein Angemessenheitsbeschluss nach Art. 45 DSGVO: Wenn ein US-Anbieter aktiv DPF-zertifiziert ist und der Scope zu Deinen Daten passt, sind Transfers dorthin grundsätzlich ohne SCCs und ohne Transfer Impact Assessment (TIA) möglich.
Standardvertragsklauseln (SCCs) sind dagegen ein Vertragstool nach Art. 46 DSGVO für Fälle ohne Angemessenheitsbeschluss: Du brauchst SCCs plus Transfer Impact Assessment (TIA) und je nach Risiko zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung, Pseudonymisierung, Datenminimierung).
Praktisch heißt das: DPF ist meist einfacher. SCCs sind der Fallback, wenn das DPF fehlt, nicht passt oder im Einzelfall nicht reicht.
Bereits vor der Einführung des DPF gab es zwei Angemessenheitsbeschlüsse seitens der EU-Kommission, um die Datentransfers zwischen der EU und den USA zu regeln. Der Safe-Harbor-Beschluss (2000-2015) und der Privacy-Shield-Durchführungsbeschluss (2016-2020) scheiterten letztlich an mangelnden Garantien gegen US-Überwachungszugriffe und wurden vom EuGH aufgehoben bzw. für ungültig erklärt.
Mit dem DPF wurde ein neues Paket an materiellen Schutzregeln und individuellen Rechtsbehelfen aufgesetzt, das die EU-Kommission als „angemessen“ bewertet hat. Für Unternehmen ist das DPF somit die einfachste Option für Datentransfers zwischen der EU und den USA – vorausgesetzt, die US-Empfänger·innen nehmen am Programm teil.
Neu gegenüber dem gekippten Privacy Shield sind vor allem US-Rechtsänderungen. Grundlage ist die Executive Order 14086, die erstmals verbindlich festlegt, dass US-Nachrichtendienste nur noch auf personenbezogene Daten zugreifen dürfen, wenn dies tatsächlich notwendig und verhältnismäßig ist.
Beispiel: In den USA gilt jetzt die Vorgabe, dass Geheimdienste nur dann auf personenbezogene Daten zugreifen dürfen, wenn das wirklich erforderlich ist und der Eingriff in einem angemessenen Verhältnis zu den verfolgten Sicherheitszwecken steht.
Außerdem gibt es für Menschen aus der EU und dem EWR einen klaren, zweistufigen Beschwerdeweg, falls die genannten Prinzipien verletzt werden.
Stufe 1: Beschwerden werden vom Civil Liberties Protection Officer (CLPO) geprüft.
Stufe 2: Bei Unzufriedenheit kann der Fall vom Data Protection Review Court (DPRC) überprüft werden – ein unabhängiges Gremium mit der Befugnis, verbindliche Maßnahmen wie die Löschung von Daten anzuordnen.
Der gesamte Ablauf ist rechtlich fest verankert und ausdrücklich für Personen aus der EU und dem EWR geöffnet. Diese neuen Schutzregeln waren entscheidend dafür, dass die EU-Kommission das Datenschutzniveau der USA wieder als „angemessen“ bewertet hat und Datentransfers an zertifizierte US-Unternehmen ohne SCCs oder TIA zulässig sind.
Kurz gesagt: Neu am DPF sind verbindliche US-Regeln nach der Executive Order 14086, die Geheimdienstzugriffe auf personenbezogene Daten auf das Notwendige und Verhältnismäßige begrenzen, sowie ein zweistufiger Beschwerdeweg für Personen aus EU und EWR.
US-Unternehmen können sich beim Handelsministerium selbst zertifizieren. Mit der Aufnahme verpflichten sie sich auf die DPF-Prinzipien:
Das Unternehmen muss klar und verständlich informieren, welche personenbezogenen Daten es zu welchen Zwecken verarbeitet und an wen sie weitergegeben werden.
Betroffene können entscheiden, ob ihre Daten für bestimmte Zwecke (z. B. Marketing oder Weitergabe an Dritte) verwendet werden dürfen oder nicht.
Wenn Daten an andere Unternehmen weitergegeben werden, muss die ursprüngliche Empfänger·in sicherstellen, dass dort ein gleichwertiger Datenschutz eingehalten wird.
Das Unternehmen muss technische und organisatorische Maßnahmen treffen, um personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.
Daten müssen sachlich richtig, aktuell und auf das begrenzt sein, was für die angegebenen, legitimen Zwecke erforderlich ist.
Betroffene haben das Recht, Auskunft über ihre gespeicherten Daten zu erhalten und sie berichtigen oder löschen zu lassen, soweit rechtlich möglich.
Es muss wirksame Beschwerdemöglichkeiten geben, und das Unternehmen haftet, wenn es die DPF-Regeln verletzt und dadurch Rechte der Betroffenen beeinträchtigt werden.
Die Aufsicht erfolgt u. a. durch die Federal Trade Commission (FTC) und das Department of Transportation (DOT). Teilnahmefähig sind Unternehmen, die unter die Zuständigkeit von FTC oder DOT fallen. Banken, klassische Versicherer oder „common carrier“-Telekommunikationsanbieter sind für ihre Kernaktivitäten meist ausgenommen.
Wichtig für die Praxis: Die Zertifizierung ist jährlich zu erneuern, sonst erlischt der Status.
Für Dich als europäisches Unternehmen bedeutet das: Du kannst personenbezogene Daten an einen US-Dienstleister übertragen, wenn dieser DPF-zertifiziert ist und der Scope („HR“ oder „Non-HR“) zu Deinen Daten passt. Ohne aktive Zertifizierung ist ein Transfer nicht zulässig.
Kurz gesagt: In der Praxis funktioniert das EU-U.S. Data Privacy Framework so, dass sich US-Unternehmen beim Handelsministerium selbst zertifizieren und damit zur Einhaltung der DPF-Prinzipien sowie zu wirksamen Rechtsbehelfen und behördlicher Aufsicht verpflichten.
Das ist ein formaler Beitritt zum DPF gegenüber dem US-Handelsministerium (International Trade Administration, ITA). Eine Firma erklärt und bestätigt jährlich, dass sie die DPF-Prinzipien einhält. Kernschritte sind:
Das US-Handelsministerium prüft die Aufnahme anschließend. Auf die offizielle DPF-Liste kommt ein Unternehmen erst, wenn die Unterlagen vollständig sind.
Das Unternehmen wird von der offiziellen DPF-Liste gestrichen. Es darf nicht mehr behaupten, am DPF teilzunehmen. Außerdem müssen Daten, die während der aktiven Zertifizierung erhalten wurden, gelöscht, zurückgegeben oder anderweitig geschützt werden. Die ITA führt eine öffentliche Liste der entfernten Organisationen inklusive Gründe.
Ob ein US-Anbieter zertifiziert ist, zeigt die öffentliche DPF-Liste. Für die Dokumentation nach Datenschutz-Grundverordnung (DSGVO) reicht es nicht zu sagen: „Der Anbieter ist zertifiziert.“
Wichtig ist auch, wofür er zertifiziert ist, also für welche Dienste, Zwecke oder Datenarten (das nennt man „Scope“).
Prüfe, ob die für Dich relevanten Datenkategorien erfasst sind, beispielsweise „HR data“ bei Beschäftigtendaten oder „non HR“ für Kundendaten.
Auf der DPF-Liste zeigen „HR-Data“ und „Non-HR“, für welche Datenarten die Selbst-Zertifizierung des US-Unternehmens gilt:
Was heißt das für Dich in der Praxis?
Für Nachweiszwecke: Erstelle einen Screenshot mit Datum, füge die Profil-URL des Anbieters in der DPF-Liste hinzu und notiere kurz, wann die nächste Rezertifizierung ansteht.
Halte das Ergebnis im Verzeichnis von Verarbeitungstätigkeiten fest und ergänze falls nötig Deine Datenschutzhinweise.
Kurz gesagt: In der Praxis musst Du die DPF-Zertifizierung Deines US-Anbieters in der öffentlichen DPF-Liste prüfen, den passenden Scope für Deine Datenarten (HR oder Non-HR) nachvollziehbar dokumentieren und den Nachweis mit Datum, Profil-URL, Screenshot und Rezertifizierungsfrist sauber in Deinen DSGVO-Unterlagen festhalten.
Bei Newslettern laufen Daten meistens so:
Vom Anmeldeformular (inklusive Double-Opt-In) gehen sie in Deine Empfängerliste, dazu kommen technische Infos wie Bounce- und Sperrlisten sowie Klick- und Öffnungsdaten und ggf. Support-Zugriffe im Tool.
Muss dafür ein US-Dienstleister eingebunden werden, ist der Prüfweg grob so:
Ist der Anbieter nach dem Data Privacy Framework (DPF) zertifiziert und deckt der Eintrag genau Deinen Einsatzzweck ab, kannst Du Dich auf Art. 45 DSGVO stützen.
Gibt es keine DPF-Zertifizierung, brauchst Du Standardvertragsklauseln (SCCs), eine Risikoabwägung (TIA) und – je nach Risiko – zusätzliche Schutzmaßnahmen wie Verschlüsselung beim Versand und im Speicher, Pseudonymisierung, möglichst wenige Daten und eine Schlüsselverwaltung in der EU.
In der Praxis sollten Marketing, Datenschutz und IT gemeinsam alle Systeme durchgehen, die Datenflüsse visualisieren, Zugriffe auf das Nötigste beschränken und klare, gelebte Löschregeln festlegen.
Recht und Technik verändern sich. Läuft die DPF-Zertifizierung eines Anbieters aus, solltest Du proaktiv handeln: entweder den DPF-Nachweis nachfordern oder auf SCCs umstellen und die TIA ergänzen. Wenn ein Dienstleister neue Unterauftragnehmer (Subprozessoren) einsetzt oder die Server in eine andere Region verlegt, muss die Datenschutzbewertung neu gemacht werden.
Bei sensiblen Datenprofilen, etwa sehr detaillierten Trackingdaten, solltest Du auch bei DPF-Anbietern weiter auf Datensparsamkeit, kurze Speicherfristen und möglichst Speicherung in der EU achten.
Richte außerdem einen festen Prozess ein, um Rechtsänderungen (z. B. neue Urteile) zu verfolgen, und halte Anpassungen in einem Änderungsprotokoll (Changelog) fest.
Neben dem EU-U.S. Data Privacy Framework existieren zwei weitere Varianten für Datentransfers in die USA: die UK-U.S. Data Bridge und das Swiss-U.S. DPF. Beide funktionieren ähnlich wie das EU-DPF, gelten aber jeweils nur für Daten aus dem Vereinigten Königreich bzw. der Schweiz.
Die Data Bridge ist die britische Erweiterung des DPF und ermöglicht Datentransfers aus dem Vereinigten Königreich in die USA auf Grundlage einer eigenen Angemessenheitsentscheidung.
Wichtig: Der US-Anbieter muss explizit die UK-Erweiterung aktiviert haben.
Dieses Framework gilt für Datentransfers aus der Schweiz. Auch hier muss der US-Anbieter in seinem Profil ausdrücklich angeben, dass er am Swiss-U.S. DPF teilnimmt.
In Deinen Datenschutzunterlagen sollte klar vermerkt sein:
Wichtig für die Praxis: Das DPF bleibt bis zu einer möglichen Aufhebung durch den EuGH gültig. Es besteht demnach wieder eine Rechtsunsicherheit, weil die oberste Instanz noch entscheiden kann.
„Schrems III“ ist kein feststehender offizieller Fallname, sondern die Kurzform für das Risiko einer dritten Grundsatzentscheidung des EuGH zu EU-US-Datentransfers, bei der (wie schon bei Schrems I und Schrems II) ein EU-US-Rahmen gerichtlich gekippt werden könnte.
Für viele Unternehmen bleibt der Einsatz europäischer Marketing- und Cloud-Lösungen die datenschutzfreundlichste und einfachste Option. Der Grund: Bei Anbietern mit Serverstandorten in der EU – idealerweise in Deutschland – findet kein Datentransfer in ein Drittland statt. Damit entfällt der gesamte zusätzliche Prüfaufwand rund um DPF, SCCs oder TIAs.
Mit europäischen Dienstleistern kannst Du einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen, ohne dass personenbezogene Daten rechtlich „an Dritte“ übermittelt werden. Das sorgt für Rechtssicherheit, geringere Komplexität und ein höheres Vertrauensniveau bei Empfänger·innen und Kund·innen.
Wenn Du eine E-Mail-Marketing-Software auswählst, achte daher auf:
Kurz gesagt: Am einfachsten vermeidest Du Datenschutzrisiken und Zusatzaufwand, indem Du europäische Anbieter mit EU-Serverstandort wählst.
Wer auf europäische E-Mail-Marketing-Software setzt, braucht weder DPF noch SCCs. Erfahre, wie Du Newsletter, Automation und Transaktionsmails DSGVO-konform ohne Drittlandtransfer umsetzt.
Das EU-U.S. Data Privacy Framework erleichtert Datentransfers in die USA, wenn dein US-Dienstleister zertifiziert ist und der Umfang der Zertifizierung zu deinen Daten passt. Fehlt eine Zertifizierung, brauchst Du weiterhin Standardvertragsklauseln, eine Transferfolgenabschätzung und zusätzliche Schutzmaßnahmen. Das DPF kann sich rechtlich verändern, deshalb sind gute Dokumentation, regelmäßige Überprüfungen und ein sparsamer Umgang mit Daten wichtig. Wer europäische, am besten deutsche Anbieter nutzt, reduziert Risiken und Aufwand deutlich.
Kurz gesagt: DPF macht USA-Transfers wieder möglich. Dafür solltest Du jedoch Zertifizierung, Scope und die Rechtslage stets im Blick behalten. Mit europäischen Anbietern und klaren Prozessen bist Du langfristig am sichersten aufgestellt.
Du möchtest spannende Insights und wertvolle Tipps rund um E-Mail-Marketing? Dann melde Dich für unseren Newsletter an!
Abonniere unseren Feed und lass Dich in Deinem RSS-Reader über neue Blogbeiträge informieren..
Du interessierst Dich für unsere leistungsstarken Produkte oder unsere Services? Hier erfährst Du mehr:
Hier haben wir noch mehr E-Mail-Marketing-Wissen für Dich: