Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Internationale Transfers · DSGVO Art. 44, 45, 46

USA-Transfers nach EU-U.S. Data Privacy Framework

Hintergrund

  • Schrems I (2015) kippte Safe Harbor.
  • Schrems II (2020) kippte das Privacy Shield.
  • EU-U.S. Data Privacy Framework (DPF), 10. Juli 2023: neuer Angemessenheitsbeschluss der EU-Kommission. US-Unternehmen können sich zertifizieren; für zertifizierte Unternehmen gilt der Transfer als zulässig nach Art. 45 DSGVO — keine Standardvertragsklauseln (SCC) und kein TIA mehr nötig.

Was Sie als Verantwortlicher prüfen müssen

1. Ist der konkrete US-Empfänger DPF-zertifiziert?

  • DPF-Liste unter dataprivacyframework.gov prüfen.
  • Zertifizierungsstatus muss aktuell sein („Active”) — eine entzogene oder ausgelaufene Zertifizierung macht den Transfer unzulässig.
  • Konkret zertifizierte Daten-Kategorien prüfen: nicht jede Zertifizierung deckt HR-Daten, manche nur Kundendaten.

2. Ist der konkrete Datentransfer durch die Zertifizierung gedeckt?

  • Manche Anbieter zertifizieren nur ihre Mutter-/Tochter-Beziehung, nicht alle Cloud-Services.
  • Bei Sub-Auftragsverarbeitung muss die Kette belastbar sein.

3. Dokumentation

  • Screenshot der DPF-Liste im Zeitpunkt des Transfer-Vertragsschlusses.
  • Vertragsklausel zum DPF im AVV / DPA.
  • Re-Verifizierung mindestens jährlich (Zertifizierung kann jederzeit auslaufen).

Was bleibt vom Schrems-II-Risiko?

Wenn DPF greift

  • Kein TIA mehr nötig.
  • Keine SCC mehr nötig (aber unschädlich, wenn weiter im Vertrag).
  • Aber: Bestehen rechtspolitische Risiken — eine Klage „Schrems III” ist anhängig (eingereicht NOYB), realistische Chance auf erfolgreichen Angriff in 2-3 Jahren.

Wenn DPF NICHT greift (Empfänger nicht zertifiziert oder Datenkategorie nicht abgedeckt)

  • Standardvertragsklauseln (SCC) als Transfergrundlage.
  • Transfer Impact Assessment (TIA) Pflicht — wegen FISA 702 und EO 12333 weiterhin schwierig zu bestehen.
  • Zusätzliche technische Maßnahmen (Verschlüsselung mit Schlüssel im EU-Raum, Pseudonymisierung).

Empfehlung in der Praxis

  • DPF als Primärgrundlage bei zertifizierten Empfängern.
  • SCC + TIA als Fallback in den Verträgen behalten — für den Fall, dass DPF wegfällt.
  • EU-Alternativen prüfen für kritische Verarbeitungen (Hetzner, OVH, Plusserver, …) — auch wenn DPF aktuell hält.

Konkrete Anbieter (Stand 2026)

DPF-zertifiziert (auszugsweise):

  • Microsoft Corporation
  • Google LLC (mit Tochter Google Cloud)
  • Amazon Web Services Inc.
  • Meta Platforms Inc.
  • Salesforce Inc.
  • Zoom Video Communications Inc.

Nicht (mehr) zertifiziert oder problematisch:

  • Manche kleinere SaaS-Anbieter ohne formale DPF-Zertifizierung.
  • Anbieter mit komplexer Konzernstruktur, bei denen die Zertifizierung nur Teilbereiche deckt.

Häufige Fehler

  • Annahme „DPF gilt für alle US-Anbieter” — falsch, nur für zertifizierte.
  • Kein Check der konkreten Zertifizierungs-Daten — pauschale Zustimmung reicht nicht.
  • TIA mit Verweis auf DPF nicht aktualisiert — wenn Zertifizierung wegfällt, fehlt die Grundlage.
  • EU-Alternative wird nicht einmal evaluiert — bei Audit kommt die Frage: warum US und nicht EU?

Wenn wir DSB sind

Wir führen für jeden Mandanten eine Liste der eingesetzten US-Anbieter mit DPF-Status (quartalsweise Refresh) und entwerfen den Fallback-SCC + TIA für die nicht zertifizierten oder unsicheren Fälle. EU-Alternativen prüfen wir auf Anfrage.

Quelle: FS/CS GmbH