DSGVO USA: Jetzt sind US Anbieter doch wieder erlaubt!
von Rechtsanwalt Dr. Ronald Kandelhard
Update 1.9.2023: Grundlagen zur Zertifizierung vertieft und einige Hinweise für Schweizer nach dem neuen Schweizer Datenschutzgesetz eingefügt.
Update 30.06.2026 – wichtig: Am 29. Juni 2026 hat der US Supreme Court (Trump v. Slaughter) entschieden, dass die US-Wettbewerbsbehörde FTC nicht mehr unabhängig vom Präsidenten sein muss. Und genau auf diese Unabhängigkeit stützt sich der EU-Angemessenheitsbeschluss zum Data Privacy Framework. Gefallen ist das DPF damit noch nicht – es gilt weiter, solange die EU-Kommission es nicht aufhebt und der EuGH es nicht kippt. Aber das Risiko ist real und so konkret wie nie zuvor. Deshalb unsere Empfehlung, unverändert wie immer: Setz zusätzlich auf die Standardvertragsklauseln (SCC) – und halte sie in Kraft. Wer sie hat, ist abgesichert, egal wie der Angemessenheitsbeschluss am Ende ausgeht. Wir haben Dir an dieser Stelle ja immer gesagt, dass es spannend bleibt (siehe Abschnitt 7). Alle Details findest Du unten im neuen Abschnitt 7a.
Bevor wir in die Details gehen, die zwei wichtigsten Fragen kurz beantwortet:
Was ist das EU-U.S. Data Privacy Framework genau?
Das EU-U.S. Data Privacy Framework ist ein Datenschutzabkommen zwischen der EU und den USA. Es wurde am 10. Juli 2023 von der EU-Kommission beschlossen. Das Abkommen erlaubt, personenbezogene Daten rechtssicher in die USA zu übermitteln, wenn US-Unternehmen zertifiziert sind.
Was regelt das EU-U.S. Data Privacy Framework genau?
- Zertifizierung: US-Unternehmen müssen sich nach dem Framework zertifizieren
- Geheimdienstzugriff: Der Zugriff auf EU-Daten wird beschränkt und kontrolliert
- Rechtsmittel: Das Data Protection Review Court prüft Datenschutzmaßnahmen
- Standardvertragsklauseln: Alternative für nicht zertifizierte US-Unternehmen
- Überprüfung: Die EU-Kommission kontrolliert die Umsetzung regelmäßig
Neues Recht, US Anbieter wohl doch nicht mehr verboten!
Was habe ich, haben andere, haben viele, nicht alles geschrieben, publiziert, gepodcastet, gemahnt und informiert. Datenweitergabe in die USA – ein schier endloses Kapitel nach der DSGVO:
- erst gab es Safe Harbour,
- dann hat der EuGH dieses Abkommen im Oktober 2015 für unwirksam erklärt,
- dann gab es privacy shield (näher dazu unser Blogpost hier), bei dem hier immer davon ausgegangen wurde, dass es einer rechtlichen Prüfung nicht standhalten wird,
- so war es denn auch, mit EuGH Urteil vom 16. Juli 2020 wurde auch privacy shield für unwirksam erklärt (dazu unser Blogpost hier),
- und nun nach einigem hin- und her siehe da: das neue Datenschutzabkommen EU-U.S. Data Privacy Framework wurde verabschiedet.
Somit können wir wieder ganz einfach und rechtssicher Daten in die USA versenden. Oder, etwa doch nicht?
1. Der Datenverkehr in die USA wieder im „sicheren Hafen“?
Die Details haben wir bereits in den oben verlinkten Blogosts dargelegt, deshalb nur so viel: Nach Art. 45 Abs. 1 DSGVO dürfen private Daten von EU-Bürgern nur dann in ein Land außerhalb der Europäischen Union exportiert werden, wenn der Datenschutz in dem Zielland gleichwertig zu dem in der EU ist. Das ist für einige Staaten wie z.B. die Schweiz oder Neuseeland recht unangefochten festgestellt, nur bei der Anerkennung der für den internationalen Datenverkehr wichtigsten Nation, den USA, gibt es dieses endlose Hin und Her.
Die Entscheidung über die Gleichwertigkeit trifft die EU-Kommission, aber die Entscheidung ist eben gerichtlich überprüfbar. Wie in der Einleitung dargelegt, musste der EuGH zweimal feststellen, dass der Datenschutz in den USA eben nicht wirklich gleichwertig ist und damit zweimal die entsprechende Gleichwertigkeitsentscheidung der EU-Kommission kassieren.
Hintergrund war vor allem der sog. Patriot Act in den USA. Dieses Gesetz gibt den US-Geheimdiensten weitgehende Befugnisse, von US-Unternehmen dort gespeicherte personenbezogene Daten abzufordern, ohne dass ein hinreichender Anlass vorliegen muss. Zudem gibt es dagegen auch kaum Rechtsmittel der US Unternehmen oder gar betroffener Nicht-US-Bürger. Das war der Grund, warum der EuGH zweimal entschied, dass der Datenschutz in den USA nicht mit dem EU-Grundrecht auf Datenschutz vereinbar ist. Deshalb wurden privacy shield und safe harbour für Unwirksamkeit erklärt.
Für die Nutzer von US-Diensten war das immer mit großen Unsicherheiten verbunden, denn nicht alle Dienste lassen sich ohne weiteres gegen europäische Dienste austauschen und bei vielen ist eine Migration auch mit erheblichem Aufwand verbunden (z.B. Newsletter Anbieter).
2. Und was ist jetzt neu, dass es auf einmal wieder zu einem neuen Angemessenheitsbeschluss gekommen ist?
Tatsächlich gab es bereits vor dem neuen Angemessenheitsbeschluss eine präsidiale Verordnung, die in den USA Gesetzeskraft hat. Es handelt sich um die Verordnung des US-Präsidenten Joe Biden vom 7.10.2022 „Executive Order On Enhancing Safeguard For United States Signals Intelligence Activities”). Wer sich genauer mit ihrem Inhalt beschäftigt wird feststellen, dass hierin deutliche Einschränkungen der Weitergabe von personenbezogenen Daten von Nicht-US-Bürgern an die Geheimdienste und weitere aus der Sicht des Datenschutzes wichtige Rechtsgarantien eingeführt wurden.
Das ist tatsächlich eine Neuigkeit. Ob Safe Harbour oder Privacy Shield, beide enthielten kaum mehr als Absichtserklärungen der US-Seite. Jetzt sind dagegen gesetzliche Schutzregeln erlassen worden. Das Argument einer mehr oder weniger ungeschützten Weitergabe an Geheimdienste, das der EuGH in den ersten beiden Urteilen feststellen musste, gilt so nicht. Juhu fragst Du, kann ich US Dienste also wieder problemlos verwenden?
3. Ja, durch dem neuen Angemessenheitsbeschluss der EU-Kommission sollte erst mal Ruhe eingekehrt sein
Dadurch, dass die EU-Kommission am 10.07.2023 erneut einen dritten Angemessenheitsbeschluss erlasen hat, kannst du vorerst abmahnsicher Daten in die USA versenden. Um die Bedenken des Europäischen Gerichtshof auszuräumen, wurden neue verbindliche Garantien eingeführt. Diese Garantien sind:
- den Zugriff von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß zu beschränken
- und das Aufbauen eines speziellen Gerichts zur Prüfung der Datenschutzmaßnahmen geschaffen wird. Das sogenannte Data Protection Review Court, DPRC, zu dem Einzelpersonen in der EU Zugang haben.
Außerdem soll die Funktionsweise des Datenschutzrahmens EU-USA regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.
Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
4. Achtung: Weitergabe nur an zertifizierte US-Unternehmen
Zudem müssen US-Unternehmen nach dem EU-US Data Privacy Framework zertifiziert sein, damit Du die Daten auf Grundlage des neuen Angemessenheitsbeschlusses übermitteln kannst. Die Liste mit den zertifizierten Unternehmen findest du hier. Diese Selbstzertifizierung verlangt, dass ein Unternehmen eine Reihe von Unterlagen einreicht. Sind diese vollständig, wird es in die DPF (kurz für “Data Privacy Framework”) Liste aufgenommen und gilt als selbst zertifiziert nach den Voraussetzungen des neuen Datenschutzrahmens.
5. Was ist, wenn ein Tool nicht zertifiziert wurde? Kann ich dann trotzdem Daten dorthin übermitteln?
Viele wichtige Unternehmen wie z.B. Google oder Amazon befinden sich bereits auf der Liste der zertifizierten Unternehmen. Wenn du jedoch Daten an ein Unternehmen, welches nicht zertifiziert ist, übermitteln möchtest, dann ist das nicht auf Grundlage des Angemessenheitsbeschluss möglich.
Jedoch gibt nach derzeitiger Rechtslage (näher dazu hier) grundsätzlich die Möglichkeit, personenbezogene Daten Deiner Nutzer und Kunden aufgrund eines Vertrages nach den sog. Standardvertragsklauseln gem. Art. 46 DSGVO an nicht zertifizierte Unternehmen zu exportieren.
6. Die Standardvertragsklauseln
Die Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission (ABl. L 199 vom 7.6.2021). Danach kannst Du mit Deinem Anbieter in den USA einen solcher Vertrag für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschließen. Den Text findest Du in dem verlinkten Beschluss. Du darfst ihn nicht wesentlich verändern. Zudem findest Du diesen Vertrag im Mitgliederbereich zu unserem Datenschutz Generator als Muster auf Englisch mit weiteren Ausfüllhinweisen.
Der Vertrag muss grundsätzlich ausgedruckt und a den Anbieter gesendet werden, der ihn dann unterzeichnet zurücksendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Inzwischen ist zudem klargestellt, dass die Standardvertragsklauseln auch elektronisch, also in einer dauerhaft speicherbaren Form abgeschlossen werden können. Viele US-Anbieter bieten die Standardvertragsklauseln unmittelbar an. Suche nach „standard contractual clauses“. Vielleicht hast Du Glück und Dein Anbieter bietet diese an, ansonsten stellt es für die Unternehmen aber auch keinen großen Aufwand dar, sich zertifizieren zu lassen.
7. Wie geht es weiter? Kann dieser Angemessenheitsbeschluss nicht auch einfach wieder für ungültig erklärt werden?
Die EU-Kommission hat den neuen Angemessenheitsbeschluss am 10. Juli 2023 verabschiedet. Solange dieser in Kraft ist, besteht in den USA formell ein angemessenes Datenschutzniveau. Datenübermittlungen in die USA sind aus datenschutzrechtlicher Sicht folglich nicht zu beanstanden. Es bleibt jedoch abzuwarten, ob der neue Angemessenheitsbeschluss einer Überprüfung durch den EuGH standhalten wird.
Auch wenn sich das Datenschutzniveau in den USA durch das EU‑U.S. Data Privacy Framework verbessert, ist ein zukünftiges Scheitern des Angemessenheitsbeschlusses vor dem EuGH nicht auszuschließen.
Bereits jetzt gibt es deutliche Kritik von Datenschutzaktivisten und Max Schrems steht sozusagen wieder in den Startlöchern. Denn es ist weiterhin fraglich, in wie weit die USA die Garantien umsetzt und ob diese Umsetzung dann auch im Sinne der EU ist. Wie du siehst, bleibt es trotz neuem Abkommen spannend!
Es bleibt zu hoffen, dass die USA ihre Versprechen einhält und dieser Angemessenheitsbeschluss länger in Kraft bleibt als seine Vorgänger.
7a. Update 2026: Das angekündigte „spannend“ ist eingetreten – und was Du jetzt tust
Genau das, was hier seit 2023 stand, nähert sich jetzt: Am 29.06.2026 hat der US Supreme Court entschieden, dass die FTC künftig nicht mehr unabhängig sein muss. Die FTC ist aber genau die Behörde, die das Data Privacy Framework auf US-Seite durchsetzt – und ihre Unabhängigkeit ist eine der tragenden Säulen, auf die die EU-Kommission ihren Angemessenheitsbeschluss gestützt hat. Die Datenschützer um Max Schrems fordern die EU-Kommission deshalb auf, den Beschluss geordnet zurückzunehmen.
Was das für Dich heute bedeutet – ganz nüchtern:
- Das DPF ist nicht automatisch weg. Ein US-Urteil hebt keinen EU-Beschluss auf. Solange die EU-Kommission den Angemessenheitsbeschluss nicht aufhebt und der EuGH ihn nicht kippt, bleiben Transfers an DPF-zertifizierte US-Anbieter zulässig. Du musst heute also nichts überstürzen.
- Aber: Wenn der Beschluss fällt, kann das schnell und ohne Übergangsfrist gehen – so war es schon bei Privacy Shield. Wer dann nur die DPF-Zertifizierung hat, steht plötzlich ohne Rechtsgrundlage da.
- Die Absicherung, die jeden Ausgang überlebt: die Standardvertragsklauseln (SCC). Sie sind eine eigene, vom Angemessenheitsbeschluss unabhängige Grundlage (Abschnitt 6). Wer mit seinen US-Anbietern SCC abgeschlossen hat und in Kraft hält, ist abgesichert – auch wenn das DPF morgen fiele.
Konkret – die 3 Schritte:
- Prüf Deine wichtigsten US-Tools: Steht der Transfer nur auf der DPF-Zertifizierung, oder hast Du zusätzlich SCC? Viele Anbieter bieten beides – frag einfach nach den „standard contractual clauses“.
- Wo es nur DPF gibt: SCC zusätzlich abschließen und ablegen (geht auch elektronisch, Abschnitt 6). So bleibst Du handlungsfähig, egal was die EU-Kommission entscheidet.
- Als easyRechtssicher-Kunde: Das SCC-Muster (englisch, mit Ausfüllhinweisen) liegt für Dich im Mitgliederbereich beim Datenschutz-Generator bereit.
Kurz gesagt: Kein Grund zur Panik, aber ein guter Grund, die SCC jetzt sauber in place zu haben. Genau dazu haben wir Dir hier von Anfang an geraten.
8. Ergebnis zur DSGVO USA
Diesmal könnte die fast unendliche Geschichte doch ein Ende gefunden haben. Mit der neuen Rechtslage in den USA kannst Du
- durch den neuen Angemessenheitsbeschluss und das Datenschutzabkommen EU-„U.S. Data Privacy Framework“ zwischen den USA und der EU
US-Dienste wieder verwenden. Dabei wird es voraussichtlich noch eine Weile bleiben, aber diesmal ist die Prognose für das künftige EuGH Urteil jedenfalls besser als zuvor.
Für alle Kunden von easyRechtssicher gilt natürlich: Wir haben die Muster zu US Diensten an die neue Rechtslage angepasst, sie erscheinen automatisch auch in Deiner Datenschutzerklärung, soweit Du eine unserer vielen Automationen nutzt. Wenn nicht, generieren Deine Datenschutzerklärung jetzt am besten neu und füge sie in Deine Website ein.
Stand 30.06.2026: Die Geschichte ist offenkundig doch noch nicht zu Ende – siehe Abschnitt 7a. Die gute Nachricht: Mit aktiven Standardvertragsklauseln bist Du unabhängig davon abgesichert, wie es mit dem Angemessenheitsbeschluss weitergeht. Genau deshalb war unsere Empfehlung immer, sich nicht allein auf den politischen Beschluss zu verlassen.
Mehr über die DSGVO erfährst du hier.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.