Data Privacy Framework (DPF)

EU-US-Angemessenheitsbeschluss seit 07/2023 — Privacy-Shield-Nachfolger

· Kategorie: DSGVO · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Das EU-US Data Privacy Framework (DPF), in Kraft seit 10.07.2023 durch Kommissionsbeschluss (EU) 2023/1795, ermöglicht ohne SCC personenbezogene Datentransfers in zertifizierte US-Unternehmen. Es ersetzt das durch Schrems II für ungültig erklärte Privacy Shield. Vom EuG mit Urteil T-553/23 vom 09.2025 bestätigt — Schrems III-Klage ist beim EuGH anhängig.

Was ist Data Privacy Framework (DPF)?

Wie das DPF funktioniert:

  1. US-Unternehmen zertifiziert sich beim US-Handelsministerium
  2. Verpflichtung zu sieben DPF-Prinzipien (Notice, Choice, Accountability, Security, Data Integrity, Access, Recourse)
  3. EU-Kommission anerkennt das Niveau als 'angemessen' (Art. 45 DSGVO)
  4. EU-Datenflüsse zu DPF-zertifizierten Unternehmen ohne SCC zulässig

Aktuelle Liste der zertifizierten Unternehmen: dataprivacyframework.gov. Stand 04/2026: ca. 3.500 Unternehmen, davon 95 % der relevanten Cloud-Anbieter (Microsoft, Google, Amazon, Salesforce, etc.).

Praxisbeispiel

Praktische Auswirkungen:

Häufig gestellte Fragen

Brauche ich noch SCC, wenn DPF gilt?
Nein, sofern US-Unternehmen DPF-zertifiziert ist. Praxis: dual track (DPF + SCC) für Stabilität bei möglichem Schrems III-Urteil.
Wie prüfe ich DPF-Zertifizierung?
Liste auf dataprivacyframework.gov. Status: 'Active' = aktuell zertifiziert. 'Inactive' = nicht oder nicht mehr zertifiziert.
Was passiert bei Schrems III?
Wenn EuGH DPF kippt (EuG T-553/23 hat es bestätigt, aber Berufung möglich): SCC + TIA wieder Pflicht. Strategie: SCC als Backup-Garantie bereithalten.

Siehe auch