---
name: iwr-eu-us-dpf-data-privacy-framework
description: "EU-US Data Privacy Framework (DPF) seit 10.7.2023 als Angemessenheitsbeschluss (EU) 2023/1795 nach Schrems II Aufhebung: Folge für Stand..."
---

# EU-US Data Privacy Framework (DPF) seit 10.7.2023 als Angemessenheitsbeschluss (EU) 2023/1795 nach Schrems II Aufhebung


## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: FAO § 5 36 Monate Praxis, CISG Art. 39 angemessene Frist Mängelrüge, Brüssel Ia Art. 35 einstweiliger Rechtsschutz, NYÜ Art. V Anerkennung 3 Jahre.
- Tragende Normen verifizieren: FAO § 14r, Rom I (VO 593/2008), Rom II (VO 864/2007), Brüssel Ia (VO 1215/2012), CISG, UNCITRAL Model Law, INCOTERMS 2020, IPR-G, AWG, AWV, EU-Sanktionsverordnungen — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Internationale Vertragsparteien, ICC, UNCITRAL, Schiedsgericht (DIS, ICC, SCC), nationale Gerichte, Zoll, BAFA, BMWK, EuGH.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Internationaler Kaufvertrag, Schiedsklausel, ICC-Schiedsverfahren-Eingabe, Exportlizenz BAFA, Sanktionsprüfung, INCOTERMS-Klausel, Letter of Credit — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

**Fokus:** EU-US Data Privacy Framework (DPF) seit 10.7.2023 als Angemessenheitsbeschluss (EU) 2023/1795 nach Schrems II Aufhebung. Folge für Standard Contractual Clauses SCC und Transfer Impact Assessment TIA. Selbstzertifizierung US-Unternehmen über FTC. Liste DPF-zertifizierter Empfaenger. grenzüberschreitende Vertragsklauseln Updates.

### EU-US Data Privacy Framework — Folgen für Verträge

## Fachkern: EU-US Data Privacy Framework — Folgen für Verträge

- **Spezialfrage (EU-US Data Privacy Framework — Folgen für Verträge):** EU-US Data Privacy Framework (DPF) seit 10.7.2023 als Angemessenheitsbeschluss (EU) 2023/1795 nach Schrems II Aufhebung. Folge für Standard Contractual Clauses SCC und Transfer Impact Assessment TIA. Selbstzertifizierung US-Unternehmen über FTC. Liste DPF-zertifizierter Empfaenger. grenzüberschreitende Vertragsklauseln Updates.
- **Prüfzugriff:** Sachverhalt, Norm, Zugang/Form/Frist oder Anspruchsvoraussetzung zuerst klären; Rechtsprechung erst danach als verifizierten Beleg nutzen.

## Eingaben

- US-Dienstleister (Microsoft, AWS, Google, OpenAI etc.)
- DPF-Zertifizierungs-Status (Liste DPF-Programm-Office)
- Datenarten (besondere Kategorien Art. 9 DSGVO?)
- Volumen / Umfang der Übermittlung
- Vorhandene SCC / BCR

## Rechtlicher Rahmen

- **Angemessenheitsbeschluss (EU) 2023/1795** vom 10.07.2023: https://eur-lex.europa.eu/eli/dec_impl/2023/1795/oj
- **DSGVO Art. 45** — Uebermittlung in Drittlaender mit Angemessenheitsbeschluss: https://eur-lex.europa.eu/eli/reg/2016/679/oj
- **DSGVO Art. 46** — Geeignete Garantien (SCC, BCR) als Fallback
- **EO 14086** US-Executive Order (07.10.2022) zur Begrenzung des US-Geheimdienst-Zugriffs
- **Standard Contractual Clauses (SCC) 2021/914** (Durchfuehrungsbeschluss vom 04.06.2021): https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
- **EuGH, Urt. v. 16.07.2020 — C-311/18 (Schrems II; ECLI:EU:C:2020:559)** — Privacy Shield für ungueltig erklaert; SCC bleiben gueltig, aber Empfaengerland-Prüfung erforderlich: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62018CJ0311
- Hinweis Stand 05/2026: Schrems III-Verfahren vor EuGH gegen den DPF-Angemessenheitsbeschluss anhaengig; aktuellen Stand prüfen, da Aufhebung Folgen für Datentransfers haette.
- Rechtsprechung im Uebrigen: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugaengliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Vertragsklauseln-Update

### Phase 1 — DPF-Zertifizierungs-Check

- Prüfung [dataprivacyframework.gov](https://www.dataprivacyframework.gov/list) — ist Empfänger DPF-zertifiziert?
- Bei JA: DSGVO-Übermittlung zulässig ohne SCC
- Bei NEIN: SCC + TIA erforderlich

### Phase 2 — Vertrags-Klauseln anpassen

- **DPF-zertifiziert**: Klausel "Empfänger ist DPF-zertifiziert iSd Angemessenheitsbeschluss (EU) 2023/1795"
- **Nicht-DPF**: SCC 2021/914 (Module 2 oder 3) + TIA

### Phase 3 — Transfer Impact Assessment (TIA) wenn relevant

- Kategorisierung Daten (besondere Kategorien?)
- US-Geheimdienst-Zugriff: FISA Section 702, EO 12333 (eingeschränkt durch EO 14086)
- Technische Schutzmaßnahmen: Verschlüsselung at-rest und in-transit
- Vertragliche Maßnahmen: Streitbeilegungsklausel

### Phase 4 — Bei Streit / Klage gegen DPF

- Schrems III ist anhängig — DPF-Aufhebung möglich
- Fallback-Plan: SCC + zusätzliche Maßnahmen
- Bei Übergangsphase: Datenexport pausieren oder Anbieter wechseln

## Risiken und Red Flags

| Konstellation | Rot | Orange | Grün |
|---|---|---|---|
| US-Dienstleister nicht DPF-zertifiziert | DSGVO-Verstoß Art. 44; Bußgeld | SCC + TIA in Vorbereitung | DPF-zertifiziert |
| Besondere Datenkategorien (Gesundheit, Biometrie) | strenge zusätzliche Anforderungen | TIA dünn | volle Risikoanalyse |
| Schrems III anhängig | DPF könnte aufgehoben werden | Notfall-Plan | Multi-Cloud mit EU-Optionen |
| Sub-Prozessor nicht DPF-zertifiziert | Kette unterbrochen | Prüfung Subprozessor | klare DPF-Kette |

## Quellen und Updates

Stand: 05/2026. Angemessenheitsbeschluss (EU) 2023/1795 (10.7.2023). EO 14086. Schrems III anhängig — Stand prüfen. Bei DPF-Aufhebung dringend prüfen.

## Vertiefung: Leitsaetze und Triage EU-US DPF

### Ergaenzende Leitsaetze EU-US Datenuebermittlung

- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

### Normen EU-US DPF
- DSGVO Art. 44-49 — Datenuebermittlung in Drittlaender
- EU-US DPF Angemessenheitsbeschluss (EU) 2023/1795
- DSGVO Art. 6 — Verarbeitungsgrundlage
- DSGVO Art. 28 — Auftragsverarbeitung (auch bei US-Diensten)

### Triage EU-US DPF
Bevor losgelegt wird, klaere:
1. Ist der US-Empfaenger unter DPF zertifiziert? → DPF-Liste prüfen: dataprivacyframework.gov
2. Handelt es sich um Auftragsverarbeitung (Art. 28 DSGVO) oder gemeinsame Verantwortung?
3. Werden besondere Datenkategorien (Art. 9 DSGVO) uebermittelt? → Erhöhte Anforderungen
4. Bestehen Standardvertragsklauseln (SCC) als Fallback?
5. Risikoabschaetzung DSGVO Art. 35 DSFA erforderlich?

### Output-Template DPF-Prüfvermerk
**Adressat:** Mandant (Datenschutzbeauftragter) — Tonfall: verstaendlich-erklärend

```
DPF-PRUEFVERMERK
US-Dienst: [NAME / PRODUKT]
Zertifizierung: [VORHANDEN lt. dataprivacyframework.gov Stand: DATUM] / [NICHT VORHANDEN]
Datenkategorien: [PERSONENBEZOGENE DATEN: BESCHREIBUNG]
Rechtsgrundlage: [DPF-Angemessenheit Art. 45 DSGVO / SCC Art. 46 DSGVO]
Ergebnis: [ZULAESSIG / UNZULAESSIG / EINSCHRAENKUNG ERFORDERLICH]
```
