Wer als deutsches Unternehmen KI-Tools aus den USA nutzt, stellt sich früher oder später eine Frage: Ist das eigentlich legal? Das EU-US Data Privacy Framework — kurz DPF — ist seit Juli 2023 die wichtigste Antwort darauf. Es regelt, unter welchen Bedingungen Daten legal in die USA übertragen werden dürfen — und welche US-Anbieter diesen Anforderungen tatsächlich genügen.
Kurze Antwort
Das EU-US Data Privacy Framework ist ein Angemessenheitsbeschluss der EU-Kommission vom Juli 2023. Er erlaubt Unternehmen in der EU, personenbezogene Daten an zertifizierte US-Unternehmen zu übertragen, ohne zusätzliche Vertragsklauseln (SCCs) abschließen zu müssen. Voraussetzung: Der US-Anbieter ist beim DPF zertifiziert. Die Zertifizierung ist freiwillig und muss jährlich erneuert werden.
| Merkmal | DPF-zertifiziert | Nicht zertifiziert |
|---|---|---|
| Datentransfer in die USA | Direkt erlaubt | Nur mit SCCs möglich |
| Aufwand für KMU | Gering (AVV reicht) | Höher (AVV + SCCs) |
| Rechtssicherheit | Aktuell gegeben | Abhängig von SCC-Qualität |
| Risiko bei Wegfall | Hoch (wie Privacy Shield) | Geringer (SCCs bleiben) |
Brauche ich DPF?
Anbieter sitzt in Deutschland oder der EU? → DPF nicht relevant ↓ Anbieter sitzt in den USA? → DPF-Status prüfen auf dataprivacyframework.gov ↓ DPF-Zertifizierung vorhanden? → AVV abschließen — fertig ↓ Kein DPF? → SCCs prüfen (und Transfer Impact Assessment dokumentieren)
Definition
Das EU-US Data Privacy Framework ist der Nachfolger des Privacy Shield, das der Europäische Gerichtshof 2020 (Schrems II) für ungültig erklärt hatte. Die EU-Kommission verabschiedete das DPF am 10. Juli 2023 als Angemessenheitsbeschluss nach Art. 45 DSGVO.
Ein Angemessenheitsbeschluss bedeutet: Die EU-Kommission stellt fest, dass ein Drittland (hier die USA, bezogen auf DPF-zertifizierte Unternehmen) ein dem EU-Recht vergleichbares Datenschutzniveau bietet. Damit entfällt die Notwendigkeit, bei jedem Datentransfer zusätzliche Schutzmaßnahmen wie Standardvertragsklauseln (SCCs) einzusetzen.
US-Unternehmen können sich beim DPF freiwillig zertifizieren lassen, indem sie sich zu bestimmten Datenschutzprinzipien verpflichten — darunter Zweckbindung, Datensparsamkeit, Sicherheitsmaßnahmen und Betroffenenrechte. Das US-Handelsministerium führt eine öffentliche Liste zertifizierter Unternehmen.
Wichtig: Der Beschluss betrifft nur zertifizierte US-Unternehmen. Für nicht zertifizierte Anbieter bleiben SCCs oder andere Übermittlungsinstrumente erforderlich. Außerdem besteht das politische Risiko, dass das DPF erneut vor dem EuGH angefochten wird — Datenschutzorganisationen haben bereits Klagen angekündigt.
Beispiel aus der Praxis
Ein Personaldienstleister mit 20 Mitarbeitern nutzt ein US-amerikanisches KI-Tool zur Analyse von Bewerbungsunterlagen. Die verarbeiteten Daten umfassen Namen, Lebensläufe und teils sensible Informationen der Bewerber.
Ohne DPF-Zertifizierung des Anbieters: Der Personaldienstleister müsste Standardvertragsklauseln mit dem Anbieter abschließen, deren Wirksamkeit zusätzlich prüfen (Transfer Impact Assessment) und dokumentieren. Aufwand: mehrere Stunden Rechtsarbeit, ggf. Anwaltskosten.
Mit DPF-zertifiziertem Anbieter: Der Personaldienstleister schließt einen AVV ab — das reicht. Der Angemessenheitsbeschluss übernimmt die Arbeit der SCCs. Zeitersparnis und weniger Rechtsunsicherheit. Die Zertifizierung lässt sich auf der offiziellen DPF-Liste des US-Handelsministeriums kostenlos prüfen.
Typische Anwendungsfälle
- KI-Schreibtools aus den USA: Anbieter wie Jasper oder Copy.ai sind DPF-zertifiziert — erleichtert den DSGVO-konformen Einsatz.
- Cloud-Transkription: US-Dienste wie Otter.ai verarbeiten Gesprächsdaten — DPF-Status entscheidend.
- CRM-Systeme: US-amerikanische Plattformen wie HubSpot sind ebenfalls zertifiziert.
- KI-Assistenten: ChatGPT Plus (OpenAI) und Claude (Anthropic) — Zertifizierungsstatus vor Einsatz prüfen.
- E-Mail-Marketing: US-basierte Plattformen für Newsletterversand an europäische Empfänger.
- HR-Software: Systeme zur Verwaltung von Mitarbeiterdaten, wenn Server in den USA stehen.
- Analytics-Tools: US-Anbieter für Website-Tracking mit personenbezogenen Daten.
DSGVO-Relevanz
Das DPF ist für KMU das wichtigste Instrument, um US-amerikanische KI-Tools rechtssicher einzusetzen. Ohne ausreichende Übermittlungsgrundlage ist der Datentransfer in die USA nach Art. 44 DSGVO verboten.
Konkret für KMU bedeutet das: Vor dem Einsatz eines US-KI-Tools sollte geprüft werden, ob der Anbieter DPF-zertifiziert ist. Das geht schnell über die öffentliche Zertifizierungsdatenbank des US-Handelsministeriums (dataprivacyframework.gov). Ist der Anbieter zertifiziert, reicht ein AVV als vertragliche Grundlage. Ist er es nicht, braucht es zusätzlich SCCs — und eine eigene Risikoabwägung (Transfer Impact Assessment).
Besondere Vorsicht gilt bei: Gesundheitsdaten, Bewerberdaten, Finanzdaten. Für diese Kategorien empfiehlt sich unabhängig vom DPF-Status eine besonders sorgfältige Prüfung.
Das politische Risiko besteht: Privacy Shield scheiterte 2020 nach dem Schrems-II-Urteil. Das DPF könnte erneut angefochten werden. KMU, die auf Nummer sicher gehen wollen, können parallel SCCs abschließen — dann sind sie doppelt abgesichert. Alternativ: EU-Anbieter bevorzugen, bei denen kein Drittlandtransfer anfällt.
Handlungsempfehlung: DPF-Status jedes genutzten US-Tools einmal jährlich prüfen — Zertifizierungen können erlöschen und werden nicht automatisch verlängert.
Verwandte Begriffe
- SCCs (Standardvertragsklauseln): Vertragsklauseln der EU-Kommission als Alternative zum DPF bei Drittlandübermittlungen.
- AVV (Auftragsverarbeitungsvertrag): Pflichtvertrag nach Art. 28 DSGVO — ergänzt das DPF, ersetzt es aber nicht.
- Privacy Shield: Vorgänger des DPF, 2020 durch EuGH-Urteil (Schrems II) für ungültig erklärt.
- Angemessenheitsbeschluss: EU-Kommissions-Entscheidung, dass ein Drittland ausreichenden Datenschutz bietet.
- Transfer Impact Assessment (TIA): Risikoabwägung bei Drittlandtransfers ohne Angemessenheitsbeschluss.
- Drittlandübermittlung: Jede Übertragung personenbezogener Daten in ein Land außerhalb der EU/EWR.
Häufige Missverständnisse
-
“Das DPF gilt für alle US-Unternehmen.” Nein. Nur für Unternehmen, die sich aktiv beim DPF zertifiziert haben. Ein US-Anbieter ohne DPF-Zertifizierung bietet keine erleichterte Übermittlungsgrundlage.
-
“Mit DPF brauche ich gar keinen AVV mehr.” Falsch. Das DPF regelt die Zulässigkeit der Übermittlung in die USA — der AVV regelt die Modalitäten der Auftragsverarbeitung. Beides ist erforderlich.
-
“Das DPF ist dauerhaft sicher.” Das Privacy Shield wurde 2020 gekippt — ein ähnliches Szenario beim DPF ist nicht ausgeschlossen. Wer maximale Rechtssicherheit will, schließt zusätzlich SCCs ab oder wählt EU-Anbieter.
-
“Ich muss das DPF nicht prüfen, wenn der Anbieter ‘DSGVO-konform’ wirbt.” Marketing-Aussagen ersetzen keine rechtliche Prüfung. Die Zertifizierung muss auf dataprivacyframework.gov selbst nachgeschaut werden.
Häufig gestellte Fragen
Wie prüfe ich, ob ein Anbieter DPF-zertifiziert ist? Auf der offiziellen Seite des US-Handelsministeriums: dataprivacyframework.gov/list. Dort sind alle aktuell zertifizierten Unternehmen aufgeführt. Die Suche nach Firmenname dauert Sekunden.
Was passiert, wenn ein Anbieter seine DPF-Zertifizierung verliert? Dann entfällt die erleichterte Übermittlungsgrundlage. KMU müssten auf SCCs ausweichen oder den Anbieter wechseln. Deshalb: Zertifizierungen regelmäßig prüfen, nicht nur einmalig.
Gilt das DPF auch für kostenlose KI-Tools? Ja, der DPF-Status ist unabhängig vom Preismodell. Allerdings verarbeiten kostenlose Tools häufig mehr Nutzerdaten für eigene Zwecke — das ist dann keine Auftragsverarbeitung mehr, und weder DPF noch AVV allein helfen.
Muss ich das DPF in meiner Datenschutzerklärung erwähnen? Wenn Sie Daten auf Basis des DPF in die USA übermitteln, ja. Die Datenschutzerklärung muss die Rechtsgrundlage der Übermittlung benennen — auch gegenüber Ihren Kunden.
Ist das DPF für alle KMU relevant oder nur für größere Unternehmen? Es ist für jedes Unternehmen relevant, das US-Dienste mit Personenbezug nutzt — also auch für Selbstständige und Kleinstbetriebe. Gerade weil KMU selten eigene Rechtsabteilungen haben, ist ein zertifizierter Anbieter der einfachste Weg zur Compliance.
Fazit
Das EU-US Data Privacy Framework erleichtert KMU den DSGVO-konformen Einsatz US-amerikanischer KI-Tools erheblich. Wer vor jedem Tool kurz auf dataprivacyframework.gov prüft, ob der Anbieter zertifiziert ist, und dann einen AVV abschließt, hat die wichtigsten rechtlichen Hausaufgaben gemacht. Wer auf maximale Rechtssicherheit setzt, wählt Tools mit EU-Hosting oder schließt parallel SCCs ab — für den Fall, dass das DPF politisch erneut unter Druck gerät.
Passende Tooltests
Weiterführende Begriffe
- Was sind Standardvertragsklauseln (SCCs)?
- Was ist ein AVV?
- Drittlandübermittlung: Jede Datenübertragung in ein Land außerhalb der EU/EWR