Zum Inhalt springen
Sorrel
← Blog

10. März 2026 · Marie Heller

US-Datentransfer nach Schrems II: Was das Data Privacy Framework heute bedeutet

Nach dem EuGH-Urteil Schrems II ermöglicht das EU-US Data Privacy Framework seit 2023 wieder US-Datentransfers – aber nur an zertifizierte Empfänger und mit sorgfältiger Prüfung.

schrems-iius-transferdsgvo

Datenübermittlungen in die USA sind seit dem EuGH-Urteil Schrems II (C-311/18) wieder möglich, aber an Bedingungen geknüpft: Der US-Empfänger muss unter dem EU-US Data Privacy Framework (DPF) zertifiziert sein, oder Sie stützen den Transfer auf geeignete Garantien wie Standardvertragsklauseln samt zusätzlicher Schutzmaßnahmen. Ohne eine solche Grundlage ist die Übermittlung nach Art. 44 ff. DSGVO unzulässig.

Für Website-Betreiber ist das hochrelevant: Fast jeder eingesetzte US-Dienst – von Analytics über CDNs bis zu Newsletter-Tools – verarbeitet Daten in den USA. Dieser Artikel ordnet die Rechtslage 2026 praxisnah ein.

Was Schrems II entschieden hat

2020 erklärte der EuGH in Schrems II (C-311/18) das damalige Privacy Shield für ungültig. Der Grund: US-Überwachungsgesetze ermöglichten Behördenzugriffe, gegen die EU-Bürger keinen wirksamen Rechtsschutz hatten. Damit fehlte das von der DSGVO geforderte „im Wesentlichen gleichwertige" Schutzniveau.

Standardvertragsklauseln (SCC) blieben grundsätzlich gültig – aber nur, wenn der Verantwortliche im Einzelfall prüft, ob im Zielland ein gleichwertiger Schutz tatsächlich gewährleistet ist (das sogenannte Transfer Impact Assessment), und gegebenenfalls zusätzliche Maßnahmen ergreift.

Das Data Privacy Framework als neue Grundlage

Im Juli 2023 erließ die EU-Kommission einen Angemessenheitsbeschluss für das EU-US Data Privacy Framework. Seitdem gilt:

  • Zertifizierte Empfänger: Übermittlungen an US-Unternehmen, die unter dem DPF gelistet sind, gelten als in ein Land mit angemessenem Schutzniveau gerichtet. Ein zusätzliches Transfer Impact Assessment ist dann nicht erforderlich.
  • Prüfpflicht bleibt: Sie müssen prüfen, ob Ihr konkreter Dienstleister tatsächlich aktiv zertifiziert ist und ob die Zertifizierung die relevante Datenkategorie abdeckt.
  • SCC als Auffanglösung: Für nicht zertifizierte Empfänger bleiben Standardvertragsklauseln plus Schutzmaßnahmen der Weg.

Wichtig: Das DPF ist juristisch umstritten und kann – wie schon Safe Harbor und Privacy Shield – erneut gerichtlich überprüft werden. Eine belastbare Dokumentation Ihrer Transfers ist daher die beste Vorsorge.

Was das für Ihre Website bedeutet

Praktisch betrifft das fast jede Seite. Typische US-Dienste sind:

  1. Analyse-Tools wie Google Analytics – warum hier ohnehin eine Einwilligung nötig ist, lesen Sie in Google Analytics ohne Einwilligung.
  2. Schriftarten von Google Fonts, die beim dynamischen Nachladen die IP in die USA übertragen. Das LG München (3 O 17493/20) sprach deshalb Schadensersatz zu. Die Lösung: Google Fonts lokal einbinden.
  3. Eingebettete Inhalte wie YouTube oder Karten.
  4. Infrastruktur wie CDNs, Cloud-Hosting oder Newsletter-Versand.

Für jeden dieser Dienste gilt: Sie brauchen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und eine Transfergrundlage nach Art. 44 ff. DSGVO.

So sichern Sie Ihre Transfers ab

  • Inventur erstellen: Listen Sie alle Dienste auf, die Daten in die USA übermitteln.
  • DPF-Status prüfen: Recherchieren Sie auf der offiziellen DPF-Liste, ob der Anbieter aktiv zertifiziert ist und welche Daten die Zertifizierung umfasst.
  • Verträge sichern: Liegt ein AVV vor? Sind passende SCC eingebunden, falls keine DPF-Zertifizierung besteht?
  • Transparent informieren: Benennen Sie den US-Transfer und seine Grundlage in der Datenschutzerklärung (Art. 13 DSGVO).
  • Consent beachten: Wo der Dienst auch das Endgerät anspricht, greift zusätzlich § 25 TTDSG. Details in § 25 TTDSG einfach erklärt.
  • Datensparsamkeit prüfen: Lässt sich der US-Dienst durch eine in der EU gehostete Alternative ersetzen, entfällt das Problem oft ganz.

Einen schnellen Überblick, welche externen US-Ressourcen Ihre Seite lädt, gibt ein automatisierter Scan. Prüfen Sie Ihre Website mit einem kostenlosen DSGVO-Scan – Sorrel erkennt eingebundene Drittdienste und externe Anfragen. Den vollen Funktionsumfang sehen Sie unter Funktionen, Pakete unter Preise. Eine Gesamtübersicht aller Pflichten bietet unsere DSGVO-Website-Checkliste 2026.

Häufige Fragen

Ist ein US-Datentransfer 2026 wieder erlaubt?

Ja, sofern der Empfänger unter dem EU-US Data Privacy Framework zertifiziert ist oder der Transfer auf Standardvertragsklauseln mit zusätzlichen Schutzmaßnahmen beruht. Ohne eine dieser Grundlagen bleibt die Übermittlung nach Art. 44 ff. DSGVO unzulässig.

Reicht das Data Privacy Framework allein aus?

Es liefert die Transfergrundlage, ersetzt aber nicht die übrigen Pflichten: Sie brauchen weiterhin einen AVV nach Art. 28 DSGVO, eine transparente Information in der Datenschutzerklärung und – bei Geräteszugriff – eine Einwilligung nach § 25 TTDSG.

Was passiert, wenn das DPF gerichtlich gekippt wird?

Dann müssten betroffene Transfers kurzfristig auf Standardvertragsklauseln und zusätzliche Maßnahmen umgestellt werden. Wer seine Transfers dokumentiert und Alternativen kennt, kann darauf schnell reagieren – deshalb lohnt sich die Vorbereitung schon heute.