Zum Inhalt springen
12.8Fortgeschritten7 min

Drittlandtransfer in die USA: Data Privacy Framework und KI

Blck Alpaca·
Definition

Das EU-US Data Privacy Framework (DPF) ist die seit 10. Juli 2023 geltende Angemessenheitsentscheidung der EU-Kommission, auf deren Basis personenbezogene Daten an zertifizierte US-Unternehmen übermittelt werden dürfen. Für KI-Agenten mit US-Anbietern ist es derzeit die zentrale, aber rechtlich angefochtene Grundlage für Drittlandtransfers nach Kapitel V DSGVO.

Auf einen Blick

  • Das EU-US Data Privacy Framework gilt seit 10. Juli 2023 als Angemessenheitsentscheidung; das EU-Gericht (EuG) hat es am 3. September 2025 im Verfahren Latombe (T-553/23) bestätigt - allerdings ausdrücklich nur zum Zeitpunkt der Annahme. Ein Rechtsmittel beim EuGH (seit 31. Oktober 2025) und eine angekündigte breitere NOYB-Anfechtung machen den Status provisorisch (Stand 2026, vorbehaltlich Änderung).
  • Schrems II (EuGH C-311/18, 16. Juli 2020) bleibt der Maßstab: Standardvertragsklauseln (SCC 2021/914, 4. Juni 2021) wirken nur mit einem fallbezogenen Transfer-Impact-Assessment (TIA) und ggf. zusätzlichen Maßnahmen.
  • Empfehlung der Aufsichtsbehörden (Garante, CNIL, Publikationen 2025): Doppelabsicherung - DPF-Zertifizierung plus SCC als Fallback plus TIA, auch bei DPF-zertifizierten US-Empfängern, wo geboten.
  • Für KI-Agenten zählen alle Datenflüsse: Prompts, Inference-Outputs, Agent-Memory, Vektorspeicher, Tool-Calls und Logs verlassen oft den EU-Raum - jeder Hop ist potenziell ein eigenständiger Drittlandtransfer.
  • Das TIA-Risikoprofil für US-Anbieter umfasst CLOUD Act, FISA 702 / EO 12333 sowie Schutzmaßnahmen wie Verschlüsselung at rest/in transit/in use, BYOK/HYOK und EU-Datenresidenz.
  • Die Schweiz nutzt ein eigenes Regime: Swiss-US DPF seit 15. September 2024, sonst EU-SCC mit Swiss Finish nach FDPIC-Leitfaden vom 23. Juli 2024. Die Schweiz selbst gilt seit 15. Januar 2024 als EU-angemessen.

Der Drittlandtransfer ist beim Einsatz von KI-Agenten kein Randthema, sondern oft der kritischste Compliance-Pfad: Sobald ein Agent einen US-gehosteten Modell-Endpunkt aufruft, verlassen Prompts, Outputs und Tool-Call-Inhalte den EU-Raum. Damit greift Kapitel V DSGVO. Das EU-US Data Privacy Framework (DPF) ist seit 10. Juli 2023 die zentrale Angemessenheitsgrundlage dafür - rechtlich gültig, aber angefochten und damit als provisorisch zu behandeln.

  • DPF gilt, ist aber unsicher: seit 10. Juli 2023 in Kraft, am 3. September 2025 vom EU-Gericht bestätigt (bezogen auf den Zeitpunkt der Annahme), aber EuGH-Rechtsmittel und NOYB-Anfechtung laufen (Stand 2026, vorbehaltlich Änderung).
  • Doppelt absichern: Aufsichtsbehörden empfehlen DPF plus Standardvertragsklauseln (SCC) als Fallback plus Transfer-Impact-Assessment (TIA).
  • Jeder Datenfluss zählt: Prompts, Outputs, Agent-Memory, Vektorspeicher, Tool-Calls und Logs können je für sich einen Drittlandtransfer auslösen.

Das Drittlandtransfer-Problem nach Kapitel V DSGVO

Kapitel V DSGVO verbietet die Übermittlung personenbezogener Daten in Drittländer, solange dort kein angemessenes Schutzniveau gewährleistet ist. Erlaubt ist ein Transfer nur über eine der vorgesehenen Grundlagen: eine Angemessenheitsentscheidung der EU-Kommission, geeignete Garantien wie Standardvertragsklauseln (SCC) oder Binding Corporate Rules (BCR), oder eng begrenzte Ausnahmen.

Für KI-Agenten ist das besonders heikel, weil ein agentischer Stack viele Übermittlungspunkte hat. Personenbezogene Daten fließen nicht nur in der Inferenz (Prompts und Outputs), sondern auch in das Agent-Memory, in persistente Vektorspeicher für RAG, in Tool-Call-Payloads an externe Schnittstellen und MCP-Server sowie in Observability-Logs und Traces. Jeder dieser Hops kann ein eigenständiger Drittlandtransfer sein, wenn der Empfänger oder das Hosting außerhalb der EU liegt.

Schrems II: warum SCC allein nicht reichen

Der Maßstab stammt aus dem Schrems-II-Urteil des EuGH (C-311/18, 16. Juli 2020). Es kippte das damalige Privacy Shield und stellte klar, dass Standardvertragsklauseln nur dann tragfähig sind, wenn der Verantwortliche fallbezogen prüft, ob im Empfängerland tatsächlich ein der EU im Wesentlichen gleichwertiges Schutzniveau besteht - und wo nötig zusätzliche Schutzmaßnahmen ergänzt. Diese Prüfung ist das Transfer-Impact-Assessment (TIA).

Die Kommission hat dies mit den Standardvertragsklauseln 2021/914 (4. Juni 2021) operationalisiert. Sie enthalten vier Module für die Konstellationen Controller-zu-Controller, Controller-zu-Processor, Processor-zu-Processor und Processor-zu-Controller. Die Wahl des passenden Moduls richtet sich nach der Rollenverteilung im KI-Stack - bei einem managed API-Anbieter typischerweise Controller-zu-Processor.

Das EU-US Data Privacy Framework: aktueller Status

Die EU-Kommission hat am 10. Juli 2023 die Angemessenheitsentscheidung für das EU-US Data Privacy Framework getroffen und damit das Privacy Shield ersetzt. US-Unternehmen, die sich nach dem DPF zertifizieren, gelten seitdem als Empfänger mit angemessenem Schutzniveau - ohne dass der Datenexporteur zwingend SCC abschließen muss.

Am 3. September 2025 hat das Gericht der Europäischen Union (EuG) im Verfahren Latombe gegen Kommission (T-553/23) die erste Klage gegen das DPF abgewiesen und die Gültigkeit zum Zeitpunkt der Annahme bestätigt. Das ist jedoch nicht das letzte Wort:

  • Latombe hat am 31. Oktober 2025 Rechtsmittel beim EuGH eingelegt; das Verfahren ist anhängig (Stand 2026, vorbehaltlich Änderung).
  • NOYB / Max Schrems hat eine separate, breitere Anfechtung signalisiert. Sie zielt auf Executive Orders der Trump-Administration, welche die Unabhängigkeit des Privacy and Civil Liberties Oversight Board (PCLOB) berührt haben.
  • Das EuG hat ausdrücklich festgehalten, dass die Kommission den Rechtsrahmen laufend überwachen und die Angemessenheitsentscheidung aussetzen, ändern oder aufheben kann, wenn sich die Voraussetzungen ändern.

Verbindlich gilt das DPF damit weiterhin als gültige Transfergrundlage. Doch das rechtlich (noch) verbindliche Fundament steht unter Vorbehalt - ein "Schrems-III-Szenario" bleibt laut Research-Stand plausibel.

SCC plus TIA als Fallback - die empfohlene Doppelabsicherung

Wegen dieser Unsicherheit lautet die operative Leitlinie: nicht allein auf das DPF stützen. Garante und CNIL haben in ihren Publikationen von 2025 weiterhin eine doppelte Absicherung empfohlen - DPF-Zertifizierung plus Standardvertragsklauseln als Fallback plus TIA, auch für DPF-zertifizierte Empfänger, wo dies geboten ist.

Der praktische Vorteil: Fällt das DPF weg, bleibt der Datenfluss über die SCC abgesichert und wird nicht schlagartig unrechtmäßig. Das TIA für US-Anbieter sollte folgende Risiken adressieren:

  • US CLOUD Act: Risiko der angeordneten Herausgabe an US-Behörden auch bei US-Mutterkonzernen mit EU-Tochter, unabhängig vom Speicherort.
  • FISA 702 / EO 12333: Exposition für elektronische Kommunikationsdiensteanbieter wie Microsoft, Google, AWS, Meta.
  • Technische Schutzmaßnahmen: Verschlüsselung at rest und in transit als Mindeststandard; Verschlüsselung in use (Confidential Computing, TEE) zunehmend relevant für KI-Inferenz; BYOK/HYOK, damit der Verantwortliche die Schlüssel hält und der Anbieter ohne Mitwirkung nicht entschlüsseln kann.
  • EU-Datenresidenz: Region-Pinning, EU Data Boundary, EU-regionale Endpunkte.

Übersicht: Transfergrundlagen für KI-Agenten

Grundlage

Rechtsbasis

Eignung für KI-Agenten

Status / Hinweis

EU-US DPF (Angemessenheit)

Kommissionsbeschluss 10.07.2023

Hoch, wenn US-Anbieter zertifiziert

Gültig, aber angefochten (EuGH-Rechtsmittel seit 31.10.2025)

Standardvertragsklauseln (SCC 2021/914)

Art. 46 DSGVO

Hoch, als Fallback und für nicht zertifizierte Empfänger

TIA zwingend (Schrems II)

Binding Corporate Rules (BCR)

Art. 47 DSGVO

Konzern-intern, robust

Lead-DPA-Genehmigung, ca. 18-30 Monate

Angemessenheit Schweiz (EU→CH)

Beschluss 15.01.2024

Hoch

Schweiz von der EU als angemessen anerkannt

Swiss-US DPF

in Kraft 15.09.2024

Hoch für CH-Exporte an zertifizierte US-Empfänger

Eigenes CH-Regime nach revDSG

SCC mit Swiss Finish

FDPIC-Leitfaden 23.07.2024

Standard für nicht zertifizierte CH-US-Flüsse

revDSG-Kontext

Entscheidungs-Flow für einen KI-Datentransfer in die USA

  1. Liegt überhaupt ein Drittlandtransfer vor? Datenfluss-Diagramm erstellen: Wo werden Prompts, Outputs, Memory, Vektoren, Tool-Calls und Logs verarbeitet? Lässt sich der Fluss über EU-Datenresidenz und Region-Pinning vollständig in der EU halten, ist Kapitel V gar nicht einschlägig.
  2. Ist der US-Empfänger DPF-zertifiziert? Wenn ja, ist der Transfer rechtlich gedeckt - aber nicht allein darauf stützen.
  3. SCC als Fallback abschließen. Passendes Modul wählen (meist Controller-zu-Processor).
  4. TIA durchführen und dokumentieren. CLOUD Act, FISA 702 / EO 12333, zusätzliche Maßnahmen wie Verschlüsselung in use, BYOK/HYOK.
  5. Monitoring etablieren. DPF-Status, Rechtsmittel und Aufsichtspraxis laufend beobachten, um beim Wegfall sofort auf SCC umzustellen.

Konkretes Zahlenbeispiel

Eine Agentur betreibt für einen B2B-Kunden einen Customer-Service-Agenten auf Basis eines US-gehosteten Modell-Endpunkts. Pro Tag laufen rund 2.000 Konversationen, jede mit durchschnittlich 4 Prompt-Output-Paaren - das sind etwa 8.000 Drittlandtransfers pro Tag, also rund 240.000 pro Monat, dazu Logs und Vektorspeicher-Schreibvorgänge. Ohne DPF und ohne SCC plus TIA wäre jeder einzelne dieser Transfers ohne Rechtsgrundlage.

Die saubere Absicherung: Der Anbieter ist DPF-zertifiziert (Grundlage 1), zusätzlich werden SCC im Controller-zu-Processor-Modul geschlossen (Grundlage 2), ein TIA dokumentiert CLOUD-Act- und FISA-Exposition samt Verschlüsselung at rest/in transit. Die Log-Retention wird auf 30 Tage begrenzt, Prompts werden vor der Speicherung pseudonymisiert. Sollte das DPF gekippt werden, läuft der Betrieb über die SCC weiter - ohne Notabschaltung des Agenten.

Wer EU-Datenresidenz technisch durchsetzen kann, reduziert das Problem an der Wurzel: EU-regionale Endpunkte oder die EU Data Boundary verlagern Speicherung und Verarbeitung in die Region. Zu beachten ist, dass einzelne Modellfamilien dort noch nicht überall verfügbar sind - die AWS European Sovereign Cloud (eusc-de-east-1) ist im Januar 2026 gestartet, Claude-Modelle waren dort zu diesem Zeitpunkt jedoch noch nicht verfügbar.

Für Agenturen und B2B-Entscheider

Wer KI-Agenten für DACH-Kunden einsetzt, sollte den Drittlandtransfer nicht als Vertragsklausel-Detail behandeln, sondern als architektonische Entscheidung. Drei Hebel zahlen sich aus: erstens das Datenfluss-Mapping über den gesamten Agenten-Stack inklusive MCP-Servern und Observability; zweitens die Doppelabsicherung aus DPF, SCC und dokumentiertem TIA, damit ein Wegfall des DPF nicht zum Betriebsrisiko wird; drittens, wo möglich, EU-Datenresidenz oder Sovereign-Cloud-Optionen, um das Transferproblem gar nicht erst entstehen zu lassen. Für Agenturen ist das zugleich ein Differenzierungsmerkmal: Kunden in regulierten Branchen erwarten belastbare Transfer-Dokumentation als Teil des Angebots.

Hinweis: Dieser Beitrag dient der fachlichen Information und stellt keine Rechtsberatung dar. Für die rechtsverbindliche Bewertung konkreter Datentransfers ziehen Sie bitte qualifizierten Rechtsrat hinzu.

Häufig gestellte Fragen

Ist das EU-US Data Privacy Framework eine sichere Grundlage für KI-Datentransfers in die USA?
Es ist aktuell eine gültige Transfergrundlage: Die EU-Kommission hat die Angemessenheit am 10. Juli 2023 festgestellt, und das EU-Gericht (EuG) hat sie am 3. September 2025 im Verfahren Latombe (T-553/23) bestätigt - allerdings ausdrücklich nur bezogen auf den Zeitpunkt der Annahme. Dauerhaft sicher ist sie nicht: Das Rechtsmittel beim EuGH läuft seit 31. Oktober 2025, und NOYB/Max Schrems hat eine breitere Anfechtung mit Blick auf Executive Orders der Trump-Administration angekündigt, welche die Unabhängigkeit des PCLOB betreffen. Stand 2026, vorbehaltlich Änderung. Deshalb empfehlen Aufsichtsbehörden eine Doppelabsicherung mit SCC und TIA.
Reicht es, wenn mein US-KI-Anbieter DPF-zertifiziert ist?
Nein, das ist nicht ausreichend belastbar. Die DPF-Zertifizierung legitimiert den Transfer rechtlich, doch Garante und CNIL haben in ihren Publikationen von 2025 weiterhin eine doppelte Absicherung empfohlen: DPF plus Standardvertragsklauseln als Fallback plus ein Transfer-Impact-Assessment auch für DPF-zertifizierte Empfänger, wo dies geboten ist. Fällt die Angemessenheitsentscheidung weg, bleiben die SCC als Auffanglösung bestehen, ohne dass der Datenfluss sofort unrechtmäßig wird.
Was ist ein Transfer-Impact-Assessment (TIA) und wann brauche ich es?
Ein TIA ist die fallbezogene Prüfung, ob im Empfängerland ein der EU im Wesentlichen gleichwertiges Schutzniveau besteht, gefordert seit Schrems II (EuGH C-311/18). Beim Einsatz von SCC ist es Pflicht. Das TIA bewertet für US-Anbieter unter anderem CLOUD-Act-Exposition, FISA 702 / EO 12333 sowie technische Schutzmaßnahmen wie Verschlüsselung at rest, in transit und in use, BYOK/HYOK und EU-Datenresidenz, und legt bei Bedarf zusätzliche Maßnahmen fest.
Gilt das DPF auch für die Schweiz?
Nein, die Schweiz hat ein eigenes Regime nach revDSG. Das Swiss-US Data Privacy Framework ist seit 15. September 2024 in Kraft und ermöglicht Transfers an US-Empfänger, die sich nach dem Swiss-US DPF zertifiziert haben. Für nicht zertifizierte Datenflüsse bleiben EU-SCC mit Swiss Finish gemäß FDPIC-Leitfaden vom 23. Juli 2024 der Standard. Die Schweiz selbst gilt seit 15. Januar 2024 als EU-angemessen.
Was passiert mit meinen KI-Datentransfers, wenn das DPF gekippt wird (Schrems III)?
Genau für dieses Szenario dient die Doppelabsicherung. Das EU-Gericht hat ausdrücklich betont, dass die Kommission die Rechtslage laufend überwachen und die Angemessenheitsentscheidung aussetzen, ändern oder aufheben kann. Wer bereits SCC plus TIA dokumentiert hat, kann beim Wegfall des DPF nahtlos auf diese Grundlage zurückfallen. Ohne Fallback wären laufende US-Transfers schlagartig ohne Rechtsgrundlage - das Schrems-III-Szenario gilt laut Research weiterhin als plausibel.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerMistral und Aleph Alpha: Die DSGVO-Vorteile europäischer LLM-AnbieterNächsterDatenschutz-Folgenabschätzung (DSFA) für KI-Agenten: Pflicht, Schwellenwerte und Schritt-für-Schritt-Vorgehen