Das EU-US Data Privacy Framework (EU-US DPF), vormals Transatlantic Data Privacy Framework (kurz TADPF), ist ein Abkommen zwischen der Europäischen Union und den USA, um die unterschiedlichen rechtlichen Anforderungen an den Datenschutz in den beiden Regionen anzugleichen.
Für die US-Seite unterzeichnete Präsident Biden am 07.10.2022 eine Durchführungsverordnung zur Umsetzung bestimmter Verpflichtungen, die zuvor in Verhandlungen mit der EU vereinbart worden waren. Dies umfasst
- Schutzmaßnahmen, die zumindest theoretisch den Datenzugriff der US-Sicherheits- und Nachrichtendienste auf das Notwendige und Angemessene beschränken sollen, und
- die Schaffung eines zweistufigen Beschwerdemechanismus für EU-Bürger in Form des (1) Datenschutzbeauftragten, dessen Entscheidungen (2) vor dem “Data Protection Review Court” angefochten werden können.
Auf EU-Seite hat die EU-Kommission einen Angemessenheitsbeschluss erlassen, in dem sie anerkennt, dass das Schutzniveau für personenbezogene Daten in den Vereinigten Staaten im Rahmen des DPF mit dem in der Europäischen Union vergleichbar ist.
Personenbezogene Daten können daher ungehindert aus der EU in die USA übermittelt werden, sofern das empfangende Unternehmen in den USA am EU-US DPF teilnimmt (Selbstzertifizierung). Weitere Sicherheitsvorkehrungen oder alternative Übermittlungsinstrumente, wie Standardvertragsklauseln, sind nicht mehr erforderlich.
Die Frage, wie dauerhaft und zuverlässig das EU-US Data Privacy Framework sein wird, ist noch offen. Immerhin sind die letzten beiden Versuche ähnlicher Rahmenwerke (Safe Harbor und Privacy Shield) gescheitert und wurden vom EuGH in den Urteilen Schrems I und II für nichtig erklärt. Eine Überprüfung des EU-US DPF durch den EuGH steht noch aus.
