Das Transatlantic Data Privacy Framework (TADPF) ist ein Abkommen zwischen der Europäischen Union und den USA, um die unterschiedlichen rechtlichen Anforderungen an den Datenschutz in den beiden Regionen anzugleichen.
Für die US-Seite unterzeichnete Präsident Biden eine Durchführungsverordnung zur Umsetzung bestimmter Verpflichtungen, die zuvor in Verhandlungen mit der EU vereinbart worden waren. Dies umfasst
- Schutzmaßnahmen, die zumindest theoretisch den Datenzugriff der US-Sicherheits- und Nachrichtendienste auf das Notwendige und Angemessene beschränken sollen, und
- die Schaffung eines zweistufigen Beschwerdemechanismus für EU-Bürger in Form des (1) Datenschutzbeauftragten, dessen Entscheidungen (2) vor dem "Data Protection Review Court” angefochten werden können.
Auf EU-Seite hat die EU-Kommission einen Angemessenheitsbeschluss erlassen, in dem sie anerkennt, dass das Schutzniveau für personenbezogene Daten in den Vereinigten Staaten im Rahmen des TADPF mit dem in der Europäischen Union vergleichbar ist.
Personenbezogene Daten können daher ungehindert aus der EU in die USA übermittelt werden, sofern das empfangende Unternehmen in den USA am TADPF teilnimmt (Selbstzertifizierung). Weitere Sicherheitsvorkehrungen oder alternative Übermittlungsinstrumente, wie Standardvertragsklauseln, sind nicht mehr erforderlich.
Die Frage, wie dauerhaft und zuverlässig das TADPF sein wird, ist noch offen. Immerhin sind die letzten beiden Versuche ähnlicher Rahmenwerke (Safe Harbor und Privacy Shield) gescheitert und wurden vom EuGH in den Urteilen Schrems I und II für nichtig erklärt.