EU-US Data Privacy Framework

Das EU-US Data Privacy Framework (DPF) ist ein transatlantischer Zertifizierungsrahmen, auf dessen Grundlage die Europäische Kommission am 10. Juli 2023 einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen hat. Es ermöglicht die Übermittlung personenbezogener Daten aus der EU an Unternehmen in den USA, die sich beim US-Handelsministerium (Department of Commerce) für das Framework zertifiziert und zur Einhaltung definierter Datenschutzgrundsätze verpflichtet haben. Das DPF ist der Nachfolger des Privacy Shield, das der Europäische Gerichtshof im Juli 2020 im Urteil "Schrems II" (C-311/18) für ungültig erklärt hatte.

Kern der Neuregelung sind zusätzliche Schutzvorkehrungen, mit denen die vom EuGH gerügten Defizite beim Zugriff US-amerikanischer Nachrichtendienste adressiert werden. Die US-Executive Order 14086 begrenzt den geheimdienstlichen Datenzugriff auf das Erforderliche und Verhältnismäßige und schafft mit dem Data Protection Review Court (DPRC) einen zweistufigen, unabhängigen Rechtsbehelfsmechanismus, den auch EU-Bürger anrufen können. Zertifizierte US-Unternehmen müssen die DPF-Prinzipien einhalten, die unter anderem Informationspflichten, Zweckbindung, Datenminimierung, Wahlmöglichkeiten der Betroffenen sowie Haftung bei Weiterübermittlungen umfassen.

Für Verantwortliche in der EU bedeutet das DPF eine erhebliche Vereinfachung: Übermittlungen an unter dem Framework zertifizierte Empfänger benötigen keine zusätzlichen Garantien wie Standardvertragsklauseln oder ein Transfer-Impact-Assessment mehr. Voraussetzung ist jedoch, dass der konkrete Empfänger tatsächlich auf der offiziellen DPF-Liste (dataprivacyframework.gov) für die jeweilige Datenkategorie aktiv zertifiziert ist; dies muss vor und während der Übermittlung geprüft werden. Für nicht zertifizierte Empfänger oder den Fall, dass der Angemessenheitsbeschluss erneut angegriffen wird, bleiben Standardvertragsklauseln das maßgebliche Auffanginstrument.