Das Data Privacy Framework (DPF) basiert einerseits auf einer Angemessenheitsentscheidung (EU 2023/1795), die von der Europäischen Kommission gemäß Artikel 45 der DSGVO getroffen wurde, und andererseits auf einer Verordnung des US-Präsidenten (Executive Order 14086).
US-Unternehmen müssen sich beim Department of Commerce (US-Handelsministerium) selbst zertifizieren und sich zur Einhaltung einer Reihe von Datenschutzgrundsätzen verpflichten, die denen der DSGVO ähneln.
Politisch gesehen verkörpert das DPF einen Kompromiss zwischen wirtschaftlichen Interessen und digitaler Souveränität. Diese amerikanischen Garantien basieren jedoch auf Präsidialdekreten, wodurch sie durch einen Wechsel des amerikanischen Präsidenten leicht widerrufen werden können.
Es reagiert auf die Kritik des Gerichtshofs der Europäischen Union im Urteil Schrems II, indem es den Zugang der US-Behörden zu personenbezogenen Daten stärker reguliert und ein wirksames Recht auf Rechtsbehelf für europäische Bürger einführt.
| DIE PILIERE | CLARIFIKATION |
|---|---|
| Benachrichtigung | Das Unternehmen muss die betroffenen Personen über die erhobenen Daten, die Zwecke der Verarbeitung, die Möglichkeiten zur Kontaktaufnahme mit der Organisation und ihre Rechte informieren. |
| Auswahl | Der Betroffene muss sich bestimmten Verarbeitungen oder der Weitergabe seiner Daten an Dritte widersetzen können, insbesondere wenn diese anderen Zwecken dienen. |
| Weiterleitung | Die Daten dürfen nur an Dritte weitergegeben werden, wenn diese ein gleichwertiges und vertraglich geregeltes Schutzniveau bieten. |
| Sicherheit | Das Unternehmen muss geeignete Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff oder unbefugter Nutzung ergreifen. |
| Datenintegrität und Zweckbindung | Die Daten müssen korrekt und relevant sein und dürfen nur für die Zwecke verwendet werden, für die sie erhoben wurden, außer für legitime Zwecke der Archivierung, Forschung oder im öffentlichen Interesse. |
| Zugangsprinzip | Personen müssen auf ihre Daten zugreifen und diese korrigieren, ändern oder löschen können, wenn sie unrichtig sind oder unter Verstoß gegen die Grundsätze verarbeitet werden. |
| Grundsatz der Beschwerde, Anwendung und Haftung | Das Unternehmen muss einen zugänglichen Beschwerdemechanismus anbieten und sich Kontrollen und Sanktionen unterwerfen, wenn es die Grundsätze nicht einhält. |
In der Praxis erleichtert das DPF die Übermittlung personenbezogener Daten in die Vereinigten Staaten und bietet den Wirtschaftsakteuren Rechtssicherheit. Es verhindert jedoch nicht die Anwendung des Cloud Act, der Anbietern, die dem US-Recht unterliegen, den Zugriff auf Daten vorschreiben kann, selbst wenn diese in Europa gehostet werden. Diese Situation unterstreicht die Bedeutung der Nutzung souveräner Cloud-Lösungen, die vollständig in der Europäischen Union gehostet werden.
In seiner Berufung vom 31. Oktober 2025 vor dem EuGH ficht Philippe Latombe das Urteil des Gerichts vom 3. September 2025 mit vier Hauptgründen an: Er wirft dem Gericht Rechts- und Beurteilungsfehler hinsichtlich der Unabhängigkeit und Rechtmäßigkeit des Data Protection Review Court (DPRC) vor, die massenhafte Datenerhebung ohne vorherige Genehmigung gemäß Schrems II, die Ablehnung der Urteile von 2020 und 2024 zur allgemeinen Datenspeicherung und die Befugnis des US-Präsidenten, die Erhebungsziele gemäß der Executive Order 14086 heimlich zu aktualisieren.