Aufsatz : Die Grundsätze des EU-U.S. Data Privacy Framework : aus der RDV 6/2025, Seite 289 bis 294

III. Die Grundsätze im Einzelnen

1. Allgemeines

Der DPF beinhaltet sieben Grundsätze, welche durch 16 Zusatzgrundsätze ergänzt und konkretisiert werden. Die sieben Grundsätze lauten: „Bekanntmachung“, „Wahlmöglichkeit“, „Verantwortlichkeit für die Weitergabe“, „Sicherheit“, „Datenintegrität und Zweckbindung“, „Zugang“ und „Rechtsschutz, Durchsetzung und Haftung“.

Das DPF unterscheidet bei seinen Regeln nicht, ob der Datenimporteur in den USA ein Verantwortlicher oder ein Auftragsverarbeiter ist. Dies führt an einigen Stellen zu Unklarheiten, inwieweit der Datenimporteur eine Pflicht aus dem DPF wirklich erfüllen muss. So sind Unternehmen unter dem DPF etwa dazu verpflichtet, Betroffene über eine Datenverarbeitung zu informieren. Dies ist unter der DS‑GVO eine Pflicht des Verantwortlichen, nicht des Auftragsverarbeiters.

Eine solche Einschränkung findet sich im DPF jedoch nicht. Es hätte hier eine präzisere Unterscheidung zwischen Pflichten des Verantwortlichen und solchen des Auftragsverarbeiters vorgenommen werden sollen._[6]

Des Weiteren unterliegen viele Verantwortliche in den USA zwar gem. Art.  3 Abs.  2 direkt der DS‑GVO, sodass die Grundsätze des DPF zunächst überflüssig erscheinen. Allerdings haben europäische Behörden in den USA keine Durchsetzungsbefugnisse und sind auf die Kooperation der dortigen Datenimporteure angewiesen. Auch gegen einen gem. Art.  27 DS‑GVO ernannten Vertreter in der Union können europäische Behörden nicht gleichermaßen wie gegen Verantwortliche oder Auftragsverarbeiter, die in der Union angesiedelt sind, vorgehen.^[7]Zudem besteht das Risiko, dass schlicht überhaupt kein Vertreter ernannt wird. Vor diesem Hintergrund bietet das DPF einen enormen Mehrwert, denn seine Durchsetzung erfolgt nicht nur durch europäische, sondern auch US-amerikanische Behörden wie die Federal Trade Commission (FTC).

2. Zertifizierungsprozess

Um sich auf das DPF berufen zu können, müssen Datenimporteure in den USA sich selbst beim Handelsministerium zertifizieren. Mit dieser öffentlich zu bekanntmachenden Zertifizierung verpflichten sich die Unternehmen, die Grundsätze des DPF einzuhalten. Um sich zertifizieren zu können, muss das Unternehmen entweder unter der Aufsicht der FTC oder des Verkehrsministeriums stehen.^[8] Unter der Aufsicht des Verkehrsministeriums stehen Luftverkehrsgesellschaften und Inhaber von Kartenverkaufsstellen für Flugtickets.^[9] Die FTC ist für den Großteil sonstiger privater Unternehmen zuständig. Ausnahmen bestehen jedoch im Banken-, Versicherungs- und Telekommunikationssektor und für Non-ProfitOrganisationen. Unternehmen und Organisationen in diesem Bereich können sich nicht unter dem DPF zertifizieren, ebenso öffentliche Stellen.^[10] Die Teilnahme am DPF geht einher mit der Errichtung einer jährlichen Gebühr, die vom Jahresumsatz des Unternehmens bzw. der Organisationen abhängt. Die Gebühren belaufen sich auf 260 $ bis 8295 $ pro Jahr.^[11]

Neben der öffentlichen Verpflichtung zur Einhaltung der Grundsätze des DPF muss das Unternehmen folgerichtig auch seine Datenschutzerklärungen in Einklang mit den Grundsätzen bringen und diese veröffentlichen.^[12] Durch die Veröffentlichung kann ein Verstoß gegen die Grundsätze als unlautere oder irreführende Geschäftspraktik (z.B. §  5 FTC Act) direkt durch US-Behörden wie die FTC sanktioniert werden.

Das Handelsministerium stellt öffentlich eine Liste zur Verfügung, auf der alle unter dem DPF zertifizierten Unternehmen zu finden sind.^[13]Diese müssen sich dabei einmal jährlich rezertifizieren, um weiter auf der Liste zu bleiben.^[14]

3. Ausnahmen

Die Grundsätze gelten nicht unter allen Umständen. Erlaubte Gründe für eine Abweichung sind etwa Gerichtsentscheidungen, Strafverfolgungszwecke, das öffentliche Interesse oder die nationale Sicherheit. Dies setzt jedoch voraus, dass ein Unternehmen darlegen kann, dass die Nichteinhaltung der Grundsätze auf das Maß beschränkt ist, das für den Zweck der Nichteinhaltung erforderlich ist. Alternativ kann von den Grundsätzen abgewichen werden, wenn dies in einem vergleichbaren Fall unter der DS‑GVO erlaubt wäre. Unternehmen sind in diesem Zusammenhang dazu aufgefordert, in ihren Datenschutzerklärungen darauf hinzuweisen, in welchen Fällen sie von den Grundsätzen abweichen.^[15]

4. Bewertung der Grundsätze

a) Bekanntmachung

Unter dem DPF müssen Betroffene informiert werden, wenn sie erstmals zur Datenübermittlung aufgefordert werden. Dies gilt auch, wenn Daten für einen anderen Zweck als bei der Erhebung verarbeitet oder erstmals an einen Dritten weitergegeben werden.^[16]

Für den Fall, dass Daten nicht direkt beim Betroffenen erhoben werden, sieht das DPF kein Pendant zu Art. 14 DS‑GVO vor. Übermittelt etwa eine Reiseagentur aus der EU Daten an ein Hotel in den USA, so handelt es sich hierbei um eine Übermittlung zwischen zwei eigenständigen Verantwortlichen.^[17]Da das Hotel in den USA die Daten jedoch nicht direkt beim Betroffenen erhebt, muss keine Information des Betroffenen erfolgen. Wäre das Hotel in der EU, so hätte es seine Informationspflichten nach Art. 14 DS‑GVO erfüllen müssen.

Auch wenn die Daten direkt beim Betroffenen erhoben werden, gibt es Unterschiede bei der Informationspflicht zwischen DPF und DGSVO. So fehlt es im DPF an einer Information über die Speicherdauer (Art. 13 Abs. 2 lit. a) DS‑GVO), ggf. automatisierte Entscheidungsfindungen einschließlich Profiling (Art. 13 Abs. 2 lit. f) DS‑GVO) und die Absicht, Daten in ein (weiteres) Drittland zu übermitteln sowie diesbezügliche Garantien (Art. 13 Abs. 1 lit. f) DS‑GVO). Insgesamt bleibt der Grundsatz der Bekanntmachung damit etwas hinter DS‑GVO zurück.

b) Wahlmöglichkeit

Ein Recht auf Widerspruch (Opt-Out) besteht im DPF unter drei Voraussetzungen: Zunächst ist dies Direktwerbung gegenüber dem Betroffenen.^[18] Weiter besteht ein Widerspruchsrecht, wenn der neue Zweck einer Datenverarbeitung sich vom alten „wesentlich unterscheidet“. Und drittens muss dem Betroffenen eine Opt-Out-Möglichkeit bereitgestellt werden, wenn die Daten an einen Dritten weitergegeben werden, der kein Auftragsverarbeiter ist. Im Gegensatz zum Widerspruchsrecht aus Art.  21 Abs.  1 DS‑GVO bedarf es hier keiner Interessenabwägung, bei Berufung auf die Opt-OutMöglichkeit muss die Verarbeitung sofort beendet werden.

Ein allgemeines Widerspruchsrecht gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f), wie es Art. 21 Abs. 1 DS‑GVO vorsieht, besteht hingegen nicht. Dieses müsste sich allerdings im DPF wiederfinden, damit von einem gleichwertigen Schutz zur DS‑GVO gesprochen werden kann.^[19]

c) Verantwortlichkeit für Weitergabe

Will ein US-Unternehmen unter dem DPF personenbezogene Daten an einen Dritten weiterleiten, so muss es mit diesem Dritten einen Vertrag hierüber schließen und sich vergewissern, dass der Dritte vertraglich dazu verpflichtet ist, ein gleichwertiges Schutzniveau zu dem der DPF-Grundsätze zu bieten. Hier fällt auf, dass der Dritte nur ein Schutzniveau bieten muss, was gleichwertig zu den Grundsätzen des DPF ist. Die Grundsätze regeln aber nicht den Umgang von Behörden mit personenbezogenen Daten. Befindet sich der Dritte in einem Drittland mit unverhältnismäßigen staatlichen Zugriffsbefugnissen, so steht dies einer Übermittlung nicht im Weg.

In diesem Punkt besteht ein erheblicher Unterschied zur DS‑GVO. Besteht für ein Drittland kein Angemessenheitsbeschluss, so kann eine Übermittlung mit Ausnahme von Art. 49 DS‑GVO nur aufgrund der in Art. 46 DS‑GVO genannten Garantien erfolgen. In aller Regel werden hierzu Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c) DS‑GVO genutzt, wobei ggf. noch zusätzliche technische oder organisatorische Maßnahmen ergriffen werden müssen. Die Standardvertragsklauseln sehen in Klausel 14 explizit vor, dass der Datenexporteur aus der EU selbstständig eine Analyse des Schutzniveaus im Drittland vornehmen muss.^[20] Dies geschieht in der Praxis über ein sog. Transfer Impact Assessment (TIA).^[21] Erforderlich ist eine Analyse der gesamten Rechtslage im Drittland, einschließlich staatlicher Zugriffsbefugnisse.

Damit das Schutzniveau der DS‑GVO durch den Weitertransfer der Daten aus den USA in ein Drittland nicht untergraben wird, bedürfte es folglich einer Analyse des zertifizierten DPF-Unternehmens, ob im Drittland ein gleichwertiges Schutzniveau wie in der Union besteht. Hierbei müsste die gesamte Rechtslage im Drittland untersucht werden, inklusive staatlicher Zugriffsbefugnisse.^[22] Da der Grundsatz solche Regelungen aber nicht vorsieht, ist er nicht gleichwertig zur DS‑GVO.

d) Sicherheit

Die Ausführungen zum Grundsatz der Sicherheit sind im Vergleich zur DS‑GVO sehr knapp gehalten, decken aber die wesentlichen Anforderungen ab und bieten ein gleichwertiges Schutzniveau.^[23]

e) Datenintegrität und Zweckbindung

Bei der Zweckbindung handelt es sich um einen der fundamentalen Grundsätze des europäischen Datenschutzrechts, der primärrechtlich in Art.  8 Abs.  2 GRCh festgehalten ist. In der DS‑GVO können Zweckänderungen nur unter den Voraussetzungen des Art. 6 Abs. 4 DS‑GVO vorgenommen werden.^[24] Um den Grundsatz der Zweckbindung aus Art.  5 Abs.  1 lit.  b) DS‑GVO nicht zu unterlaufen, ist die Ausnahme restriktiv auszulegen.^[25]Eine Ausnahme von Art.  6 Abs.  4 DS‑GVO besteht unter den Voraussetzungen des Art. 23 Abs. 1 DS‑GVO, welcher eine Zweckänderung zu besonders wichtigen Zwecken zulässt.

Im DPF heißt es zunächst, dass Daten nicht zu einem Zweck verarbeitet werden dürfen, der „unvereinbar“ mit dem Primärzweck ist. Dies wird jedoch dadurch relativiert, dass es zum Grundsatz der Wahlmöglichkeit heißt, dass selbst ein „wesentlich unterschiedlicher“ Zweck als vereinbar mit dem ursprünglichen Zweck gilt. Zur Durchführung der Zweckänderung muss dem Betroffenen dann lediglich eine Möglichkeit zum Opt-Out bereitgestellt werden. Hierbei müssen die Interessen und Erwartungen des Betroffenen nicht berücksichtigt werden. Unter der DS‑GVO wäre solch eine Zweckänderung regelmäßig unzulässig, da sie den Kompatibilitätstest aus Art. 6 Abs. 4 DS‑GVO nicht bestehen würde.^[26]Der Grundsatz bietet damit kein gleichwertiges Schutzniveau.^[27]

f) Zugang

Auch das Recht auf Auskunft findet sich in Art. 8 Abs. 2 GRCh wieder. Dem Recht auf Auskunft kommt besondere Bedeutung zu, weil von ihm weitere Betroffenenrechte wie etwa das Recht auf Berichtigung oder Löschung abhängen.^[28]

Im Unionsrecht hat ein Betroffener nach Art.  15 DS‑GVO grundsätzlich das Recht, Auskunft über alle personenbezogenen Daten zu erhalten, die ein Verantwortlicher von ihm verarbeitet. Ausnahmen bestehen nach Art. 89 Abs. 2 DS‑GVO, wonach bei Daten zu wissenschaftlichen oder historischen Forschungszwecken sowie statistischen Daten Ausnahmen hiervon vorgesehen werden können, wenn das Auskunftsrecht die Verwirklichung der spezifischen Zwecke unmöglich macht oder ernsthaft beeinträchtigt und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. Auch unter dem DPF hat ein Betroffener ein Recht auf Auskunft über seine Daten. Im Gegensatz zu Art. 89 Abs. 2 DS‑GVO kann hier jedoch die Auskunft über Daten zu Forschungs- oder Statistikzwecken per se verweigert werden.^[29]

Art. 12 Abs. 5 DS‑GVO bestimmt, dass der Verantwortliche dem Betroffenen eine Kopie seiner Daten kostenlos bereitstellen muss. Nur bei offenkundig unbegründeten oder exzessiven Anträgen kann er entweder ein angemessenes Entgelt verlangen oder eine Auskunft verweigern. Im DPF heißt es, dass ein Unternehmen eine Gebühr für die Auskunft verlangen darf, die nicht überhöht ist. Dies kann beispielsweise der Fall sein, wenn Anfragen exzessiv oft gestellt werden.^[30] Es findet sich jedoch kein Grundsatz, wonach die Auskunft dem Betroffenen kostenlos erteilt werden müsste. Es besteht deshalb die Gefahr, dass Betroffene von ihrem Recht auf Auskunft abgehalten werden könnten, wenn ein Unternehmen eine Gebühr aufgrund eines vermeintlich hohen Aufwands für die Zusammenstellung der Informationen verlangt. Dies ist unter der DS‑GVO unzulässig.^[31]

In Art. 12 Abs. 3 DS‑GVO ist festgehalten, dass eine Auskunft grundsätzlich innerhalb eines Monats nach Eingang des Auskunftsersuchens erfolgen muss. Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Das DPF sieht keine feste Frist für die Erteilung der Auskunft vor. Hier heißt es lediglich, dass die Auskunft innerhalb einer „angemessenen“ Zeitspanne erfolgen muss.^[32] Diese ungenaue Formulierung führt dazu, dass ein Betroffener nie genau sicher sein kann, wann er die Auskunft erhält und wann eine Beschwerde aufgrund verzögerter Auskunft erfolgreich ist.

Alles in allem kann der Grundsatz des Zugangs die Voraussetzungen des Unionsrechts nicht erfüllen. Eine Gleichwertigkeit kann insbesondere aufgrund der herausgehobenen Stellung des Auskunftsrechts in Art. 8 Abs. 2 GRCh nicht angenommen werden.^[33]

g) Rechtsschutz, Durchsetzung und Haftung

aa) Rechtsschutz

Betroffene haben unter dem DPF in bestimmten Fällen die Möglichkeit, bei Beschwerden gegen den Datenimporteur das DPF-Panel als verbindliches Schiedsforum einzuschalten. Das Panel besteht aus einem Pool von zehn Schiedsrichtern, die vom US-Handelsministerium und der Kommission ernannt werden. Kriterien für die Auswahl sind hierbei die Unabhängigkeit, Integrität und Erfahrung sowohl im US-amerikanischen Nachrichtendienst- als auch im europäischen Datenschutzrecht. Ein Schiedsforum besteht pro Beschwerde aus einem bis drei Schiedsrichtern.^[34]Das DPF-Panel hat die Befugnis, „einzelfallbezogene, nicht-monetäre billigkeitsrechtliche Ansprüche“ anzuerkennen.^[35] Dies umfasst den Zugang, die Berichtigung, die Löschung und die Rückgabe der Daten.^[36]Das Verfahren soll nicht länger als 90 Tage ab dem Zeitpunkt dauern, an dem der Betroffene zu Beginn das Unternehmen über die Anrufung des DPF-Panels unterrichtet hat.^[37] Hält sich ein Unternehmen nicht an eine Entscheidung des DPF-Panels, können Betroffene diese vor Gerichten in den USA unter der Federal Arbitration Act durchsetzen.^[38]

Das Verfahren vor dem DPF-Panel ist für den Betroffenen grundsätzlich kostenlos. Allerdings wird ein Betroffener als Laie die Schiedsregeln des Verfahrens kaum verstehen können und somit fast immer einen Anwalt hinzuziehen müssen. Für den Betroffenen entstehen damit zwangsläufig Kosten.^[39] Dies ist auch oftmals vor Gerichten in der Union der Fall, allerdings besteht hier die Möglichkeit auf Zuspruch eines Schadenersatzes sowie ggf. Prozesskostenhilfe und Übernahme der Anwaltskosten durch den Prozessgegner. Für das Verfahren vor dem DPF-Panel sind diese Möglichkeiten nicht vorgesehen. Kommt das Unternehmen der Entscheidung des DPF-Panels nicht nach, muss der Betroffene selbstständig in den USA Klage erheben. Hierdurch ist es wahrscheinlich, dass Betroffene von der Ausübung ihrer Rechte abgeschreckt werden.^[40]

bb) Durchsetzung und Haftung

Art.  45 Abs.  2 lit.  b) DS‑GVO fordert die Existenz und wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden im Drittland. Der EuGH hat in Schrems I festgestellt, dass in einem Drittland zwar grundsätzlich auf ein System der Selbstzertifizierung zurückgegriffen werden kann, die Zuverlässigkeit eines solchen Systems aber wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen basiert.^[41]Auch Art. 8 Abs. 3 GRCh besagt, dass der Umgang mit personenbezogenen Daten durch eine unabhängige Stelle überwacht werden muss.

Nach Art. 52 Abs. 1 DS‑GVO handeln die Aufsichtsbehörden in der Union völlig unabhängig. Wie der EuGH in Bezug auf die Aufsichtsbehörden in Deutschland entschieden hat, meint dies nicht nur das Verhältnis zwischen Aufsichtsbehörde und der zu kontrollierenden Stelle. Der Begriff der Unabhängigkeit setzt voraus, dass die Aufsichtsbehörde vor jeglicher Einflussnahme von außen geschützt ist. Dies umfasst auch die Einflussnahme durch den Bund oder die Länder.^[42] Bis zu dieser Entscheidung unterlagen die Aufsichtsbehörden der Länder zumindest teilweise der Fach-, Rechts- und Dienstaufsicht der Landesregierung bzw. einzelner Ministerien.^[43] Bereits die bloße Gefahr einer politischen Einflussnahme auf die Entscheidungen der Aufsichtsbehörde reicht aus, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen.^[44] Die Einhaltung der Grundsätze des DPF wird in den USA durch die FTC, das Verkehrsministerium und das Handelsministerium kontrolliert. Verkehrsministerium und Handelsministerium gehören als Ministerien unmittelbar der Exekutive an. Ein hinreichender Schutz vor (politischer) Einflussnahme, wie sie der EuGH gefordert hat, besteht damit nicht.^[45] Auch an der Unabhängigkeit der FTC bestehen Zweifel.^[46]

Art.  58 DS‑GVO gesteht den Aufsichtsbehörden zahlreiche Befugnisse zu, unter anderem die Verhängung von Geldbußen nach Abs. 2 lit. i). Die Bußgelder können gem. Art. 83 Abs. 5 DS‑GVO dabei bis zu vier Prozent des weltweiten Jahresumsatzes bzw. 20 Millionen € umfassen, je nachdem, welcher Betrag höher ist. Auch FTC und Verkehrsministerium können in den USA hohe Strafen gegen Unternehmen verhängen. Die FTC, die für den Großteil der Unternehmen unter dem DPF zuständig ist, kann jedoch nicht unmittelbar ein Bußgeld aufgrund eines Verstoßes verhängen. Sie muss dem betroffenen Unternehmen hingegen erst eine Unterlassungsverfügung zukommen lassen. Erst wenn das Unternehmen auch nach dieser Verfügung den Verstoß nicht abstellt, kann die FTC ein Bußgeld verhängen. Solch ein zwingender Zwischenschritt besteht für die Aufsichtsbehörden in der EU nicht. Im Gegensatz zur Union besteht für Unternehmen in den USA damit ein deutlich geringerer Druck, die Grundsätze einzuhalten, da sie vor einer Geldbuße immer erst eine „Ermahnung“ durch die FTC erhalten.^[47]

Unterm Strich bleibt damit festzuhalten, dass der Rechtsschutz und die Kontrolle der Grundsätze nicht gleichwertig zum Unionsrecht sind.^[48]

h) Fehlende Regelungen

Neben den aufgeführten Regelungen werden einige Aspekte des DS‑GVO im DPF auch überhaupt nicht thematisiert.

aa) Rechtmäßigkeit

Von größtmöglicher Bedeutung ist im europäischen Datenschutzrecht der Grundsatz der Rechtmäßigkeit. Demnach muss für jede Datenverarbeitung eine passende Rechtsgrundlage gefunden werden. Dieser Gedanke ist auch in Art. 8 Abs. 2 GRCh festgehalten, wo es heißt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.

Das DPF enthält keinen Grundsatz der Rechtmäßigkeit. Ist der Datenimporteur in den USA nur ein Auftragsverarbeiter, ist dies unproblematisch. Er kann sich hier auf die Rechtsgrundlage des Verantwortlichen in der Union berufen, da er nur als dessen „verlängerter Arm“ agiert.^[49] Problematisch sind jedoch Konstellationen, in denen ein Verantwortlicher in den USA selbst die Mittel und Zwecke der Datenverarbeitung festlegt, etwa wenn er für die Datenverarbeitung einen Auftragsverarbeiter in der Union einsetzt. Der Verantwortliche in den USA muss die Verarbeitung in diesen Fällen weder rechtfertigen noch greifen Regeln zur Zweckänderung aus dem DPF. Die Kommission verlässt sich hier darauf, dass der Datenimporteur in den USA gem. Art.  3 Abs.  2 DS‑GVO unter die DS‑GVO fällt und sämtliche Regeln freiwillig einhält. Zwar ist der Auftragsverarbeiter in der EU nach Art. 28 Abs. 3 DS‑GVO verpflichtet, den Verantwortlichen in den USA darauf hinzuweisen, wenn eine Datenverarbeitung seines Erachtens rechtswidrig ist. Allerdings trifft den Auftragsverarbeiter keine Pflicht zur regelmäßigen Kontrolle des Verantwortlichen.^[50]Hierdurch besteht für Betroffene das Risiko, dass viele rechtswidrige Datenverarbeitungen trotzdem durchgeführt werden,^[51]da der Verantwortliche in den USA keine Sanktionen fürchten muss. Das Fehlen des Grundsatzes der Rechtmäßigkeit stellt eine erhebliche Absenkung des Schutzniveaus im Vergleich zum Unionsrecht dar.^[52]

bb) Meldung von Datenschutzverstößen

Ebenfalls nicht fündig wird man im DPF, wenn man nach Regeln zur Meldung von Datenschutzverstößen sucht. Unter der DS‑GVO sind Verantwortliche gem. Art. 33 und 34 je nach Schwere des Verstoßes zur Information der Aufsichtsbehörde oder der Betroffenen selbst verpflichtet. Da die USA kein allgemeines Datenschutzgesetz auf Bundesebene haben, richten sich die Meldepflichten in den meisten Fällen nach den Gesetzen der einzelnen Bundesstaaten. Einige Bundesstaaten gestehen Unternehmen bis zu 60 Tage nach Bekanntwerden der Verletzung als Frist für die Benachrichtigung der Betroffenen oder der Aufsichtsbehörde zu.^[53] Die Frist liegt damit erheblich über den 72 Stunden der DS‑GVO. Zudem besteht auch hier die Gefahr, dass Betroffene aus der EU überhaupt nicht informiert werden, da das Unternehmen keine Sanktionen fürchten muss.

cc) Sonstiges

Auffallend ist auch, dass es im DPF keine Regelungen zur automatisierten Entscheidungsfindung gibt. Das EuG hat hier jedoch die bestehenden Regelungen im US-Recht als gleichwertig zu denen des Art.  22 DS‑GVO eingestuft.^[54] Es fehlt zudem an Regeln zur Führung eines Verarbeitungsverzeichnisses und zur Durchführung einer Datenschutz-Folgenabschätzung.

IV. Ergebnis

Die Darlegung der Unterschiede zeigt, dass das DPF an einigen Stellen das Schutzniveau der DS‑GVO unterschreitet. Mit Ausnahme des Grundsatzes der Sicherheit ist kein Grundsatz gleichwertig zum Unionsrecht. Besonders kritisch ist die Umsetzung der Zweckbindung, des Rechtsschutzes für Betroffene und das Fehlen des Grundsatzes der Rechtmäßigkeit zu bewerten. Auch die primärrechtlich festgehaltene unabhängige Aufsicht über die Einhaltung der Vorschriften weist in den USA Defizite zum Unionsrecht auf. Insgesamt besteht durch die Grundsätze des DPF kein der Sache nach gleichwertiges Schutzniveau zum Unionsrecht.

_{[1] Europäische Kommission, C(2023) 4745 final.}

_{[2] Vgl. Johnson/Kornbrust, ITRB 2023, 238; Glocker ZD 2023, 189; Hessel, NJW 2023, 2969}

_{[3] EuG, Urt. v. 03.09.2025, T-553/23, ECLI:EU:T:2025:831, Rn. 161 ff., 188 ff.}

_{[4] EuGH, ZD 2015, 549, Rn. 73 mAnm Spies – Schrems I.}

_{[5] EuGH, ZD 2015, 549, Rn. 74 mAnm Spies. – Schrems I}

_{[6] EDSA, Stellungnahme 5/2023, Rn. 41.}

_{[7] Kuner, CLM Rev. 2023, 77 (98).}

_{[8] Europäische Kommission, C(2023) 4745 final, Annex I, I. 2}

_{[9] Europäische Kommission, C(2023) 4745 final, Annex V, 1. A}

_{[10] Europäische Kommission, C(2023) 4745 final, Annex IV, Fn. 2; Glocker RDi 2023, 465 (467)}

_{[11] US-Handelsministerium, Data Privacy Framework Program, Q8, https://www.dataprivacyframework.gov/program-articles/FAQs–General#:~:text=Organizations%20that%20are%20either%20required,of%20the%20EU%20DPA%20panel.}

_{[12] Europäische Kommission, C(2023) 4745 final, Annex I, I. 2}

_{[13] Europäische Kommission, C(2023) 4745 final, Annex III, 6. d}

_{[14] Europäische Kommission, C(2023) 4745 final, Annex III, 6. a.}

_{[15] Europäische Kommission, C(2023) 4745 final, Annex I, I. 5}

_{[16] Europäische Kommission, C(2023) 4745 final, Annex I, II. 1. b.}

_{[17] EDSA, Leitlinien 5/2021, Rn. 18 Bsp. 4.}

_{[18] Europäische Kommission, C(2023) 4745 final, Annex I, II. 12. a.}

_{[19] Zum Widerspruchsrecht EDSA, Stellungnahme 5/2023, Rn. 50 ff.; zum Privacy Shield in Bezug auf das Widerspruchsrecht Mense ZD 2019, 351 (353).}

_{[20] Europäische Kommission, Anhang des Durchführungsbeschlusses der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, C(2021) 3972 final.}

_{[21] Dehmel/Ossmann-Magiera/Weiss, MMR 2023, 17 (17); Taeger/Gabel/Gabel, 4. Aufl. 2022, DS‑GVO, Art. 46 Rn. 15.}

_{[22] Zum Privacy Shield Art.-29-Datenschutzgruppe, Opinion 01/2016, 2.2.3, S. 21.}

_{[23] Vgl. EuG, Urt. v. 03.09.2025, T-553/23, ECLI:EU:T:2025:831, Rn. 188 ff; Zum Privacy Shield Klecha, Datenübermittlungen in die USA nach dem Safe-HarborUrteil des EuGH, 2018, S. 147.}

_{[24] Art. 5 Abs. 1 lit. b) DS‑GVO nennt zusätzlich einige wenige Zwecke, die explizit nicht als unvereinbar mit dem ursprünglichen Zweck gelten.}

_{[25] Kühling/Buchner/Buchner/Petri, 4. Aufl. 2024, DS‑GVO, Art. 6 Rn. 186.}

_{[26] Vgl. bereits zum Privacy Shield Europäischer Datenschutzbeauftragter, Stellungnahme 4/2016, S. 10 f.}

_{[27] Zum Privacy Shield Weichert ZD 2016, 209 (215); vgl. auch Molnár-Gábor/Kaffenberger, ZD 2017, 18 (20).}

_{[28] Schwartmann/Jaspers/Thüsing/Kugelmann/Klein/Schwartmann, 3. Aufl. 2024, DS‑GVO, Art. 15 Rn. 1.}

_{[29] Europäische Kommission, C(2023) 4745 final, Annex I, III. 8. e. 1.}

_{[30] Europäische Kommission, C(2023) 4745 final, Annex I, III. 8. f. i.}

_{[31] BFH, ZD 2025, 458 Rn. 27 ff; Gierschmann/Veil, 1. Aufl. 2018, DS‑GVO, Art. 15 Rn. 52}

_{[32] Europäische Kommission, C(2023) 4745 final, Annex I, III. 8. i. i.}

_{[33] Zum Privacy Shield Klecha, Datenübermittlungen in die USA nach dem SafeHarbor-Urteil des EuGH, 2018, S. 149; vgl. auch Weichert ZD 2016, 209 (215).}

_{[34] Europäische Kommission, C(2023) 4745 final, Annex I: Arbitral Model, B.}

_{[35] Europäische Kommission, C(2023) 4745 final, ErwG 85; Annex I: Arbitral Model, B.}

_{[36] Europäische Kommission, C(2023) 4745 final, Annex I: Arbitral Model, B.}

_{[37] Europäische Kommission, C(2023) 4745 final, Annex I: Arbitral Model, G. 9}

_{[38] Europäische Kommission, C(2023) 4745 final, Annex I: Arbitral Model, E}

_{[39] Zum Privacy Shield Klecha, Datenübermittlungen in die USA nach dem SafeHarbor-Urteil des EuGH, 2018, S. 153; vgl. auch Boehm EDPL 2016, 178 (189).}

_{[40] Vgl. zum Privacy Shield Art.-29-Datenschutzgruppe, Opinion 01/2016, S. 28.}

_{[41] EuGH, ZD 2015, 549, Rn. 81 mAnm Spies – Schrems I.}

_{[42] EuGH, NJW 2010, 1265 Rn. 25 – Kommission/Deutschland.}

_{[43] Gola/Heckmann/Nguyen, 3. Aufl. 2022, DS‑GVO, Art. 52 Rn. 8.}

_{[44] EuGH, ZD 2014, 301 Rn. 53 – Kommission/Ungarn}

_{[45] Zum Privacy Shield Weichert, ZD 2016, 209 (215).}

_{[46] Explizit die Unabhängigkeit verneinend Forgó/Helfrich/Schneider/Spies, 3. Aufl. 2019, Betrieblicher Datenschutz, Kap. 4, B. Rn. 5; aA zum Privacy Shield Mense, ZD 2019, 351 (354).}

_{[47] Zum Privacy Shield Klecha, Datenübermittlungen in die USA nach dem SafeHarbor-Urteil des EuGH, 2018, S. 157.}

_{[48] Zum Privacy Shield Weichert, ZD 2016, 209 (215 f.); vgl. auch Hoffmann, „Privacy Shield“: Kein ausreichender Datenschutz im unsicheren Hafen USA, 2016, abrufbar unter: https://www.cep.eu/de/eu-themen/details/privacy-shield-keinausreichender-datenschutz-im-unsicheren-hafen-usa.html, 8.3.3.2, S. 39 f.}

_{[49] Spindler/Schuster/Spindler/Dalby, 4. Aufl. 2019, DS‑GVO, Art. 4 Rn. 20.}

_{[50] Ehmann/Selmayr/Bertermann/Peintinger, 3. Aufl. 2024, DS‑GVO, Art. 28 Rn. 33.}

_{[51] Taeger/Gabel/Gabel/Lutz, 4. Aufl. 2022, DS‑GVO, Art. 28 Rn. 58, wonach die Hinweispflicht nur bei groben Datenschutzverstößen zum Tragen kommt.}

_{[52] Vgl. Glocker, ZD 2023, 189 (190).}

_{[53] Bspw. Lousiana, La. Rev. Stat. § 51:3074 oder South Dakota, Section 22-40-20 South Dakota Codified Laws.}

_{[54] EuG, Urt. v. 03.09.2025, T-553/23, ECLI:EU:T:2025:831, Rn. 177.}