Das EU-US Data Privacy Framework hat die erste Bewährungsprobe geschafft

Am 3. September 2025 hat das Gericht der Europäischen Union (EuG) die Rechtmäßigkeit des neuen EU-US Data Privacy Frameworks bestätigt. Es wies damit eine Klage auf Nichtigerklärung des zugrundeliegenden Angemessenheitsbeschlusses der Europäischen Kommission (EU-Kommission) ab. Der Datentransfer von der EU in die USA bleibt vorerst für US-Unternehmen, die sich dem Framework angeschlossen haben, auf einer sicheren datenschutzrechtlichen Grundlage. Dies erleichtert für viele Nutzer den Einsatz amerikanischer Dienstleistungen und Technologien, die eine Übertragung von personenbezogenen Daten in die USA bewirken.

Hintergrund

Gemäß §§ 44 ff der Datenschutz-Grundverordnung (DSGVO) ist die Übermittlung personenbezogener Daten in die USA grundsätzlich nur dann datenschutzrechtlich zulässig, wenn sie – abgesehen von bestimmten Ausnahmefällen – entweder auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission oder unter geeigneten Garantien, wie insbesondere den Standardvertragsklauseln (SCC), erfolgt.

In den Urteilen Schrems I und Schrems II erklärte der Europäische Gerichtshof (EuGH) die beiden früheren Angemessenheitsbeschlüsse für die USA für ungültig. Der Grund war, dass sie kein mit dem EU-Recht vergleichbares Schutzniveau für Grundrechte und Grundfreiheiten gewährleisteten. Kritisiert wurden insbesondere die weitreichenden Überwachungstätigkeiten der US- Nachrichtendienste und der unzu­reichende Rechtsschutz für EU-Bürger in den USA.

Vor dem aktuellen Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 war der Datentransfer von der EU in die USA daher oft aufwendig und rechtlich unsicher. Der neue Angemessenheitsbeschluss ist die Reaktion auf regulatorische Fortschritte in den USA: Am 7. Oktober 2022 erließen die Vereinigten Staaten die Executive Order 14086, die die Datenschutzgarantien für die Tätigkeit von US-Nachrichtendiensten verschärfte. Ergänzt wurde dies durch eine Verordnung des Generalstaatsanwalts (28 CFR Part 201), die die Einrichtung und Arbeitsweise des Data Protection Review Court (DPRC) regelte. Der DPRC dient als Rechtsbehelfsmechanismus für Beschwerden von EU-Bürgern über den Zugriff US-amerikanischer Behörden auf ihre Daten.

Dennoch sah sich der französische Abgeordnete Philippe Latombe, als Nutzer verschiedener IT-Plattformen, die eine Übermittlung seiner personenbezogenen Daten in die USA ermöglichten, in mehreren Grund- und Datenschutzrechten verletzt und reichte Klage auf Aufhebung des Angemessenheitsbeschlusses ein. Er kritisierte insbesondere, dass das neu geschaffene DPRC kein hinreichend unabhängiges Gericht sei und dass US-Geheimdienste weiterhin in großem Umfang personenbezogene Daten ohne vorherige Genehmigung durch ein Gericht oder eine unabhängige Verwaltungsbehörde einsehen und sammeln könnten.

Entscheidung des EuG

Das Gericht stellte nun fest, dass das DPRC über ausreichende institutionelle und verfahrensrechtliche Garantien verfügt, um seine Unabhängigkeit und Unparteilichkeit sicherzustellen. Die Richterinnen und Richter des DPRC werden für eine feste Amtszeit bestellt, dürfen während dieser Zeit nicht im Regierungsdienst tätig sein, sind nur aus wichtigem Grund abberufbar und ihre Entscheidungen sind sowohl für die US-Regierung als auch für die Nachrichtendienste bindend.

Die Unabhängigkeit des DPRC wird zudem durch mehrere weitere Faktoren gestärkt. Die Richterinnen und Richter werden vom Generalstaatsanwalt ernannt, müssen dabei die gleichen strengen Kriterien wie Bundesrichter erfüllen und über einschlägige juristische Erfahrung verfügen. Außerdem dürfen sie weder zum Zeitpunkt ihrer Ernennung noch in den zwei Jahren davor Bedienstete der Exekutive gewesen sein. Darüber hinaus sind die Entscheidungen des DPRC endgültig und für sämtliche Nachrichtendienste sowie die US-Regierung verbindlich.

Auch der Umstand, dass der Civil Liberties Protection Officer (CLPO), der dem Direktor der nationalen Nachrichtendienste als Teil der Exekutive unterstellt ist, die erste Prüfung einer Beschwerde über eine mögliche Verletzung von Datenschutzrechten vornimmt, beeinträchtigt nach Auffassung des Gerichts die Unabhängigkeit des DPRC nicht. Das DPRC hat nämlich die Befugnis, die Entscheidungen des CLPO vollständig unabhängig zu überprüfen und gegebenenfalls aufzuheben.

Zum Thema massenhafte Datensammlung stellte das Gericht zusammengefasst fest, dass bereits das Urteil Schrems II hierfür keine zwingende vorherige Genehmigung durch eine unabhängige Stelle verlangte, sondern zumindest eine nachträgliche gerichtliche Kontrolle. Genau dies ist im neuen System vorgesehen. Die Überwachungsmaßnahmen der US-Geheimdienste können nachträglich vom Data Protection Review Court (DPRC) überprüft und gegebenenfalls korrigiert werden.

Daher schloss sich das EuG der Argumentation des Klägers nicht an und wies seine Klage vollständig ab. Gleichwohl steht dem Kläger weiterhin die Möglichkeit offen, den Europäischen Gerichtshof (EuGH) als nächste Instanz anzurufen. Unabhängig davon bedeutet die Entscheidung für Unternehmen vorerst eine spürbare Erleichterung.

Trotz der Erleichterungen, die das EU-US Data Privacy Framework für den Datentransfer in die USA bieten kann, wenn sich ein entsprechendes US-Unternehmen dem Framework angeschlossen hat, sollten Unternehmen die rechtlichen Anforderungen und potenziellen Risiken im Zusammenhang mit der Übermittlung personenbezogener Daten – insbesondere in Drittländer – stets im Blick behalten. Für spezifische Fragen oder Unterstützung bei der rechtlichen Umsetzung steht Ihnen das IP-IT-Datenschutz-Team von BINDER GRÖSSWANG gerne zur Verfügung.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.