202511.09.

EuG bestätigt Angemessenheitsbeschluss zum EU-US Data Privacy Framework

von RA Sebastian Schwiering Tags: Datenschutz, Drittlandtransfer, Privacy Framework, Urteil

Das Gericht der Europäischen Union (EuG) hat eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss zum EU-US Data Privacy Framework abgewiesen und damit die Rechtssicherheit für Datentransfers in die USA bestätigt. Der Data Protection Review Court (DPRC) wurde vom EuG als unabhängig anerkannt und die Anforderungen aus „Schrems II C-311/18“ seien erfüllt.

Was ist das EU-US Data Privacy Framework?

Das EU-US Data Privacy Framework ist ein Angemessenheitsbeschluss der EU-Kommission. Er erlaubt auf Grundlage von Art. 45 DSGVO Datenübermittlungen in die USA.

US-Unternehmen können sich proaktiv beim Department of Commerce durch ein Selbstzertifizierungsverfahren dem EU-US Data Privacy Framework anschließen; sie verpflichten sich damit zur Einhaltung der dort festgelegten Datenschutzgrundsätze und werden in einer öffentlichen Liste geführt.

Nach erfolgreicher Zertifizierung wird das US-Unternehmen im Hinblick auf den Datenschutz so behandelt, als ob es seinen Sitz innerhalb der EU hätte, sodass Datenübermittlungen gemäß Art. 45 DSGVO ohne zusätzliche Garantien zulässig sind.

Hintergrund der Klage

Am 3. September 2025 hat das EuG in der Rechtssache T-553/23 die Nichtigkeitsklage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework abgewiesen. Das EuG ist die erste Instanz für Klagen natürlicher und juristischer Personen (z. B. Unternehmen oder Einzelpersonen) gegen Handlungen der EU-Organe.

Der Kläger hatte insbesondere Zweifel an der Unabhängigkeit des neuen DPRC und Kritik an der Datenerhebung durch US-Nachrichtendienste geäußert. Grundlage der Klage war Art. 263 AEUV, der die gerichtliche Überprüfung von Handlungen der EU-Organe auf ihre Rechtmäßigkeit erlaubt. Maßgeblich ist dabei stets die Rechtslage zum Zeitpunkt des Erlasses des angefochtenen Beschlusses.

Entscheidung des EuG

Das Gericht folgte den Argumenten Latombes nicht. Es bestätigte, dass die USA im Juli 2023 ein angemessenes Datenschutzniveau gewährleisteten. Der DPRC, der durch die Executive Order 14086 von Präsident Joe Biden eingerichtet wurde, sei institutionell abgesichert gewesen und habe betroffenen Personen in der Europäischen Union wirksamen Rechtsschutz eröffnet. Auch die Überwachungspraxis der US-Nachrichtendienste genügte nach Auffassung des EuG den Anforderungen des Europäischen Gerichtshofs aus dem Schrems-II-Urteil von 2020.

Entscheidend sei, dass die Garantien nicht identisch mit dem Unionsrecht sein müssen, sondern im Ergebnis ein im Wesentlichen gleichwertiges Schutzniveau bieten.

Bedeutung für die Praxis

Mit der Abweisung der Klage bleibt der Angemessenheitsbeschluss vom 10. Juli 2023 in Kraft. Für Unternehmen bedeutet dies, dass personenbezogene Daten weiterhin auf Grundlage des Data Privacy Framework in die USA übermittelt werden können, ohne dass zusätzliche Garantien wie Standardvertragsklauseln oder ergänzende technische Maßnahmen erforderlich sind.

Gleichwohl ist nicht ausgeschlossen, dass der Beschluss in Zukunft erneut überprüft wird, sei es durch weitere Klagen oder durch Vorabentscheidungsverfahren vor dem Europäischen Gerichtshof. Unternehmen sollten daher ihre Datenübermittlungen regelmäßig prüfen und dokumentieren, um auch für zukünftige Entwicklungen rechtlich abgesichert zu sein.

Fazit und Empfehlung

Das EuG-Urteil verschafft zunächst Rechtssicherheit, endgültige Stabilität ist aber noch nicht garantiert.

Zwar wird der Data Privacy Framework aktuell von europäischer Seite nicht in Frage gestellt, doch auf amerikanischer Seite besteht politische Unsicherheit. Insbesondere im Hinblick auf einen möglichen Veränderungen unter der aktuellen US-Regierung könnte fraglich sein, ob die bestehenden Zusagen zur Einschränkung der Geheimdienstbefugnisse und die Funktionsfähigkeit des DPRC in gleicher Weise fortbestehen. Unternehmen sollten diese politischen Risiken in ihre Datenschutzstrategie einbeziehen.

Wenn Ihr Unternehmen US-amerikanische Software, Tools oder vergleichbare Dienste nutzt oder Sie unsicher sind, wie das Data Privacy Framework konkret umzusetzen ist, beraten wir Sie umfassend.

Wir prüfen für Sie bestehende Übermittlungen, unterstützen bei der Gestaltung und Anpassung von Verträgen und sorgen dafür, dass Ihre Datenschutzdokumentation den aktuellen rechtlichen Anforderungen entspricht.

RA Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Jamal Lale