EuG bestätigt EU-US Data Privacy Framework: Das müssen Unternehmen jetzt beachten

Das EuG hat den EU-US Data Privacy Framework bestätigt.
Kategorien:
, ,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Das Gericht der Europäischen Union (EuG) hat am 3. September 2025 in der Rechtssache T-553/23 (Latombe/Kommission) eine wichtige Entscheidung zum transatlantischen Datenschutz getroffen. Mit dem Urteil weist das Gericht die Klage gegen den Angemessenheitsbeschluss vom 10. Juli 2023 ab und bestätigt damit die Gültigkeit des EU-US Data Privacy Framework. Für Unternehmen in der EU bedeutet dies vorerst Rechtssicherheit bei der Übermittlung personenbezogener Daten in die Vereinigten Staaten. Allerdings sind Unternehmen weiterhin verpflichtet, den Datentransfer in die USA aktiv zu managen. 

EU-US Data Privacy Framework auf dem Prüfstand

Die EuG-Entscheidung knüpft an eine lange rechtliche Vorgeschichte an. Nach den EuGH-Urteilen „Schrems I“ (2015) und „Schrems II“ (2020) wurden die früheren Datenschutzrahmen „Safe Harbor“ und „Privacy Shield“ für ungültig erklärt.

Denn die Übermittlung personenbezogener Daten aus der EU in Drittstaaten unterliegt strengen Maßstäben, die in Art. 8 Abs. 1 der EU-Grundrechtecharta und Art. 16 Abs. 1 AEUV verankert sind. Auf dieser Grundlage sieht die DSGVO (Art. 45 ff.) vor, dass Datenübermittlungen ohne weitere Genehmigung zulässig sind, sofern die Kommission für das betreffende Drittland ein angemessenes Datenschutzniveau feststellt.

Mit dem Durchführungsbeschluss (EU) 2023/1795 hat die Kommission ein solches Schutzniveau für die USA bejaht. Maßgeblich hierfür waren insbesondere die Reformen durch das Präsidialdekret 14086 sowie flankierende Maßnahmen des US-Generalstaatsanwalts. Diese Maßnahmen stärken den Datenschutz im Bereich der Nachrichtendienste und etablieren ein neues gerichtliches Kontrollorgan: den Data Protection Review Court (DPRC). Dieses unabhängige Kontrollgremium soll Betroffenen aus der EU wirksamen Rechtsschutz garantieren.

Tipp: Wie Ailance DSFA Sie strukturiert und rechtssicher durch Ihre Datenschutz-Folgenabschätzung führt

Kläger geht gegen Angemessenheitsbeschluss vor

Der Kläger, der französischer Staatsangehörige Philippe Latombe, beantragte die Nichtigerklärung des Beschlusses. Er stützte seine Klage im Wesentlichen auf zwei Argumente:

  1. Fehlende Unabhängigkeit des DPRC: Er machte geltend, das neue Datenschutzgericht sei nicht unabhängig, sondern von der Exekutive abhängig.

  2. Unrechtmäßige Sammelerhebungen durch US-Nachrichtendienste: Er rügte, dass die Praxis der US-Behörden, personenbezogene Daten ohne vorherige Genehmigung zu erheben, nicht hinreichend präzise geregelt und daher rechtswidrig sei.

EuG weist Einwände gegen EU-US Data Privacy Framework zurück

Zur Unabhängigkeit des DPRC

Das EuG wies diesen Einwand zurück. Die Ernennung der Richter sei an Garantien geknüpft und ihre Abberufung nur aus triftigen Gründen möglich. Zudem sei der Einfluss der Exekutive durch verfahrensrechtliche Sicherungen begrenzt. Somit sei die institutionelle Unabhängigkeit hinreichend gewährleistet.

Zur Sammelerhebung personenbezogener Daten

Auch den zweiten Klagegrund verwarf das Gericht. Es stellte klar, dass aus dem Urteil Schrems II nicht folge, dass jede Form von Sammelerhebung zwingend einer vorherigen Genehmigung durch eine unabhängige Behörde bedürfe. Entscheidend sei vielmehr, dass eine nachträgliche gerichtliche Kontrolle möglich ist. Diese wird in den USA nunmehr durch den DPRC gewährleistet, sodass ein Schutzniveau besteht, das dem europäischen im Wesentlichen gleichwertig ist.

Erste Bewährungsprobe nach Schrems I und II

Mit seiner Entscheidung hat der EuG erstmals nach den beiden Schrems-Urteilen einen transatlantischen Angemessenheitsbeschluss bestätigt. Zugleich bescheinigt das Gericht den USA ein funktionsfähiges Kontrollsystem, das die bisherigen Bedenken ausräumen soll.

Kritisch zu sehen bleibt jedoch, dass die Beurteilung stark von der praktischen Wirksamkeit des DPRC abhängt. Sollte sich zeigen, dass die Kontrollmechanismen in der Praxis den Anforderungen nicht entsprechen, könnte der EuGH im Rahmen eines Rechtsmittels erneut korrigierend eingreifen.

Die EuG-Entscheidung hat große praktische Bedeutung: Sie bestätigt, dass die USA derzeit ein mit der DSGVO im Wesentlichen gleichwertiges Datenschutzniveau bieten. Die Europäische Kommission bleibt dennoch verpflichtet, die tatsächliche Umsetzung des Rahmens regelmäßig zu überwachen und den Angemessenheitsbeschluss für die USA bei Bedarf auszusetzen oder anzupassen.

Gegen das Urteil kann noch ein Rechtsmittel zum EuGH eingelegt werden.

Tipp: Steuern Sie mit Ailance KI-Governance alle KI-Projekte zentral, revisionssicher und gesetzeskonform

Datentransfer in die USA muss trotzdem gemanagt werden: Worauf Unternehmen achten müssen

Auch wenn der Angemessenheitsbeschluss USA Rechtssicherheit schafft, sind Unternehmen weiterhin verpflichtet, den Datentransfer in die USA aktiv zu managen. Der Beschluss entbindet Verantwortliche nicht von ihren Rechenschafts- und Dokumentationspflichten nach der DSGVO.

Unternehmen sollten insbesondere auf folgende Punkte achten:

  • Transparenzpflichten erfüllen: Betroffene müssen klar und verständlich informiert werden, wenn ihre Daten in die USA übermittelt werden.
  • Datenminimierung prüfen: Es sollten nur diejenigen Daten übermittelt werden, die für den jeweiligen Zweck erforderlich sind.
  • Verträge absichern: Auch bei einem Angemessenheitsbeschluss ist es ratsam, Standardvertragsklauseln und ergänzende Schutzmaßnahmen vorzusehen, insbesondere wenn Daten an Subdienstleister weitergeleitet werden.
  • Kontrolle der Empfänger: Unternehmen sollten regelmäßig prüfen, ob ihre US-Dienstleister tatsächlich unter dem EU-USA Data Privacy Framework zertifiziert sind.
  • Risikomanagement implementieren: Interne Prozesse und technische Maßnahmen müssen gewährleisten, dass die Anforderungen an den Datenschutz auch bei transatlantischen Datenflüssen eingehalten werden.


Damit bleibt der Datentransfer in die USA zwar rechtlich einfacher, erfordert aber weiterhin ein aktives Compliance- und Risikomanagement.

Quelle: Urteil des Europäischen Gerichts in der Rechtssache T-553/23 (Latombe / Kommission)

Mit Ailance den Datentransfer rechtssicher gestalten

Die Einhaltung der Datenschutzpflichten beim Datentransfer in die USA kann komplex sein. Vor allem, wenn Unternehmen mit vielen verschiedenen Dienstleistern arbeiten. Mit Ailance behalten Sie jederzeit den Überblick:

  • Automatisiertes Monitoring von Datentransfers
  • Dokumentation aller Datenschutzmaßnahmen
  • Risikobewertung und Handlungsempfehlungen in Echtzeit
  • Nahtlose Integration in bestehende Prozesse


Erfahren Sie mehr über Ailance und managen Sie Ihren Datentransfer rechtssicher!

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
, , ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge