Das Gericht der Europäischen Union (EuG) bestätigt das EU-US Data Privacy Framework – Eine wichtige Entscheidung für den internationalen Datentransfer
Am 3. September 2025 hat das Gericht der Europäischen Union (EuG) eine Klage gegen den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) abgewiesen. Damit bleibt der DPF weiterhin die gültige Grundlage für die rechtmäßige Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten.
Seit dem Schrems II-Urteil des EuGH aus dem Jahr 2020 war die Übermittlung personenbezogener Daten in die USA rechtlich unsicher, da das Privacy Shield-Abkommen für ungültig erklärt wurde. Der EuGH hatte bemängelt, dass die USA nicht über ausreichend rechtliche Garantien für den Schutz personenbezogener Daten verfügen, insbesondere durch die weitreichenden Zugriffsrechte der US-Sicherheitsbehörden. Um diese Unsicherheit zu beheben, erließ die Europäische Kommission im Juli 2023 den Angemessenheitsbeschluss (EU) 2023/1795, der feststellt, dass die USA ein angemessenes Datenschutzniveau für die Übermittlung personenbezogener Daten bieten. Damit konnten Unternehmen weiterhin auf einen rechtskonformen Datenfluss zwischen der EU und den USA vertrauen.
Philippe Latombe, ein französischer Abgeordneter, erhob im September 2023 Klage gegen den Beschluss. Er führte fünf Hauptargumente an:
- Verstoß gegen die Sprachenregelung: Der Kläger behauptete, dass der Beschluss nicht ordnungsgemäß in allen Amtssprachen der EU veröffentlicht wurde. Dies verstoße gegen Verordnung Nr. 1/1958.
- Massenhafte Datenerhebung: Der Kläger kritisierte, dass US-Sicherheitsbehörden weiterhin ohne ausreichende Kontrolle personenbezogene Daten in großem Umfang erheben könnten, was gegen Art. 7 und 8 der Grundrechtecharter der EU-Bürger verstoße.
- Unabhängigkeit des Data Protection Review Court (DPRC): Der Kläger stellte infrage, ob das DPRC ausreichend unabhängig sei, um als effektive gerichtliche Instanz im Sinne des Artikel 47 der Grundrechtecharta zu fungieren.
- Automatisierte Entscheidungen: Es wurde bemängelt, dass in den USA keine allgemeine Rechtsgrundlage für den Schutz vor automatisierten Entscheidungen bestehe, was gegen Art. 22 der DSGVO verstoße.
- Vage Sicherheitsvorgaben: Der Kläger kritisierte die Sicherheitsvorkehrungen im DPF, als zu vage, was ebenfalls als Verstoß gegen Art. 32 i.V.m. Art. 45 Abs. 2 DSGVO anzusehen sei.
Das EuG wies alle fünf Klagegründe als unbegründet zurück. Einer der wichtigsten Punkte der Entscheidung ist die Feststellung des EuG, dass der Data Protection Review Court unabhängig ist. Im Hinblick auf die massenhafte Datenerhebung stellte das Gericht klar, dass die US-Rechtsvorschriften für die Datensammlung durch Sicherheitsbehörden mit den Vorgaben aus dem Schrems II-Urteil vereinbar sind.
Mit der aktuellen Entscheidung des EuG bleibt der Angemessenheitsbeschluss (EU) 2023/1795 weiterhin in Kraft, was Unternehmen, die Daten zwischen der EU und den USA übertragen, eine rechtlich sichere Grundlage bietet. Unternehmen können auf die Zertifizierung nach dem DPF setzen, ohne auf alternative Instrumente wie Standardvertragsklauseln oder Binding Corporate Rules (BCRs) ausweichen zu müssen. Dies vereinfacht den internationalen Datentransfer und reduziert die rechtliche Unsicherheit.
Das Urteil ist indes noch nicht rechtskräftig, da Rechtmittel gegen die Entscheidung eingelegt werden können.
Wenn Sie Fragen zum transatlantischen Datentransfer oder generell zum Datenschutz haben, sprechen Sie uns gern an.
