Skip to main content
Logo von MKM LEGAL
Freiheitsstatue von New York vor blauem Himmel

Vorerst keine Aufhebung des EU-USA-Datenschutzrahmens

Unter Datenschützern wurde kurz nach dem Start des EU-USA-Datenschutzrahmen (engl. EU-U.S. Data Privacy Framework – DPF) im Jahr 2023 bereits über dessen mögliches Ende gemunkelt. Heute, gut zwei Jahre nach dessen Einführung, wurde die Gültigkeit des Angemessenheitsbeschlusses durch das Europäische Gericht (EuG) bestätigt (Az. T-553/23, Urteil vom 03.09.2025).

Das regelt der EU-USA-Datenschutzrahmen

Eine Übermittlung personenbezogener Daten in ein Land außerhalb der EU bzw. des EWR unterliegt den Regelungen der EU-Datenschutz-Grundverordnung (DSGVO). Die Vorgaben der Art. 44 ff. DSGVO sollen ein dem EU-Datenschutzrecht gleichwertiges Niveau auch außerhalb von EU/EWR garantieren. Verantwortliche können sich hierzu verschiedener Instrumente wie Angemessenheitsbeschlüssen und Standardvertragsklauseln bedienen. Angemessenheitsbeschlüsse der EU-Kommission sind dabei mit dem wenigsten Aufwand für Datenexporteure und Datenimporteure verbunden.

Für den Datentransfer in die USA bestanden bereits mehrere Angemessenheitsbeschlüsse: „Safe Harbor“ gültig 2000 bis 2015, „EU-U.S. Privacy Shield“ 2016 bis 2020 und letztlich der DPF seit Juli 2023. Zur Anwendbarkeit des DPF müssen sich US-amerikanische Unternehmen einer Selbstzertifizierung unterziehen. Kritische Stimmen bestehen seit Einführung des DPF und wurden insbesondere durch den Bürokratieabbau der Trump-Regierung verstärkt.

Was war Inhalt der Klage?

Der französische Bürger und Abgeordnete Philippe Latombe klagte im September 2023 gegen die EU-Kommission, mit dem Ziel, den o.g. Angemessenheitsbeschluss für nichtig zu erklären. Im Wesentlichen beruht seine Klage auf den folgenden Punkten:

  • Mangelnder Schutz des Privatlebens aufgrund der massiven und nicht zielgerichteten Erhebung personenbezogener Daten,
  • Fehlen wirksamer Rechtsbehelfe für Betroffene in den USA,
  • nicht vorhandene Regelungen zu automatisierten Entscheidungen, insb. fehlende Garantien gegen solche,
  • mangelhafte Garantien hinsichtlich der Datensicherheit.

Auch sei die Unabhängigkeit des US-amerikanischen Datenschutzgerichts (Data Protection Review Court, kurz DPRC), der wesentlicher Bestandteil des Angemessenheitsbeschlusses ist, nicht gewährleistet.

Die Entscheidung des EuG

Am 03.09.2025 wurde die Entscheidung des EuG über die gesamte Zurückweisung der Klage in der Rechtssache T-553/23 bekanntgegeben (EuG Pressemitteilung Nr. 106/25 v. 03.09.2025).

Das EuG wies den Vorwurf der fehlenden Unabhängigkeit des DPRC zurück. Die Arbeitsweise des Gerichts sei mit mehreren Garantien und Bedingungen zur Gewährleistung der Unabhängigkeit verbunden.

Hinsichtlich der Sammelerhebung personenbezogener Daten wurde die Klage ebenfalls zurückgewiesen. Nach Auffassung des EuG sei nicht ersichtlich, dass Sammelerhebungen personenbezogener Daten durch die US-Nachrichtendienste nicht den Anforderungen der Rechtsprechung an ein gleichwertiges Datenschutzniveau, einschließlich eines gleichwertigen Rechtsschutzes, genügen. Weitere Details der Begründung sind zu diesem Zeitpunkt noch nicht bekannt.

Welche Auswirkungen hat das Urteil auf die Praxis?

Die vorliegende EuG-Entscheidung bestätigt das angemessene Datenschutzniveau für die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des aktuellen Angemessenheitsbeschlusses. Personenbezogene Daten dürfen demnach weiterhin an unter dem DPF zertifizierte US-Unternehmen übermittelt werden, ohne dass zusätzliche Garantien, wie der Abschluss von Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessments, im Einzelfall erforderlich werden. Das Urteil ist allerdings noch nicht rechtskräftig – gegen die Entscheidungen können Rechtsmittel eingelegt werden.

Was durch das Urteil nicht beantwortet wurde, ist die Frage, ob der Rechtsrahmens der USA auch vor den aktuellen Entwicklungen ein angemessenes Datenschutzniveau bietet. Das EuG weist in seiner Entscheidung auch auf die Möglichkeit der EU-Kommission zur Überprüfung des Beschlusses im Rahmen eines sich ändernden Rechtsrahmens hin. Unternehmen, die regelmäßig personenbezogene Daten in die USA übermitteln, sind gut beraten, sich einen Überblick über die betroffenen Prozesse und Dienstleister zu verschaffen und alternative Garantien wie Standardvertragsklauseln, Binding Corporate Rules oder Einwilligungen zu prüfen.

 

Autorin: Rebecca Schimkat LL.M. (Manager)

Further insights on the topic

article
1st September 2025
DeepSeek – Teil 2
Empfehlung zum Einsatz von KI am Beispiel DeepSeek
article
11th August 2025
Zwischen Rechtsprechung und Social-Media-Reichweite
Rechtliche Hürden des Werberechts im Gesundheitswesen
article
31st July 2025
Persönliche Haftung bei grober Fahrlässigkeit bei Datenschutzverstößen
Unbehutsamer Umgang mit besonders sensiblen personenbezogenen Daten
article
30th July 2025
Was ist im Bewerbungsprozess erlaubt – und was nicht?
Schadensersatz wegen Bewerber-Googeln?
article
28th July 2025
EU Data Act – Teil 5
Der Europäische Gesundheitsdatenraum kommt
article
4th July 2025
Was ist aus Datenschutz-Sicht zu beachten?
KI-Training mit Test-/Trainingsdaten im Unternehmen
article
2nd July 2025
Neue Regeln, neues Zeichen und praktische Folgen
Europäisches Design-Recht 2025
article
30th June 2025
Finanzielle Entlastung und Planungssicherheit schaffen
GEMA-Gebühren im Griff
Logo von MKM LEGAL
Legal

Imprint

Privacy Policy

Terms & conditions

Whistleblower System

Contact

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Address

Äußere Sulzbacher Str. 118
90491 Nürnberg

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Leipziger Platz 9
10117 Berlin

Newsletter-Anmeldung