Der neue Datenschutzrahmen zwischen der EU und den USA bleibt vorerst bestehen. Das hat das EuG entschieden. Ein französischer Abgeordneter scheiterte mit seiner Klage gegen den Angemessenheitsbeschluss der EU-Kommission. Das Gericht sah weder die Unabhängigkeit des neuen US-Datenschutzgerichts gefährdet noch die Sammelerhebung durch Nachrichtendienste als rechtswidrig an. Doch wie stabil ist dieser Rahmen wirklich und welche Folgen hat das Urteil für Unternehmen?

Das Gericht der Europäischen Union (EuG) hat die Klage des französischen Abgeordneten Philippe Latombe gegen einen neuen Angemessenheitsbeschluss der EU-Kommission abgewiesen. Der Beschluss erlaubt die Übermittlung personenbezogener Daten in die Vereinigten Staaten, weil diese nach Auffassung der Kommission inzwischen ein angemessenes Schutzniveau gewährleisten. Das EuG bestätigte nun, dass diese Einschätzung bereits für den Zeitpunkt des Erlasses zutraf. Im Zentrum der Prüfung stand vor allem die Rolle des neu geschaffenen „Data Protection Review Court“ sowie der Umgang mit Sammelerhebungen durch US-Nachrichtendienste (EuG, Urt. v. 03.09.2025, Az. T-553/23).

Neuer Datenschutzrahmen nach Schrems I und Schrems II

Der Schutz personenbezogener Daten gehört zu den Grundrechten in der Europäischen Union. Übermittlungen in Drittstaaten sind daher nur dann erlaubt, wenn dort ein im Ergebnis gleichwertiges Datenschutzniveau besteht. Stellt die Kommission dies fest, kann sie einen Angemessenheitsbeschluss erlassen, der die Datenübermittlung ohne zusätzliche Genehmigungen ermöglicht.

Die transatlantischen Datenflüsse waren in den vergangenen Jahren jedoch von erheblichen Unsicherheiten geprägt. Der Europäische Gerichtshof (EuGH) erklärte im Jahr 2015 die Vereinbarung „Safe Harbor“ für ungültig, weil US-Behörden zu weitreichende Zugriffe auf Daten europäischer Nutzer hatten (EuGH, Urt. v. 6.10.2015, Az. C-362/14). Fünf Jahre später folgte das nächste einschneidende Urteil: Auch das „Privacy Shield“ wurde aufgehoben, da der EuGH erneut gravierende Mängel beim Rechtsschutz in den USA sah (EuGH, Urt. v. 16.7.2020, Az. C-311/18). Für Unternehmen auf beiden Seiten des Atlantiks bedeutete das einen massiven Einschnitt. Sie mussten auf Standardvertragsklauseln und andere Instrumente ausweichen, die in der Praxis oft kompliziert waren und ein hohes Maß an Rechtsunsicherheit mit sich brachten.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Im Oktober 2022 reagierte daher die US-Regierung. Der damalige Präsident Joe Biden erließ ein Dekret, das die Überwachungspraxis der Geheimdienste stärker einschränken sollte. Ergänzt wurde dieses Dekret durch neue Regelungen des Generalstaatsanwalts, die die Schaffung und Arbeitsweise des „Data Protection Review Court“ festlegten. Dieser sollte Beschwerden europäischer Bürger entgegennehmen und unabhängig prüfen. Die EU-Kommission bewertete diese Reformen und kam zu dem Schluss, dass damit ein angemessenes Datenschutzniveau erreicht sei. Am 10. Juli 2023 folgte daraufhin der neue Angemessenheitsbeschluss.

Gegen diesen Beschluss wandte sich Philippe Latombe. Er stellte die Unabhängigkeit des neuen US-Gerichts in Frage und bezweifelte die Rechtmäßigkeit von Sammelerhebungen. Aus seiner Sicht seien die Rechte der Betroffenen auch unter dem neuen Rahmen nicht wirksam geschützt.

Datenschutzrahmen bleibt – vorerst

Das EuG stellte in seinem Urteil nun klar, dass für die Beurteilung allein der Zeitpunkt des Erlasses des Beschlusses maßgeblich sei. Es ging also um die Rechtslage, wie sie im Jahr 2023 bestand. Nach Auffassung des EuG sei die Unabhängigkeit der Mitglieder des „Data Protection Review Court“ ausreichend abgesichert gewesen. Die Richter hätten z.B. nur aus wichtigen Gründen durch den Generalstaatsanwalt abberufen werden können. Eine unrechtmäßige Einflussnahme durch diesen oder durch die Nachrichtendienste sei ausdrücklich ausgeschlossen. Damit gebe es genügend institutionelle Garantien, die ein unabhängiges Verfahren sicherstellten. Den Vorwurf Latombes, das Gericht sei lediglich Teil der Exekutive, wies das EuG zurück. Vielmehr sei die Arbeitsweise des „Data Protection Review Court“ so ausgestaltet, dass er wirksamen Rechtsschutz gewähre.

Auch den zweiten zentralen Angriffspunkt ließ das EuG nicht gelten. Latombe hatte geltend gemacht, die US-Nachrichtendienste könnten massenhaft Daten im Transit erheben, ohne dass dafür eine vorherige Genehmigung einer unabhängigen Stelle vorliege. Das EuG erinnerte nun aber daran, dass der EuGH in Schrems II eine solche Vorabkontrolle nicht zwingend verlangt habe. Entscheidend sei vielmehr, dass es eine wirksame Möglichkeit zur nachträglichen gerichtlichen Überprüfung gebe. Diese Voraussetzung sei durch die Arbeit des „Data Protection Review Courts“ erfüllt. Es sei daher nicht ersichtlich, dass die Praxis der US-Dienste den unionsrechtlichen Vorgaben widersprach.

Besondere Bedeutung maß das EuG zudem der Rolle der EU-Kommission bei. Der Angemessenheitsbeschluss sei nicht als starres Instrument gedacht, sondern verpflichte die Kommission dazu, die Rechtslage in den Vereinigten Staaten fortlaufend zu überwachen. Änderten sich die Rahmenbedingungen, könne sie den Beschluss jederzeit ändern, aussetzen oder sogar aufheben. Auf diese Weise bleibe sichergestellt, dass der Schutz europäischer Daten nicht von einmaligen Zusagen abhänge, sondern an die tatsächlichen Entwicklungen angepasst werden könne.

Der Angemessenheitsbeschluss der Kommission bleibt somit vorerst in Kraft. Für Unternehmen innerhalb der EU bedeutet das, dass sie personenbezogene Daten weiterhin auf Grundlage dieses Beschlusses in die USA übermitteln dürfen, ohne auf komplexe Zusatzmechanismen zurückgreifen zu müssen.

Keine endgültige Klarheit

Das Urteil bringt zunächst mehr Klarheit in den transatlantischen Datenverkehr. Es bestätigt die Position der Kommission und erleichtert vielen Unternehmen den Alltag, da der Datentransfers auf Grundlage des Angemessenheitsbeschlusses derzeit zulässig ist und bleibt. Dennoch ist das Thema keinesfalls abgeschlossen. Der Kläger kann noch Rechtsmittel einlegen, die dann vor dem EuGH geprüft würden. Auch Datenschutzorganisationen wie noyb, des österreichischen Datenschützers Max Schrems, der bereits Safe Harbor und den Privacy Shield kippte, haben bereits angekündigt, weitere Verfahren einzuleiten. Hinzu kommt, dass die rechtliche Grundlage in den USA auf einem Präsidialdekret beruht. Künftige politische Entwicklungen könnten den Rahmen wieder infrage stellen. Die EU-Kommission muss deshalb wachsam bleiben und bei Veränderungen reagieren.

tsp