Seit Juli 2023 gilt mit dem „Data Privacy Framework“ ein neuer Angemessenheitsbeschluss für die Datenübermittlung in die USA. Die Europäische Kommission wollte nach „Safe Harbor“ und „Privacy Shield“ endlich einen stabilen Rechtsrahmen für transatlantische Datentransfers schaffen. Doch schon wenige Wochen nach Inkrafttreten wurde der neue Angemessenheitsbeschluss von Philippe Latombe, einem französischen Abgeordneten, vor dem Gericht der Europäischen Union angefochten. Heute hat der EuG (Urt. v. 3.9.2025 – T-553/23) die Nichtigkeitsklage abgewiesen.
Mit Beschluss (EU) 2023/1795 stellte die Kommission fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten bieten, die im Rahmen des DPF übermittelt werden. Der französische Abgeordnete Philippe Latombe erhob am 6.9.2023 beim Gericht der Europäischen Union (EuG) Klage auf Nichtigerklärung der genannten Bestimmungen. Zugleich beantragte er die Aussetzung der Wirkung des Beschlusses im Eilverfahren. Der EuG wies diesen Antrag am 12.10.2023 ab, da kein hinreichender Nachweis für unmittelbare und irreparable Schäden vorlag.
Der Kläger macht fünf Klagegründe geltend. Erstens rügt er einen Verstoß gegen die Sprachenregel der Verordnung Nr. 1/1958, da der Beschluss nicht ordnungsgemäß in allen Amtssprachen ergangen sei. Zweitens sieht er durch die fortbestehende Möglichkeit weitreichender oder massenhafter Datenerhebungen in den Vereinigten Staaten eine Verletzung der Artikel 7 und 8 der Grundrechtecharta. Drittens rügt er, das neu geschaffene Data Protection Review Court (DPRC) sei kein unabhängiges und gesetzlich vorgesehenes Gericht, sodass effektiver Rechtsschutz im Sinne von Artikel 47 GRCh fehle. Viertens beanstandet er das Fehlen einer allgemeinen US-Rechtsgrundlage für den Schutz vor automatisierten Entscheidungen, womit Artikel 22 DSGVO verletzt sei. Fünftens kritisiert er, dass die Pflichten zur Sicherheit der Verarbeitung zu vage seien, was Artikel 32 DSGVO in Verbindung mit Artikel 45 Absatz 2 DSGVO verletze.
Die Kommission beantragt die Abweisung der Klage. Sie hält den Kläger bereits nicht für klagebefugt und weist die materiellen Rügen als unbegründet zurück. Das Gericht hat die Nichtigkeitsklage abgewiesen. Das Urteil ist noch nicht im Volltext veröffentlicht, der EuG hat aber bereits eine Pressemitteilung veröffentlicht.
Am 12.7.2016 trat das sog. „Privacy Shield“-Abkommen in Kraft. Dieser Beschluss der Europäischen Kommission sollte ein angemessenes Datenschutzniveau für die Datenübermittlung in die USA gewährleisten und einen sicheren Rechtsrahmen für Unternehmen schaffen. Der EuGH (Urt. v. 16.7.2020 – C-311/18) erklärte das Abkommen jedoch für ungültig. Er stellte in seinem Urteil klar, dass bei einer Übermittlung personenbezogener Daten in ein Drittland ein Schutzniveau erforderlich sei, das mit dem in der Union vergleichbar ist. Aufgrund der weitreichenden Zugriffmöglichkeiten der US-Sicherheitsbehörden sei in den USA jedoch kein gleichwertiges Schutzniveau gewährleistet. Außerdem eröffne das Abkommen keinen ausreichenden Rechtsschutz für Betroffene.
Seitdem herrschte große Rechtsunsicherheit hinsichtlich der Datenübertragung in die USA. Im Juli 2023 hat die Europäische Kommission dann einen neuen Angemessenheitsbeschluss, das EU-US Data Privacy Framework, erlassen.
Zunächst stellte das Gericht fest, dass das neu geschaffene Data Protection Review Court (DPRC) unabhängig sei.
Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.
Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.
In Anbetracht dessen weist das Gericht den Klagegrund der fehlenden Unabhängigkeit des DPRC zurück.
Zudem stellte das Gericht fest, dass das Recht der USA einen Rechtsschutz gewährleistet, der dem durch das Unionsrecht garantierten der Sache nach gleichwertig ist und damit den Anforderungen genüge, die sich aus der Schrems-II-Entscheidung des EuGH ergeben.
Was zweitens die Sammelerhebung personenbezogener Daten betrifft, weist das Gericht u. a. darauf hin, dass nichts im Urteil Schrems II darauf hindeutet, dass diese zwingend einer vorherigen Genehmigung durch eine unabhängige Behörde bedarf. Aus diesem Urteil geht vielmehr hervor, dass die Entscheidung, mit der eine solche Sammelerhebung genehmigt wird, zumindest einer nachträglichen gerichtlichen Überprüfung unterzogen werden muss. Im vorliegenden Fall geht aus den Akten hervor, dass die von US-Nachrichtendiensten betriebene Signalaufklärung nach dem Recht der Vereinigten Staaten einer nachträglichen gerichtlichen Überprüfung durch den DPRC unterliegt. Folglich ist nicht ersichtlich, dass Sammelerhebungen personenbezogener Daten durch die USNachrichtendienste nicht den Anforderungen genügen, die sich insoweit aus dem Urteil Schrems II ergeben, und dass das Recht der Vereinigten Staaten keinen Rechtsschutz gewährleistet, der dem durch das Unionsrecht garantierten der Sache nach gleichwertig ist
Das Gericht der Europäischen Union hat die Klage von Philippe Latombe gegen den Angemessenheitsbeschluss zum EU-US Data Privacy Framework abgewiesen. Damit bleibt der Beschluss weiterhin wirksam und das DPF vorerst die Grundlage für transatlantische Datentransfers. Für Unternehmen bedeutet das Rechtssicherheit – sie können weiterhin auf die Zertifizierung nach dem DPF setzen, ohne sofort auf Standardvertragsklauseln oder andere Mechanismen ausweichen zu müssen.
Unser Tipp: Im Rahmen unserer Legal Products Enterprise und Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung). Eine Lösung, um die Einwilligung wirksam einzuholen, bietet zudem der Trusted Shops Consent-Manager. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. Nutzen Sie auch für Ihre AGB, Ihr Impressum, Ihre Datenschutzerklärung und Ihre Widerrufsbelehrung unseren kostenlosen Rechtstexter.