EU-US-Datentransfer vorerst gesichert

Das EU-Gericht hat die Klage des französischen Abgeordneten Latombe gegen das neue Datenschutzabkommen mit den USA abgewiesen. Der Angemessenheitsbeschluss der EU-Kommission zum „Trans-Atlantic Data Privacy Framework“ bleibt damit gültig. Er soll sichere Datentransfers in die USA ermöglichen – ein heikler Punkt, nachdem frühere Abkommen wie „Privacy Shield“ und „Safe Harbour“ gescheitert waren.

Am 3. September 2025 hat das Europäische Gericht in der Rechtssache T-553/23 die Nichtigkeitsklage des französischen Abgeordneten Latombe gegen den Angemessenheitsbeschluss der EU-Kommission in Sachen Datenmigration EU-USA abgewiesen. Die Klage richtete sich gegen das EU-US-Datenschutzabkommen ‚Trans-Atlantic Data Privacy Framework‘ (DPF) aus Anfang 2023, dem in einem Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO aus dem Juli 2023 ein den EU-Datenschutzregeln entsprechendes, angemessenes Datenschutzniveau in den USA attestiert wurde.

Eine Migration, Verarbeitung und Speicherung personenbezogener EU-Datensätze in Drittstaaten ist ohne zusätzliche Garantien erst dann möglich, wenn in einem Angemessenheitsbeschluss ein gleichwertiges Datenschutzniveau in einem Drittstaat festgestellt wird. Datentransfers in die USA sind für europäische Unternehmen von vitalem Interesse, da vielfach Cloud-Lösungen, Analysetools und Kommunikationsdienstleistungen von US-Partnern eingesetzt werden.

Die Historie der EU-US-Datenschutzabkommen ist bislang eine Geschichte des Scheiterns. Der EuGH hatte auf Klagen des Datenschutzaktivisten Schrems bereits 2015 das ‚Safe Harbour-Abkommen‘ und 2020 das nachgebesserte ‚Privacy Shield – Abkommen‘ für ungültig erklärt. Beide Male lagen Angemessenheitsbeschlüsse der EU-Kommission vor. Der EuGH folgte in beiden Fällen der Argumentation des Klägers Schrems, dass in den USA weder ein angemessenes Datenschutzniveau garantiert sei, noch betroffenen EU-Bürgern wirksame und durchsetzbare Rechtsbehelfe eingeräumt würden, um ihre Rechte durchzusetzen.

Mit dem DPF wurde ein dritter Anlauf genommen, um eine stabile Grundlage für den Austausch personenbezogener Daten zwischen der EU und den USA zu schaffen. Der ehemalige Präsident Biden erließ eine Executive Order, die mit einer Reihe von Maßnahmen den Datenschutz verbessern und Kontrollmechanismen für die Datenabschöpfung durch US-Geheimdienste verankern sollte. Die EU-Kommission ließ sich von dem Maßnahmenpaket überzeugen. Ein neuerlicher Angemessenheitsbeschluss folgte.

Viele Kommentatoren sahen im Vorgehen der Verhandler primär das Erkaufen von Zeit, bis eine erneute Klage eine ‚Schrems III‘- Entscheidung des EuGHs nach sich ziehen würde, um nach weiteren fünf Jahren relativer Rechtssicherheit eine vierte Verhandlungsrunde einzuläuten.

Es kam anders.

Die Argumentation des EuG

Das EuG stellt fest, dass in Art. 8 I der Charta der Grundrechte der EU und in Art. 16 I AEUV das Recht jeder Person auf Schutz ihrer personenbezogenen Daten verankert ist, konkretisiert durch Bestimmungen des Sekundärrechts der EU, vornehmlich in der DSGVO. Der Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO sei erfolgt, nachdem ein US – Präsidialdekret, ergänzt durch eine Verordnung des US Attorney General den Datenschutz nachschärfte und zur Überprüfung in die Hände des Data Protection Review Court, DPRC, legte.

Der Kläger argumentiert, der DPRC sei kein im Gesetz verankertes unabhängiges Gericht, sondern habe den Charakter eines Exekutivorgans, das auch per Dekret jederzeit verändert oder abgeschafft werden könne. Auch hätten die US-Nachrichtendienste weiterhin Zugriffsmöglichkeiten auf Daten ohne vorherige Genehmigung eines Richters oder einer unabhängigen Verwaltungsbehörde.

Das EuG weist in seiner Urteilsbegründung darauf hin, dass Struktur und Arbeitsweise des DPRC mit Bedingungen und Garantien verknüpft seien, die die Unabhängigkeit seiner Mitglieder gewährleisteten. Grundsätzlich könnten Richter des DPRC nur vom Attorney General aus triftigen Gründen abberufen werden und ihre Arbeit dürfe von Exekutivorganen jeder Art weder behindert noch beeinflusst werden. Außerdem habe sich die EU-Kommission verpflichtet, die Anwendung des Rechtsrahmens fortlaufend zu überwachen und den Angemessenheitsbeschluss jederzeit auszusetzen, zu ändern oder aufzuheben, sollten die Umstände dies erfordern.

Was das klägerische Argument anbetrifft, US-Nachrichtendienste könnten weiterhin Sammelerhebungen personenbezogener migrierter EU-Daten ohne vorherige Prüfung und Genehmigung betreiben, wird darauf verwiesen, dass in den Urteilen des EuGHs zu den Datenschutzabkommen Safe Harbour und Privacy Shield nicht die Rede davon war, dass nur vorab genehmigte Eingriffe rechtmäßig seien. Vielmehr müssten nachträgliche, unabhängige Überprüfungen möglich gemacht werden und durchgesetzt werden können. Dies werde im jüngsten Datenschutzabkommen über den DPRC ermöglicht. Ausreichender Rechtsschutz werde gewährleistet, der den Unionsrechtgarantien der Sache nach gleichwertig sei.

Insgesamt sei daher die Nichtigkeitsklage abzuweisen.

Wie es weitergeht

Der Kläger Latombe hat zwei Monate und zehn Tage seit Urteilserlass Zeit, den EuGH in zweiter Instanz anzurufen, der sowohl die Rechtsfragen aber auch die den Rechtsfragen zugrundeliegenden Tatsachen überprüft.

Nichts ändern wird sich an der Tatsache, dass Latombes Klage sehr eng gefasst war und daher eine ganze Reihe strittiger Punkte des Datenschutzabkommens nicht aufgriff. Inzwischen hat der bereits zweifach siegreiche Kläger Schrems eine eigene Klage zum EuGH angekündigt, die im Kern anders angelegt sein wird.

Datenschützer betonen die Schwächen des DPF. Genannt wird insbesondere die Abhängigkeit des DPRC von Executive Orders, die im Gegensatz zu Kongress-Gesetzen von nachfolgenden Regierungen beliebig aufgehoben und verändert werden können. Als problematisch könnte sich auch das mit fünf Personen besetzte Privacy and Civil Liberties Oversight Board, PCLOB, das auch den DPRC kontrollieren soll, erweisen. Die Trump-Administration hat bereits die drei demokratischen Mitglieder des Gremiums zum Rücktritt aufgefordert und droht bei Weigerung mit der Entlassung. Damit wäre die unabhängige Kontrolle ad absurdum geführt.

Das EuG hat sich auch nicht mit der klandestinen und grenzüberschreitenden Zugriffsmöglichkeit des Foreign Intelligence Surveillance Act, FISA, und des CLOUD Act von 2018 mit seinen Zugriffsmöglichkeiten auf gespeicherte Daten weltweit beschäftigt, weil diese Phänomene nicht Klagegegenstand waren. Das von Schrems mit gegründete noyb (none of your business) EU-Zentrum für digitale Rechte wird sicher in seiner Klage zum EuGH alle streitigen Punkte detailliert thematisieren.

Es steht fest: nach dem Urteil ist vor dem Urteil. In Sachen EU-US Datenschutzabkommen ist das letzte Wort noch nicht gesprochen. Schrems III und der EuGH schreiben das nächste Kapitel.