Die Übermittlung personenbezogener Daten in die USA steht seit Jahren im Konflikt zwischen europäischem Datenschutzrecht und den weitreichenden Überwachungsbefugnissen amerikanischer Sicherheitsbehörden. Nach mehrfachen Korrekturen von US-Datenschutzabkommen durch den Europäischen Gerichtshof (EuGH) sollte das EU-US-Data-Privacy-Framework von 2022 einen neuen Kompromiss schaffen. Nun hat das Gericht der Europäischen Union (EuG) am 03.09.2025 bestätigt, dass dieser US-Angemessenheitsbeschluss datenschutzkonform ist. Für Unternehmen bedeutet dies vorerst mehr Rechtssicherheit beim Einsatz von US-Dienstleistern. Endgültige Klarheit ist damit aber noch nicht geschaffen.
Weiterlesen: EuG bestätigt US-AngemessenheitsbeschlussAngemessenheitsentscheidungen und ihr Stellenwert
Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass für die Übertragung von personenbezogenen Daten von der EU in einen Drittstaat ein im Vergleich mit den europäischen Vorgaben angemessenes Datenschutzniveau gewährleistet sein muss. Die EU-Kommission kann hierfür einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen. Dann ist der internationale Datentransfer unter erleichterten Bedingungen möglich ist. Eine Angemessenheitsentscheidung kann es Unternehmen erlauben, personenbezogene Daten ohne zusätzliche Garantien in ein Drittland zu übermitteln, wenn dort ein der DSGVO gleichwertiges Schutzniveau gewährleistet ist. Gerade für den transatlantischen Datenverkehr ist dies relevant, da eine Vielzahl europäischer Unternehmen Cloud-Dienste, Analyse-Tools oder Kommunikationslösungen aus den USA einsetzt. Zurzeit gibt es solche Vereinbarungen mit 16 Ländern, darunter auch die USA.
Drittlands-Datentransfer in die USA
Der EuGH hat in den vergangenen Jahren wiederholt Angemessenheitsbeschlüsse für die USA gekippt. So erklärte er 2015 Safe-Harbour und 2020 Privacy-Shield für ungültig. Die Enthüllungen von Edward Snowden hatten offengelegt, dass diese Zugriffe kaum wirksam kontrolliert werden. Die Folge war jahrelange Unsicherheit für Unternehmen, die auf US-Dienstleister angewiesen sind.
Das seit 2023 geltende transatlantische Datenabkommen, offiziell bekannt als EU-US Data Privacy Framework (DPF), soll seit dem eine stabile Grundlage für den Austausch personenbezogener Daten zwischen der EU und den USA schaffen. Der ehemalige US-Präsident Joe Biden erließ hierzu eine Executive Order, die den Datenschutz verbessern und Kontrollmechanismen für Geheimdienste etablieren sollte. Kernstück ist der neu geschaffene Data Protection Review Court (DPRC), ein Gremium, das Beschwerden von EU-Bürgern über unrechtmäßige Überwachungsmaßnahmen prüfen soll.
Außerdem führte sie eine erweiterte Aufsicht über die US-Geheimdienste ein. Hierzu gehört auch das mit fünf Personen besetzte und eigentlich unabhängige Privacy and Civil Liberties Oversight Board (PCLOB), dass auch den DPRC kontrollieren soll. Der Europäische Datenschutzausschuss hatte Ende letzten Jahres einen Bericht angenommen, in dem Fortschritte, aber auch Verbesserungsbedarf zum DPF festgestellt wurden.
Klage gegen das US-Datenschutzabkommen
Der französische Abgeordnete Philippe Latombe hielt schon vor Zusammentritt der neuen Regierung die getroffenen Maßnahmen für unzureichend. Insbesondere bemängelte er, dass der DPRC weder ein unabhängiges Gericht noch gesetzlich verankert sei, sondern allein auf einer Anordnung des US-Präsidenten basiere und insofern von der Regierung abhängig sei. Zudem bemängelte er, dass US-Geheimdienste weiterhin massenhaft Daten ohne richterliche Vorabgenehmigung verarbeiten dürfen. Er argumentierte, dass die Kommission mit ihrer Entscheidung faktisch die Risiken der Überwachung ignoriere und damit gegen die Grundrechte der EU-Bürger verstoße. Deshalb reichte er am 06.09.2023 eine Nichtigkeitsklage gegen die Angemessenheitsentscheidung vor dem EuG ein.
Entscheidung des EuG
Das Gericht folgte dieser Argumentation laut seiner Pressemitteilung (abrufbar hier) nicht. Es stellte klar, dass der Kommission ein erheblicher Beurteilungsspielraum bei Angemessenheitsentscheidungen zukommt und die Entscheidung ordnungsgemäß erfolgt sei.
Der EuG sah den DPRC als ausreichend unabhängig und hinreichend kontrolliert an. Insbesondere sei eine Abberufung nur bei triftigen Gründen durch den Generalstaatsanwalt zulässig. Außerdem dürfte dieser und die Geheimdienste die Tätigkeit des DPRC nicht behindern oder rechtswidrig beeinflussen. Außerdem stellte der EuG fest, dass die Rechtsprechung des EuGH keine richterliche Vorabgenehmigung von Massenüberwachungsmaßnahmen zwingend verlangt. Eine nachträgliche Kontrolle genüge, um den Grundsatz der Verhältnismäßigkeit zu wahren. Außerdem habe die EU-Kommission eine regelmäßige Überprüfung des Angemessenheitsbeschlusses zugesagt, sodass Änderungen im US-Recht berücksichtigt werden könnten.
Bewertung der Entscheidung und des Datenschutzabkommens
Die Schwächen des DPF waren bereits bei seiner Einführung Gegenstand intensiver Kritik. Besonders die Abhängigkeit von der Executive Orders, die im Gegensatz zu Kongress-Gesetzen leicht von nachfolgenden Regierungen widerrufen werden kann, wurde von Datenschützern und EU-Abgeordneten scharf bemängelt.
Besonders unter Druck stand zum Amtsantritt von Präsident Donald Trump das PCLOB als zentrales Element des Datenschutzrahmens, dass grundsätzlich durch eine gesetzliche Verankerung gesichert ist. Die effektive Kontrolle hängt maßgeblich von der vollständigen Besetzung des Gremiums und seiner tatsächlichen Unabhängigkeit ab. Die Trump-Administration soll die drei demokratischen Mitglieder des PCLOB aufgefordert haben, ihr Amt niederzulegen, so die New York Times. Andernfalls solle ihre Entlassung gedroht haben. Eine Unterbesetzung könnte das Gremium in seiner Handlungsfähigkeit hindern. Dies wirft grundsätzliche Fragen zur Beständigkeit und Verlässlichkeit dieses Kontrollmechanismus auf.
Datenschützer Max Schrems, der bereits zweimal erfolgreich gegen transatlantische Datenabkommen geklagt hat, äußerte an der aktuellen Entscheidung scharfe Kritik. Nach seiner Einschätzung verkenne das Gericht die faktische Abhängigkeit des DPRC von der Exekutive und missachte somit sowohl die tatsächlichen Gegebenheiten in der Vereinigten Staaten sowie die Rechtsprechung des EuGH. Ein angebliches Gericht, das allein durch eine präsidentielle Anordnung geschaffen sei, könne jederzeit wieder abgeschafft werden. Dies reiche nicht aus, um einen gleichwertigen Schutz zu gewährleisten. Schrems erklärte deshalb, dass seine Organisation noyb gerade eine eigene Klage vor dem EuGH prüft, die umfassender gefasst sein soll als diejenige von Latombe.
Fazit
Die Entscheidung des EuG verschafft Unternehmen vorerst eine dringend benötigte Verschnaufpause. Datentransfers in die USA können weiterhin auf Grundlage und im Rahmen des EU-US-Data-Privacy-Framework erfolgen. Gleichwohl zeigt die Vergangenheit, dass solche Abkommen nicht von Dauer sein müssen. Die anhaltende Kritik, insbesondere an den weitreichenden Befugnissen der US-Geheimdienste, bleibt bestehen. Unternehmen können deshalb gut beraten sein, sich nach alternativen Dienstleistern mit beispielsweise Sitz in der EU umzuschauen, um nachhaltige IT-Lösungen zu schaffen. Generell empfiehlt es sich auch zusätzliche Schutzmaßnahmen wie Verschlüsselung oder Datenminimierung zu implementieren. Hierbei stehen wir Ihnen von der Beratung bis zur Implementierung zur Seite. Sollte der EuGH in einem künftigen Verfahren erneut das Datenschutzniveau in den USA beanstanden, sind Unternehmen, die diese Empfehlungen umsetzen ihren Konkurrenten einen Schritt voraus.
