Datenschutzabkommen rechtmäßig – US-Datenübermittlung weiterhin zulässig

Das Europäische Gericht erster Instanz hatte über das EU US Data Privacy Framework zu entscheiden. Die Klage gegen die Zulässigkeit des Angemessenheitsbeschlusses der EU Kommission vom 10. Juli 2023 wurde zurückgewiesen. Der französische Abgeordnete Latombe hatte 2023 sowohl einen Antrag auf Erlass einer einstweiligen Regelung gestellt. Dieser Antrag wurde bereits am 24. Oktober 2023 abgewiesen. Es fehle die Dringlichkeit, entschied das Gericht. Nunmehr wurde auch in der Hauptsache das Urteil gefällt. Klageabweisung. Die Übermittlung personenbezogener Daten auf Grundlage des EU Abkommens mit den USA bleibt damit wirksam.

Klage gegen das Abkommen 09/2023

Am 06. September 2023 hatte der Pariser Abgeordnete Philippe Latombe und nicht NOYB bzw. Maximilian Schrems Klage gegen das neue Abkommen zwischen der EU und den USA eingereicht.

Er stützte sich für seine Klage sowohl auf die Datenschutzgrundverordnung, als auch die Europäische Grundrechtecharta (vgl. insbes. Art. 7 und 8).

Fünf Gründe nahm der Kläger in Bezug – hier ein Auszug aus der Klage (vgl. die Liste der Dokumente in der Rechtssache T-553/23).

Klagegründe und wesentliche Argumente – Der Kläger stützt seine Klage auf fünf Gründe.

Verstoß gegen die Verordnung Nr. 1/19581 . Der angefochtene Beschluss sei den Mitgliedstaaten unter Verstoß gegen Art. 4 dieser Verordnung zugestellt worden, wonach Verordnungen und andere Schriftstücke von allgemeiner Geltung in den Amtssprachen der Union abgefasst würden.

Verstoß gegen die Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta), da die Achtung des Privat- und Familienlebens in Anbetracht der massiven und „nicht zielgerichteten“ Erhebung von personenbezogenen Daten nicht hinreichend gewährleistet sei.

Verstoß gegen Art. 47 der Charta und gegen Art. 45 Abs. 2 der Verordnung 2016/6791 , da das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht nicht gewährleistet sei. Die in den Vereinigten Staaten von Amerika errichtete Rechtsbehelfsbehörde, die durch einen Akt der amerikanischen Exekutive und nicht durch Gesetz geschaffen worden sei, sei kein unabhängiges Gericht und biete keine den Anforderungen des europäischen Rechts entsprechende Garantien.

Verstoß gegen Art. 22 der Datenschutz-Grundverordnung, da automatisierte Entscheidungen nicht geregelt würden. Das amerikanische Recht sehe keine allgemeine Garantie gegen automatisierte Entscheidungen vor; die Gefahr, dass diese aufträten, werde mithin durch die getroffenen Vorkehrungen nicht abgewendet.

Verstoß gegen Art. 32 in Verbindung mit Art. 45 Abs. 2 der Datenschutz-Grundverordnung, da die Garantien hinsichtlich der Sicherheit der verarbeiteten Daten mangelhaft seien. Denn das amerikanische Recht sehe in dem Bereich nur vage Maßnahmen vor, aber keine bestimmten Pflichten der die Daten übertragenden Wirtschaftsteilnehmer.

Angemessenheitsbeschluss USA 10.07.2023

Nachdem der EuGH mit den Urteilen Safe Harbour und Schrems II / Privacy Shield die Vorgängerabkommen kassiert hatte, war am 10.07.2023 ein neuer Beschluss durch die EU Kommission gefasst worden.

Es handelt sich dabei um einen sog. Angemessenheitsbeschluss, der als Transferinstrument für eine legale Übermittlung personenbezogener Daten nach Kapitel IV der Datenschutzgrundverordnung herangezogen werden kann.

Dazu muss die EU Kommission die Voraussetzungen für ein angemessenes Schutzniveau im Zielland ermitteln bzw. – wie im Fall mit den USA – aushandeln und per Beschluss feststellen (vgl. Art. 45 DSGVO).

Mit dem Beschluss im Juli 2023 wurde seitens der EU-Kommission in Abstimmung mit der Biden-Administration ein neuer Versuch gestartet, eine einfache Rechtmäßigkeitsgrundlage für die Nutzung US-amerikanischer Datendienste durch europäische Unternehmen und Organisationen zu schaffen (vgl. nähere Details im Beitrag vom 12.07.2023).

Kaum war dies geschehen, merkten so manche Kritiker an, dass sich die Lage für EU Bürger doch auch durch die Executive Order von Präsident Biden vom Oktober 2022 nicht ausreichend geändert habe. Und die eingerichtete Prüfstelle für US-behördliche Maßnahmen habe man zwar als „Gericht“ bezeichnet, sei aber gerade eine Verwaltungsbehörde und damit im Sinne der Gewaltenteilung kein echtes Gericht im Sinne der Judikative.

Urteil DSGVO Abkommen USA

Und doch hat das Gericht erste Instanz – EuG – eben diese Kritikpunkte, die auch der Kläger aufgegriffen hatte, anders und im Gegenteil als ausreichend im Sinne des Schrems II Urteils de EuGH bewertet. Es wies alle 5 Klagepunkte zurück (vgl. Pressemitteilung Nr. 106/25 vom 03.09.2025 – PDF).

In der Pressemitteilung heißt es:

Das Gericht weist die Klage auf Nichtigerklärung des neuen Rahmens für die Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten ab – Damit bestätigt es, dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die aus der Union an Organisationen in den Vereinigten Staaten übermittelt wurden.

Findet damit das Verfahren gegen den Angemessenheitsbeschluss der Kommission im Sinne des Art. 45 Datenschutzgrundverordnung seinen Abschluss?

Darüber muss der Kläger nunmehr entscheiden. Denn er kann die Entscheidung anfechten und dann müsste der EuGH selbst darüber entscheiden, ob seine aufgestellten Grundsätze durch das neue Abkommen gewahrt werden oder nicht.

Zu den voraus gegangenen Angemessenheitsbeschlüssen hatte der EuGH mit seinem Safe Harbour und seinem EU US Privacy Shield Urteilen (Schrems II) das angemessene Schutzniveau verneint. Und im Gegenteil hatte er zusätzliche Schutzmaßnahmen gefordert, wenn personenbezogene Daten in die USA übermittelt würden.

Das begründete er mit dem nicht gleichwertigen Schutzniveau. Dazu verwies er insbesondere auf die nicht in ausreichendem Maße bestehenden Rechtsbehelfsmöglichkeiten für Europäische Bürger, die etwa Betroffene US-behördlicher Überwachungsmaßnahmen würden.

Datenschutz Konsequenzen der Entscheidung

Den Kritikern des EU US Data Privacy Frameworks ist mit dem Urteil zunächst viel Wind aus den Segeln genommen worden.

Datenübermittlungen personenbezogener Daten etwa über Anwendungen wie Microsoft 365, Facebook, Instagram oder Google, Amazon und X sowie KI Anwendungen können nach wie vor auf das Framework und das Verfahren nach Art. 45 DSGVO gestützt werden.

Vorsicht – nicht alle in Europa populären US-amerikanischen Dienste habe die zugehörige Selbstverpflichtung unterzeichnet.

Apple Inc. oder OpenAI gehören beispielsweise nicht dazu.

Prüfen Sie also, ob Ihre Software as a Service und IT-Anbieter auf der Liste das Framework gezeichnet haben: Hier findet man die Liste der Unterzeichner: https://www.dataprivacyframework.gov/list

Alternativen sind deutliche aufwändiger zu dokumentieren und in das Datenschutzmanagement zu übernehmen.