Der Transfer von personenbezogenen Daten in Drittländer außerhalb der EU unterliegt nach den Vorgaben der DSGVO erhöhten Anforderungen. Ein solcher Transfer ist allerdings oftmals weniger problematisch, wenn er auf einem sog. Angemessenheitsbeschluss der EU-Kommission beruht und etwaige ergänzende Voraussetzungen des jeweiligen Angemessenheitsbeschlusses für einen entsprechenden Datentransfer erfüllt werden.
Vor allem die Übermittlung personenbezogener Daten in die USA wird von Unternehmen (in Deutschland) vielfach auf Angemessenheitsbeschlüsse der EU-Kommission gestützt. Diese Beschlüsse beziehen sich zumeist auf Abkommen zwischen der EU und den USA. Nachdem die Abkommen „Safe Harbor“ und „Privacy Shield“ durch die EuGH-Urteile Schrems I und II gekippt worden waren, hatte die EU im Jahr 2023 nachgebessert und mit den USA das sog. Data Privacy Framework (Beschluss (EU) 2023/1795) entwickelt. Das Data Privacy Framework schuf eine neue Grundlage für Datenübermittlungen in die USA und implementiert zusätzlich Schutzmechanismen in den USA wie den sog. Data Protection Review Court.
Die Wirksamkeit des auf dem Data Privacy Framework beruhenden Angemessenheitsbeschlusses der EU-Kommission wurde nunmehr vor dem Gericht der Europäischen Union (EuG) im Rahmen eines Klageverfahrens durch einen französischen Kläger angegriffen (Rechtssache T-553/23). Der Kläger beantragte, das Data Privacy Framework für nichtig zu erklären und argumentierte dabei die Unwirksamkeit des Angemessenheitsbeschlusses folge insb. aus folgenden Gründen:
– US-Nachrichtendienste würden nach wie vor personenbezogene Daten in großem Umfang sammeln können, ohne dabei ausreichend kontrolliert zu werden.
– Das neu geschaffene Data Protection Review Court (DPRC) sei nicht unabhängig.
- Das EuG wies die Klage nun mit Urteil vom 3. September 2025 ab. Insb. argumentiert das Gericht, dass die Unabhängigkeit des DPRC durch ausreichende institutionelle Garantien abgesichert und auch eine nachträgliche gerichtliche Kontrolle der Datenerhebungen (durch z.B. Nachrichtendienste) mit den wesentlichen Vorgaben aus dem Schrems II-Urteil des EuGH vereinbar sei.
Das Urteil des EuG ist ein wichtiges Signal für Unternehmen, dass Datentransfers in die USA weiterhin auf das Data Privacy Framework gestützt werden können. Ob das letzte Wort damit gesprochen ist, bleibt jedoch offen: Gegen die Entscheidung ist ein Rechtsmittel zum EuGH möglich. Unternehmen sollten die weitere Rechtsentwicklung daher im Blick behalten.
