Die Übermittlung personenbezogener Daten in die USA ist für Unternehmen längst Alltag. Cloud-Dienste, CRM-Systeme oder HR-Software stammen häufig von US-Anbietern und werden auf amerikanischen Servern betrieben. Schon seit Jahren herrscht immer wieder Unsicherheit bei transatlantischen Datentransfers. Der EuGH erklärte sowohl das „Safe Harbor“-Abkommen (Schrems I) als auch das Privacy Shield (Schrems II) für ungültig.
Bereits in einem früheren Beitrag berichteten wir, dass die Haltbarkeit des EU-US Data Privacy Framework äußerst fragil ist (den Beitrag finden sie hier). Es stand die Frage im Raum, ob das Abkommen politisch oder rechtliche kippen könnte. Das Gericht der Europäischen Union (EuG) hat in einer aktuellen Entscheidung vom 03. September 2025 (T-553/23, Latombe) eine gegen den Angemessenheitsbeschluss der Kommission erhobene Nichtigkeitsklage abgewiesen. Die Entscheidung bringt nun vorerst Stabilität, schließt ein erneutes Verfahren vor dem EuGH aber nicht aus.
Hintergrund: Nach Schrems I und Schrems II zum Data Privacy Framework
Im Jahr 2015 erklärte der EuGH das „Safe Harbor“-Abkommen für unwirksam (C-362/14, Schrems I). Im Jahr 2020 folge mit Schrems II (C-311/18) auch das Aus für den Nachfolger „Privacy Shield“. Hauptkritikpunkt waren die weitreichenden Zugriffsrechte der US-Behörden und der fehlende effektive Rechtsschutz für EU-Bürgerinnen und Bürger. Als Reaktion erließ die Kommission am 10. Juli 2023 den Angemessenheitsbeschluss (EU) 2023/1795 zum EU-US Data Privacy Framework. Grundlage sind unter anderem die Executive Order 14086 und der neu geschaffene Data Protection Review Court (DPRC) als Rechtsbehelfsinstanz für Betroffene.
Die Entscheidung des EuG in Kürze
Der französische Abgeordnete Philippe Latombe hatte die Gültigkeit des aktuellen Angemssenheitsbeschlusses angefochten und beanstandete insbesondere die angeblich fehlende Unabhängigkeit des DPRC sowie die Möglichkeit sogenannter Sammelerhebungen (bulk collection) durch US-Nachrichtendienste ohne vorherige Genehmigung durch eine unabhängige Stelle. Das EuG wies die Klage ab.
Zum DPRC stellte das Gericht fest, dass die Ernennung und Amtsführung der DPRC-Richter mit Garantien unterlegt seien, die ihre Unabhängigkeit sichern sollen. Generalstaatsanwalt und Nachrichtendienste dürften die Arbeit nicht behindern oder unrechtmäßig beeinflussen. Zudem überwache die Kommission den maßgeblichen US-Rechtsrahmen fortlaufend und könne den Beschluss nötigenfalls aussetzen, ändern, aufheben oder einschränken.
Zur Sammelerhebung betonte das Gericht, dass unionsrechtlich keine zwingende vorherige Genehmigung durch eine unabhängige Behörde erforderlich sei. Entscheidend sei mindestens eine nachträglich gerichtliche Kontrolle. Eine solche läge vor. Insgesamt sei nicht ersichtlich, dass Sammelerhebungen den aus Schrems II folgenden Anforderungen nicht entspräche.
Was die Entscheidung für Unternehmen bedeutet
Das Urteil des EuG bringt vorläufige Rechtssicherheit für den Transfer personenbezogener Daten in die USA. Unternehmen können unter den Anforderungen des Data Privacy Framework auch weiterhin personenbezogene Daten an Unternehmen in den USA übermitteln, die entsprechend registriert sind. Vor der Übermittlung sollte geprüft werden, ob das entsprechende US-Unternehmen im offiziellen Register des US Department of Commerce eingetragen ist und die jeweiligen Datenkategorien umfasst sind.
Anders ist die Lage bei nicht zertifizierten US-Unternehmen. Hier müssen weiterhin Standardvertragsklauseln (SCC) oder Binding Corporate Rules (BCR) eingesetzt werden. Diese sind mit einer Folgenabschätzung und technischen und organisatorischen Schutzmaßnahmen zu verbinden.
Unternehmen sollten systematisch prüfen, welche Datenflüsse in die USA bestehen und auf welcher Grundlage sie derzeit erfolgen. Bestehende Verträge mit US-Dienstleistern sollten dahingehend überprüft werden, ob der Dienstleister im Data Privacy Framework registriert ist. Diese Prüfung sollte dokumentiert werden, um im Falle einer Kontrolle die Rechtmäßigkeit der Übermittlung nachweisen zu können.
Fazit und Ausblick
Mit der Bestätigung des EU-US Data Privacy Framework tritt etwas mehr Stabilität für den transatlantischen Datentransfer ein.
Endgültig ist die Entscheidung des EuG jedoch nicht. Ein mögliches Verfahren vor dem EuGH könnte das Framework erneut in Frage stellen und möglicherweise kippen. Unternehmen sollten deshalb die Zeit nutzen, um weitestgehend auf europäische Anbieter und Server zu wechseln und für den Fall der Fälle mit SCCs und BCRs vorbereitet zu sein.
Hierzu beraten wir Sie gerne.
Autor: Nicolas Fischer
Autor
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
