Unter dem EU-U.S. Data Privacy Framework (DPF) können Unternehmen aus der EU personenbezogene Daten in die USA übermitteln. Das Datenschutzabkommen soll ein vergleichbares Datenschutzniveau in den Vereinigten Staaten gewährleisten. Nun gibt es ein erstes Urteil des Gerichts der Europäischen Union (EuG) dazu, ob das DPF den Ansprüchen des europäischen Rechts genügt (Urteil vom 3. September 2025 – Az.: T-553/23).
Der Sachverhalt
Ein französischer Kläger wandte sich gegen den Angemessenheitsbeschluss der Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (DPF). Der Kläger machte geltend, dass der in den USA eingerichtete Data Protection Review Court (DPRC) nicht unabhängig sei und damit keinen wirksamen Rechtsschutz nach Art. 47 EU-Grundrechtecharta biete. Außerdem kritisierte der Kläger, dass das DPF eine anlasslose Massenüberwachung durch US-Behörden ohne richterliche Kontrolle ermögliche.
Ziel der Klage war die Nichtigerklärung des Angemessenheitsbeschlusses bzgl. des EU-U.S. Data Privacy Frameworks.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Das Gericht der Europäischen Union wies die Klage vollumfänglich ab. Es stellte fest, dass der DPRC trotz seiner Errichtung per Executive Order über hinreichende institutionelle und verfahrensrechtliche Garantien verfügt, um als unabhängige und unparteiische Instanz angesehen zu werden. Dazu zählen
- feste Mandatszeiten mit Schutz gegen willkürliche Abberufung,
- Auswahlkriterien ähnlich denen für Bundesrichter sowie
- Überprüfungsmechanismen durch weitere Kontrollorgane.
Hinsichtlich der Überwachungspraxis betonte das EuG, dass zwar eine Sammlung personenbezogener Daten in großen Mengen nicht ausgeschlossen sei, sie jedoch strengen Voraussetzungen unterliege. Eine vorherige richterliche Genehmigung sei unionsrechtlich nicht zwingend erforderlich, solange andere effektive Kontrollmechanismen gewährleistet sind.
Insgesamt bestätigte das Gericht daher die Einschätzung der EU-Kommission, dass die USA unter dem EU-U.S. Data Privacy Framework ein Schutzniveau bieten, das dem der EU im Kern gleichwertig ist.
Datenschutzrechtliche Einschätzung
Für die Praxis bedeutet das Urteil zunächst Rechts- und Planungssicherheit: Der aktuelle Angemessenheitsbeschluss der Kommission behält seine Gültigkeit. Unternehmen können sich somit weiterhin auf das DPF als Rechtsgrundlage für Datentransfers in die USA stützen.
Allerdings zeigt die Entscheidung auch, dass der EuG den Fokus weniger auf die formale Rechtsnatur der Garantien legt, sondern stärker auf deren praktische Wirksamkeit. Damit wird deutlich: Entscheidend ist, ob Betroffene faktisch Zugang zu wirksamem Rechtsschutz haben, und nicht, ob dieser durch Gesetz oder Exekutivakte ausgestaltet wurde. Für die deutsche Praxis ist das relevant, da Aufsichtsbehörden und Gerichte sich bei der Beurteilung von Drittlandtransfers an dieser Funktionslogik des EuGs orientieren müssen.
Kritisch bleibt, dass auch eine anlasslose Datensammlung unter bestimmten Umständen als vereinbar angesehen wird. Betroffene haben damit zwar formalen Rechtsschutz, müssen aber hinnehmen, dass US-Behörden auf Basis weitreichender Befugnisse tätig werden können. Unternehmen sollten daher die Nutzung des DPF genau dokumentieren und ergänzend technische und organisatorische Schutzmaßnahmen prüfen.
Fazit
Das EuG stärkt die Position der EU-Kommission und stabilisiert den transatlantischen Datentransfer. Für Unternehmen schafft dies zumindest kurzfristig Rechtssicherheit.
Langfristig bleibt aber abzuwarten, ob die Entscheidung auch vor dem EuGH Bestand haben wird, sollte es zu einer Revision kommen. Es ist auch vorhersehbar, dass es weitere Klagen geben wird, mit denen das DPF angegriffen wird.
In der Praxis gilt: Der Angemessenheitsbeschluss ist derzeit noch eine geeignete Garantie nach Art. 45 DSGVO, gleichwohl ist eine sorgfältige Risikoabwägung bei US-Transfers weiterhin geboten. Eine Schrems-III-Entscheidung ist nicht ausgeschlossen. Organisationen sollten notfalls einen Plan B haben.
