,

Transatlantischer Datenverkehr

Beitrag von Peter Lotz, M.C.J. (NYU) Rechtsanwalt, Attorney-At-Law (N.Y.) MAYRFELD Rechtsanwälte & Attorneys-At-Law

Der Gerichtshof der Europäischen Union bestätigt das EU-US Data Privacy Framework: Erkenntnisse für Unternehmen

Am 3. September 2025 hat der Gerichtshof (GC) der Europäischen Union in der Rechtssache Latombe gegen Kommission ein wegweisendes Urteil gefällt und die Klage auf Aufhebung des EU-US Data Privacy Frameworks (DPF) abgewiesen. Der Gerichtshof stellt fest, dass das DPF die EU-Standards für grenzüberschreitenden Datentransfer in die U.S.A. erfüllt.

Hintergrund: EU-Datenübermittlungen und das DPF

Nach Kapitel V der DSGVO dürfen personenbezogene Daten nur dann außerhalb der EU übermittelt werden, wenn angemessene Schutzmaßnahmen bestehen. Häufig genutzte Instrumente sind Standardvertragsklauseln (SCCs) und Verbindliche Unternehmensregeln (BCRs). Artikel 45 DSGVO erlaubt jedoch unbeschränkte Datenübertragungen, wenn die Europäische Kommission eine Angemessenheitsentscheidung getroffen hat.

Am 10. Juli 2023 verabschiedete die Kommission eine Angemessenheitsentscheidung für das EU-US Data Privacy Framework (DPF). Auf Basis der Verpflichtungen der US-Regierung und Reformen im Rahmen der Executive Order 14086 (EO 14086) sollte durch das DPF ein Zertifizierungsmechanismus für US-Unternehmen geschaffen werden in der Absicht die Mängel früherer Abkommen zu beheben, die von EU-Gerichten festgestellt wurden.

Das DPF folgt auf zwei gescheiterte Vorgänger:

  • Safe Harbor (aufgehoben in Schrems I, 2015)

  • Privacy Shield (aufgehoben in Schrems II, 2020)

Beide wurden aufgehoben, da US-Überwachungspraktiken als mit den EU-Grundrechten unvereinbar angesehen wurden.

Die Herausforderung:

Am 6. September 2023 reichte Philippe Latombe, französischer Abgeordneter und Mitglied der französischen Datenschutzbehörde (CNIL), eine Klage auf Aufhebung des DPF ein (Fall T-553/23).

Latombe argumentierte, dass das DPF den EU-Standard des „wesentlich gleichwertigen“ Datenschutzes im Empfängerland (USA) nicht berücksichtige und erhob zwei Hauptkritikpunkte:

  1. Unabhängigkeit des Data Protection Review Court (DPRC): Er behauptete, dass das DPRC nicht unabhängig sei, da es dem US-Exekutivzweig unterstehe.

  2. Rechtmäßigkeit der massenhaften Datenerhebung: Er führte aus, dass die Praktiken der US-Geheimdienste einen unverhältnismäßigen und rechtswidrigen Eingriff in die Datenschutzrechte darstellten, da sie keiner vorherigen gerichtlichen Genehmigung unterliegen.

Entscheidung des Gerichtshofs

Ohne auf die Frage einer Klagebefugnis einzugehen, prüfte der Gerichtshof den Fall in der Sache „im Interesse einer ordnungsgemäßen Rechtspflege“.

Wesentliche Erkenntnisse des Gerichtshofs

  • Angemessenheitsstandard: Der Gerichtshof bestätigte, dass Angemessenheit des Datenschutzniveaus im Empfängerland (lediglich) einen „wesentlich gleichwertigen“ Schutz erfordere – nicht jedoch identische gesetzliche Regelungen.

  • Zeitpunkt der Bewertung: Nach Auffassung des Gerichtshof sei die Rechtmäßigkeit des DPF zum Zeitpunkt der Annahme der Angemessenheitsentscheidung zu bewerten; spätere politische Entwicklungen könnten die Angemessenheitsentscheidung nicht rückwirkend beeinflussen.

  • Unabhängigkeit des DPRC: Der Gerichtshof bestätigte, dass das DPRC ausreichend unabhängig sei, unter Berufung auf Schutzmaßnahmen wie unparteiische Verfahren, Ernennungsstandards und Abberufungsschutz. Besonders hervorgehoben wurde die laufende Überwachung durch die Kommission als zusätzliche Sicherheitsmaßnahme.

  • Massenhafte Datenerhebung: Der Gerichtshof stellte fest, dass die massenhafte Datenerhebung in den USA durch EO 14086 und US-Recht reguliert sei, einschließlich ex post gerichtlicher Überprüfung. Unter Bezugnahme auf die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) kam das Gericht zu dem Schluss, dass diese Mechanismen die Schwelle der „wesentlichen Gleichwertigkeit“ erfüllten.

Bedeutung für Unternehmen

Auf Basis des Urteils bleibt das DPF zunächst ein gültiges Instrument für EU-US-Datenübermittlungen und bietet bis auf weiteres eine rechtliche Grundlage für:

  • EU-Unternehmen, die auf transatlantische Datenflüsse angewiesen sind;

  • US-Unternehmen, die nach dem DPF zertifiziert sind;

  • Multinationale Unternehmen, die auch die Schweizer-US- und UK-US-Rahmenwerke nutzen, welche dem EU-DPF entsprechen.

Das Urteil soll außerdem die Position alternativer Schutzmechanismen wie SCCs stärken, da EO 14086 die US-Geheimdienstpraktiken umfassender neu geregelt hat.

Nächste Schritte und Risiken

Obwohl das Urteil die Rechtslage vorerst klärt, sollten Unternehmen wachsam bleiben:

  • Mögliche Berufung: Latombe (oder andere) kann innerhalb von ca. 2 Monaten beim Europäischen Gerichtshof (EuGH) Berufung gegen das Urteil einlegen.

  • Politische Entwicklungen: Zukünftige US-Maßnahmen – etwa Änderungen bei Aufsichtsbehörden wie dem PCLOB – könnten die Glaubwürdigkeit des DPF-Rahmens infrage stellen.

  • Laufende Überwachung: Die Kommission behält sich das Recht vor, die Angemessenheitsentscheidung auszusetzen oder zu ändern, falls der US-Schutz nachlässt.

Praktische Hinweise

Auch wenn Unternehmen gegenwärtig das DPF auf Basis des Urteils weiterhin anwenden können, sollten sie:

  • sicherheitshalber Notfallpläne (SCCs oder BCRs) bereithalten;

  • in jedem Fall die weiteren Entwicklungen genau beobachten, insbesondere eine mögliche Berufung gegen das Urteil sowie politische Veränderungen in den USA.

Fazit

Das Urteil des Gerichtshofs bietet Unternehmen vorerst eine gewisse Rechtssicherheit. Angesichts der Erfahrungen mit Safe Harbor und Privacy Shield sollten Unternehmen jedoch Optimismus mit Vorsicht kombinieren und sich auf mögliche künftige Herausforderungen vorbereiten.

 

Dieser Artikel enthält lediglich allgemeine Erwägungen zum beschriebenen Thema und stellt weder Rechtsberatung noch ein Angebot auf Erbringung von rechtlicher oder anderer Beratung dar. Durch das Besuchen dieser Webseite wird kein Mandatsverhältnis begründet. Die Bezeichnung “MAYRFELD” bezieht sich stets auf die MAYRFELD Rechtsanwälte PartG mbB. Die Bezeichnung “Partner” bezieht sich stets auf die Gesellschafter der MAYRFELD Rechtsanwälte PartG mbB. Die  Haftung für diesen Artikel oder dessen Inhalts sämtlicher für MAYRFELD handelnden Personen, ganz gleich ob als Gesellschafter, Angestellter oder Berater ist ausgeschlossen. Dieser Artikel dient lediglich der Information über bestimmte Rechtsentwicklungen. Er enthält keine vollständige Analyse der jeweiligen Rechtslage und stellt keine rechtlich verbindliche Stellungnahme von MAYRFELD zur Rechtslage dar. Die Beantwortung von Fragen zur Rechtslage kann nur im Rahmen eines konkreten Mandatsverhältnisses erfolgen.

Weitere Informationen über MAYRFELD erhalten Sie unter www.mayrfeld.com.

Tags
Veröffentlicht am
Über den Autor Peter Lotz, M.C.J. (NYU) Rechtsanwalt, Attorney-At-Law (N.Y.) MAYRFELD Rechtsanwälte & Attorneys-At-Law
Peter Lotz ist Partner bei MAYRFELD. Er berät seit über 20 Jahren sowohl Fortune 500 als auch mittelständische Unternehmen aus dem In- und Ausland insbesondere im Zusammenhang mit der grenzüberschreitenden Entwicklung, Akquisition, Lizenzierung und Kommerzialisierung von neuartigen Technologien.
www.mayrfeld.com
peter.lotz@mayrfeld.com
Alle Beiträge anzeigen
Über den Autor Peter Lotz, M.C.J. (NYU) Rechtsanwalt, Attorney-At-Law (N.Y.) MAYRFELD Rechtsanwälte & Attorneys-At-Law
Peter Lotz ist Partner bei MAYRFELD. Er berät seit über 20 Jahren sowohl Fortune 500 als auch mittelständische Unternehmen aus dem In- und Ausland insbesondere im Zusammenhang mit der grenzüberschreitenden Entwicklung, Akquisition, Lizenzierung und Kommerzialisierung von neuartigen Technologien.
www.mayrfeld.com
peter.lotz@mayrfeld.com
Alle Beiträge anzeigen