Am vergangenen Mittwoch hatte das Gericht der Europäischen Union (EuG) in der Rechtssache T-553/23 über eine Klage aus dem Jahr 2023 gegen den Angemessenheitsbeschluss der Europäischen Kommission für Datenübermittlungen in die USA, dem sogenannten Data Privacy Framework, zu entscheiden. Nachdem in der Vergangenheit bereits die beiden vorherigen Angemessenheitsbeschlüsse durch Urteile des Europäischen Gerichtshofes (EuGH) in den Jahren 2015 und 2020 gekippt wurden, waren die Befürchtungen zum Teil groß, dass es nun erneut zu einem abrupten Ende der transatlantischen Übermittlungsgrundlage kommen könnte. Diese Befürchtungen sollten sich jedoch nicht bewahrheiten…
Zur Klage
Bereits am 6. September 2023 reichte Philippe Latombe, ein französischer Abgeordneter und Mitglied der französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL), eine Nichtigkeitsklage gegen den zu diesem Zeitpunkt erst jüngst verabschiedeten Angemessenheitsbeschluss auf Basis des Data Privacy Framework ein. Der Antrag lautete konkret „die Art. 1 und 2 des Durchführungsbeschlusses […] für nichtig zu erklären, mit dem […] festgestellt wird, dass das im Datenschutzrahmen EU‑USA gebotene Schutzniveau für personenbezogene Daten angemessen ist.“
Als Argumentation führte Latombe unter anderem an, dass „das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht nicht gewährleistet sei.“ Weiterhin sei „die in den Vereinigten Staaten von Amerika errichtete Rechtsbehelfsbehörde, die durch einen Akt der amerikanischen Exekutive und nicht durch Gesetz geschaffen worden sei, sei kein unabhängiges Gericht und biete keine den Anforderungen des europäischen Rechts entsprechende Garantien.“ Daneben wurden weitere Verstöße, insbesondere gegen Art. 7 und 8 der Charta der Grundrechte der Europäischen Union sowie Art. 22 DS-GVO und Art. 32 in Verbindung mit Art. 45 Abs. 2 der DS-GVO vorgetragen.
Zum Urteil
Mit Beschluss vom 3. September 2025 wies das EuG die Nichtigkeitsklage nun ab. In der Pressemitteilung heißt es hierzu in Bezug auf die angezeigte fehlende Unabhängigkeit Data Protection Review Court (DPRC), einer Institution, die es europäischen Bürgern ermöglichen soll, Beschwerden in Bezug auf die Verarbeitung personenbezogener Daten durch US-amerikanische Ermittlungsbehörden überprüfen zu lassen:
„Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.“
Und weiter: „Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.“
Auch in Bezug auf mögliche Sammelerhebungen personenbezogener Daten durch US-amerikanische Nachrichtendienste folgte das Gericht der Argumentation des Klägers nicht.
Ist das Data Privacy Framework damit sicher?
Nein. Bereits aus der dargestellten Pressemitteilung geht besonders aus zwei Passagen deutlich hervor, dass in Bezug auf den derzeitigen Angemessenheitsbeschluss zu jeder Zeit auch anderslautende Beschlüsse getroffen werden könnten.
Einerseits heißt es, „dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten […].“ Andererseits wird wie zuvor bereits zitiert darauf hingewiesen, dass die Europäische Kommission bei Änderungen der Rechtslage in den USA den Angemessenheitsbeschluss jederzeit aussetzen, ändern, aufheben oder in seinem Anwendungsbereich einschränken kann. Diesbezüglich wurde bereits im Februar dieses Jahres bekannt, dass die Europäische Kommission seitens Mitglieder des Europäischen Parlaments aufgefordert wird, die Grundlagen des Angemessenheitsbeschlusses zu prüfen.
Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
