Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
chb_rsw_logo_mit_welle_trans
Banner Jubiläumslogo

EuG bestätigt neues Datentransfer-Abkommen mit USA

EuG
Be­reits zwei Mal hat der EuGH ein Da­ten­schutz­ab­kom­men zwi­schen der EU und den USA ge­kippt – dem neuen trans­at­lan­ti­schen Da­ten­schutz­rah­men be­schei­nigt nun zu­min­dest das EuG, per­so­nen­be­zo­ge­ne Daten an­ge­mes­sen zu schüt­zen.

Die Klage auf Nichtigerklärung des neuen Rahmens für die Datenübermittlung hat das EuG abgewiesen (Urteil vom 03.09.2025 – T-553/23). Die Entscheidung bezieht sich auf den Zeitpunkt der Vereinbarung: Bei Erlass des Beschlusses hätten die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die aus der EU in die Staaten übermittelt wurden.

Die Übermittlung personenbezogener Daten in ein Drittland ist nach EU-Recht ohne zusätzliche Genehmigung möglich, wenn die Europäische Kommission festgestellt hat, dass dort ein angemessenes Schutzniveau besteht – das in der Union gewährte Datenschutzniveau also durch internationale Datenübermittlungen nicht untergraben wird.

Einen solchen Beschluss hat die Kommission 2023 für die Vereinigten Staaten gefasst – nach früheren Rückschlägen. In den Urteilen Schrems I (2015) und Schrems II (2020) hatte der EuGH zwei Vorgängerregelungen mit Blick auf die weitreichenden Befugnisse von US-Nachrichtendiensten für unzulässig erklärt. Der damit verbundene Wegfall des "Privacy Shield" führte zu großer Rechtsunsicherheit im transatlantischen Datenverkehr. 2022 begrenzten die USA die Überwachungstätigkeit stärker; zudem änderten sie die Bestimmungen zur Schaffung und Funktionsweise des US-Datenschutzgerichts DPRC. Die EU-Kommission prüfte die Änderungen und kam zu dem Schluss, dass nun ein angemessenes Datenschutzniveau vorliege, und erließ daraufhin den aktuellen Angemessenheitsbeschluss.

EuG sieht keine strukturellen Mängel beim DPRC

Gegen diesen Beschluss wandte sich ein französischer Nutzer, der regelmäßig digitale Plattformen verwendet, die personenbezogene Daten in die USA übermitteln. Der Mann beanstandete gerade die Maßnahmen, auf deren Grundlage die Kommission ein angemessenes Datenschutzniveau angenommen hatte. Er argumentierte, das neu gegründete Data Protection Review Court (DPRC) sei weder unparteiisch noch unabhängig, sondern der US-Exekutive unterstellt. Zudem beanstandete er die Praxis der US-Nachrichtendienste, ohne vorherige Genehmigung eines Richters oder einer unabhängigen Verwaltungsbehörde massenhaft personenbezogene Daten im Transit aus der EU zu erheben. Die zugrunde liegenden Regelungen seien nicht ausreichend klar und präzise und daher rechtswidrig.

Das EuG weist die Bedenken zur Unabhängigkeit des DPRC zurück: Ernennung und Arbeitsweise der dortigen Richterinnen und Richter seien durch mehrere Garantien abgesichert, um ihre Unabhängigkeit zu gewährleisten. So sei vorgesehen, dass die Mitglieder des DPRC nur aus triftigem Grund durch den Generalstaatsanwalt abberufen werden können. Darüber hinaus dürften weder dieser noch die Nachrichtendienste deren Tätigkeit behindern oder unrechtmäßig beeinflussen.

Zudem müsse die EU-Kommission die Anwendung des beschlossenen Rechtsrahmens laufend überwachen. Ändere sich die Rechtslage in den USA, könne sie den Beschluss aussetzen, ändern oder aufheben – oder seinen Anwendungsbereich einschränken.

Keine Pflicht zur vorherigen Genehmigung

Auch den Vorwurf rechtswidriger Sammelerhebungen hält das EuG für unbegründet. Aus dem Urteil Schrems II gehe nicht hervor, dass jede Sammelerhebung personenbezogener Daten zwingend einer vorherigen Genehmigung durch eine unabhängige Behörde bedürfe. Dem EuGH-Urteil zufolge reiche es vielmehr aus, wenn eine solche Maßnahme im Nachhinein einer gerichtlichen Kontrolle unterliege. Das sieht das EuG hier gegeben: Aus den Akten gehe hervor, dass die von US-Nachrichtendiensten betriebene Signalaufklärung nach US-Recht einer nachträglichen gerichtlichen Überprüfung durch den DPRC unterliegt (Urteil vom 03.09.2025 - T-553/23). 

 

 

    Aus der Datenbank beck-online

    Lindner, Der Angemessenheitsbeschluss für die USA unter der Trump-Regierung, ZD 2025, 310

    Schmidt/Kämpfe, Neue Entwicklungen im Datenschutzrecht und ihre Bedeutung für die Praxis, NVwZ 2025, 1313

    Brauneck, Der Digital Services Act (DSA) zwischen EU und USA, NVwZ 2025, 968

    Paal, Datenübermittlung in Drittländer nach der DS-GVO, NJW 2024, 3681

    Hessel, Der neue Angemessenheitsbeschluss für Datenübermittlungen in die USA, NJW 2023, 2969

    Was folgt auf das Privacy Shield - ein Privacy Framework oder Schrems III?, ZD 2022, 305

    Spies, EU-US-Privacy-Shield - eine schwierige Reparatur, ZD 2021, 478

    EuGH, Übermittlung personenbezogener Daten von Facebook Ireland in die USA - Schrems II, NJW 2020, 2613

    EuGH, "e-Privacy" im europäischen Grundrechtsschutz: Das "Schrems"-Urteil des EuGH, EuR 2016, 76

    Menü