EU-Gericht entscheidet: Dürfen US-Dienste für die Datenverarbeitung noch genutzt werden?

Seit 2023 sind US-Datentransfers unter dem EU-US-Datenschutzabkommen datenschutzkonform. Eine Klage aus der EU wollte das ändern. Doch jetzt können EU-Unternehmer aufatmen.

Datentransfers in die USA und die DSGVO

Für die datenschutzkonforme Übermittlung personenbezogener Daten an Drittstaaten außerhalb der EU verlangt die DSGVO gemäß Art. 44 ff. geeignete Datenschutzgarantien.

Nachdem das EU-US-Privacy Shield, das über Jahre hinweg eben solche Garantien für den Schutz personenbezogenen Daten aus der EU bei Transfers in die USA gewährleisten sollten, im Jahr 2020 vor dem EuGH scheiterte , bestanden große Unsicherheiten über die künftige Rechtskonformität transatlantischer Datenübermittlungen.

Im Jahr 2023 vereinbarten die EU und die USA schließlich einen neuen Datenschutzrahmen, das EU-US-Data Privacy Framework, das durch einen Angemessenheitsbeschluss der EU flankiert wurde.

Fortan ist die Übermittlung von personenbezogenen Daten an solche US-Unternehmen zulässig, die sich dem Datenschutzrahmen angeschlossen haben.

Klage bringt neue Transfersicherheit ins Schwanken

Bereits kurze Zeit nach Inkrafttreten des Angemessenheitsbeschlusses für US-Transfers erhob ein französischer Abgeordneter Klage beim Gericht der Europäischen Union (EuG), um die Nichtigkeit des Beschlusses feststellen zu lassen.

Eine gerichtliche Nichtigkeitsfeststellung hätte die unmittelbare generelle Unzulässigkeit jeglicher Transfers von personenbezogenen Daten in die USA zur Folge.

Im Rahmen seiner Klage rügte er, dass die Nachrichtendienste der USA auch unter Geltung des neuen Datenschutzrahmens weiterhin befähigt seien, massenhaft und vorratsweise Daten von EU-Bürgern zu erheben.

Auch sei der eingerichtete „Data Protection Review Court“ kein unabhängiges und verfassungskonform etabliertes Gericht, was einen effektiven Rechtsschutz als EU-Grundrecht verhindere.

Schließlich fehle es im Datenschutzrahmen an Vorschriften zum Schutz vor datenbasierten automatisierten Entscheidungen sowie an konkreten Maßgaben zur technischen und organisatorischen Sicherheit von Datenverarbeitungen.

Klageabweisung durch EuG

Nahezu zwei Jahre später, am 03.09.2025, wies das Gericht der Europäischen Union (EuG) die Nichtigkeitsklage ab (Az. T-553/23).

Die geltend gemachten datenschutzrechtlichen Bedenken seien unbegründet.

Was das US-Datenschutzgericht angehe, seien sowohl seine Errichtung als auch die Berufung und das Wirken seiner Mitglieder mit US-gesetzlichen Garantien verbunden. Per Gesetz sei die Berufung und Abberufung von Richtern dem Generalstaatsanwalt vorbehalten und festgelegt, dass weder dieser noch Nachrichtendienste die Arbeit des Gerichts behindern dürften. Dies stelle die Unabhängigkeit des Gerichts hinreichend sicher.

Die Massenerhebung von personenbezogenen Daten durch US-Nachrichtendienste sei, sofern sie überhaupt stattfinde, nach geltenden rechtlichen Grundsätzen nicht initiativ genehmigungspflichtig, sondern unterliege lediglich einer nachgelagerten gerichtlichen Rechtmäßigkeitsprüfung. Eine solche sei nach US-Recht aber gerade dadurch sichergestellt, dass das eingerichtete US-Datenschutzgericht mit eben dieser judikativen Kontrolle betraut sei.

Dem Argument, personenbezogene Daten aus der EU seien in den USA nicht hinreichend vor automatisierter Entscheidungsfindung geschützt, hält das Gericht entgegen, dass in den USA sehr wohl sektorspezifische Schutzgesetze existieren, die eine solche Entscheidungsfindung streng regulieren und die im angegriffenen Angemessenheitsbeschluss adäquate Berücksichtigung gefunden hätten. So existiere ein mit der EU vergleichbares Datenschutzniveau etwa auf den besonders sensbilen Gebieten der Kreditrechts, des Arbeitsrechts, des Miet- und des Versicherungsrechts.

Schließlich verfing auch das Vorbringen nicht, der Datenschutzrahmen verpflichte nicht zur Einrichtung und Vorhaltung geeigneter technischer und organisatorischer Maßnahmen bei US-Empfängern. Immerhin sehe das Abkommen gerade vor, dass Organisationen in den USA, die personenbezogene Daten erheben, verwalten oder verbreiten, alle notwendigen Maßnahmen gegen Verlust, Missbrauch sowie die unrechtmäßige Abfrage, Weitergabe, Veränderung und Verbreitung ergreifen müssen.

Rechtssicherheit für EU-Unternehmer

Eine Stattgabe der Nichtigkeitsklage hätte für die Wirtschaftslandschaft in der EU weitreichende Konsequenzen gehabt.

Übermittlungen von personenbezogenen Daten in die USA wären faktisch über Nacht datenschutzrechtlich unzulässig geworden und hätten aus Datenschutzgründen eingestellt werden müssen.

Seitenbetreiber hätten den Nutzen von US-Dienstleistern und Diensten (Google, Meta etc.) unmittelbar einstellen müssen, um sich nicht datenschutzwidrig zu verhalten.

Schließlich hätten die Datenschutzerklärungen aller Unternehmen und Unternehmer, die auch auf US-Dienste zurückgreifen, schnellstmöglich angepasst werden müssen, um die Unwirksamkeit des US-Angemessenheitsbeschlusses zu reflektieren und keine nichtigen Verarbeitungsgrundlagen auszuweisen.

Durch die Klageabweisung genießen EU-Unternehmen und -Unternehmer in Bezug auf US-Transfers nun aber bis auf Weiteres Rechtssicherheit und müssen ihre Verarbeitungsprozesse und Datenschutzerklärungen nicht anpassen.

Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.