EuG (Rs. T‑553/23): Angemessenheit des EU‑U.S. Data Privacy Framework nicht aufgehoben

DE EN FR

von

David Vasella

04.09.2025

Branchen

alle

Behörde

EuG

Gesetze

EO 14110, FISA 702

Themen

Auslandsbekanntgabe, Schrems

Take-Aways (AI)

Der EuG hat am 3. September 2025 die Klage von Philippe Latombe gegen das EU‑US Data Privacy Framework (DPF) abgewiesen.
Das Gericht hielt das Data Protection Review Court (DPRC) für ausreichend unabhängig und bindend, trotz Kritik an seiner exekutiven Verankerung.
Der EuG befand, Massenüberwachung sei weder innerhalb noch ausserhalb der USA generell zulässig; EO 14086 und andere Beschränkungen genügten als Garantien.
Automatisierte Einzelentscheidungen und Datensicherheitsanforderungen wurden vom EuG als durch sektorspezifische Schutzmechanismen und technische Massnahmen ausreichend abgedeckt bewertet.

Das EU-US Data Privacy Framework (DPF) erlaubt Unternehmen und Behörden seit seinem Inkrafttreten am 10. Juli 2023, Personendaten an nach dem DPF zertifizierte Empfänger in den USA zu übermitteln. In der Schweiz hat der Bundesrat das Äquivalent, das CH-US Data Privacy Framework, 15. September 2024 in Kraft gesetzt.

Das DPF wurde allerdings seit Beginn als schwach kritisiert, und der französische Abgeordnete Philippe Latombe hatte vor dem EuG gegen das DPF geklagt. Der EuG nun die Angemessenheit des DPF bestätigt bzw. die Klage von Latombe abgewiesen (Urteil Rs. T‑553/23; derzeit erst auf französisch und portugiesisch verfügbar).

Die Entscheidung ist nicht rechtskräftig, Latombe kann sie innerhalb von zwei Monaten beim EuGH anfechten.

Vorläufer: Schrems I & II

Das DPF ist bekanntlich eine Nachfolgeregelung im Bemühen, die wirtschaftlich notwendige Übermittlung von Personendaten aus Mittelerde (EU) an Mordor (USA) zu ermöglichen:

Schrems I – Safe Harbor: Der erste Versuch einer solchen Regelung war das Safe-Harbor Agreement. Der EuGH hatte es 2015 im Schrems I‑Urteil 2015 aufgehoben, mit folgenden Kernaussagen:

73 […] Wie der Generalanwalt […] ausgeführt hat, ist der Ausdruck „angemessenes Schutzniveau“ jedoch so zu verstehen, dass verlangt wird, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union […] garantierten Niveau der Sache nach gleichwertig ist. […]
81 Auch wenn der Rückgriff eines Drittlands auf ein System der Selbstzertifizierung als solcher nicht gegen das Erfordernis […] verstößt, dass in dem betreffenden Drittland „aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen“ ein angemessenes Schutzniveau gewährleistet sein muss, beruht die Zuverlässigkeit eines solchen Systems im Hinblick auf dieses Erfordernis wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen, die es erlauben, in der Praxis etwaige Verstöße gegen Regeln zur Gewährleistung des Schutzes der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre sowie des Rechts auf den Schutz personenbezogener Daten, zu ermitteln und zu ahnden.

87 […] ermöglicht die Ausnahme in Abs. 4 von Anhang I der Entscheidung 2000/520 es daher, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten. Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre kommt es nicht darauf an, ob die betreffenden Informationen über die Privatsphäre sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten ([…]).

89 Hinzu kommt, dass die Entscheidung 2000/520 keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthält. Wie der Generalanwalt in den Nrn. 204 bis 206 seiner Schlussanträge ausgeführt hat, beziehen sich die privaten Schiedsmechanismen und die Verfahren vor der Federal Trade Commission, deren insbesondere in den FAQ 11 in Anhang II der Entscheidung beschriebene Befugnisse auf Handelsstreitigkeiten beschränkt sind, auf die Einhaltung der Grundsätze des „sicheren Hafens“ durch die amerikanischen Unternehmen und können nicht im Rahmen von Streitigkeiten über die Rechtmäßigkeit von Eingriffen in Grundrechte, die sich aus Maßnahmen staatlichen Ursprungs ergeben, zur Anwendung kommen.

92 Darüber hinaus verlangt der Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene vor allem, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken […].

98 Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt […].
Schrems II – Privacy Shield: Der zweite Versuch hiess Privacy Shield, eine analoge Regelung zur Übermittlung an zertifizierte US-Importeure. Im Juli 2016 in Kraft getreten, wurde es vom EuGH im Juli 2020 im Schrems-II-Urteil aufgehoben:

105 […] Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der DSGVO dahin auszulegen sind, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. […].

176 Schließlich muss die fragliche, den Eingriff enthaltende Regelung, um dem Erfordernis der Verhältnismäßigkeit zu genügen, wonach sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten auf das absolut Notwendige beschränken müssen, klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen, so dass die Personen, deren Daten übermittelt wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken ermöglichen. Sie muss insbesondere angeben, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf, damit gewährleistet ist, dass der Eingriff auf das absolut Notwendige beschränkt wird. Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden […].

177 Hierzu bestimmt Art. 45 Abs. 2 Buchst. a der DSGVO, dass die Kommission bei der Prüfung der Angemessenheit des von einem Drittland gebotenen Schutzniveaus u. a. „wirksame und durchsetzbare Rechte der betroffenen Person“, deren personenbezogene Daten übermittelt werden, berücksichtigt.

180 […] lässt Section 702 des FISA in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung von Überwachungsprogrammen zum Zweck der Auslandsaufklärung Einschränkungen bestehen. Genauso wenig ist erkennbar, dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren. Unter diesen Umständen ist diese Vorschrift […] nicht geeignet, ein Schutzniveau zu gewährleisten, das dem durch die Charta […] garantierten Niveau der Sache nach gleichwertig ist.

184 Folglich ist davon auszugehen, dass weder Section 702 des FISA noch die E.O. 12333 in Verbindung mit der PPD-28 den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen, so dass nicht angenommen werden kann, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.

194 Die Prüfung der Frage, ob der im DSS-Beschluss angeführte Ombudsmechanismus tatsächlich die von der Kommission festgestellten Einschränkungen des Rechts auf gerichtlichen Rechtsschutz auszugleichen vermag, muss nach den Anforderungen, die sich aus Art. 47 der Charta und der in Rn. 187 des vorliegenden Urteils wiedergegebenen Rechtsprechung ergeben, von dem Grundsatz ausgehen, dass Einzelne über die Möglichkeit verfügen müssen, Rechtsbehelfe vor einem unabhängigen und unparteiischen Gericht einzulegen, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder die Berichtigung oder Löschung solcher Daten zu erwirken.

197 Demnach eröffnet der im DSS-Beschluss genannte Ombudsmechanismus keinen Rechtsweg zu einem Organ, das den Personen, deren Daten in die Vereinigten Staaten übermittelt werden, Garantien böte, die den nach Art. 47 der Charta erforderlichen Garantien der Sache nach gleichwertig wären.

199 Daraus folgt, dass Art. 1 des DSS-Beschlusses mit Art. 45 Abs. 1 der DSGVO, ausgelegt im Licht der Art. 7, 8 und 47 der Charta, unvereinbar und somit ungültig ist.

Kritik am DPF

Vor diesem Hintergrund erstaunt es wenig, dass das DPF rasch unter Beschuss geriet:

Die Angemessenheitsentscheidung beruhte schwergewichtig auf der Executive Order 14086 “Enhancing Safeguards for United States Signals Intelligence Activities”, die Aufklärungsmassnahmen gewissen Beschränkungen unterwarf und ein Beschwerdeverfahren für Betroffene einführte. Diese Zusagen erlaubten es der EU-Kommission, die Angemessenheit dieses Rechtsrahmens trotz Schrems I und II festzustellen. Auf Kritik stiess allerdings besonders der Umstand, dass eine Executive Order kein Gesetz ist und deshalb leicht aufgehoben werden kann, dass die Tätigkeit der US-Geheimdienste bspw. auf Basis von FISA 702 nicht ausreichend eingeschränkt werde und dass das durch die Executive Order geschaffene “Data Protection Review Court” (DPRC) nicht unabhängig sei (sondern Teil der Exekutive).
Eine weitere Grundlage der Angemessenheitsentscheidung war das PCLOB. Das Privacy and Civil Liberties Oversight Board (dazu hier) ist mit dem Schutz insbesondere der Privatsphäre im Bereich der Terrorismusbekämpfung betraut und soll das DPRC beaufsichtigen. Die Entlassung der demokratischen Mitglieder des PCLOB durch Präsident Trump warf die Frage auf (auch im Europäischen Parlament), ob dem DPF damit eine Grundlage entzogen war.
Was ebenfalls nicht half, war die nun beurteilte Klage des französischen Abgeordneten Philippe Latombe kurz nach dem Inkrafttreten des DPF.

Die meisten Unternehmen haben sich deshalb nicht ausschliesslich auf das DPF verlassen, sondern haben bei Übermittlungen an zertifizierte US-Empfänger zusätzlich die Standardvertragsklauseln geschlossen, mit direkter Wirksamkeit oder bedingt durch eine Aufhebung des DPF.

Abweisung der Klage Latombe

Am 3. September 2025 hat das Gericht der Europäischen Union (EuG) die Klage von Latombe nun abgewiesen. Die Begründung des EuG lautet im Wesentlichen wie folgt:

Unabhängigkeit des DPRC

Latombe hatte argumentiert, das DPRC sei kein unabhängiges und unparteiisches Gericht im Sinne der Charta. Der EuG kommt dagegen zum Ergebnis, das DPRC sei ausreichend unabhängig, zumal seine Mitglieder nach Kriterien bestellt werden, die jenen für Bundesrichter vergleichbar seien, die Mitglieder keine Exekutivfunktion bekleiden dürfen und Entscheidungen des DPRC bindend seien. Die Überwachung durch das PCLOB verstärke dies. Dass das DPRC nicht durch ein Gesetz geschaffen wurde, tue dem keinen Abbruch. Auf die Absetzung einiger Richter durch Trump ging der EuG allerdings nicht ein.

Massenhafte Datenbeschaffung durch US-Geheimdienste

Laut Latombe verletzte der Angemessenheitsbeschluss die Charta auch deswegen, weil US-Geheimdienste Personendaten massenhaft (“bulk collection”) ohne gerichtliche Genehmigung beschaffen könnten. Der EuG geht von der Unterscheidung zwischen der Datenbeschaffung in und ausserhalb der USA aus:

In den USA könne eine Datenbeschaffung zu Zwecken der nationalen Sicherheit (auch für aus der EU übermittelte Daten) nur gezielt erfolgen, d.h. bezogen auf eine bestimmte Person, ein bestimmtes Konto oder einem anderen Selector.
Ausserhalb der USA werden Daten i.d.R. zwar ebenfalls gezielt, u.U. aber auch durch eine massenhafte Beschaffung erhoben. Diese Massenbeschaffung unterliegt der EO 14086 und EO 12333, die sie Garantien und Beschränkungen unterwerfen. Eine ungeregelte Massenbeschaffung sei weder innerhalb noch ausserhalb der USA zulässig.

Es könne vorliegend sodann nur darum gehen, ob eine massenhafte Beschaffung bei Daten in Frage komme, die gerade auf Basis des DPF übermittelt werden. FISA 702 sei dabei nicht relevant, weil FISA 702 nicht eine massenhafte Erhebung betrifft.

Mit Bezug auf die EO 14086 hatte Latombe u.a. kritisiert, dass die Beschaffung keiner vorherigen Genehmigung durch eine Justiz- oder Verwaltungsbehörde bedürfe. Das trifft zwar zu. Laut EuG verlangt Schrems II das aber auch nicht; eine nachträgliche gerichtlichen Kontrolle sei grundsätzlich ausreichend (wie hier durch das DPRC). Auch unter Berücksichtigung der Rechtsprechung des EuGH und des EGMR erscheine eine vorherigen Genehmigung nicht als einzige Garantie. Das US-Recht enthalte wie erwähnt ausreichende Beschränkungen der massenhaften Beschaffung und sehe das Recht auf einen wirksamen Rechtsbehelf vor – das genüge.

Automatisierte Einzelentscheidungen und Datensicherheit

Latombe kritisierte schliesslich, es fehle eine ausdrückliche Garantie, dass Personen nicht automatisierten Entscheidungen unterworfen werden. Art. 22 DSGVO finde allerdings nur dort keine Anwendung, wo ein zertifizierte US-Unternehmen Daten in der EU direkt erfasse, ohne dass eine Angebotsausrichtung nach Art. 3 Abs. 2 DSGVO erfolgt. Hier gäbe es ausreichende sektorale Schutzmechanismen (z.B. im Kredit‑, Arbeits‑, Versicherungs- oder Gesundheitsrecht). – Auch dass Vorgaben zu technischen und organisatorischen Sicherheitsmasssnahmen fehlen, sah der EuG anders.

EuG (Rs. T‑553/23): Ange­mes­sen­heit des EU‑U.S. Data Pri­va­cy Frame­work nicht aufgehoben

Vor­läu­fer: Schrems I & II

Kri­tik am DPF

Abwei­sung der Kla­ge Latombe

Unab­hän­gig­keit des DPRC

Mas­sen­haf­te Daten­be­schaf­fung durch US-Geheimdienste

Auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen und Datensicherheit