Datenübermittlung in die USA

Eine Frage, die uns immer wieder beschäftigt, ist die Frage, inwieweit Daten mit den USA ausgetauscht werden dürfen. Das klingt erstmal weit hergeholt, aber letztlich nutzen wir fast alle Software amerikanischer Anbieter. Auch wenn diese Anbieter in Europa zum Teil eigene Server haben, ist ein Datenaustausch mit den USA nicht ausgeschlossen, weil der Mutterkonzern in den USA sitzt und den amerikanischen Gesetzen unterliegt.

Die EU hatte bereits mehrere Abkommen mit den USA zum Thema Datenaustausch und Datenschutz geschlossen, um einen sicheren Datentransfer zu gewährleisten. Dies waren das Safe Harbor-Abkommen und der Privacy Shield. Beide sind vor dem EuGH gescheitert. Der EuGH hat sich darauf berufen, dass US-Behörden einen weitreichenden Zugriff auf die Daten europäischer Bürger hätten und dass die Betroffenen über keine ausreichenden Rechtsbehelfe verfügten. Die Standardvertragsklauseln (SCCs) blieben aber grundsätzlich gültig. Das bedeutet, dass in Verträgen, in denen es auch um Datenverarbeitung geht, diese Standardvertragsklauseln vereinbart werden und die Unternehmen zusätzliche Schutzmaßnahmen prüfen und gegebenenfalls ergänzen mussten. Nur dann war ein solcher Datentransfer DSGVO-konform möglich.

 

Um dies zu vereinfachen, wurde ein neues Abkommen mit den USA geschlossen, in dem sich die USA verpflichten, den Zugriff durch Nachrichtendienste nur dann zu erlauben, wenn er notwendig und verhältnismäßig ist. Außerdem haben EU-Bürger neue Rechtsbehelfe bei Datenschutzverletzungen: es wurde eine neue Behörde bzw. ein neues Gericht (Data Protection Review Court - DPRC) geschaffen. Wenn Unternehmen zertifiziert sind, können also Verträge abgeschlossen werden, ohne diese zusätzlichen Vereinbarungen.

 

Aktuell gilt das daher das DPF (EU-US Data Privacy Framework). Aber auch gegen diese Abkommen wenden sich bereits betroffene Personen. Ein Abgeordneter reichte als Nutzer von IT-Diensten, die unter das DPF fallen, Nichtigkeitsklage vor dem Gericht der Europäischen Union ein. Er meint, dass das DPF nichtig sei, weil die Behörde, die für die Datenschutzbeschwerden zuständig ist (DPRC), weder unparteiisch noch unabhängig ist. Es gebe auch keine Regelung zum Sammelabruf von personenbezogenen Daten durch US-Nachrichtendienste. Der Grundrechtsschutz sei damit nicht gewährleistet.

 

Das EuG folgte dem in seiner Entscheidung vom 3. September 2025 nicht, sondern bestätigt den hinreichenden Schutz durch das DPF. Damit bestätigt es, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.

 

Der DPRC sei hinreichend unparteiisch und unabhängig, weil die Ernennung der Richter und deren Arbeitsweise durch mehrere Garantien und Bedingungen geschützt werde. Ein Abberufen der Richter sei nicht ohne weiteres möglich. Außerdem genüge es, wenn ein nachträglicher Rechtsschutz gegen die Anordnung von Sammelabrufen möglich ist. Hinzu käme, dass die EU-Kommission für die Überwachung des DPF zuständig ist.

 

Die Autorin gehört einem Datenschutznetzwerk an. Dort wurde diskutiert, ob im Hinblick auf den lange andauernden Shutdown in den USA und die aktuelle Präsidentschaft tatsächlich immer noch die Unabhängigkeit des DPRC gewährleistet ist. 

 

Das erste Urteil in Sachen DPF ist also gesprochen. Der Data Privacy Framework hält (noch). Das letzte Wort ist aber noch nicht gesprochen, denn dieses Urteil wurde angegriffen und liegt nun beim EuGH (C-703/25) und auch Max Schrems, der mit den Urteilen Schrems I und Schrems II Safe Harbor und Privacy Shield erfolgreich angegriffen hat, hat Bedenken gegen das DPF. Wir werden weiter berichten.

 

Autorin: Katharina Gündel, GROSS Rechtsanwaltsgesellschaft mbH