Der Europäische Gerichtshof (EuGH) hat entschieden, dass der neue EU-US-Datenschutzrahmen gültig ist. Damit kann die Datenübermittlung von der EU in die USA weiterhin rechtssicher stattfinden.
Grundlagen des EU-US-Datenschutzrahmens
In der EU gibt es strenge Regeln, dass personenbezogene Daten gut geschützt werden müssen. Datentransfer darf nur in Länder außerhalb der EU erfolgen, wenn diese ein angemessenes Schutzniveau bieten. Die EU-Kommission kann dafür einen sogenannten Angemessenheitsbeschluss erlassen.
Wie Reformen 2023 den Datenschutz neu regeln
Frühere Abkommen zum Thema Datenschutz (Safe Harbor und Privacy Shield) wurden in den Urteilen Schrems I und Schrems II gekippt, weil der Schutz in den USA nicht ausreichend war. Deshalb haben die EU und die USA 2023 einen neuen Rahmen für die Datenübermittlung geschaffen. Die USA haben Gesetze und Regelungen verändert, z. B. strengere Regeln für die Geheimdienste und ein spezielles Datenschutzgericht (DPRC).
Die Klage: Kritik am neuen Datenschutzrahmen
Der französische Abgeordnete Philippe Latombe wollte das neue Abkommen stoppen. Das neue Datenschutzgericht in den USA sei seiner Ansicht nach nicht unabhängig und die US-Geheimdienste könnten bei der Datenübermittlung weiterhin zu viele Daten sammeln.
Gericht bestätigt den EU-US-Datenschutzrahmen
Die Richter des EuGH sahen genug Sicherheiten dafür, dass das neue Datenschutzgericht in den USA unabhängig arbeitet. Auch die Datensammlung durch US-Geheimdienste sei rechtlich in Ordnung, solange es im Nachhinein eine wirksame Kontrolle durch Gerichte gibt – und genau das soll dieses Gericht (DPRC) sicherstellen. Die EU-Kommission muss den US-Rechtsrahmen ständig überwachen und eingreifen, falls sich dort etwas ändert.
Datenschutzrahmen bleibt bestehen: Gericht weist Klage ab
Die Klage wird abgewiesen. Der EuGH bestätigt: Der neue EU-US-Datenschutzrahmen ist rechtmäßig, und Datentransfers zwischen EU und USA sind damit vorerst abgesichert. Der neue Rahmen für die Datenübermittlung zwischen EU und USA bleibt gültig.
So unterscheiden sich die Datenschutzabkommen
Hier eine Übersicht, wie sich der neue EU-US-Datenschutzrahmen von den alten Abkommen unterscheidet:
1. Safe Harbor (gekippt durch Schrems I, 2015)
- Problem: US-Unternehmen konnten sich selbst verpflichten, Datenschutz einzuhalten – es gab aber kaum Kontrolle.
- Kritik: EU-Bürger hatten praktisch keine wirksamen Rechtsmittel gegen US-Behörden.
2. Privacy Shield (gekippt durch Schrems II, 2020)
- Neuer Ansatz: Mehr Verpflichtungen für US-Unternehmen + Ombudsperson als Anlaufstelle für Beschwerden aus der EU.
- Problem: US-Geheimdienste hatten weiterhin weitreichende Zugriffsrechte.
- Kritik: Die Ombudsperson war Teil des US-Außenministeriums → nicht wirklich unabhängig.
3. EU-US-Datenschutzrahmen (bestätigt 2023/2024)
- Neuer Baustein: Einrichtung des Data Protection Review Court (DPRC) – ein spezielles Gericht in den USA, das Beschwerden von EU-Bürgern prüft.
- Unabhängigkeit: Das Gericht soll weisungsfrei sein, Richter können nicht einfach entlassen werden.
- Kontrolle: US-Geheimdienste dürfen weiterhin Daten sammeln, aber es muss im Nachhinein eine wirksame gerichtliche Kontrolle geben (über das DPRC).
- EU-Kommission: muss regelmäßig prüfen, ob die USA ihre Zusagen auch einhalten – und darf das Abkommen anpassen oder aussetzen.
Kernunterschied:
Während Safe Harbor und Privacy Shield vor allem auf Selbstverpflichtungen und schwache Kontrollmechanismen setzten, gibt es jetzt mit dem DPRC ein eigenes gerichtliches Verfahren, das mehr Unabhängigkeit und Rechtsschutz beim Datentransfer zwischen EU und USA verspricht.
Die EU hat nun einen neuen Rahmen für die Übermittlung personenbezogener Daten in die USA geschaffen. Das Gericht entschied: Das DPRC ist unabhängig genug und die Sammelüberwachung wird ausreichend nachträglich kontrolliert. Die Klage wurde abgewiesen – der neue EU-US-Datenschutzrahmen bleibt gültig.
Hier finden Sie die offizielle Pressemitteilung des EuGH:
PDF Download
