Das Gericht der Europäischen Union hat am 3. September 2025 entschieden, das EU-US Data Privacy Framework nicht für nichtig zu erklären. Damit bleiben Datentransfers in die USA, die auf Grundlage des entsprechenden Angemessenheitsbeschlusses der EU-Kommission erfolgen, rechtmäßig.
Ein französischer Staatsbürger, der zugleich Kommissar der französischen Aufsichtsbehörde für den Datenschutz (CNIL) ist, hatte gegen den Angemessenheitsbeschluss Klage auf Nichtigkeit erhoben. Neben formalen Angriffspunkten hatte der Kläger insbesondere angeführt, der Data Protection Review Court (DPRC) sei weder unparteiisch noch unabhängig, sondern von der US-Exekutive abhängig. Ferner sei die Praxis der Nachrichtendienste der USA, ohne vorherige Genehmigung einer Richterin, eines Richters oder einer unabhängigen Behörde Sammelerhebungen personenbezogener Daten im Transit aus der Union vorzunehmen, nicht hinreichend klar und präzise geregelt.
Das EuG hat dagegen festgestellt, dass die Executive Order 14086 die Unabhängigkeit des DPRC grundsätzlich sicherstellt und die EU-Kommission nach ihrem Beschluss die Pflicht hat, den Rechtsrahmen laufend zu überwachen und kann daher den Beschluss selbst aussetzen, ändern oder seinen Anwendungsbereich einschränken. Hinsichtlich der möglichen Sammelerhebung meint das EuG, dass die im US-Recht mögliche nachträgliche gerichtliche Prüfung ausreichend sei, um einen gleichwertigen Rechtsschutz wie in der EU zu gewährleisten.
Vor diesem Hintergrund hat das EuG die Klage abgewiesen. Eine Berufung zum EuGH ist möglich.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
