EuG, Urt. 3.9.2025 - T-553/23
Gleichwertiges US‑Datenschutzniveau
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 01/2026
Aus: IT-Rechtsberater, Heft 01/2026
Das EU‑US‑Data Privacy Framework überschreitet den Wertungsspielraum bzgl. des angemessenen Schutzniveaus i.S.v. Art. 45 Abs. 1 DSGVO insb. nicht bzgl. der Abberufung der Richter und Verbindlichkeit ihrer Entscheidungen.
GRC Artt. 7, 8, 47 Abs. 2; VO (EU) 2016/679 Artt. 22, 32, 45 Abs. 2
Ex-ante-Prüfung des Wertungsspielraums:Nach Art. 45 Abs. 1 und 2 DSGVO könne eine Drittlandübermittlung durch Attestierung eines „angemessenen Schutzniveaus“ genehmigt werden, das dem durch DSGVO i.V.m. GRC gewährleisteten insb. bzgl. Rechtsschutz und unabhängigen Aufsichtsbehörden „im Wesentlichen“ gleichwertig, also nicht notwendig identisch sei. Gerichtliche Unparteilichkeit und Unabhängigkeit gegenüber Legislative und Exekutive seien wesentlich insb. für wirksamen Rechtsschutz, der vertrauensbildende Regeln z.B. für Ernennung und Abberufung der Richter voraussetze (Rz. 18–22, 31–37 m.w.N.).
Quasi-richterliche Unabhängigkeit:Das DPRC sei als Kontrollorgan der Beschwerdestelle „Civil Liberties Protection Officer“ (CLPO) eingerichtet worden. Es bestehe aus mindestens sechs Richtern, die vom Justizminister, Privacy and Civil Liberties Oversight Board (PCLOB), US‑Handelsministerium und Director of National Intelligence (DNI) nach Bundesrichterkriterien bestimmt würden. Es könne insb. gegenüber USND bindend und endgültig entscheiden (Rz. 42–46).
Unabhängige Beschwerdestelle:Der CLPO sei auch mit EU‑Datenschutzbeschwerden betraut worden, die an ihn über Aufsichtsstellen der EU‑Mitgliedstaaten weitergeleitet würden. Darüber hinaus obliege ihm als Teil des Büros des DNI ganz allgemein die Aufsicht zum Schutz bürgerlicher Freiheiten bzgl. DNI und USND. Er könne nur aus wichtigem Grund (z.B. Fehlverhalten) vom DNI abgelöst werden und ihn dürften USND und DNI nicht unzulässig beeinflussen (Rz. 48 f.).
Unabhängige Aufsicht:Die Mitglieder des PCLOB würden von Präsident und US‑Senat parteiunabhängig ernannt. Es prüfe jährlich fristgerechte Beschwerdebearbeitungen, Berücksichtigung der EO14086 sowie Befolgung durch USND. Es berichte dem Präsidenten, dem US‑Kongress sowie umsetzungsbindend für USJM, DNI, Leitern der USND und CLPO. Der USJM müsse die richterlichen Ernennungs- und engen Entlassungskriterien einhalten (Rz. 53–57, 62).
Unionsrechtliche Überwachung:Die EU‑Kommission habe fortlaufend die DPF-Anwendung bzgl. fortbestehender Angemessenheit des Schutzniveaus zu überwachen, um ggf. das DPF abzuändern (Rz. 58).
Kein formeller Gesetzesvorbehalt:Das Recht auf ein „zuvor durch Gesetz errichtetes Gericht“ gem. Art. 47 Abs. 2 GRC sei sehr eng mit Garantien von Unparteilichkeit sowie Unabhängigkeit verbunden. Die Richterernennung durch Exekutive oder Legislative sei zulässig, sofern die richterliche Tätigkeit frei von jeglichem Einfluss sei. Gleichwertigkeit mit Art. 47 Abs. 2 GRC verlange kein Gesetz im formellen Sinn (Rz. 66–72 m.w.N.).
Begrenzter Prüfungsgegenstand:Die Erhebung von Signalaufklärungsdaten aus der EU für Zwecke nationaler Sicherheit durch „Sammelerhebung“, massenhaft und ohne Selektoren, dürfe nur außerhalb der USA erfolgen sowie nur, wenn sich die Förderung validierter Aufklärungsprioritäten nicht durch „gezielte Erhebung“ i.S.d. Sec. 702 FISA angemessen erreichen lasse (Sec. 2[iii], 4 EO14086). Beschränkungen würden insb. durch EO14086 und andere EO geregelt. Die „massive Erhebung“ i.S.v. Fn. 250 des DPF als wahllose Erfassung ohne Garantien sei in jedem Fall unzulässig (Rz. 84 ff., 89 f.).
Unnötige Ex-ante-Kontrolle: Gleichwertigkeit mit Artt. 7, 8, 52 Abs. 1 Satz 1 GRC setze Beachtung von Gesetzesvorbehalt, Wesensgehaltwahrung, anerkannten Gemeinwohlzielen und Verhältnismäßigkeitsgrundsatz voraus. Letzterer verlange keine notwendig vorherige gerichtliche Kontrolle. Die validierten Aufklärungsprioritäten würden i.R.e. besonderen Verfahrens zum Schutz von Privatsphäre und bürgerlichen Freiheiten festgelegt. Sie würden vom DNI entwickelt, vom CLPO hinsichtlich legitimer Ziele i.S.d. EO14086 überprüft und vom Präsidenten genehmigt (Rz. 100–107; vgl. Schrems II Rz. 172, 174, 183 f., 186–197).
Garantien für Erhebung und Abfrage: Signalaufklärung inkl. Sammelerhebung müsse auf Gesetz oder EO beruhen und im Einklang insb. mit der Verfassung durchgeführt werden. Sie dürfe ebenso wie die spätere Datenabfrage nur zur Förderung validierter Aufklärungsprioritäten und unter Beachtung des Verhältnismäßigkeitsgrundsatzes erfolgen. EO14086 liste unzulässige allgemeine Ziele auf (z.B. Meinungsunterdrückung, Diskriminierung oder Wettbewerbsvorteile) und biete für Sammelerhebungen und Abfragen besondere Garantien. Eine Änderung zulässiger Erhebungs- und Abfragezwecke (z.B. Terrorismus- oder Spionageabwehr) durch den Präsidenten sei bei neuen nationalen Sicherheitsbedürfnissen möglich und grundsätzlich vom DNI zu veröffentlichen (Rz. 108–116).
Unnötige vorherige behördliche Genehmigung: Von den vier Phasen einer Massenüberwachung, nämlich vorübergehende Speicherung, Selektoreneinsatz, Analystenprüfung und Speicherung zur weiteren Verwendung, erfülle die Sammelerhebung die erste Phase. Nach Art. 8 EMRK – und damit Art. 7 GRC (vgl. Rz. 29) – setze wegen schwerwiegender externer Bedrohungen wesentlicher nationaler Interessen zulässiges massenhaftes Datenabfangen zunehmend mit jeder intensiveren Eingriffsphase mehrere Ende-zu-Ende-Garantien (z.B. behördliche Genehmigung von Selektorenkategorien, gerichtliche Nachkontrolle, Verhältnismäßigkeitsprüfung und Transparenz) voraus (EGMR v. 25.5.2021 – 58170/13 u.a. – Big Brother Watch Rz. 330 f.). Das geltende US‑Recht enthalte ausreichend präzise Rechtsvorschriften, Rechtsbehelf und Aufsicht durch PCLOB, interne Beamte, Generalinspekteur, Intelligence Oversight Board sowie spezielle US‑Kongressausschüsse (Rz. 130–146 m.w.N.).
Gesetzlich gewährleistete Voraussehbarkeit: Ein Eingriff in Art. 7 GRC setze analog Art. 8 Abs. 2 EMRK seine gesetzlich gewährleistete Voraussehbarkeit voraus (vgl. nicht bzgl. seines Zeitpunkts EGMR v. 4.12.2015 – 47143/06 – Zakharov Rz. 227 ff.). Nach Sec. 2(c)(ii) C) EO14086 sei die Befugnis zur – grundsätzlich zu veröffentlichenden (vgl. Rz. 115) – Zweckänderung von Sammelerhebungen beschränkt auf die Erforderlichkeit bzgl. neuer nationaler Bedrohungen (Rz. 156–159).
Irrelevante fehlende Regelung analog Art. 22 DSGVO: Seltene Fälle vollautomatisierter Entscheidungen außerhalb des Anwendungsbereichs der DSGVO beschränkten sich auf unmittelbar in der EU i.S.d. Art. 3 Abs. 2 DSGVO erhebende Organisationen des DPF. Das US‑Recht biete in stärker gefährdeten Bereichen (z.B. Kreditvergabe, Stellenbesetzung) gleichwertige sektorspezifische Schutzvorkehrungen. Die geringe praktische Relevanz werde von der EU‑Kommission festgestellt. Änderungen in der Praxis durch KI seien nicht dargelegt worden (Rz. 164, 170–186 m.w.N.).
Gleichwertige TOM: Anh. I des DPF verpflichte mit dem Begriff des „Verwendens“ auch bzgl. Datenabfragen zu mit Art. 32 DSGVO gleichwertigen Maßnahmen, auch wenn er nicht jede Form des Verarbeitungsbegriffs i.S.v. Art. 4 Nr. 2 DSGVO erfasse (Rz. 194–203 m.w.N.).
GRC Artt. 7, 8, 47 Abs. 2; VO (EU) 2016/679 Artt. 22, 32, 45 Abs. 2
Das Problem
Nachdem Safe-Harbour-Abkommen 2000/520/EG und EU‑US‑Privacy Shield (EU) 2016/1250 für ungültig erklärt wurden (vgl. zu Letzterem EuGH v. 16.7.2020 – C-311/18 – Schrems II, CR 2020, 529 = ITRB 2020, 180 [Rössel]), verschärften insb. EO14086 des US‑Präsidenten und AGO5517-2022 seines Justizministers den Datenschutz gegenüber Nachrichtendiensten (USND), insb. hinsichtlich des Data Protection Review Court (DPRC), so dass die EU‑Kommission für die US‑Übermittlung das EU‑US‑Data Privacy Framework (EU) 2023/1795 (DPF) v. 10.7.2023 gem. Art. 45 Abs. 3 DSGVO beschloss. Nach Art. 1 DPF besteht ein angemessenes Schutzniveau für beim US‑Handelsministerium gelistete Organisationen.Die Entscheidung des Gerichts
Der französische Abgeordnete Latombe habe keinen Anspruch auf Nichtigerklärung des DPF. Seine Klagebefugnis könne angesichts der Unbegründetheit der Klage offenbleiben.Ex-ante-Prüfung des Wertungsspielraums:Nach Art. 45 Abs. 1 und 2 DSGVO könne eine Drittlandübermittlung durch Attestierung eines „angemessenen Schutzniveaus“ genehmigt werden, das dem durch DSGVO i.V.m. GRC gewährleisteten insb. bzgl. Rechtsschutz und unabhängigen Aufsichtsbehörden „im Wesentlichen“ gleichwertig, also nicht notwendig identisch sei. Gerichtliche Unparteilichkeit und Unabhängigkeit gegenüber Legislative und Exekutive seien wesentlich insb. für wirksamen Rechtsschutz, der vertrauensbildende Regeln z.B. für Ernennung und Abberufung der Richter voraussetze (Rz. 18–22, 31–37 m.w.N.).
Quasi-richterliche Unabhängigkeit:Das DPRC sei als Kontrollorgan der Beschwerdestelle „Civil Liberties Protection Officer“ (CLPO) eingerichtet worden. Es bestehe aus mindestens sechs Richtern, die vom Justizminister, Privacy and Civil Liberties Oversight Board (PCLOB), US‑Handelsministerium und Director of National Intelligence (DNI) nach Bundesrichterkriterien bestimmt würden. Es könne insb. gegenüber USND bindend und endgültig entscheiden (Rz. 42–46).
Unabhängige Beschwerdestelle:Der CLPO sei auch mit EU‑Datenschutzbeschwerden betraut worden, die an ihn über Aufsichtsstellen der EU‑Mitgliedstaaten weitergeleitet würden. Darüber hinaus obliege ihm als Teil des Büros des DNI ganz allgemein die Aufsicht zum Schutz bürgerlicher Freiheiten bzgl. DNI und USND. Er könne nur aus wichtigem Grund (z.B. Fehlverhalten) vom DNI abgelöst werden und ihn dürften USND und DNI nicht unzulässig beeinflussen (Rz. 48 f.).
Unabhängige Aufsicht:Die Mitglieder des PCLOB würden von Präsident und US‑Senat parteiunabhängig ernannt. Es prüfe jährlich fristgerechte Beschwerdebearbeitungen, Berücksichtigung der EO14086 sowie Befolgung durch USND. Es berichte dem Präsidenten, dem US‑Kongress sowie umsetzungsbindend für USJM, DNI, Leitern der USND und CLPO. Der USJM müsse die richterlichen Ernennungs- und engen Entlassungskriterien einhalten (Rz. 53–57, 62).
Unionsrechtliche Überwachung:Die EU‑Kommission habe fortlaufend die DPF-Anwendung bzgl. fortbestehender Angemessenheit des Schutzniveaus zu überwachen, um ggf. das DPF abzuändern (Rz. 58).
Kein formeller Gesetzesvorbehalt:Das Recht auf ein „zuvor durch Gesetz errichtetes Gericht“ gem. Art. 47 Abs. 2 GRC sei sehr eng mit Garantien von Unparteilichkeit sowie Unabhängigkeit verbunden. Die Richterernennung durch Exekutive oder Legislative sei zulässig, sofern die richterliche Tätigkeit frei von jeglichem Einfluss sei. Gleichwertigkeit mit Art. 47 Abs. 2 GRC verlange kein Gesetz im formellen Sinn (Rz. 66–72 m.w.N.).
Begrenzter Prüfungsgegenstand:Die Erhebung von Signalaufklärungsdaten aus der EU für Zwecke nationaler Sicherheit durch „Sammelerhebung“, massenhaft und ohne Selektoren, dürfe nur außerhalb der USA erfolgen sowie nur, wenn sich die Förderung validierter Aufklärungsprioritäten nicht durch „gezielte Erhebung“ i.S.d. Sec. 702 FISA angemessen erreichen lasse (Sec. 2[iii], 4 EO14086). Beschränkungen würden insb. durch EO14086 und andere EO geregelt. Die „massive Erhebung“ i.S.v. Fn. 250 des DPF als wahllose Erfassung ohne Garantien sei in jedem Fall unzulässig (Rz. 84 ff., 89 f.).
Unnötige Ex-ante-Kontrolle: Gleichwertigkeit mit Artt. 7, 8, 52 Abs. 1 Satz 1 GRC setze Beachtung von Gesetzesvorbehalt, Wesensgehaltwahrung, anerkannten Gemeinwohlzielen und Verhältnismäßigkeitsgrundsatz voraus. Letzterer verlange keine notwendig vorherige gerichtliche Kontrolle. Die validierten Aufklärungsprioritäten würden i.R.e. besonderen Verfahrens zum Schutz von Privatsphäre und bürgerlichen Freiheiten festgelegt. Sie würden vom DNI entwickelt, vom CLPO hinsichtlich legitimer Ziele i.S.d. EO14086 überprüft und vom Präsidenten genehmigt (Rz. 100–107; vgl. Schrems II Rz. 172, 174, 183 f., 186–197).
Garantien für Erhebung und Abfrage: Signalaufklärung inkl. Sammelerhebung müsse auf Gesetz oder EO beruhen und im Einklang insb. mit der Verfassung durchgeführt werden. Sie dürfe ebenso wie die spätere Datenabfrage nur zur Förderung validierter Aufklärungsprioritäten und unter Beachtung des Verhältnismäßigkeitsgrundsatzes erfolgen. EO14086 liste unzulässige allgemeine Ziele auf (z.B. Meinungsunterdrückung, Diskriminierung oder Wettbewerbsvorteile) und biete für Sammelerhebungen und Abfragen besondere Garantien. Eine Änderung zulässiger Erhebungs- und Abfragezwecke (z.B. Terrorismus- oder Spionageabwehr) durch den Präsidenten sei bei neuen nationalen Sicherheitsbedürfnissen möglich und grundsätzlich vom DNI zu veröffentlichen (Rz. 108–116).
Unnötige vorherige behördliche Genehmigung: Von den vier Phasen einer Massenüberwachung, nämlich vorübergehende Speicherung, Selektoreneinsatz, Analystenprüfung und Speicherung zur weiteren Verwendung, erfülle die Sammelerhebung die erste Phase. Nach Art. 8 EMRK – und damit Art. 7 GRC (vgl. Rz. 29) – setze wegen schwerwiegender externer Bedrohungen wesentlicher nationaler Interessen zulässiges massenhaftes Datenabfangen zunehmend mit jeder intensiveren Eingriffsphase mehrere Ende-zu-Ende-Garantien (z.B. behördliche Genehmigung von Selektorenkategorien, gerichtliche Nachkontrolle, Verhältnismäßigkeitsprüfung und Transparenz) voraus (EGMR v. 25.5.2021 – 58170/13 u.a. – Big Brother Watch Rz. 330 f.). Das geltende US‑Recht enthalte ausreichend präzise Rechtsvorschriften, Rechtsbehelf und Aufsicht durch PCLOB, interne Beamte, Generalinspekteur, Intelligence Oversight Board sowie spezielle US‑Kongressausschüsse (Rz. 130–146 m.w.N.).
Gesetzlich gewährleistete Voraussehbarkeit: Ein Eingriff in Art. 7 GRC setze analog Art. 8 Abs. 2 EMRK seine gesetzlich gewährleistete Voraussehbarkeit voraus (vgl. nicht bzgl. seines Zeitpunkts EGMR v. 4.12.2015 – 47143/06 – Zakharov Rz. 227 ff.). Nach Sec. 2(c)(ii) C) EO14086 sei die Befugnis zur – grundsätzlich zu veröffentlichenden (vgl. Rz. 115) – Zweckänderung von Sammelerhebungen beschränkt auf die Erforderlichkeit bzgl. neuer nationaler Bedrohungen (Rz. 156–159).
Irrelevante fehlende Regelung analog Art. 22 DSGVO: Seltene Fälle vollautomatisierter Entscheidungen außerhalb des Anwendungsbereichs der DSGVO beschränkten sich auf unmittelbar in der EU i.S.d. Art. 3 Abs. 2 DSGVO erhebende Organisationen des DPF. Das US‑Recht biete in stärker gefährdeten Bereichen (z.B. Kreditvergabe, Stellenbesetzung) gleichwertige sektorspezifische Schutzvorkehrungen. Die geringe praktische Relevanz werde von der EU‑Kommission festgestellt. Änderungen in der Praxis durch KI seien nicht dargelegt worden (Rz. 164, 170–186 m.w.N.).
Gleichwertige TOM: Anh. I des DPF verpflichte mit dem Begriff des „Verwendens“ auch bzgl. Datenabfragen zu mit Art. 32 DSGVO gleichwertigen Maßnahmen, auch wenn er nicht jede Form des Verarbeitungsbegriffs i.S.v. Art. 4 Nr. 2 DSGVO erfasse (Rz. 194–203 m.w.N.).