Was das für den Datentransfer in die USA bedeutet
Am 3. September 2025 hat das Gericht der Europäischen Union (EuG) für Klarheit gesorgt: Die Klage des französischen Europaabgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) wurde abgewiesen. Damit bleibt der Rechtsrahmen für den Datentransfer in die USA vorerst bestehen (Pressemitteilung des EuG).
Für Unternehmen ist das ein wichtiges Signal. Doch die Frage bleibt: Handelt es sich um eine dauerhafte Lösung oder nur um eine weitere Übergangsphase im transatlantischen Datenschutz?
Von Safe Harbor bis Privacy Shield: eine Geschichte des Scheiterns
Schon zweimal hat der Europäische Gerichtshof (EuGH) transatlantische Datenschutzabkommen für ungültig erklärt:
- Safe Harbor wurde 2015 mit dem Urteil Schrems I gekippt.
- Privacy Shield scheiterte 2020 mit Schrems II.
Die zentrale Kritik war stets gleich: Das US-Recht erlaubt eine weitreichende Massenüberwachung durch Geheimdienste, ohne dass europäische Bürger wirksamen Rechtsschutz genießen. Für Unternehmen bedeuteten diese Urteile jahrelange Unsicherheit. Standardvertragsklauseln oder Binding Corporate Rules waren zwar mögliche Alternativen, aber sie brachten hohen Dokumentationsaufwand und rechtliche Risiken mit sich.
Das EU-US Data Privacy Framework: Hoffnung auf Stabilität
Mit dem EU-US Data Privacy Framework wollte die Kommission eine stabile Lösung schaffen. Grundlage ist die Executive Order 14086 von US-Präsident Biden aus dem Jahr 2022. Sie enthält wichtige Neuerungen:
- Verhältnismäßigkeit in der Überwachung – Geheimdienste sollen nur im notwendigen Umfang Daten erheben.
- Data Protection Review Court (DPRC) – ein spezielles Beschwerdegericht, an das sich EU-Bürger wenden können.
Auf dieser Basis erließ die EU-Kommission am 10. Juli 2023 den Angemessenheitsbeschluss (Durchführungsbeschluss (EU) 2023/1795). Damit dürfen Unternehmen personenbezogene Daten wieder rechtssicher in die USA übertragen.
Die Klage von Philippe Latombe
Philippe Latombe sah die Sache anders. Mit seiner Klage T-553/23 (EUR-Lex-Dokument) machte er geltend, dass das Data Privacy Framework die Rechte europäischer Bürger nicht ausreichend schützt. Seine zentralen Argumente:
- DPRC sei nicht unabhängig, sondern Teil der US-Exekutive.
- Massenüberwachung bleibe erlaubt und sei nicht ausreichend begrenzt.
- Kein ausreichender Schutz vor automatisierten Entscheidungen.
- Unzureichende Sicherheitsvorgaben für Datenverarbeiter.
Sein Ziel war es, den Angemessenheitsbeschluss der Kommission vollständig zu kippen – mit denselben Konsequenzen wie bei Safe Harbor und Privacy Shield.
Die Entscheidung des Gerichts der Europäischen Union
Das EuG hat nun die Klage zurückgewiesen und bestätigt den Beschluss der Kommission. Zwei Punkte sind wesentliche:
- Unabhängigkeit des DPRC: Nach Ansicht des Gerichts gibt es ausreichende rechtliche Garantien, die Richter vor politischem Druck zu schützen. Zwar können sie nur vom US-Generalstaatsanwalt entlassen werden, dies jedoch ausschließlich aus triftigem Grund. Geheimdienste dürfen die Arbeit des Gerichts nicht beeinflussen.
- Überwachung und Rechtsschutz: Der EuGH hatte im Schrems-II-Urteil gefordert, dass Massenüberwachung zumindest nachträglich überprüft werden kann. Genau diesen ex-post-Rechtsweg sieht das DPRC vor. Damit - so das Gericht - sei den Anforderungen der Rechtsprechung Genüge getan.
Zudem betont das Gericht, dass die EU-Kommission verpflichtet bleibt, die Entwicklung in den USA kontinuierlich zu überwachen. Sollte sich das Datenschutzniveau verschlechtern, muss sie den Beschluss anpassen oder aussetzen.
Folgen für Unternehmen und Datenschutzpraxis
Für Unternehmen bedeutet das Urteil zunächst eine große Entlastung. Der Datentransfer in die USA ist weiterhin auf Basis des Data Privacy Framework möglich – ohne zusätzliche Prüfungen oder Einzelfallgenehmigungen. Besonders Cloud-Anbieter, Finanzdienstleister oder Unternehmen im Gesundheitssektor profitieren davon.
Doch die Erfahrung zeigt: Dauerhafte Stabilität ist nicht garantiert. Schon heute ist klar:
- Latombe kann noch Berufung beim EuGH einlegen.
- Kritische Organisationen wie NOYB (Max Schrems) bereiten weitere Verfahren vor.
- Politische Entwicklungen in den USA könnten den Rahmen ins Wanken bringen, da er auf einer Executive Order basiert und nicht auf einem Gesetz.
Unternehmen sollten daher zweigleisig fahren: Einerseits das Data Privacy Framework aktiv nutzen, andererseits Standardvertragsklauseln oder Binding Corporate Rules als Backup bereithalten.
Politische Risiken in den USA
Ein besonders heikler Punkt ist die Abhängigkeit der richterlichen Bewertung von politischer Einflussnahme. Das EU-US Data Privacy Framework stützt sich nicht auf ein Parlamentsgesetz, sondern auf eine Präsidialverordnung der nicht mehr amtierenden Biden-Administration. Nach dem Regierungswechsel ist deren Bestand aber alles andere als sicher: Die für die EUG-Entscheidung zentrale Unabhängigkeit von Richtern wird bereits heute von Präsident Trump an vielen Stellen öffentlich in Frage gestellt; eine grenzenlose und unkontrollierte Massenüberwachung – ohne Richterkontrolle - erscheint auch nicht abwegig. Wenn aber die beiden Eckpfeiler der EuG-Entscheidung latent gefährdet sind, gilt dies auch für den Bestand der EUG-Entscheidung.
Fazit: Eine stabile Brücke oder nur eine Zwischenlösung?
Mit dem Urteil des EuG gewinnt das EU-US Data Privacy Framework vorerst an Stabilität. Für Unternehmen bedeutet das kurzfristig Klarheit und weniger Rechtsrisiken beim Datentransfer in die USA. Das ist der - positive! - status quo.
Gleichzeitig bleibt die Lösung politisch und rechtlich fragil, denn das EU-US Data Privacy framework ist nicht mehr als ein Momentum. Die derzeitig positive Einschätzung der datenschutzrechtlichen Situation kann von Präsident Trump mit einem Federstrich beseitigt werden. In der unendlichen Geschichte sicherer Datentransfers in die USA würde dann ein weiteres Kapitel aufgeschlagen.
