Das Gericht der EU hat gesprochen: Der DPF-Angemessenheitsbeschluss hält erstinstanzlich stand – aber die Frage ist noch nicht abschließend geklärt
Am 3. September 2025 hat das Gericht der Europäischen Union (EuG) die Nichtigkeitsklage des französischen EU-Parlamentsabgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) abgewiesen. Es ist das erste Mal, dass die Gültigkeit eines US-Angemessenheitsbeschlusses nach Art. 45 Abs. 1 DS-GVO nicht nur im Rahmen eines Vorabentscheidungsverfahrens, sondern direkt in einem Nichtigkeitsverfahren überprüft und erstinstanzlich bestätigt wurde. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) hat das Urteil eingehend kommentiert und dabei auf wesentliche Einschränkungen seiner Aussagekraft hingewiesen.
Was der Kläger beanstandet hatte
Der Kläger hatte geltend gemacht, der DPF verstoße gegen Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union. Im Mittelpunkt standen zwei Kritikpunkte: die weiterhin mögliche Massenüberwachung durch US-Nachrichtendienste ohne unabhängige Vorabkontrolle sowie die mangelnde Unabhängigkeit und fehlende Gerichtseigenschaft des neu geschaffenen Data Protection Review Court (DPRC). Zusätzlich rügte der Kläger Verstöße gegen Art. 22 DS-GVO und Art. 32 DS-GVO.
Wie das EuG entschieden hat und warum
Das EuG hat die Zulässigkeit der Klage ausdrücklich offengelassen, weil erhebliche Zweifel an der individuellen Betroffenheit des Klägers bestanden. Im Interesse einer geordneten Rechtspflege hat es direkt die Begründetheit geprüft. Das ist ungewöhnlich und unterstreicht die grundsätzliche Bedeutung des Verfahrens. In der Sache hat das EuG den DPRC als hinreichend unabhängig bewertet. Die Regelungen zur Ernennung und Abberufung der Richter seien im Wesentlichen mit denen der US-Bundesrichterschaft vergleichbar. Die Mängel, die der EuGH in Schrems II an der Ombudsperson beanstandet hatte, seien durch den DPRC behoben. Auch die Frage, ob der DPRC ein „durch Gesetz errichtetes Gericht“ ist, beantwortet das EuG funktional: Entscheidend seien die tatsächlichen Befugnisse, Verfahrensgarantien und die faktische Unabhängigkeit, nicht die formale institutionelle Einordnung.
Zur Massenüberwachung durch US-Nachrichtendienste stellt das EuG fest, dass weder Schrems II noch die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte zwingend eine vorgelagerte unabhängige Genehmigungspflicht fordern. Drittstaaten müssen kein identisches, sondern lediglich ein im Wesentlichen gleichwertiges Schutzniveau gewährleisten.
Warum das Urteil begrenzte Aussagekraft hat
Ein zentrales rechtliches Argument des EuG schränkt die Reichweite des Urteils erheblich ein: Die Rechtmäßigkeit eines Unionsrechtsakts ist in einem Nichtigkeitsverfahren ausschließlich nach der Sach- und Rechtslage zum Zeitpunkt seines Erlasses zu beurteilen. Maßgeblich war damit allein der Stand im Juli 2023, dem Zeitpunkt des Erlasses des Angemessenheitsbeschlusses.
Das bedeutet: Die politisch motivierten Entlassungen mehrerer Mitglieder unabhängiger US-Aufsichtsorgane seit Anfang 2025, insbesondere bei der Federal Trade Commission (FTC) und beim Privacy and Civil Liberties Oversight Board (PCLOB), konnten vom EuG nicht berücksichtigt werden. Sie lagen zeitlich nach dem Erlass des Beschlusses. Der LfDI BW hält dies für einen wesentlichen Vorbehalt: Diese Entwicklungen stärken zwar nicht die Klagebegründung, sind aber für die laufende Überwachungspflicht der Kommission und für mögliche künftige Verfahren von erheblicher Bedeutung. Kritisch wertet der LfDI BW auch, dass das EuG die Massenerhebung von Daten als ersten Schritt eines mehrstufigen Verarbeitungsprozesses betrachtet und geringere Schutzanforderungen für diese Phase genügen lässt. Das steht in Spannung zur Rechtsprechung des EGMR, der eine Gesamtbetrachtung aller Verarbeitungsphasen fordert, und zur Stellungnahme 5/2023 des Europäischen Datenschutzausschusses (EDSA), der sowohl unabhängige Vorabkontrolle als auch systematische Nachkontrolle gefordert hatte. Mit dieser Kritik befasst sich das EuG nicht eingehend.
Was das Urteil für die Praxis bedeutet
Kurzfristig und wohl auch mittelfristig bleibt der DPF anwendbar. Unternehmen, die Daten in die USA auf Basis des DPF übermitteln, können dies weiterhin tun. Das Urteil schafft jedoch keine endgültige Rechtssicherheit. Der Kläger hat am 31. Oktober 2025 Berufung beim Europäischen Gerichtshof eingelegt (Az. C-703/25 P). Weitere Gerichtsverfahren sind möglich. Langfristig wird entscheidend sein, ob der EuGH bei einer erneuten Prüfung stärker auf die tatsächliche Funktionsfähigkeit und politische Stabilität der US-Aufsichtsmechanismen abstellt. Die Entwicklungen bei FTC und PCLOB könnten dabei erheblich mehr Gewicht erlangen als in diesem Verfahren. Unternehmen sollten die Lage daher weiter beobachten und nicht auf eine Dauerhaftigkeit des DPF vertrauen.
Unsere Empfehlungen
Unternehmen und KMU
Wer Daten in die USA überträgt und sich dabei auf den DPF stützt, kann das vorerst weiterhin tun. Prüfen Sie aber, ob Ihre US-Partner tatsächlich nach dem DPF zertifiziert sind. Halten Sie zusätzlich Standardvertragsklauseln als Rückfalloption bereit, falls der DPF in einem künftigen Verfahren gekippt werden sollte. Verfolgen Sie die Entwicklung der Berufung C-703/25 P aktiv.
Behörden und öffentliche Stellen
Für den öffentlichen Sektor gilt besondere Vorsicht bei US-Cloud-Diensten. Der DPF gilt nur für zertifizierte private US-Unternehmen, nicht für US-Behörden oder Geheimdienstaktivitäten. Prüfen Sie für kritische Verarbeitungen, ob europäische Alternativen verfügbar sind, und beobachten Sie die Entwicklung der Überwachungspflicht der Kommission.
Gesundheitseinrichtungen
Übermittlungen von Gesundheitsdaten in die USA sind besonders sensibel. Stellen Sie sicher, dass US-Empfänger unter dem DPF zertifiziert sind, und prüfen Sie, ob der Einsatz europäischer Dienstleister möglich ist. Halten Sie für den Fall einer erneuten Ungültigkeitserklärung des DPF Alternativlösungen bereit.
Kanzleien und Freiberufler
Beraten Sie Mandanten zur anhaltenden Rechtsunsicherheit beim transatlantischen Datentransfer. Das EuG-Urteil ist erstinstanzlich und nicht rechtskräftig. Empfehlen Sie eine Dual-Track-Strategie: DPF als primäre Grundlage, Standardvertragsklauseln als ergänzende Absicherung. Beobachten Sie die Berufung beim EuGH und die Überwachungsberichte der Kommission zum DPF.
Quelle: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks