In unserem Beitrag vom 10. Juli 2023 [Link] hatten wir über die neue Angemessenheitsentscheidung der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) berichtet. Ziel des DPF war es, die vom EuGH in den Entscheidungen Schrems I (Safe Harbor) und Schrems II (Privacy Shield) beanstandeten Defizite auszuräumen. Damals standen vor allem die weitreichenden Befugnisse amerikanischer Sicherheitsbehörden sowie das Fehlen eines wirksamen Rechtsschutzes für EU-Bürger im Fokus. Mit der Executive Order 14086 und der Einrichtung des Data Protection Review Court (DPRC) sollten diese Kritikpunkte adressiert werden.
Nun hat das Gericht der Europäischen Union am 3. September 2025 in der Rechtssache T-553/23 (Latombe/Kommission) [Link] die Angemessenheitsentscheidung der Kommission bestätigt. Der Kläger hatte geltend gemacht, dass die USA weiterhin kein „wesentlich gleichwertiges“ Datenschutzniveau gewährleisteten. Das EuG wies die Klage jedoch ab und stellte fest, dass die von den USA eingeführten Reformen – insbesondere die neuen Kontroll- und Rechtsschutzmechanismen – den Anforderungen des Unionsrechts genügen (EuG, Urteil vom 03.09.2025 – T-553/23).
Damit hat das Gericht erstmals eine Angemessenheitsentscheidung im Bereich transatlantischer Datentransfers einer inhaltlichen Kontrolle unterzogen und ihre Rechtmäßigkeit bejaht. Besonders hervorgehoben wurde die Rolle des DPRC, das als unabhängige und verbindliche Instanz Beschwerden europäischer Betroffener gegen geheimdienstliche Zugriffe in den USA prüft und Abhilfe schaffen kann. Im Unterschied zum ausgelaufenen Privacy Shield sehen die neuen US-Regeln nun klare Vorgaben zu Notwendigkeit und Verhältnismäßigkeit geheimdienstlicher Maßnahmen vor.
Für Unternehmen bedeutet das Urteil zunächst Rechtssicherheit: Solange US-Partnerunternehmen am DPF teilnehmen und zertifiziert sind, können Datenübermittlungen auf diese Grundlage gestützt werden. Gleichwohl bleibt die Pflicht zur sorgfältigen Prüfung bestehen. Transfer Impact Assessments (TIAs), technische Schutzmaßnahmen (z. B. Verschlüsselung) und die Dokumentation der eingesetzten Garantien sind weiterhin erforderlich, um die Anforderungen der DSGVO zu erfüllen.
Offen bleibt, ob das letzte Wort bereits gesprochen ist. Gegen die Entscheidung des EuG kann Rechtsmittel zum EuGH eingelegt werden. Angesichts der Kritik von Datenschutzorganisationen ist damit zu rechnen, dass auch das DPF einer weiteren Überprüfung durch den EuGH unterzogen wird. Bis dahin bietet das Urteil jedoch eine belastbare Grundlage für transatlantische Datentransfers.
Fazit: Mit der Bestätigung durch das EuG hat das DPF die erste juristische Bewährungsprobe bestanden. Unternehmen können sich damit – anders als nach den abrupten Enden von Safe Harbor und Privacy Shield – vorerst auf stabile Rahmenbedingungen verlassen. Gleichwohl empfiehlt es sich, die weitere Entwicklung eng zu verfolgen und bestehende Compliance-Prozesse nicht allein auf das DPF zu stützen, sondern durch ergänzende Maßnahmen abzusichern.
