Der rechtssichere Datentransfer in die USA bleibt eines der zentralen Konfliktfelder im europäischen Datenschutzrecht. Nach Safe Harbor und Privacy Shield soll bald auch der jüngste US-Angemessenheitsbeschluss der EU-Kommission, das EU-US Data Privacy Framework (DPF), laut eines Berichts vom 29.10.2025 erneut vor den Europäischen Gerichtshof (EuGH) kommen. Der französische Abgeordnete Philippe Latombe soll Rechtsmittel gegen die Entscheidung des Gerichts der Europäischen Union (EuG) eingelegt haben, die das DPF zuletzt bestätigt hatte.
Relevanz von Angemessenheitsbeschlüssen
Die Datenschutzgrundverordnung (DSGVO) verlangt, dass für die Übertragung von personenbezogenen Daten in ein Drittland ein im Vergleich mit den europäischen Vorgaben angemessenes Datenschutzniveau bestehen muss. Die EU-Kommission kann hierfür einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen, was zu erleichterten Bedingungen für den internationale Datentransfer führt. Zurzeit gibt es solche Vereinbarungen mit 16 Ländern, darunter auch die USA.
Hintergrund zum EU-US-Datentransfer
Der EuGH hat in den vergangenen Jahren wiederholt Angemessenheitsbeschlüsse für die USA gekippt. So erklärte er 2015 Safe-Harbour und 2020 Privacy-Shield für ungültig. Die Folge war jahrelange Unsicherheit für Unternehmen, die etwa auf Cloud-Dienste, Analyse-Tools oder Kommunikationslösungen aus den USA angewiesen sind.
Das seit 2023 geltende EU-US Data Privacy Framework (DPF), soll seitdem eine stabile Grundlage für den Austausch personenbezogener Daten schaffen. Kernstück ist der neu geschaffene Data Protection Review Court (DPRC), ein Gremium, das Beschwerden von EU-Bürgern über unrechtmäßige Überwachungsmaßnahmen prüfen soll. Außerdem wurde eine erweiterte Aufsicht über die US-Geheimdienste eingeführt. Hierzu gehört auch das mit fünf Personen besetzte und eigentlich unabhängige Privacy and Civil Liberties Oversight Board (PCLOB), dass auch den DPRC kontrollieren soll. Der Europäische Datenschutzausschuss hatte Ende letzten Jahres einen Bericht angenommen, in dem Fortschritte, aber auch Verbesserungsbedarf zum DPF festgestellt wurden.
Erfolglose Klage vor dem EuG durch Latombe
Der französische Abgeordnete Philippe Latombe hält die im DPF getroffenen Maßnahmen für unzureichend. Insbesondere bemängelte er, dass der DPRC weder ein unabhängiges Gericht noch gesetzlich verankert sei, sondern allein auf einer Anordnung des US-Präsidenten basiere und insofern von der Regierung abhängig sei. Zudem bemängelte er, dass US-Geheimdienste weiterhin massenhaft Daten ohne richterliche Vorabgenehmigung verarbeiten dürfen. Die Kommission habe mit ihrer Entscheidung faktisch die Risiken der Überwachung ignoriert und damit gegen europäische Grundrechte verstoße. Deshalb reichte er im September 2023 eine Nichtigkeitsklage gegen die Angemessenheitsentscheidung vor dem EuG ein.
In seinem Urteil von September dieses Jahres folgte das Gericht dieser Argumentation nicht. Die Kommission habe ihren erheblichen Beurteilungsspielraum bei Angemessenheitsentscheidungen ordnungsgemäß ausgeübt. Das EuG sah den DPRC als ausreichend unabhängig und hinreichend kontrolliert an. Außerdem stellte das Gericht fest, dass die Rechtsprechung des EuGH keine richterliche Vorabgenehmigung von Massenüberwachungsmaßnahmen zwingend verlangt, sondern eine nachträgliche Kontrolle genüge.
Rechtsmittel vor dem EuGH
Nach Ansicht Latombes berücksichtigt diese Bewertung jedoch nicht in angemessenem Umfang die weiterhin bestehenden Überwachungsbefugnisse der US-Geheimdienste, wie Euractive berichtet. Der DPRC würde nach seiner Auffassung weder den Anforderungen an Unabhängigkeit noch an effektive gerichtliche Kontrolle genügen. Latombes erkläre, dass Betroffene damit weiterhin keinen gleichwertigen Anspruch auf Rechtsschutz, wie ihn die EU-Grundrechtecharta verlangt, hätten. Hinzu kommt, dass die politischen Rahmenbedingungen in den USA volatil bleiben. Laut Latombe wurden unter der aktuellen Präsidentschaft Schutzmaßnahmen zugunsten des Geheimdienstzugriffs erneut abgeschwächt.
Deshalb habe der Abgeordnete erklärt, Rechtsmittel gegen die EuG-Entscheidung bei dem EuGH einzulegen. Damit würde der EU-US-Datenaustausch aufgrund eines Angemessenheitsbeschlusses ein drittes Mal vom EuGH entschieden.
Bedeutung für Unternehmen
Für Unternehmen in der EU bleibt der transatlantische Datentransfer trotz des DPF somit ein Bereich mit Risiko. Zwar ermöglicht das Abkommen derzeit die vereinfachte Nutzung von US-Diensten, doch sollte der Streit über den US-Angemessenheitsbeschluss erneut vor den EuGH kommen, kann dieser Rahmen wieder ins Wanken geraten. Sollte das Gericht, wie bei Safe Harbor und Privacy Shield, wiederholt zu dem Ergebnis kommen, dass US-Geheimdienstbefugnisse keinen hinreichenden Schutz europäischer Daten gewährleisten, wären Unternehmen gezwungen, ihre bestehenden Datenflüsse erneut umfassend zu prüfen und gegebenenfalls alternative Anbieter zu suchen.
Die strukturellen Probleme liegen dabei weniger im Mechanismus des DPF selbst als in der fehlenden dauerhaften rechtlichen Absicherung auf US-Seite. Zentrale Elemente des Schutzrahmens basieren auf präsidentiellen Anordnungen, die politisch reversibel sind und deren institutionelle Kontrolle in ihrer Unabhängigkeit und Beständigkeit zweifelhaft erscheint. Die Kritik liegt darin, dass ein Schutzsystem, das weitgehend von Exekutiventscheidungen abhängt, kein stabiles und gleichwertiges Datenschutzniveau garantieren kann. Für europäische Unternehmen bedeutet dies, dass strategische Vorsorge und kontinuierliche Neubewertung von US-Datentransfers unverändert notwendig bleiben.
Fazit
Wenn der Streit über das US-Angemessenheitsbeschluss erneut vor den EuGH kommt, könnte dies erhebliche Auswirkungen auf die internationale Datenverarbeitung und die digitale Wertschöpfung in Unternehmen haben. Auch wenn das DPF vorerst weiterhin gültig bleibt, ist die Rechtslage von Unsicherheit geprägt. Unternehmen sollten sich darauf einstellen, dass sich die Bedingungen für den transatlantischen Datentransfer erneut ändern könnten und prüfen, ob nicht Dienstleister von EU-Unternehmen rechtssicherere Lösungen bieten.
