Zurück zur Übersicht
03.09.2025 Fachbeitrag

EuG bestätigt Wirksamkeit des EU-US Data Privacy Framework

Update Datenschutz Nr. 219

Heute, am 3. September 2025, hat das Gericht der Europäischen Union (EuG) die gegen den Angemessenheitsbeschluss der Kommission erhobene Nichtigkeitsklage abgewiesen und damit die Geltung des EU-US Data Privacy Framework (DPF) bestätigt. Für europäische Unternehmen bedeutet das Urteil, dass Datenübermittlungen an zertifizierte US-Dienstleister vorerst weiterhin ohne zusätzliche Garantien zulässig bleiben. Gleichwohl bleibt ein Restrisiko, weil der französische Kläger Philippe Latombe binnen zweier Monate Rechtsmittel zum Europäischen Gerichtshof (EuGH) einlegen kann. Der folgende Beitrag ordnet die Entscheidung ein, schildert die rechtlichen und politischen Hintergründe sowie die US-Reformmaßnahmen und gibt praxisnahe Empfehlungen für Cloud-Nutzer in der EU.

Die Entscheidung des EuG und ihr unmittelbarer Effekt

Seit Juli 2023 stützt sich der transatlantische Datenverkehr auf den Angemessenheitsbeschluss der Kommission nach Art. 45 DS-GVO. Dagegen richtete sich die Individualnichtigkeitsklage des französischen Abgeordneten Latombe (T-553/23). Das EuG hat in der heutigen mündlichen Verkündung die Klage nach materieller Prüfung als unbegründet abgewiesen, ohne zuvor über die Zulässigkeit zu entscheiden. Im Rahmen der Urteilsbegründung hat das Gericht ausführlich zu den wichtigsten Sachbedenken Stellung genommen und bestätigt, dass die von der Kommission geprüften US-Rechtsänderungen den vom EuGH in Schrems II aufgestellten Maßstab der „im Wesentlichen gleichwertigen“ Schutzstandards erfüllen.

Das EuG würdigte insbesondere das Zusammenspiel von Executive Order 14086, dem zweistufigen Rechtsbehelfsmechanismus Civil Liberties Protection Officer (CLPO) plus Data Protection Review Court (DPRC) sowie die durch den Foreign Intelligence Surveillance Court erweiterte gerichtliche Kontrolle von FISA-702-Anordnungen. Die Richter hoben hervor, dass die Kommission die Verhältnismäßigkeit US-amerikanischer Signals-Intelligence-Maßnahmen nicht allein an abstrakten Befugnissen, sondern an der tatsächlichen Praxis gemessen habe. Auch die Kritik an der fehlenden Unabhängigkeit des DPRC wies das Gericht zurück: Die dreiköpfige Kammer sei weisungsunabhängig bestellt, genieße Amtszeitgarantien und könne für ihre Entscheidungen verbindliche Abhilfemaßnahmen anordnen. Schließlich betonte das EuG, dass der Beschluss ein verpflichtendes jährliches Review-Verfahren vorsieht, sodass etwaige künftige Abweichungen rasch adressiert werden können. 

Latombe kann binnen zweier Monate und zehn Tagen Rechtsmittel zum EuGH einlegen. In der Praxis dauert ein Revisionsverfahren durchschnittlich achtzehn Monate. Bis zu einer etwaigen Aufhebung bleibt der Angemessenheitsbeschluss wirksam.

Entstehung und Architektur des Data Privacy Framework

Der Europäische Gerichtshof hat zweimal – 2015 in Schrems I und 2020 in Schrems II – frühere Transfermechanismen gekippt, weil US-Überwachungsbefugnisse nicht auf das notwendige Maß beschränkt waren und Betroffene keinen effizienten Rechtsschutz hatten. Die USA reagierten zunächst mit punktuellen Verwaltungsvereinbarungen, deren temporärer Charakter jedoch unzureichend blieb. Erst der politische Auftrag der EU-US-Handels- und Technologieräte aus dem Jahr 2021 mündete in einen vollständigen Neustart. Am 7. Oktober 2022 unterzeichnete Präsident Biden Executive Order 14086 „Enhancing Safeguards for United States Signals Intelligence Activities“, auf deren Basis das Justizministerium am 14. Oktober 2022 eine Verordnung zur Einrichtung des DPRC erließ. Nachdem die EU-Mitgliedstaaten im Rahmen des Komitologieverfahrens zugestimmt hatten, verkündete die Kommission am 10. Juli 2023 ihren Angemessenheitsbeschluss. 

Durch diese Elemente, flankiert vom weiterhin unabhängigen Privacy and Civil Liberties Oversight Board (PCLOB), entstand aus Sicht der Kommission ein Schutzniveau, das den europäischen Grundrechten im Kern entspricht.

Kritikpunkte und ihre Behandlung durch das Gericht

Der Kläger verweist auf unveränderte Befugnisse zur Massenüberwachung unter FISA 702 und EO 12333. Das EuG stellte klar, dass das „Bulk-Element“ als solches nicht entscheidend ist; maßgeblich sei, ob hinreichende Filter-, Prüf- und Löschmechanismen bestehen. Diese seien mit den 2024 eingeführten Targeting-Prozeduren, der Überprüfung durch den Foreign Intelligence Surveillance Court und den Audit-Pflichten der PCLOB in ausreichender Form implementiert.

Effektiver Rechtsschutz

Latombe sieht den DPRC wegen seiner Einbettung in die Exekutive als nicht unabhängig an. Das Gericht folgte der Kommission, wonach Unabhängigkeit funktional verstanden werden muss. Das Verfahren vor dem DPRC ermögliche eine bindende und durchsetzbare Abhilfe, da der Attorney General sich verpflichtete, den Entscheidungen „full legal effect“ einzuräumen. Dass die betroffene Person nicht selbst auftritt, sondern ein „Special Advocate“ bestellt wird, verletze weder Art. 47 EU-Grundrechtecharta noch den Wesensgehalt des effektiven Rechtsschutzes, weil Vertraulichkeitsinteressen der nationalen Sicherheit ein indirektes Verfahren rechtfertigen. 

Formelle Rügen

Die von Latombe erhobene Rüge, der Beschluss sei nur in englischer Sprache veröffentlicht worden, räumte das Gericht mit dem Verweis aus, dass verbindlich allein die im Amtsblatt veröffentlichte Fassung in den Sprachen der Unionsorgane sei; diese sei fristgerecht nachgereicht worden. Auch die fehlende Beteiligung nationaler Parlamente stelle keinen Verfahrensfehler dar, da die DS-GVO die Entscheidungskompetenz ausdrücklich der Kommission zuweist.

Praktische Auswirkungen für transatlantische Datenflüsse

Solange der Angemessenheitsbeschluss besteht, können personenbezogene Daten ohne zusätzliche Garantien an US-Unternehmen übermittelt werden, die auf der vom Department of Commerce geführten DPF-Liste stehen. Die Aufsichtsbehörden sind an den Beschluss gebunden und dürfen keine Bußgelder für entsprechende Transfers verhängen. Parallel anwendbare Spezialregelungen – etwa bei Gesundheits- oder Beschäftigtendaten – bleiben unberührt; sie verlangen weiterhin Privacy-by-Design-Konzepte und transparente Informationspflichten. 

Die Entscheidung schafft kurzfristig Rechtssicherheit für die Nutzung von Azure, AWS, Google Cloud, Salesforce und vergleichbaren US-Anbietern, soweit diese sich zertifiziert haben. Microsoft und Amazon sind bereits seit August 2023 registriert. Wer Sub-Prozessoren einsetzt, muss wie bisher prüfen, ob die gesamte Verarbeitungskette innerhalb des DPF-Rahmens bleibt. Der datenschutzrechtliche Fokus verlagert sich damit wieder auf klassische Themen wie Zweckbindung, Datenminimierung und Löschfristen.

Gleichwohl sollten Verantwortliche die Übergangsrisiken nicht unterschätzen: Scheitert das Urteil vor dem EuGH, wird innerhalb weniger Wochen ein Fallback auf Standardvertragsklauseln und ergänzende technische Maßnahmen erforderlich.

Handlungsempfehlungen für EU-Unternehmen

Unternehmen sollten die durch das EuG eröffnete Atempause nutzen, um ihre Transfer-Governance robuster aufzustellen. Erstens empfiehlt sich eine lückenlose Dokumentation aller Empfängersysteme, denn das DPF schützt nur Zertifizierte. Zweitens lohnt es sich, die aktuellen Standardvertragsklauseln parallel verhandlungsbereit zu halten, um bei einem negativen EuGH-Ausgang ohne operative Unterbrechung umstellen zu können. Drittens sollten Verantwortliche den jährlichen Review-Bericht der Kommission aktiv auswerten und Findings in die eigene Risikoanalyse einspeisen.

Aus praktischer Sicht kann es geboten sein, sensible Workloads – etwa Gesundheits- oder Forschungsdaten – schon jetzt in EU-Rechenzentren auszulagern oder über „EU Access“-Optionen großer Hyperscaler pseudonymisiert zu verarbeiten. Ebenso sollte geprüft werden, ob sich durch client-seitige Verschlüsselung mit exklusiv europäischer Schlüsselaufbewahrung zusätzliche Resilienzen schaffen lassen. Compliance-Teams sollten dazu eng mit den Security-Architekten zusammenarbeiten und nachweisbar technisch-organisatorische Maßnahmen etablieren, die eine nationale Sicherheitsanforderung jeder Partei berücksichtigen.

Parallel müssen Datenschutzhinweise, Auftragsverarbeitungsverträge und Verzeichnisse nach Art. 30 DS-GVO fortlaufend angepasst werden, damit sie den Transfermechanismus korrekt wiedergeben. Andernfalls drohen unabhängig von der materiellen Rechtmäßigkeit formelle Ordnungsgelder.

Fazit

Das heutige Urteil des EuG verschafft dem EU-US Data Privacy Framework die notwendige Rechtstreue, die Unternehmen seit Schrems II vermisst haben. Die transatlantischen Datenströme können damit weiterhin auf einer tragfähigen Rechtsgrundlage fließen. Vollkommene Entwarnung wäre jedoch verfrüht, denn nur der EuGH spricht das letzte Wort. Unternehmen sollten die kommenden Monate daher nicht als Schonfrist, sondern als Chance begreifen, ihre Transfer-Strategien resilient aufzustellen. Wer jetzt Transparenz schafft, alternative Vertragswerke vorbereitet und technische Verschlüsselung implementiert, wird auch ein mögliches drittes Schrems-Urteil ohne Bußgelder oder Betriebsunterbrechungen überstehen.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

15.12.2025
EU Kommission veröffentlicht FAQ zur EmpCo Richtlinie
02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.