Datentransfer in die USA: Atempause in der Dauerdebatte

Vorläufige Entspannung der Lage, aber die Zukunft bleibt ungewiss

Image:
Atempause beim Datentransfer in die USA (Das Bild wurde von einer KI erzeugt)

Der Dauerstreit um den transatlantischen Datentransfer hat eine neue Wendung genommen, die zumindest für einige Zeit Rechtssicherheit verspricht. Ein Ende des Tauziehens um Datenströme ist jedoch noch nicht in Sicht.

Mit seinem Urteil vom 3.9.2025 zur Rechtssache T-553/23 wies das Europäische Gericht (EuG) die Klage des französischen Abgeordneten Philippe Latombe ab. Latombe forderte kurz nach Inkrafttreten des Trans-Atlantic Data Privacy Framework (DPF), dass die Angemessenheitsentscheidung der Europäischen Kommission unverzüglich ausgesetzt wird. Mit der Entscheidung wurde das Datenschutzniveau der USA als „im Wesentlichen gleichwertig“ mit dem der EU anerkannt.

Zwar wurde dessen Eilantrag im Oktober 2023 abgewiesen; jedoch folgte ein Hauptsacheverfahren vor dem EuG.

Nach der mündlichen Verhandlung im April verkündete der EuG fünf Monate später das Urteil. Deutsche Unternehmen können vorerst aufatmen. Organisationen, die auf US-Dienste wie Google, Microsoft oder Meta angewiesen sind, bleibt es jedoch entscheidend, die aktuelle Lage richtig zu bewerten und die Risiken der Zukunft zu antizipieren.

Warum das DPF so wichtig ist

Seit dem Scheitern von Safe Harbor im Jahr 2015 und dem Privacy Shield im Jahr 2020 (Schrems-II-Urteil) waren Unternehmen in der EU mit einem erheblichen Mangel an Rechtssicherheit konfrontiert. Datentransfers in die USA waren nur mit hohem Aufwand, beispielsweise durch Standardvertragsklauseln, möglich.

Der Grund für die Instabilität lag in der US-Gesetzgebung. Insbesondere die FISA Section 702 und der CLOUD Act erlauben US-Geheimdiensten und Behörden weitreichenden Zugriff auf personenbezogene Daten, auch von EU-Bürgern, ohne dass diesen angemessene Rechtsbehelfe zur Verfügung stehen. Das höchste europäische Gericht, der EuGH, hatte dies in seinem wegweisenden Urteil „Schrems II“ als unvereinbar mit dem EU-Datenschutzniveau bewertet.

Um diese Lücke zu schließen, einigte sich die Europäische Kommission im Juli 2023 mit den USA auf das DPF als rechtliche Grundlage für den Datentransfer zwischen der EU und den USA. Die Vereinigten Staaten verpflichteten sich in der Executive Order 14086, den Geheimdienstzugriff einzuschränken und eine neue Beschwerdeinstanz, das Data Protection Review Court (DPRC), einzuführen. Das ebnete den Weg für den Angemessenheitsbeschluss nach Artikel 45 DSGVO und schuf eine neue, dringend benötigte Rechtsgrundlage für den Datenaustausch.

Die gerichtliche Entscheidung und ihre Bedeutung

Jedoch sahen nicht alle die neue Regelung als ausreichend an. Der französische Abgeordnete Philippe Latombe klagte gegen den Angemessenheitsbeschluss und versuchte, ihn außer Kraft zu setzen. Im September 2025 fällte das Europäische Gericht (EuG) sein Urteil und wies die Klage ab.

Das Gericht bestätigte, dass das US-Datenschutzniveau „im Wesentlichen gleichwertig“ zu dem der EU sei. Es bewertete das neue US-Rechtsbehelfsgericht DPRC als hinreichend unabhängig und hielt die Beschränkungen des Geheimdienstzugriffs für ausreichend, um den EU-Anforderungen an Verhältnismäßigkeit und Notwendigkeit zu genügen.

Was bedeutet das Urteil für Unternehmen?

In erster Linie bringt es eine dringend benötigte Rechtssicherheit. Solange ein US-Dienst DPF-zertifiziert ist, können Sie ihn weiterhin ohne zusätzliche Standardvertragsklauseln nutzen. Das spart Zeit und Kosten und vereinfacht die Compliance erheblich.

„Das Urteil des Gerichts der Europäischen Union ist ein wichtiges Signal für die Digitale Wirtschaft in Europa und den USA. Es stärkt die Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks. Der Datentransfer auf Grundlage des EU-US-Privacy-Frameworks ist rechtmäßig,” begrüßt BVDW-Vizepräsident Dr. Moritz Holzgraefe das Urteil in einer Pressemeldung entstehen mit Datenschutz Innovation und Wettbewerbsfähigkeit.. “Für den digitalen Standort Europa ist das ein nötiges Zeichen der Verlässlichkeit. Das Gericht bestätigt, dass europäische Datenschutzstandards gewahrt bleiben und gleichzeitig grenzüberschreitende Kooperationen möglich sind. Das bedeutet Planbarkeit und Rechtssicherheit. Gerade im internationalen Wettbewerb brauchen wir diese Balance aus pragmatischen und gleichzeitig hohen Standards. Nur so entsteht mit Datenschutz Innovation und Wettbewerbsfähigkeit.“

Schatten der Zukunft: Max Schrems und der EuGH

Trotz der aktuellen Entspannung bleibt der Konflikt ungelöst. Der österreichische Jurist Max Schrems, der bereits die beiden Vorgängerabkommen zu Fall brachte, hat angekündigt, auch das DPF rechtlich anzugreifen. Seine Organisation noyb hat bereits Beschwerden bei nationalen Aufsichtsbehörden eingereicht, die früher oder später den Weg zum EuGH finden könnten.

Latombe hat seinerseits zwei Monate Zeit, beim Europäischen Gerichtshof Revision gegen das Urteil des EuG einzulegen. Sollte er diesen Schritt gehen, ist mit einer Entscheidung nicht vor Mitte 2027 zu rechnen. Der EuGH kann als höchstes Gericht der EU den Angemessenheitsbeschluss immer noch für ungültig erklären.

Unternehmen müssen achtsam bleiben

Das EuG-Urteil verschafft Unternehmen eine strategische Atempause, in der sie sich auf ihr Kerngeschäft konzentrieren können, ohne sich ständig um die Rechtmäßigkeit Ihrer US-Dienste sorgen zu müssen. Dennoch ist es ratsam, die folgenden Punkte im Auge zu behalten:

Fazit

Die Bestätigung des DPF durch das EuG ist ein wichtiger Meilenstein. Es bringt zumindest für die nächsten Jahre eine verlässliche Grundlage für den transatlantischen Datentransfer.

Aber es ist keine endgültige Lösung.

Die politische und rechtliche Unsicherheit wird uns weiterhin begleiten, spätestens wenn der EuGH eine finale Entscheidung trifft oder die Europäische Kommission das DPF planmäßig überprüft. Die jetzige Entspannung sollte nicht dazu verleiten, die langfristigen Risiken zu ignorieren. Sie haben jetzt die Chance, Ihre Datenstrategie zu festigen und für die nächste Runde des Ringens um Datensicherheit gerüstet zu sein.