Behörde, Datum, Aktenzeichen
Behörde: Gericht der Europäischen Union (EuG)
(General Court, zehnte Kammer, erweiterte Besetzung)
Datum: 3. September 2025
Aktenzeichen: T-553/23 (Philippe Latombe gegen Europäische Kommission)
Rechtssatz
Die Entscheidung (der
Angemessenheitsbeschluss der Kommission aus dem Jahr 2023) über das „EU‑US Data Privacy Framework“ wird nicht aufgehoben: Das Framework gewährleiste zum Zeitpunkt der Annahme ein
angemessenes Schutzniveau für personenbezogene Daten, die aus der EU in die USA übermittelt werden.
Sachverhalt
Philippe Latombe, französischer Abgeordneter und Mitglied der CNIL, klagte gegen die vom Europäischen Parlament und dem Rat eingeführte Entscheidung (EU) 2023/1795 vom 10. Juli 2023. Diese erklärte, dass das neue Data Privacy Framework (DPF) zwischen EU und USA ein angemessenes Datenschutzniveau biete.
Latombe monierte insbesondere, dass
die US-amerikanische Gerichtsbarkeit – namentlich die Data Protection Review Court (DPRC) – nicht unabhängig genug sei und damit keine wirksamen Grundrechtegarantien böte. Auch beklagte er die
weitreichende Überwachung und fehlende Transparenz automatisierter Datenverarbeitung.
Rechtliche Begründung
Der EuGH stellt zunächst klar, dass die Klage inhaltlich zulässig ist – Latombe hat als natürliche Person ein Recht auf Zugang zum Gericht.
In der Hauptsache weist das Gericht die Klage ab: Zum Zeitpunkt der Annahme der Entscheidung (des Angemessenheitsbeschlusses im Jahr 2023) gewährleisteten die USA ein angemessenes Schutzniveau für personenbezogene Daten aus der EU. Speziell sind Aktivitäten von US-Geheimdiensten der gerichtlichen Kontrolle durch die DPRC unterworfen, was ausreichende Schutzmechanismen biete. Damit erfülle das DPF die Anforderungen des Art. 45 Abs. 3 DSGVO.
Fazit & Schlussfolgerung für Verantwortliche
Fazit:
Die Entscheidung stärkt Rechtssicherheit für Organisationen in der EU, die auf Datenübermittlungen in die USA angewiesen sind – etwa für
Cloud-Dienste, Gehaltszahlungen oder interne Analysen.
Schlussfolgerung:
Verantwortliche können das DPF weiterhin als rechtliche Grundlage nutzen, Unterzeichner-Unternehmen prüfen und ggf. durch interne Audits sicherstellen, dass Datenempfänger tatsächlich im
Framework gelistet sind und dass DSGVO-konforme Verfahren zur Wahrung von Betroffenenrechten bestehen.
Gleichzeitig bleibt wachsam zu sein: Da Latombe — und möglicherweise andere Akteure — Beschwerde zum EuGH (CJEU) erheben können, ist der Ausgang mit weiterer Unsicherheit verbunden.
Kommentar schreiben
Helmut Karas (Mittwoch, 03 September 2025 20:46)
Es liegt also an der EU Kommission über die Überprüfung des TADPF zu entscheiden. Wenn die Kommission angesichts Europas Abhängigkeiten von Microsoft, Google und Meta den gleichen Pfad der "Entbürokratisierung" anwendet, wie bei CSRD, CSDDD und dem EU AI Act bevorzugt, war es das zum Thema DSGVO. Wenn die aktuellen Praktiken der AI-Player, die Durchgriffe von DOGE auf alle Systeme anerikanischer Institutionen und Meta's Praxis gegen die Regeln des DSA keine Fragen zum Umgang mit Recht und Daten in den USA aufwerfen, ist jeder Angemessenheitsbeschluss das Papier nicht wert auf dem das steht.