Im Juli 2023 berichteten wir bereits ausführlich über die Einführung des Trans-Atlantic Data Privacy Framework (TADPF; mittlerweile meist DPF benannt) und die dadurch geschaffene neue Rechtsgrundlage für Datenverarbeitung in den USA. Rund zwei Jahre später, gibt es eine erste wichtige gerichtliche Entscheidung, die die Zukunft des Abkommens maßgeblich beeinflussen könnte.
In diesem Beitrag fassen wir die aktuelle Lage zusammen, erläutern die Entscheidung des Europäischen Gerichts (EuG) vom 03. September 2025 zu Rechtssache T-553/23, eingebracht von Philippe Latombe, und zeigen auf, was Website-Betreiber jetzt wissen müssen.
Warum das TADPF so wichtig ist
Mit dem TADPF konnte die Europäische Kommission im Juli 2023 ein neues Abkommen zur datenschutzrechtlichen Angemessenheit mit den USA schließen. Nach dem Scheitern von "Safe Harbor" (2015) und dem "Privacy Shield" (2020) brachte dieses Abkommen für Website-Betreiber und Unternehmen eine dringend benötigte Rechtssicherheit in Bezug auf Datentransfer zwischen der EU und den USA.
Das Datenschutzniveau der USA im Sinne der EU-Standards galt als nicht angemessen, weil Sicherheits- und Nachrichtendienste weitreichende Zugriffe auf personenbezogene Daten – auch von EU-Bürgern – vornehmen können, gestützt u. a. auf die FISA Section 702 (50 U.S.C. § 1881a), während Nicht-US-Bürger nur eingeschränkte Rechtsbehelfe haben (sich rechtlich dagegen wehren können). Zusätzlich erlaubt der CLOUD Act (Änderungen am Stored Communications Act, 18 U.S.C. § 2713) US-Behörden den Zugriff auf Daten von US-Unternehmen, selbst wenn diese Daten in Rechenzentren außerhalb der USA liegen – etwa wenn Microsoft Daten von europäischen Kunden in Azure-Rechenzentren innerhalb der EU speichert. Diese Defizite bewertete der EuGH in dem Urteil "Schrems II" als unvereinbar mit EU-Standards.
Die USA verpflichteten sich durch die Executive Order 14086 (präsidialer Erlass, der von amtierenden US-Präsidenten ein- und ausgesetzt werden kann) und ergänzenden Vorgaben im Oktober 2022 unter Joe Biden, den Zugriff ihrer Geheimdienste auf personenbezogene Daten von EU-Bürgern stärker einzuschränken und neue Rechtsbehelfe einzuführen. Dazu zählt insbesondere das Data Protection Review Court (DPRC) als unabhängige Beschwerdeinstanz. Dies ermöglichte den Erlass des aktuell geltenden Angemessenheitsbeschlusses gemäß Art. 45 DSGVO der Europäischen Kommission für die USA und Website-Betreiber konnten US-Services endlich wieder rechtssicher auf Basis des Angemessenheitsbeschlusses einsetzen.
Klage von Philippe Latombe: EuG bestätigt Angemessenheitsbeschluss
Der französische Abgeordnete Philippe Latombe hatte kurz nach Inkrafttreten des DPF im Oktober 2023 einen Eilantrag (T-553/23) gestellt, um den Angemessenheitsbeschluss der Europäischen Kommission sofort auszusetzen. Dieser Antrag wurde abgewiesen. Anschließend folgte das Hauptsacheverfahren vor dem Europäischen Gericht (EuG). Nach der mündlichen Verhandlung am 01. April 2025 wurde schließlich am 03. September 2025 das Urteil verkündet (aktuell nur auf Französisch verfügbar):
Die Klage wurde abgewiesen.
Kernaussagen des Gerichts
- Prüfungsmaßstab: Das EuG stellte klar, dass die DSGVO kein identisches, sondern lediglich ein "im Wesentlichen gleichwertiges" Datenschutzniveau für Angemessenheitsbeschlüsse nach Art. 45 DSGVO fordert – und zwar bezogen auf den Zeitpunkt der Entscheidung für den Angemessenheitsbeschluss (Juli 2023).
- DPRC: Das neue Rechtsbehelfsgericht in den USA wurde trotz seiner Verankerung in der Exekutive als hinreichend unabhängig und effektiv eingestuft.
- Überwachung: Die Einschränkungen durch Executive Order 14086 und weitere US-Regelungen genügen nach Ansicht des Gerichts, um die Anforderungen an Verhältnismäßigkeit und Notwendigkeit zu erfüllen.
- Datensicherheit: Die Mechanismen für nach dem DPF selbstzertifizierte Unternehmen gelten als ausreichend, um die Vorgaben der DSGVO einzuhalten.
Latombe hat nun zwei Monate Zeit, gegen das Urteil des EuG Revision beim Europäischen Gerichtshof (EuGH) einzulegen. Sollte er diesen Weg gehen, ist mit einer Entscheidung des EuGH als höchstrichterlicher Instanz nicht vor Mitte 2027 zu rechnen. Wir müssen uns also noch etwas gedulden, ob der EuGH das Urteil des EuG in dem Fall bestätigt oder die vorgebrachten datenschutzrechtlichen Bedenken anders einschätzt.
Was bedeutet das Urteil für Website-Betreiber?
Das Urteil bringt vor allem eines: Bis auf Weiteres können Website-Betreiber darauf vertrauen, dass DPF-zertifizierte US-Dienste auf Basis des aktuellen Angemessenheitsbeschlusses weiterverwendet werden können.
Komplexe Alternativlösungen wie Standardvertragsklauseln oder der Rückgriff auf Art. 49 DSGVO für bestimmte Einzelfälle sind damit für gängige US-Services wie seit Mitte 2023 weiterhin nicht nötig. Beachte jedoch, dass, wenn US-Services Daten auch in anderen unsicheren Drittländern verarbeiten, solche Maßnahmen aufgrund der dortigen Datenverarbeitung weiterhin nötig sein können. Real Cookie Banner zeigt dir bei der Konfiguration von Services diese Notwendigkeit auf.
- Rechtssicherheit bleibt vorerst bestehen: Die Nutzung von US-Services, die nach dem DPF zertifiziert sind, kann weiterhin ohne zusätzliche Standardvertragsklauseln oder lange Textblöcke im Cookie Banner erfolgen.
- Keine Änderungen an bestehenden Einbindungen: Wer bereits US-Services wie Google, Meta oder Microsoft im Einklang mit dem DPF und ggf. mit nötigen Einwilligungen nutzt, muss auf seiner Website aktuell nichts anpassen.
- Vorsicht bei nicht-zertifizierten Anbietern: US-Services ohne DPF-Selbstzertifizierung bleiben weiterhin unsicher, es sei denn, es werden Standardvertragsklauseln oder andere angemessene Schutzmaßnahmen vereinbart.
Weitere Klage durch Max Schrems und noyb angekündigt
Die wohl bekannteste Figur in diesem Themenfeld ist der österreichische Jurist Max Schrems, Gründer der Datenschutzorganisation noyb. Er war es, der mit dem Verfahren "Schrems I" (2015) das Safe-Harbor-Abkommen und mit "Schrems II" (2020) das Privacy Shield vor dem EuGH zu Fall brachte.
Bereits kurz nach dem Inkrafttreten des DPF kündigte Schrems an, auch dieses Abkommen rechtlich angreifen zu wollen. In den Jahren 2023 und 2024 wurden entsprechende Beschwerden bei nationalen Datenschutzaufsichtsbehörden eingereicht, die später den Weg über nationale Gerichte und letztlich den EuGH nehmen können. Eine Klage bei Gericht konnte Schrems nach unserem Kenntnisstand bislang noch nicht einbringen, was vermutlich auch an der langen Verfahrensdauer Beschwerden an Datenschutzaufsichtsbehörden liegt. Diesen Weg hat er bereits bei vorherigen erfolgreichen Urteilen beschritten.
Nach dem Ausgang des Latombe-Verfahrens dürfte Schrems nun eine strategische Entscheidung treffen: Entweder er wartet die Revision zum EuGH ab, um seine Argumentationslinien daran auszurichten, oder er bringt parallel eigene Klagen voran. Klar ist, dass noyb weiter an der Kritik festhält – insbesondere an der Massenüberwachung in den USA und der nur eingeschränkt unabhängigen Kontrolle durch das DPRC.
Fazit: Vorläufige Entspannung, aber keine endgültige Lösung
Das Urteil des EuG bestätigt die Linie der Europäischen Kommission und verschafft Website-Betreibern vorerst Ruhe und Rechtssicherheit. Die Integration von US-Services bleibt damit für die kommenden Jahre praktikabel.
Politische Risiken durch die neue US-Regierung Trump, bestehende Schutzmaßnahmen zurückzufahren, sind hierbei nicht auszuschließen. Als Folge solcher Maßnahmen könnte die Europäische Kommission den Beschluss bei der nächsten turnusmäßigen Überprüfung (geplant 2027) anpassen oder sogar widerrufen lassen. Dieses Szenario gilt jedoch als unwahrscheinlich, da sowohl die USA als auch die Europäische Kommission z.B. wirtschaftliche Interessen daran haben, an dem Angemessenheitsbeschluss festzuhalten.
Langfristig bleibt das Risiko bestehen, dass der EuGH den Angemessenheitsbeschluss aufhebt. Spätestens 2027 wird es wieder spannend, wenn die nächste planmäßige Überprüfung des Angemessenheitsbeschlusses durch die Europäische Kommission oder eine mögliche EuGH-Entscheidung ansteht!