{"id":243079,"date":"2025-09-08T11:02:08","date_gmt":"2025-09-08T09:02:08","guid":{"rendered":"https:\/\/devowl.io\/?post_type=blog&p=243079"},"modified":"2025-09-08T11:02:08","modified_gmt":"2025-09-08T09:02:08","slug":"dpf-ruling-gc-latombe-data-transfer-usa","status":"publish","type":"blog","link":"https:\/\/devowl.io\/de\/datenschutz\/dpf-urteil-eug-latombe-datentransfer-usa\/","title":{"rendered":"EuG best\u00e4tigt DPF: US-Datentransfers bleiben vorerst sicher"},"content":{"rendered":"

Im Juli 2023 berichteten wir bereits ausf\u00fchrlich \u00fcber die Einf\u00fchrung des Trans-Atlantic Data Privacy Framework<\/a> (TADPF; mittlerweile meist DPF benannt) und die dadurch geschaffene neue Rechtsgrundlage f\u00fcr Datenverarbeitung in den USA. Rund zwei Jahre sp\u00e4ter, gibt es eine erste wichtige gerichtliche Entscheidung, die die Zukunft des Abkommens ma\u00dfgeblich beeinflussen k\u00f6nnte.<\/p>\n

In diesem Beitrag fassen wir die aktuelle Lage zusammen, erl\u00e4utern die Entscheidung des Europ\u00e4ischen Gerichts (EuG) vom 03. September 2025 zu Rechtssache T-553\/23, eingebracht von Philippe Latombe, und zeigen auf, was Website-Betreiber jetzt wissen m\u00fcssen.<\/p>\n

Warum das TADPF so wichtig ist<\/h2>\n

Mit dem TADPF konnte die Europ\u00e4ische Kommission im Juli 2023 ein neues Abkommen zur datenschutzrechtlichen Angemessenheit mit den USA schlie\u00dfen. Nach dem Scheitern von \"Safe Harbor\" (2015)<\/a> und dem \"Privacy Shield\" (2020)<\/a> brachte dieses Abkommen f\u00fcr Website-Betreiber und Unternehmen eine dringend ben\u00f6tigte Rechtssicherheit in Bezug auf Datentransfer zwischen der EU und den USA.<\/p>\n

Das Datenschutzniveau der USA im Sinne der EU-Standards galt als nicht angemessen, weil Sicherheits- und Nachrichtendienste weitreichende Zugriffe auf personenbezogene Daten \u2013 auch von EU-B\u00fcrgern \u2013 vornehmen k\u00f6nnen, gest\u00fctzt u. a. auf die FISA Section 702 (50\u00a0U.S.C.\u00a0\u00a7\u00a01881a)<\/a>, w\u00e4hrend Nicht-US-B\u00fcrger nur eingeschr\u00e4nkte Rechtsbehelfe haben (sich rechtlich dagegen wehren k\u00f6nnen). Zus\u00e4tzlich erlaubt der CLOUD Act (\u00c4nderungen am Stored Communications Act, 18\u00a0U.S.C.\u00a0\u00a7\u00a02713)<\/a> US-Beh\u00f6rden den Zugriff auf Daten von US-Unternehmen, selbst wenn diese Daten in Rechenzentren au\u00dferhalb der USA liegen \u2013 etwa wenn Microsoft Daten von europ\u00e4ischen Kunden in Azure-Rechenzentren innerhalb der EU speichert. Diese Defizite bewertete der EuGH in dem Urteil \"Schrems II\"<\/a> als unvereinbar mit EU-Standards.<\/p>\n

Die USA verpflichteten sich durch die Executive Order 14086<\/a> (pr\u00e4sidialer Erlass, der von amtierenden US-Pr\u00e4sidenten ein- und ausgesetzt werden kann) und erg\u00e4nzenden Vorgaben im Oktober 2022 unter Joe Biden, den Zugriff ihrer Geheimdienste auf personenbezogene Daten von EU-B\u00fcrgern st\u00e4rker einzuschr\u00e4nken und neue Rechtsbehelfe einzuf\u00fchren. Dazu z\u00e4hlt insbesondere das Data Protection Review Court (DPRC) als unabh\u00e4ngige Beschwerdeinstanz. Dies erm\u00f6glichte den Erlass des aktuell geltenden Angemessenheitsbeschlusses gem\u00e4\u00df Art. 45 DSGVO<\/a> der Europ\u00e4ischen Kommission f\u00fcr die USA und Website-Betreiber konnten US-Services endlich wieder rechtssicher auf Basis des Angemessenheitsbeschlusses einsetzen.<\/p>\n

Klage von Philippe Latombe: EuG best\u00e4tigt Angemessenheitsbeschluss<\/h2>\n

Der franz\u00f6sische Abgeordnete Philippe Latombe hatte kurz nach Inkrafttreten des DPF im Oktober 2023 einen Eilantrag (T-553\/23<\/a>) gestellt, um den Angemessenheitsbeschluss der Europ\u00e4ischen Kommission sofort auszusetzen. Dieser Antrag wurde abgewiesen. Anschlie\u00dfend folgte das Hauptsacheverfahren vor dem Europ\u00e4ischen Gericht (EuG). Nach der m\u00fcndlichen Verhandlung am 01. April 2025 wurde schlie\u00dflich am 03. September 2025 das Urteil verk\u00fcndet<\/a> (aktuell nur auf Franz\u00f6sisch verf\u00fcgbar):<\/p>\n

Die Klage wurde abgewiesen.<\/p>\n

Kernaussagen des Gerichts<\/h3>\n