Viele Datenschützer, Behörden und auch Unternehmen stellen sich die Frage, wie rechtssicher das Data Privacy Framework als Grundlage für den Datentransfer in die USA noch ist, seitdem der Regierungswechsel in den USA zu Trumps Gunsten entschieden wurde.
Das übergeordnete Ziel des Data Privacy Frameworks (DPF) ist es, den sicheren Datenaustausch zwischen der EU und den USA zu gewährleisten. Doch genau daran bestehen mittlerweile viele Zweifel, da sich nach dem Amtsantritt der „Trump-Regierung“ viele Umstrukturierungen in Ämtern und Gremien ergeben haben, die auch für das DPF relevant sind.
Aus diesem Grund hatte der französische Abgeordnete Philippe Latombe eine Klage beim Gericht der Europäischen Union (EuG) eingereicht, mittels der er den Angemessenheitsbeschluss der EU-Kommission für ungültig erklären lassen wollte. Zum einen führte Herr Latombe dafür als Begründung an, dass der mit der Überprüfung von Datenschutzbeschwerden betraute Data Protection Review Court (DPRC) nicht länger unparteiisch und unabhängig sei, was für ein solches Gremium zwingend notwendig sei. Zum anderen kritisierte Herr Latombe die zu weitreichenden Überwachungen durch die US-Regierung. Noch immer sei es übliche Praxis bei US-Nachrichtendiensten Sammelabrufe von personenbezogenen Daten anzufordern, die im Vorfeld nicht hinreichend gerichtlich oder administrativ geprüft wurden. Seiner Meinung nach kann unter den derzeitigen Bedingungen von keinem angemessenen Datenschutzniveau in den USA ausgegangen werden.
Das EuG hat Herrn Latombe in seinem Urteil vom 03.09.2025 (T-533/23) kein Recht gegeben und kam stattdessen zum Ergebnis, dass europäische Unternehmen auch weiterhin personenbezogene Daten in die USA übermitteln dürfen, insofern das jeweilige US-Unternehmen nach dem Data Privacy Framework zertifiziert ist.
Das letzte Wort scheint aber in dieser Thematik (wie immer) noch nicht gesprochen zu sein, da abzuwarten bleibt, ob das Urteil in einer möglichen nächsten Instanz bestehen bleibt.
Quellenangabe:
- Artikel „Data Privacy Framework: EU-Gericht weist Klage ab“, abgerufen am 09.10.2025 unter: https://www.dr-datenschutz.de/data-privacy-framework-eu-gericht-weist-klage-ab/
Autorin:
Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)