Der französische Abgeordnete Philippe Latombe wollte das Abkommen zwischen der EU und den USA zum Datentransfer, als Trans-Atlantic Data Privacy Framework (TADPF), mit einer Nichtigkeitsklage zu Fall bringen. Diese Klage wurde am 3. September 2025 vom Court of Justice of the European Union (CJEU), kurz Gericht der Europäische Union (EuG) abgewiesen.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Worum geht es beim EU-US-Datentransferabkommen?
Unter US-President Biden wurde das "Transatlantic Data Privacy Framework" (TADPF) mit der EU-Kommission etabliert. Die EU-Kommission sah unter dem Transatlantic Data Privacy Framework (TADPF) das Datenschutzniveau europäischer Bürger in den USA als gleichwertig mit den DSGVO-Regelungen an. Daher wurde ein Angemessenheitsbeschluss gefällt (siehe EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework ).
Firmen und Institutionen können sich auf das Transatlantic Data Privacy Framework (TADPF) berufen, wenn persönliche Daten von europäischen Bürgern durch entsprechend benannte US-Unternehmen in die USA transferiert und dort verarbeitet werden. Die gesamten Cloud-Lösungen samt Microsoft 365 basieren auf der Annahme, dass dieser Transfer nach dem TADPF rechtens ist.
Versuch einer Nichtigkeitsklage gescheitert
Datenschützer hegen Zweifel, dass das Transatlantic Data Privacy Framework (TADPF), welches auf US-Seite nur per Presidential Order in Kraft gesetzt wurde, wirklich mit den DSGVO-Regeln in der EU gleichwertig ist und europäische Bürger ihre Datenschutzrechte vor US-Stellen einfordern können. Ich hatte im Beitrag Bekommt EU-US-Datentransferabkommen Risse? ja angedeutet, dass der aktuelle US-Präsident das Abkommen mit einem Federstrich versenken kann.
Der französische Abgeordnete Philippe Latombe hatte vor, das Abkommen zwischen der EU und den USA, als Trans-Atlantic Data Privacy Framework (TADPF), mit einer Nichtigkeitsklage zu Fall bringen.
Die Nichtigkeitsklage nach Art. 263 AEUV ermöglicht es, die Rechtmäßigkeit von Handlungen der Unionsorgane und sonstigen Einrichtungen der EU zu überprüfen. Ziel ist es dabei, sekundäres Unionsrecht (wenn primäres Unionsrecht dadurch verletzt wurde) durch den EuGH (bzw. das EuG) für nichtig erklären zu lassen, vgl. Art. 264 I AEUV.
Philippe Latombe argumentierte in seiner Nichtigkeitsklage, dass der Data Protection Review Court (DPRC), den EU-Bürger in den USA wegen ihrer Datenschutzbelange anrufen können, weder unparteiisch noch unabhängig, sondern von der Exekutive abhängig sei. Darüber hinaus macht Herrn Latombe geltend, dass die Praxis der Geheimdienste dieses Landes, massenhaft personenbezogene Daten im Transit aus der Europäischen Union ohne vorherige Genehmigung eines Gerichts oder einer unabhängigen Verwaltungsbehörde zu erfassen, nicht ausreichend klar und präzise umrissen und daher rechtswidrig sei.
Der Court of Justice of the European Union (CJEU, oder EuG) hat sich mit diesem Fall befasst (Rechtssache T-553/23; Latombe gegen die EU-Kommission) und die Nichtigkeitsklage am 3. September 2025 abgewiesen. Der Hauptsatz der Entscheidung (PDF in deutsch) besagt:
Das Gericht weist eine Klage auf Nichtigerklärung des neuen Rahmens für die Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten
ab. Damit bestätigt sie, dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses der angefochtenen Entscheidung ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet haben, die aus der Europäischen Union an Organisationen in diesem Land übermittelt wurden.
In seiner Pressemitteilung zur Entscheidung zur Abweisung der Nichtigkeitsklage geht das Gericht auf die Entscheidungsgründe ein. Was die DPRC betrifft, stellt das Gericht unter anderem fest, dass aus den Akten hervorgeht, dass die Ernennung von Richtern in der DPRC und deren Funktionsweise mit mehreren Garantien und Bedingungen verbunden sind, um die Unabhängigkeit ihrer Mitglieder zu gewährleisten. Darüber hinaus dürfen Richter der DPRC nur vom Attorney General und nur aus wichtigem Grund entlassen werden, und der Attorney General und die Geheimdienste dürfen ihre Arbeit nicht behindern oder unzulässig beeinflussen.
Das Gericht stellt außerdem fest, dass die Kommission gemäß dem angefochtenen Beschluss verpflichtet ist, die Anwendung des Rechtsrahmens, auf dem dieser Beschluss beruht, kontinuierlich zu überwachen. Ändert sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen, kann die Kommission gegebenenfalls beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken. In Anbetracht dieser Erwägungen weist das Gericht den Klagegrund der mangelnden Unabhängigkeit der DPRC zurück.
Was zweitens die Massenerhebung personenbezogener Daten betrifft, weist das Gericht insbesondere darauf hin, dass Schrems II keinen Hinweis darauf enthält, dass diese Erhebung zwangsläufig einer vorherigen Genehmigung durch eine unabhängige Behörde unterliegen muss. Vielmehr geht aus diesem Schrems II-Urteil klar hervor, dass die Entscheidung, die eine solche Datensammlung genehmigt, zumindest einer nachträglichen gerichtlichen Überprüfung unterliegen muss. Im vorliegenden Fall geht aus den Akten hervor, dass nach US-amerikanischem Recht die von US-Geheimdiensten durchgeführten Aktivitäten der Signalaufklärung einer nachträglichen gerichtlichen Kontrolle durch die DPRC unterliegen.
Daher stellt das Gericht fest, dass nicht davon ausgegangen werden kann, dass die Massenerhebung personenbezogener Daten durch amerikanische Geheimdienste den diesbezüglichen Anforderungen von Schrems II nicht genügt oder dass das US-amerikanische Recht kein Rechtsschutzniveau gewährleistet, das dem durch das Unionsrecht garantierten im Wesentlichen gleichwertig ist.
Angesichts dieser Erwägungen weist das Gericht den Klagegrund hinsichtlich der Massenerhebung personenbezogener Daten zurück und weist die Klage daher insgesamt ab.
Die Implikationen und weiteren Entwicklungen
Zur Einordnung: Der Antragsteller wollte, dass das Europäische Gericht (EuG) den Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework auf Übereinstimmung mit dem EU-Recht überprüft. Hätte das EuG diesen Angemessenheitsbeschluss verworfen, wäre ein Datentransfer in die USA nicht mehr rechtsgültig gewesen.
Dieser Punkt wurde jetzt abgeräumt, bis auf weiteres können persönliche Daten von EU-Bürgern im Rahmen des EU-Angemessenheitsbeschlusses an zertifizierte Organisationen in die USA übermittelt werden, sofern alle entsprechenden Randbedingungen erfüllt sind (siehe auch meine Hinweise im Beitrag DSK-Anwendungshinweise zum EU-US Data Privacy Framework (DPF)).
Allerdings gilt in diesem Fall der alte Spruch "Nach dem Spiel ist vor dem Spiel". Das Gericht weist einmal darauf hin, dass die EU-Kommission den Status des US-Rechts überwachen und ggf. den EU-Angemessenheitsbeschluss aussetzen muss, wenn sich die bisherigen Voraussetzungen zum Negativen ändern. Wenn US-Präsident Trump also "die Axt" an das Abkommen oder dessen Institutionen legt (siehe Bekommt EU-US-Datentransferabkommen Risse?), können sich die Voraussetzungen ganz schnell ändern.
Weiterhin strebt Max Schrems mit Noyb eine wesentlich weitergehende Klärung des Angemessenheitsbeschlusses zum Transatlantik Data Transfer Framework an. In einer ersten Stellungnahme zum Urteil im Fall Philippe Latombe ist Schrems nicht überrascht von der Klageabweisung.
Laut Schrems hätte Latombes Anwaltsteam sich sich für eine relativ gezielte und eng gefasste Anfechtung des EU-US-Datenabkommens entschieden. Alles in allem scheinen die von Latombe vorgebrachten Punkte nicht ausreichend gewesen zu sein. Dies bedeutet jedoch nicht, dass eine erneute Anfechtung mit einer breiteren Palette von Argumenten und Beweisen nicht erfolgreich sein könnte.
Dazu sagt er: "Dies war eine eher eng gefasste Klage. Wir sind überzeugt, dass eine umfassendere Überprüfung des US-Rechts – insbesondere der Verwendung von Executive Orders durch die Trump-Regierung – zu einem anderen Ergebnis führen müsste. Wir prüfen derzeit unsere Optionen, um eine solche Klage einzureichen. Auch wenn die Europäische Kommission vielleicht ein weiteres Jahr gewonnen hat, fehlt es uns weiterhin an Rechtssicherheit für Nutzer:innen und Unternehmen."
Schrems merkt dazu an, dass (auf Basis der bisherigen EuG-Pressemitteilung) das Gericht massiv von der EuGH-Rechtsprechung abzuweichen scheint und auch bezüglich des US-Rechts nicht auf dem neuesten Stand zu sein scheine. Das Gericht vertrat z.B. die Ansicht, dass der neue "Data Protection Court of Review" (DPCR) unabhängig sei – obwohl eine solche Unabhängigkeit nur durch eine präsidiale Executive Order und nicht durch ein Gesetz garantiert ist. US-Präsident Trump entlasse derzeit sogar Leute deren Unabhängigkeit gesetzlich garantiert sei, schreibt Schrems. Schrems will das Urteil in den kommenden Tagen analysieren und in seiner eigenen Klage (Schrems III) berücksichtigen.
Politisch motiviertes Urteil?
The Register zitiert in diesem Artikel Tim Van Canneyt, Partner der europäischen Anwaltskanzlei Fieldfisher. Die Kanzlei ist auf die Unterstützung von Branchen wie dem Technologiesektor spezialisiert. Tim Van Canneyt meint, dass die Entscheidung des EuG wahrscheinlich politisch motiviert war.
"Hätte das Gericht die Angemessenheitsentscheidung der DPF aufgehoben, hätte dies – insbesondere von der Trump-Regierung – als bewusster Schritt der EU interpretiert werden können, um die wirtschaftlichen Interessen der USA zu untergraben." sagte Tim Van Canneyt The Register. Und weiter: "Das hätte die bereits schwelenden Spannungen rund um die digitale Regulierung der EU und deren wahrgenommene Auswirkungen auf amerikanische Technologieunternehmen weiter angeheizt, ganz zu schweigen von den laufenden Handelsgesprächen."
Van Canneyt sagte gegenüber The Register auch, dass er die Entscheidung des Gerichts (EuG) nicht als Abweichung von der Logik der Fälle Schrems I und II (EuGH) betrachte – wie Schrems weiter oben argumentiert. Er merkte an, dass zwar der rechtliche Standard derselbe bleibe, sich aber "die tatsächliche Lage weiterentwickelt habe". "Das heutige Urteil bietet ein gewisses Maß an rechtlicher Stabilität: Datenübermittlungen an US-Unternehmen im Rahmen des DPF können ohne Unterbrechung fortgesetzt werden", erklärte Van Canneyt. "Die langfristige Tragfähigkeit des Rahmens wird jedoch davon abhängen, wie sich die US-Aufsichtsmechanismen entwickeln." – und damit ist er wieder bei Max Schrems, der feststellt, dass sich die US-Aufsichtsmechanismen zum Negativen entwickeln.
Auch heise, die das Urteil bereits gestern hier angesprochen haben, verweisen auf einen LinkedIn-Post von Alexander Golland, Europarechtsexperte und Professor für Wirtschaftsrecht an der FH Aachen. Golland schreibt: "Dieses Rechtsmittel klingt nach Revision, ist es aber nicht: In gewissem Umfang prüft der EuGH auch den Rechtsfragen zugrundeliegende Tatsachen. Sofern Latombe also Rechtsmittel einlegt, kann der EuGH in Teilen über die bloße rechtliche Würdigung hinausgehen." Es bleibt also spannend.
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework
Entschließung des EU-Parlaments zum US-EU Framework (Mai 2023)
USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework
EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework
Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme
DSK-Anwendungshinweise zum EU-US Data Privacy Framework (DPF)
Deutsche Industrie warnt vor Ende des EU-US-Datentransfer-Abkommens
Bekommt EU-US-Datentransferabkommen Risse?
MVP: 2013 – 2016
Vorsicht ist geboten, denn es existieren 2 Instanzen des EUGH. Hier hat die 1. Instanz geurteilt, während Schrems I und II von der 2. Instanz gefällt wurden.
https://noyb.eu/en/eu-us-data-transfers-first-reaction-latombe-case
Das Urteil erscheint folgerichtig dem Kniefall der Leyen vor Trump. Richtig ist es damit noch lange nicht.
Bei Heise steht EuG, nicht EuGH. Das ist hier eventuell etwas durcheinandergekommen.
Ich habe es in der Erstfassung leider unsauber umschrieben, da es zwei Gerichte unter dem Oberbegriff "Court of Justice" der EU gibt (siehe auch Vorkommentar). Die gestrige Entscheidung ist vom "Gericht der Europäische Union" (EuG) ergangen. Kommt es zu einer Revision, wird diese vor dem Europäischen Gerichtshof (EuGH) verhandelt. Ich habe den Text entsprechend durchkorrigiert und hoffe, dass es jetzt korrekt ist – denn sachlich kommen beide Gerichte im Thema vor.
Die EU-Kommission und alle EU-Institutionen werden wohl alles für den Erhalt dieses Angemessenheitsbeschlusses tun, sie wollen selbst an alle Daten ran, ggf. über den transatlantischen Umweg…
Na ja, aus meiner Sicht sollte man das EuG-Urteil als Etappe sehen. Ich bin nicht unbedingt als Pro Data Privacy Framework verschrien, und kann verstehen, dass man aktuell bei der EU versucht, politisch nicht Öl ins Feuer zu gießen. Spannend werden zwei Sachen: Wenn der EuGH irgendwann den Fall (als Revision oder Schrems III) aufgreift und urteilt. Und wenn Trump anfängt, die Institutionen zu schlachten.
Noch viel spannender: Die Firmen sitzen weiterhin auf einem Risiko-Berg, dass das Transatlantic Data Transfer Framework irgendwann kassiert wird. Dann wird es richtig ekelig.
Das Urteil ist doch ein Gewinn für alle Datenschútzer denn es legt indirekt der Kommision Pflichten auf unter denen der aktuelle Zustand erlaubt ist.
Das vereinfacht jede neue Klage.
Wenn ich es nicht ganz falsch verfolgt habe, hat der EuGH schon bei Schrems II zu den Standardvertragsklauseln gesagt, dass bei Anwendung derer auch das _tatsächliche_ Schutzniveau sichergestellt sein muss – und das vom datenschutzrechtlich Verantwortlichem zu prüfen und sicherzustellen ist.
Sinngemäß gilt das sicherlich auch für den Angemessenheitsbeschluß, und da haben sich seit der Aussage des französichen Microsoft-Justiziars letztens vor dem französischem Ausschuß ja ganz neue belastbare Aussagen ergeben. Ich denke, diese Aussagen wird der EuGH bei einem erneuten Befassen mit dem Thema genüsslich auseinendernehmen. Das letzte Urteil ließ schon sehr deutlich durchblicken, dass 'Sicherheiten auf dem Papier' die Richter nicht interessieren, sondern echte Sicherheiten gefragt sind.
Nur können die Richter nicht von alleine tätig werden, dazu muss ein Fall vorliegen. Ich vermute mal vorsichtig, die Klage des Franzosen hatte nur den einen Zweck: Dem EuGH letztlich einen Fall zu geben, um tätig werden zu können.
Das Zitat am Ende sagt es ja schon: "Sofern Latombe also Rechtsmittel einlegt, kann der EuGH in Teilen über die bloße rechtliche Würdigung hinausgehen." Ich denke, genau in diese Richtung zielt die Sache, gerade in Kombination mit den oben genannten Aussagen des französischen MS-Justiziars, die ja belegen, dass real eben gerade kein gleiches Datenschutzniveau besteht.
Das Risiko sind die Firmen völlig freiwillig eingegangen. In meinen Augen nicht besonders weitsichtig, und datenschutzmäßig auch nur mit einem Feigenblatt gedeckt.
Wenn die nun voll auf die Nase fallen, wohingegen die, die von Anfang an richtigen Datenschutz gemacht haben, fein raus sind, ist das mindestens ausgleichende Gerechtigkeit. Vor allem, weil die obigen Firmen ja nach Schrems I und II es hätten wissen können.
Das einzige, was ich ekelig finde, ist die Ignoranz, wie mit der Sicherheit von Kundendaten umgegangen wird.
"sie wollen selbst an alle Daten ran". Die Alufolienpreise steigen gerade wieder ins ermessliche.
Warte einfach noch, mittelfristig dreht sich das Leben komplett um den jeweiligen Social Credit Score für die dann digital erfassten gläsernen EU Bürger, zentral bewertet für alles was geleist, gekauft, verbraucht, herumgefahren, gegessen usw. wird, ausgewertet über alle Daten in der dann alternativlosen Cloud und die Nutzungsdaten des digitalen Euro. Dahin geht die Reise, auch wenn sich manche hinter Alufolie vor der Realität verstecken wollen…