DPF bestätigt – was bedeutet das für EU-US-Datentransfers?
03.09.2025
Zusammenfassung
Das Europäische Gericht (EuG) hat eine Nichtigkeitsklage zum Data Privacy Framework abgelehnt.
2 Minuten Lesezeit
Das Europäische Gericht (EuG) hat heute in der Rechtssache T-553/23 Latombe/Kommission die Nichtigkeitsklage gegen das EU-US Data Privacy Framework (DPF) abgewiesen. Der Angemessenheitsbeschluss bleibt damit gültig, so dass Datentransfers in die USA weiter auf das DPF gestützt werden können.
In der Pressemitteilung wird betont, dass nach Ansicht des EuG der sogenannte „Data Protection Review Court (DPRC)“ in den USA als Anlaufstelle für Beschwerden für EU-Bürger hinreichend unabhängig ist: Die Ernennung und Abberufung seiner Richter sind mit Garantien versehen, der US-Generalstaatsanwalt und die Nachrichtendienste dürfen ihre Arbeit nicht behindern oder unzulässig beeinflussen. Außerdem wird das US-Rechtsregime fortlaufend von der EU-Kommission überwacht. Sollte sich der Rechtsrahmen ändern, kann die Kommission den Beschluss aussetzen, anpassen oder aufheben.
Chance: Erst einmal kurz Durchatmen!
Die Entscheidung verschafft kurzfristige Rechtssicherheit für transatlantische Datenflüsse, reduziert den Aufwand gegenüber Standardvertragsklauseln (insbesondere für KMU).
Risiko: Nichts bleibt für immer.
Ein mögliches Rechtsmittel und Änderungen im US-Rechtsrahmen bringen mittelfristige Unsicherheit, denn dann würde diese Grundlage neu bewertet.
Fazit: Ruhe bewahren, kontrollieren und Plan B.
Prüfen Sie, ob Ihre US-Partner DPF-zertifiziert sind (unter der Adresse https://www.dataprivacyframework.gov/list) und dokumentieren Sie dies. Behalten Sie Standardvertragsklauseln und Transfer Impact Assessments als Plan B bei, soweit noch vorhanden. – Außerdem sollten Sie sich regelmäßig informieren, ob die Grundlage noch aktuell ist.
