Ein neues Kapitel im transatlantischen Datenschutz: Das Gericht der Europäischen Union (EuG) hat die Klage eines französischen Abgeordneten gegen den aktuellen Angemessenheitsbeschluss für die USA abgewiesen. Für Verbraucher und Unternehmen bedeutet das vorläufige Rechtssicherheit beim Datentransfer über den Atlantik. Doch wie solide ist dieser neue Rahmen tatsächlich – und was bedeutet das Urteil für den Alltag von Unternehmen?
Gericht bestätigt neuen Datenschutzrahmen
Im aktuellen Urteil des Gerichts der Europäischen Union (EuG) vom 3. September 2025 wurde der Angemessenheitsbeschluss der EU-Kommission zur Datenübertragung in die USA bestätigt. Die EU hatte diesen Beschluss im Juli 2023 gefasst, nachdem die US-Regierung eine Reihe datenschutzrelevanter Reformen verkündet hatte – darunter die Einrichtung eines unabhängigen Prüfgerichts für Datenschutzbeschwerden europäischer Bürger, dem sogenannten „Data Protection Review Court“.
Der französische Kläger, Europaabgeordneter Philippe Latombe, hatte an der Unabhängigkeit dieses Gerichts Zweifel geäußert und kritisierte außerdem die weitreichenden Befugnisse der US-Nachrichtendienste bei der Sammlung personenbezogener Daten. Doch das EuG konnte diesen Bedenken nicht folgen. Die Richter kamen zu dem Schluss, dass die institutionellen Schutzmechanismen in den USA seit dem Erlass des Präsidialdekrets 2022 hinreichend seien, um den Anforderungen des europäischen Datenschutzrechts zu genügen (Az. T-553/23).
Historischer Hintergrund: Von Safe Harbor bis Privacy Shield
Bereits in der Vergangenheit hatten europäische Gerichte zwei frühere Datenschutzabkommen mit den USA gekippt – Safe Harbor im Jahr 2015 und Privacy Shield im Jahr 2020. Der Europäische Gerichtshof (EuGH) bemängelte jeweils unzureichende Schutzvorkehrungen für europäische Nutzerdaten und sah besonders bei der Kontrolle durch Nachrichtendienste gravierende Defizite.
Daraufhin mussten Unternehmen auf sogenannte Standardvertragsklauseln oder zusätzliche, oftmals komplexe Prüfsysteme ausweichen. Diese Ersatzlösungen bedeuteten für viele Betriebe nicht nur einen erheblichen Verwaltungsaufwand, sondern auch eine andauernde Rechtsunsicherheit.
Neuer Rahmen mit verbessertem Prüfmechanismus
Im Oktober 2022 versuchte die US-Regierung, einen Neustart des Abkommens zu schaffen. Ein Dekret von Präsident Joe Biden verpflichtete Geheimdienste zu mehr Zurückhaltung beim Datenzugriff. Ergänzend wurde der „Data Protection Review Court“ geschaffen – ein neutrales Gremium, das Beschwerden europäischer Bürger prüfen soll.
Die EU-Kommission beurteilte diese Reformen als ausreichend, um ein im Sinne der Datenschutz-Grundverordnung (DSGVO) vergleichbares Schutzniveau herzustellen. Der neue Angemessenheitsbeschluss erlaubt daher wieder den rechtssicheren Transfer personenbezogener Daten in die USA – ohne den Einsatz zusätzlicher vertraglicher Sicherungsinstrumente.
Kritik bleibt – aber das Gericht hält dagegen
Philippe Latombe kritisierte, das neue Gericht sei lediglich Teil der US-Exekutive und könne nicht unabhängig entscheiden. Doch nach Auffassung des EuG bestehen klare institutionelle Vorkehrungen, um eben diese Unabhängigkeit zu gewährleisten. So können Richter etwa nur aus gewichtigen Gründen abberufen werden, und der Einfluss politischer Stellen auf das Verfahren sei begrenzt.
Auch bezüglich der Sammelerhebung durch US-Dienste urteilte das Gericht deutlich: Zwar sei eine vorausgehende Genehmigung durch eine unabhängige Stelle nicht zwingend vorgeschrieben – wohl aber müsse eine nachgelagerte gerichtliche Kontrolle möglich sein. Und genau diese biete der neue Datenschutzgerichtshof.
Ein dynamischer Beschluss – mit Anpassungspflicht für die EU
Wichtig ist zudem, dass der Angemessenheitsbeschluss nicht starr bleibt. Die EU-Kommission ist verpflichtet, laufend zu beobachten, ob sich die tatsächlichen Datenschutzstandards in den Vereinigten Staaten verändern. Sollte sich das Datenschutzniveau verschlechtern, könnte der Beschluss geändert, ausgesetzt oder aufgehoben werden. So soll gewährleistet werden, dass europäische Standards dauerhaft gewahrt bleiben.
Was bedeutet das für Unternehmen und Verbraucher?
Für Unternehmen im Raum Rheinstetten, ganz Baden-Württemberg und der EU bedeutet das Urteil zunächst einmal Erleichterung: Der Datentransfer in die USA kann weiterhin ohne zusätzliche Formvorgaben erfolgen, solange der Angemessenheitsbeschluss Bestand hat. Die administrative Entlastung im Geschäftsalltag ist deutlich spürbar, vor allem für kleinere und mittlere Unternehmen, die sich keine aufwendige rechtliche Zusatzprüfung leisten können.
Doch die endgültige Sicherheit bleibt aus. Beobachter und Datenschutzorganisationen wie „noyb“ (von Datenschutzaktivist Max Schrems) haben bereits weitere Verfahren angekündigt. Außerdem basiert der Fortschritt in den USA derzeit nur auf einem Dekret des Präsidenten – ein Regierungswechsel könnte diesen Rahmen wieder aufbrechen.
Fazit:
Das Urteil bringt kurzfristig Klarheit, dauerhaftes Vertrauen in den neuen Datenschutzrahmen zwischen der EU und den USA wird sich aber erst mit der Zeit entwickeln. Unternehmen sollten daher aufmerksam bleiben und Entwicklungen im Datenschutzrecht weiterhin im Blick behalten.
Unser Tipp: Wenn Sie Beratungsbedarf zum sicheren Datentransfer oder zur Einhaltung der DSGVO haben – etwa bei internationalen Geschäftsbeziehungen oder Website-Betrieb – unterstützen wir Sie gerne. Als Kanzlei mit Schwerpunkt Datenschutzrecht in der Region Rheinstetten beraten wir Verbraucher und Unternehmen kompetent und verständlich.