Das Urteil des Europäischen Gerichts (EuG) vom 3.9.2025 in der Rechtssache Latombe (T-553/23, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:62023TJ0553) ist von manchen Kommentatoren und auch von einzelnen Datenschutzbehörden in Europa als ein Gewinn für die Rechtssicherheit bezeichnet worden. Diese Bewertung ist kritisch zu hinterfragen.
Zum einen schon aus verfahrensrechtlichen Gründen: Das Europäische Gericht hat in erster Instanz die Nichtigkeitsklage des Mitglieds der französischen Nationalversammlung Philippe Latombe gegen die Entscheidung der Europäischen Kommission (EU 2023/1795) abgewiesen, mit der den Vereinigten Staaten von Amerika nach Abschluss des Transatlantic Data Privacy Framework (TDPF) mit der Europäischen Union ein angemessenes Datenschutzniveau im Sinne der DSGVO attestiert wurde. Der unterlegene Kläger kann dieses Urteil vor dem Europäischen Gerichtshof angreifen, der bereits zweimal mit den Urteilen in den Rechtssachen Schrems I und II Vorgängervereinbarungen zwischen der EU und den USA als rechtswidrig kassiert hatte. Zwar hat der EuGH in diesen Entscheidungen stets betont, dass das Datenschutzniveau in einem außereuropäischen Drittland nicht identisch mit dem in der EU sein muss, sondern nur „im wesentlichen gleichwertig“. Diesen Massstab hat das Europäische Gericht jetzt auf die Angemessenheitsentscheidung der Kommission von 2023 angewandt und keine Nichtigkeitsgründe festgestellt. Dabei hat das EuG verfahrensrechtlich korrekt und zugleich im Interesse des judicial self-restraint die Rechts- und Tatsachenlage bei Erlass dieser Kommissionsentscheidung – also vor dem Amtsantritt der zweiten Trump-Administration – zugrundegelegt. Ob der EuGH die Bewertung der Vorinstanz auch nach den Entwicklungen seit 2023 aufrechterhalten wird, ist mehr als zweifelhaft.
Eine wesentliche Schwäche des TDPF bestand von Anfang an darin, dass wesentliche Sicherungen der Betroffenenrechte in den USA. insbesondere der Rechtsschutz, auf Executive Orders des Präsidenten und nicht auf vom Kongreß beschlossenen Gesetzen beruhte. Was das bedeutet, zeigt sich nach dem erneuten Amtsantritt von Präsident Trump: die demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) wurden entlassen, dieses Gremium, das die Datenverarbeitung durch US-Geheimdienste überwachen soll, ist seitdem funktionsunfähig. Die Rechtmäßigkeit der Abberufung der PCLOB-Mitglieder durch den Präsidenten wird derzeit streitig vor US-Gerichten verhandelt.
Zum anderen wird deshalb schon länger gefordert, dass die Europäische Kommission ihre eigene Entscheidung, den Datenschutz in den USA als angemessen zu qualifizieren, überprüft. Auch das Urteil des EuG vom 3.9.2025 könnte man als kaum verhüllte Aufforderung der Richter an die Unionsexekutive in diese Richtung verstehen. Selbst wenn also der EuGH die Entscheidung der Vorinstanz bestätigen sollte, was wenig wahrscheinlich ist, muss die Europäische Kommission die Angemessenheitsentscheidung von 2023 überprüfen und aufheben, wenn die US-Regierung nicht kurzfristig wirksamen Rechtsschutz für Unionsbürger in den USA garantiert.
Vor diesem Hintergrund kann keine Rede davon sein, dass beim Datenexport aus der Europäischen Union in die USA seit dem 3.9.2025 alles klar ist.
Dr. Alexander Dix