Wie der EU-Gerichtshof die DSGVO nachschärft

Im September 2025 hat die Datenschutzwelt gebannt nach Luxemburg geschaut. Gleich drei wegweisende Entscheidungen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) standen beim Gerichtshof der Europäischen Union (Court of Justice of the European Union, CURIA) an, dem mehrgliedrigen Gerichtssystem der EU. Gebannt deshalb, weil die dortigen Rechtsauslegungen die teils unscharfen EU-Datenschutzvorschriften mit Leben füllen und für die Gerichte der Mitgliedsstaaten als sakrosankt gelten.

Los ging es am 3. September mit dem „Latombe“-Urteil (Az. T-553/23). Phillippe Latombe, ein Abgeordneter der französischen Nationalversammlung, hatte Ende 2023 eine Nichtigkeitsklage gegen die EU-Kommission eingereicht. Derlei Klagen verhandelt nicht der Europäische Gerichtshof (EuGH), sondern nur die zweithöchste Instanz, das Europäische Gericht (EuG) – so auch in diesem Fall.

Latombe wollte mit seiner Organklage den im Juli 2023 verabschiedeten Angemessenheitsbeschluss zu Fall bringen, der nach Art. 45 DSGVO die Rechtsgrundlage für Datentransfers zwischen EU- und US-Unternehmen bildet. Der Beschluss war zustande gekommen, weil die damalige US-Regierung von Präsident Joe Biden im Oktober 2022 mit dem „Trans-Atlantic Data Privacy Framework“ (TADPF) neue Schutzmechanismen für Daten europäischer Bürger in den USA installiert hatte. Allerdings hatte Biden diese Mechanismen nicht mit einem Gesetz abgesichert, sondern lediglich per präsidialem Dekret erlassen.

Das war die Leseprobe unseres heise-Plus-Artikels „Wie der EU-Gerichtshof die DSGVO nachschärft“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.