Nach Safe-Harbor - mit Privacy Shield alles bes…

Einordnung

Juli 2016 Datentransfer USA Privacy Shield

Einordnung und heutige Relevanz

Die Frage hinter diesem Beitrag ist bis heute aktuell: Unter welchen Voraussetzungen dürfen personenbezogene Daten in die USA übermittelt werden, und wie belastbar ist die jeweils genutzte Rechtsgrundlage im Streitfall? Für die laufende Einordnung solcher Konstellationen ist vor allem das Datenschutzrecht maßgeblich.

Update · Stand März 2026

Was sich seit dem ursprünglichen Beitrag verändert hat

Safe Harbor wurde 2015 durch den EuGH aufgehoben. Auch das Privacy Shield hielt später nicht stand: Der EuGH erklärte den Angemessenheitsbeschluss 2016/1250 am 16.07.2020 in der Rechtssache C-311/18 für unwirksam.

Seit dem 10.07.2023 gilt stattdessen der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework. Er erfasst Transfers an US-Organisationen, die auf der Data Privacy Framework List geführt werden; für andere Übermittlungen bleiben gesonderte Transferinstrumente erforderlich. Die Europäische Kommission veröffentlichte am 09.10.2024 die erste periodische Überprüfung des Frameworks, und die EDPB hält ergänzende Informationen für Unternehmen weiterhin aktuell.

Schneller Einstieg

Worum es hier geht

Der Beitrag ordnet die damalige Einführung des Privacy Shield nach dem Ende von Safe Harbor ein und fragt nach der versprochenen Rechtssicherheit für Unternehmen mit USA-Bezug.

Warum der Beitrag weiterhin interessant ist

Er zeigt sehr früh das Kernproblem internationaler Datentransfers: Neue Transfermechanismen helfen nur dann, wenn sie rechtlich tragfähig und organisatorisch sauber umgesetzt sind.

Ausgangslage und damalige Einordnung

Nachdem der EuGH in 2015 das medial viel beachtete „Safe-Harbor Urteil“ sprach ist nunmehr seit gestern, dem 12.07.2016 das sogenannte „Privacy Shield“ Abkommen in Kraft getreten.

Es stellt sich daher die Frage, was zukünftig konkret geschieht. Wird nun alles besser im Datenschutz?

Hintergrund ist das europäische Datenschutzrecht, welches für die Übermittlung von personenbezogenen Daten in Drittstaaten besondere Voraussetzungen aufstellt. Danach besteht ein "angemessenes Datenschutzniveau" grundsätzlich nur innerhalb der EU und dem Europäischen Wirtschaftsraum.

Für die USA galt seit 2002 eine Sonderregelung in Form des Safe-Harbor Abkommens, welches eben 2015 durch den EuGH gekippt wurde.

Die entsprechenden Vorgaben des EuGH in der Entscheidung von 2015 sollen nun im Nachfolgekonzept, dem sogenannten EU-US Privacy Shield berücksichtigt worden sein. Unter anderem enthält es klarere gesetzliche Grundlagen für einen Datenzugriff durch US-Behörden, konkrete Anforderungen an den Zweck, die Erforderlichkeit und die Verhältnismäßigkeit derartiger Eingriffe und geeignete Maßnahmen gegen Missbrauch und unbefugte Zugriffe vor. Außerdem können sich in Zukunft auch EU-Bürger bei Behörden und Gerichten und insbesondere bei einer neu geschaffenen unabhängigen Beschwerdestelle über den Umgang mit ihren personenbezogenen Daten beschweren.

Bürgerrechts- und Datenschutzorganisationen bemängeln dennoch, dass die Überwachungsgesetze in den USA selbst entweder gar nicht oder nur unwesentlich geändert wurden. Auch bleibt weitestgehend unklar, wie auf etwaige Gesetzesänderungen den USA überhaupt effektiv reagiert werden soll. Das Abkommen ist nun geschlossen, aber was passiert, wenn die Vereinigten Staaten ihre Gesetze wiederum in einer Form ändern oder anpassen, dass diese zukünftig überhaupt nicht mehr mit der jetzigen Regelung konform gehen? Es erscheint daher nur eine Frage der Zeit zu sein bis auch das Privacy Shield gerichtlich überprüft wird.

Für datenverarbeitende Unternehmen in der EU bringt das Abkommen somit weiterhin keine Planungssicherheit. Die erhoffte Rechtssicherheit ist ausgeblieben.

Praktische Einordnung für Unternehmen

Auch heute entscheidet sich die Belastbarkeit eines USA-Transfers nicht an der Bezeichnung des jeweiligen Mechanismus, sondern an der konkreten Transferarchitektur und ihrer Umsetzung im Unternehmen.

Entscheidend ist zunächst, welche Daten tatsächlich in die USA übermittelt werden und welche Empfänger daran beteiligt sind.
Ebenso wichtig ist die saubere Prüfung, ob ein tragfähiger Transfermechanismus greift oder ob ergänzende vertragliche und organisatorische Maßnahmen erforderlich sind.
In streitigen Konstellationen kommt es regelmäßig auf die belastbare Dokumentation gegenüber Aufsichtsbehörden und Gerichten an.
Daneben bleiben interne Prozesse, Beschwerdewege und Mitarbeiterschulungen ein praktischer Schlüssel, um Datenschutzrisiken nicht nur formal, sondern auch operativ zu beherrschen.

Was davon heute fortgilt

Rechtssicherheit bleibt eine Umsetzungsfrage

Der Kern dieses Beitrags ist weiterhin tragfähig: Internationale Datenübermittlungen in die USA verlangen eine nüchterne Prüfung der Rechtsgrundlage und der tatsächlichen Zugriffssituation. Für die laufende datenschutzrechtliche Einordnung solcher Konstellationen ist der vertiefende Blick ins Datenschutzrecht der richtige Ausgangspunkt.

Geht es konkreter um Drittlandübermittlungen, Standardvertragsklauseln und die operative Prüfung von Transferstrukturen, führt die präzisere Vertiefung über Drittlandübermittlungen, SCC und TIA weiter.

Offizielle Quellen und Vertiefung

EuGH, Urteil vom 06.10.2015, C-362/14 Safe Harbor
EuGH, Urteil vom 16.07.2020, C-311/18 Privacy Shield / Schrems II
Europäische Kommission, 10.07.2023 Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework
Europäische Kommission und EDPB erste periodische Überprüfung · Informationen zu Transfers in die USA

Wird nach dem Safe-Harbor Urteil mit Privacy Shield alles besser?

Rechtsanwalt Andreas Buchholz

Nach Safe-Harbor - mit Privacy Shield alles besser?

Andreas Buchholz