Der Europäische Gerichtshof hat entschieden, dass die Übermittlung von personenbezogenen Daten in die USA rechtswidrig ist, wenn dies auf Basis des „Privacy Shield“ erfolgt. Was ist also von Unternehmen zu tun, die davon betroffen sind?
Mit dem EuGH-Urteil vom 16. Juli 2020 (C-311/18) wurde die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten für rechtswidrig erklärt, wenn dies auf Basis des „Privacy Shield“ erfolgt. Gleichzeitig wurde ein zweites, weitverbreitetes Instrument der Absicherung der Datenübermittlung, die EU-Standardvertragsklauseln, in Frage gestellt.
Wieder einmal Schrems: Der österreichische Jurist und Datenschutzaktivist beschäftigt seit Jahren Facebook und die europäischen Gerichte. Hatte er sich zunächst in einem Verfahren gegen das sog. Safe-Harbor-Abkommen gewandt und dieses zu Fall gebracht (EuGH vom 6. Oktober 2015, C-362/14 – Schrems), so wurde nun das seitens der EU-Kommission eilig zusammengezimmerte Nachfolgeabkommen „Privacy Shield“ für unwirksam befunden. Vor allem aber befasste sich der EuGH mit einer weiteren Möglichkeit der Absicherung von EU/US-Datenübermittlungen: Die sogenannten Standardvertragsklauseln. Diese wurden zwar nicht als ungültig angesehen, das Gericht zeigte aber deutliche Grenzen auf, die in der Praxis nur schwer einzuhalten sein dürften.
Über den Autor
Sven Schlotzhauer ist Fachanwalt für IT-Recht und Partner der Sozietät von BOETTICHER in München. Er berät regelmäßig US-amerikanische Cloud-Computing-Anbieter oder Plattform-Betreiber und ist auf Fragen des IT-Rechts, des E-Commerce und des Datenschutzrechts spezialisiert.
Sven Schlotzhauer, Fachanwalt für IT-Recht und Partner der Sozietät von BOETTICHER
Stellt sich im Unternehmen die Frage einer Datenübermittlung in die USA oder in das Nicht-EU-Ausland allgemein, dann sind seit jeher zwei Fragen zu untersuchen:
Gibt es eine Rechtfertigung für die Datenübermittlung als solche und werden die Vorgaben der DSGVO dabei eingehalten?
Herrscht bei dem Empfänger ein angemessenes Datenschutzniveau?
Um letzteres abzusichern gibt es grundsätzlich verschiedene Wege. Für einige Länder wurde die Angemessenheit des Datenschutzniveaus seitens der EU-Kommission durch Beschluss festgestellt. Ungeachtet eines nicht ausreichenden Datenschutzniveaus im Empfängerland kann eine Datenübermittlung erfolgen, wenn eine Ausnahme einschlägig ist, wenn zum Beispiel der Betroffene der Datenübermittlung in das Zielland (freiwillig) zugestimmt hat. Weiter kann eine Datenübermittlung ausnahmsweise erfolgen, wenn diese für eine Vertragserfüllung erforderlich ist - beispielsweise bei der Buchung einer Reise, bei der im Zielland von der Einreisebehörde und dem Hotel die Daten des Reisenden verarbeitet werden.
Die Entscheidung
Es war absehbar, dass das „Privacy Shield“ genannte Abkommen vor dem EuGH keinen Bestand haben würde. In der Praxis wurde daher von anwaltlicher Seite seit langem davon abgeraten, die Angemessenheit der Datenübermittlung auf dieses Rechtsinstrument zu stützen. Mittel der Wahl war ein von der Kommission vorgestellter Standardvertrag, die sogenannten Standardvertragsklauseln. Diese hatten aus Sicht der Anwender den Charme, dass der Text grundsätzlich nicht verändert werden durfte, wenn man nicht seine Wirksamkeit gefährden wollte. Es gab also keinen Raum für lange Verhandlungen.
Der EuGH entschied nun, dass die Gültigkeit der Standardvertragsklauseln davon abhängt, ob diese „wirksame Mechanismen“ enthalten, die es in der Praxis ermöglichen, die Einhaltung des vom EU-Recht geforderten Schutzniveaus zu gewährleisten. Der EuGH entschied weiter, dass es Sache eines in der EU ansässigen für die Verarbeitung Verantwortlichen ist, von Fall zu Fall zu prüfen, ob das Recht des Ziellands nach EU-Recht einen angemessenen Schutz personenbezogener Daten gewährleistet, indem er erforderlichenfalls zusätzliche Garantien zu den von den Standardvertragsklauseln angebotenen vereinbart.
Das Problem: Im Fall der Übertragung in die USA stützte der EuGH die Unrechtmäßigkeit des „Privacy Shield“ gerade auf Defizite bei der Verhältnismäßigkeit und beim Rechtsschutz aufgrund zwingenden US-Rechts. So ließen die US-amerikanischen Regelungen keine Einschränkung der Überwachungsprogramme oder Garantien für Ausländer erkennen. Einige Regelungen verliehen keinerlei gegenüber den amerikanischen Behörden gerichtlich durchsetzbaren Rechte. Ein Präsidialdekret, auf das die Überwachung gestützt wird, unterfalle überhaupt keiner gerichtlichen Kontrolle. Insgesamt, so der EuGH, gebe es keine wirksamen Rechtsbehelfe gegen die Überwachungsmaßnahmen, wie es die DSGVO (Art. 45 Abs. 2a) jedoch erfordere.
Zweifel an der Entscheidung
Die Rechtsprechung des EuGH erscheint hier wie von einem anderen Stern: Während die EU allen Mitgliedsländern (also auch denjenigen mit massiven rechtsstaatlichen Defiziten) pauschal ein angemessenes Datenschutzniveau bescheinigt, spricht man dies den USA ebenso pauschal aufgrund der dortigen Geheimdienstaktivitäten ab.
Gerade die Aktivitäten von Nachrichtendiensten und fehlende Rechtsbehelfe hiergegen sind jedoch kein taugliches Argument. Denn die Aktivitäten einiger EU-Mitglieder dürften hier durchaus vergleichbar sein. Dem Autor ist bekannt, dass deutsche High-Tech-Unternehmen seitens deutscher Nachrichtendienste dezidiert vor den Wirtschaftsspionageaktivitäten eines französischen Geheimdienstes gewarnt wurden. Zudem hat das Bundesverfassungsgericht dem Bundesnachrichtendienst erst vor kurzem ins Stammbuch geschrieben, dass die Überwachung der Telekommunikation von Ausländern im Ausland an die Grundrechte des Grundgesetzes gebunden ist und nach der derzeitigen Ausgestaltung der Ermächtigungsgrundlagen gegen das Telekommunikationsgeheimnis und die Pressefreiheit verstößt. Anders ausgedrückt: Das schrankenlose Abschöpfen von Daten bei ausländischen Journalisten durch den BND im Ausland ist entgegen bisheriger Gewohnheiten nicht möglich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auch das Argument des fehlenden Rechtsbehelfs in den USA führt nicht weiter: Denn die überlange Verfahrensdauer in einigen EU-Mitgliedsstaaten dürfte faktisch bedeuten, dass dort eine Rechtsdurchsetzung ebenfalls unmöglich ist. In der Praxis machen die von einer Datenverarbeitung Betroffenen von Rechtsbehelfen gegen einen Datenzugriff praktisch keinen Gebrauch.
Angesichts dieser Inkonsistenzen erscheint es durchaus verwegen, mit dem Finger allein auf US-amerikanische Praktiken zu zeigen.
Konsequenzen aus dem Urteil
In ersten Reaktionen wurde geschrieben, der EuGH schneide die EU vom Internet ab. Ganz so ist es sicher nicht. Zunachst einmal sollte untersucht werden, ob die Übermittlung von personenbezogenen Daten in die USA tatsächlich erforderlich. Möglicherweise kann die Datenverarbeitung innerhalb der EU (zum Beispiel allein durch eine Tochtergesellschaft des US-Unternehmens) stattfinden. Bei vielen Wartungsverträgen, die einen Remotezugriff des Anbieters vorsehen, kann geprüft werden, ob wirklich auf die Datenbank des Nutzers mit den Produktivdaten zugegriffen werden muss oder ob Wartungsmaßnahmen nicht auch ohne diesen Zugriff erfolgen können.
Eine weitere Möglichkeit wäre die Anonymisierung personenbezogener Daten. Diese würde dazu führen, dass die DSGVO nicht zur Anwendung kommt. Dieses Mittel wird jedoch gerade bei internationalen Konzernen mit ihren Matrixstrukturen über Ländergrenzen hinweg selten umzusetzen sein.
Desweiteren bieten einige Cloud-Dienste eine Verschlüsselung an, die bewirkt, dass weder der Cloud-Anbieter noch Dritte tatsächlich auf die Inhalte zugreifen können. Eine solche Verschlüsselung kann ebenfalls bewirken, dass das Datenschutzrecht von vornherein keine Anwendung findet und dementsprechend die „Übermittlung“ auch nicht den oben genannten Regelungen unterliegt.
Eine weitere Alternative kann der Abschluss der genannten Standardvertragsklauseln mit weiteren Garantien sein. Das EuGH-Urteil besagt jedoch, dass die zuständigen Aufsichtsbehörden Datentransfers ungeachtet des Vorhandenseins der Klauseln ab sofort für unzulässig erklären und untersagen müssen, wenn sie die Garantien nicht für ausreichend halten. Einige Aufsichtsbehörden sehen es in ihren ersten Stellungnahmen weiter als möglich an, die Standardvertragsklauseln zu nutzen. Sie raten aber dazu, im Einzelnen zu prüfen, welchen Gesetzen der Datenempfänger in den USA in der speziellen Geschäftsbeziehung unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Das dürfte für deutsche Datenexporteure in der Praxis in vielen Fällen keine Option sein.
Schließlich kann überlegt werden, eine Einwilligung für den Datentransfer zu implementieren. Dabei ist darauf zu achten, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erteilt werden muss.
In jedem Fall ist anschließend die dem Betroffenen erteilte Information (das heißt die Datenschutzerklärung) zu aktualisieren.
Ausblick
Die DSGVO wurde kürzlich seitens der EU-Kommission (erwartungsgemäß) als „Erfolgsgeschichte“ bezeichnet – ungeachtet der damit verbundenen überbordenden Bürokratie und den dadurch produzierten millionenfachen, mit massiven Bußgeldern bedrohten Datenschutzverstößen. Es bleibt zu hoffen, dass die Standardvertragsklauseln seitens der EU-Kommission jetzt wie geplant aktualisiert werden, damit Unternehmen zeitnah eine verlässliche Grundlage für einen Datentransfer in die USA haben.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/06/a4/06a42876449bba06fb5efa3ecb9e189a/0129144465v1.jpeg "Sage Copilot liefert Hinweise und Warnungen direkt in den Arbeitsabläufen der Anwender. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/a5/bca56318391b40b360df5794c34cd81b/0129324079v1.jpeg "Industrial AI Cloud: Eröffnung der Hochleistungs-KI-Infrastruktur der Deutschen Telekom in München mit massiv skalierbaren Rechen- und Speicherressourcen speziell für das Training und den Betrieb großer KI-Modelle. (Bild: Deutsche Telekom AG / Cindy Albrecht / Robert Dieth)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/27/d4/27d4dae75922d1c15419c0f2dc8f47db/90458459.jpeg "Im Urteil in der Rechtssache C-311/18 klärte der Gerichtshof den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. (Bild: gemeinfrei© SanHyonCho)")
:quality(80)/p7i.vogel.de/wcms/dc/96/dc9635a4071b12c59da7c31844d06c85/0127835154v2.jpeg "Neue EU-Grundsatzurteile definieren den Umgang mit personenbezogenen Daten und grenzüberschreitigen Datentransfers neu. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b6/49/b649cf7a6b594f131e92c32c00d1dee4/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")