Safe-Harbor-Überprüfung bedeutet: Business as usual

Safe-Harbor-Überprüfung bedeutet: Business as usual – vorerst

Von Danny Bradbury • 7 October 2025

Der September war ein entscheidender Monat für europäische Unternehmen, die Daten mit den USA austauschen wollten. Das Gericht der Europäischen Union wies eine Klage gegen den Datenschutzrahmen zwischen den beiden Ländern zurück. Dies bedeutet, dass US-Unternehmen weiterhin personenbezogene Daten aus der EU importieren können.

Der französische Parlamentarier Philippe Latombe kritisierte den EU-US-Datenschutzrahmen (DPF). Er war mit den Details des Rahmens unzufrieden, der Tausenden US-Unternehmen die legale Übermittlung personenbezogener Daten aus der EU ermöglicht. Er hatte die EU-Entscheidung, den DPF zuzulassen, aus zwei Gründen angefochten.

Zunächst behauptete er, der US-amerikanische Datenschutzgerichtshof (Data Privacy Review Court, DPRC) sei weder unabhängig noch unparteiisch. Dieses durch das Rahmenwerk beauftragte Gericht ist eine von den USA betriebene Einrichtung, die alle Beschwerden von EU-Bürgern über die Behandlung ihrer Daten prüft. Er beklagte außerdem, dass die Massendatensammlung der US-Geheimdienste ohne vorherige Genehmigung des Gerichts gegen die Charta der Grundrechte der EU verstoße.

Dies war nicht das erste Mal, dass sich die EU mit Herausforderungen an Datenschutzrahmen auseinandersetzen musste. Der Anwalt Max Schrems hatte bereits zuvor zwei Versuche angefochten, Gleichwertigkeitsrahmen zwischen der EU und den USA zu schaffen.

Schrems reichte seine erste Beschwerde im Jahr 2013 ein und focht Facebooks US-Datenübermittlungen im Rahmen von Safe Harbor an. Anlass waren Edward Snowdens Enthüllungen über die NSA-Überwachung. Das Urteil in der Rechtssache Schrems I vom Oktober 2015 erklärte Safe Harbor vollständig für ungültig. Die US-Überwachungsgesetze erlaubten Eingriffe, die über das „unbedingt notwendige Maß“ hinausgingen.

Die EU und die USA versuchten es erneut mit dem Privacy Shield, das 2016 Safe Harbor ablöste. Schrems focht jedoch umgehend sowohl den neuen Rahmen als auch die Standardvertragsklauseln an und argumentierte, die zugrunde liegenden US-Überwachungsbefugnisse seien unverändert geblieben. Die Schrems-II-Entscheidung vom Juli 2020 erklärte den Privacy Shield für ungültig, bestätigte jedoch die Standardvertragsklauseln (SCCs), bei denen es sich um EU-Vereinbarungen handelt, die Organisationen zur Autorisierung von Datenübertragungen verwenden können. Diese erfordern Transfer Impact Assessments (TIAs), die Unternehmen dazu verpflichten, selbst zu prüfen, ob EU-Daten im Zielland geschützt sind.

Das Gericht konnte nicht überzeugt werden

Wäre Latombe mit seiner ersten Klage erfolgreich gewesen, wären die Unternehmen wieder in die umständliche Welt der Standardvertragsklauseln zurückgedrängt worden. Das Gericht widersprach ihm jedoch. Richter könnten nur vom Generalstaatsanwalt ernannt werden, argumentierte es und entschied, dass dies der Definition von Unabhängigkeit entspreche. Es fügte hinzu, dass Sammelgerichte nach Schrems II keine vorherige Genehmigung für die Sammeleinziehung benötigen. Stattdessen, so das Gericht, ex post (nachträgliche) Autorisierung ist ausreichend. Das DPRC bietet dies bereits an.

All dies deutet darauf hin, dass der Schutz nach US-Recht „im Wesentlichen gleichwertig“ ist mit dem nach europäischem Recht, so das Urteil, gemäß der Mitteilung des EuGH.

Es ist nicht vorbei, bis es vorbei ist

Was bedeutet das für den Status quo? Oberflächlich betrachtet bedeutet es, dass US-Unternehmen weiterhin ungestraft Daten von EU-Bürgern in die EU übertragen können. Doch wir sollten die Gesetzesbücher noch nicht beiseite legen; es sind bereits weitere rechtliche Schritte in Vorbereitung, die darauf hindeuten, dass die Lage noch nicht vorbei ist.

NOYB (Schrems' Organisation, die für „None Of Your Business“ steht) argumentiert, dass das DPF lediglich dieselben Überwachungsbefugnisse neu verpackt, die der EuGH bereits zweimal abgelehnt hat. „Die Schutzmaßnahmen des neuen Abkommens sind fast 1:1 eine Kopie der vorherigen Abkommen, die der EuGH in Schrems I und Schrems II für rechtswidrig befunden hat“, heißt es. „In einigen Punkten sind die Schutzmaßnahmen sogar noch schlechter als in der älteren Executive Order, die dem EuGH nicht ausreichte. Es ist daher überraschend, dass das Gericht der Europäischen Union über die dritte Version des EU-US-Abkommens anders entscheidet als über die beiden vorherigen Versionen.“

Latombe kann nun Berufung einlegen. Die Frist läuft Mitte November dieses Jahres ab. Da Datenschutzaktivisten das Urteil kritisieren, ist es wahrscheinlich, dass die DPF weiteren Angriffen ausgesetzt sein wird.

Vor diesem Hintergrund ist es für Unternehmen ratsam, einen mehrstufigen Ansatz für den Datentransfer zu verfolgen, da dies laut Anwälten die rechtlich beständigste Strategie ist. Auch verbindliche Unternehmensregeln (Binding Corporate Rules, BCRs) spielen hier eine Rolle. Dabei handelt es sich um Vereinbarungen, die Unternehmen mit Aufsichtsbehörden treffen, um Daten innerhalb ihrer eigenen Niederlassungen über nationale Grenzen hinweg zu übertragen.

„Derzeit bleibt das DPF ein gültiger und vereinfachter Weg für die Übermittlung personenbezogener Daten aus der EU in die USA.“ , erklärt Anwaltskanzlei Clifford Chance. „Bauen Sie darauf auf, halten Sie SCC/BCR-Playbooks bereit, aktualisieren Sie die Transfer Impact Assessments (unter Bezugnahme auf EO 14086 und das DPRC, wo relevant) und überwachen Sie sowohl die Berufung als auch die US-Aufsichtslandschaft“, riet das Unternehmen.

Im Jahr 2021 hat der Europäische Datenschutzausschuss (EDSA) außerdem veröffentlichte Anleitung Was Datenexporteure tun können, um den EU-Datenschutz beim Export von Daten in andere Länder zu gewährleisten, wird in diesem Dokument empfohlen. Es empfiehlt Exporteuren, ihre Datenübertragungen vollständig zu dokumentieren und das von ihnen verwendete Übertragungstool gemäß Artikel 46 der DSGVO zu überprüfen. Zu diesen Tools gehören neben Standardsicherheits- und verbindlichen Datenschutzvorschriften (SSCs) und unternehmensinternen Datenschutzvorschriften (BCRs) auch Verhaltenskodizes, Zertifizierungsmechanismen und Ad-hoc-Vertragsklauseln. Sie sollten auch die Rechtsvorschriften des Ziellandes prüfen, falls kein Angemessenheitsabkommen besteht. Es werden auch ergänzende Maßnahmen empfohlen, wie z. B. die Verschlüsselung der Daten mit in der EU gespeicherten Schlüsseln.

Derzeit läuft also alles wie gewohnt, doch die Verantwortung für das Risikomanagement erfordert einen Notfallplan. Angesichts einer chaotischen Regierung im Westen und der Gefahr weiterer rechtlicher Auseinandersetzungen in Europa sollten sich Unternehmen nicht ausschließlich auf den DPF verlassen.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 23 October 2025

Warum die Chatbot-Untersuchung der FTC B2B-Unternehmen beunruhigen sollte

Der September war ein Wendepunkt für die Verfechter der KI-Ethik. Die FTC erließ Anordnungen nach Abschnitt 6(b) an sieben große Technologieunternehmen, die Chatbots produzieren …

Danny Bradbury

Internet-Sicherheit 23 September 2025

Wenn Legacy-Systeme versagen: Lehren aus dem Verstoß gegen das Bundesgericht

Cyberangriffe passieren täglich, aber manche sind besonders erschreckend. Ein Angriff auf das US-amerikanische Gerichtssystem in diesem Sommer hätte jedem einen Schauer über den Rücken jagen sollen...

Danny Bradbury

Internet-Sicherheit 9 September 2025

Banner zur Bedeutung des US-KI-Aktionsplans

Was der US-amerikanische KI-Aktionsplan bedeutet

Das Weiße Haus hat im Juli einen umfassenden KI-Aktionsplan vorgestellt, der Amerikas Ansatz zur KI-Steuerung neu gestaltet. Es handelt sich um eine gewaltige Wende gegenüber der...

Danny Bradbury