Datenschutzrecht: Datentransfer in die USA – wie soll’s weitergehen?

Wer sich mit Fragen des Datenschutzes beschäftigt, konnte kein anderes Urteil erwarten: Der EuGH hat die Safe Harbor Regulations für unwirksam erklärt (EuGH, Urteil vom 06.10.2015 – C-362/14). Mit diesem besonderen Regelwerk sollte die Übermittlung personenbezogener Daten in die USA geregelt werden. Ein Instrument, von dem zahllose Unternehmen Gebrauch gemacht haben und das nun nicht mehr vorhanden ist. Danach besteht akuter Handlungsbedarf.

Safe Harbor stand schon lange in der Kritik. Denn bei der Zertifizierung handelte es sich letztlich um eine reichlich unverbindliche Selbstverpflichtung von US-Unternehmen. Unabhängige Kontrollen, ob dort tatsächlich Datenschutzstandards eingehalten wurden, die europäischen Maßstäben genügen, gab es nicht. Und die US-Behörden machten auch keinen Hehl daraus, dass ihnen datenschutzrechtliche Verbote aus good old Europe herzlich egal sind, wenn es darum geht, im eigenen Interesse Einsicht in bestimmte Daten zu nehmen.

Diese Umstände (und einige mehr) veranlassten nun den EuGH zu der Aussage, dass die Safe Harbor Regulations nicht geeignet seien, die USA zu einem sicheren Drittland für die personenbezogenen Daten der EU-Bürger zu erklären. Die Safe Harbor Regulations sind damit ab sofort unwirksam, und jede darauf gestützte Datenübermittlung in die USA rechtswidrig.

Welche Alternativen bleiben? Pessimisten behaupten, gar keine – denn dass die USA ein anderes Verständnis von Datenschutz haben als die EU-Kommission, stehe jeder Datenübermittlung per se entgegen. Pragmatiker indes werden sagen, dass die EU-Standardvertragsklauseln aktuell eben noch in Kraft sind. Diese dürfen danach vorerst weiter verwendet werden.

Die Klauselwerke hat die EU-Kommission in den vergangenen knapp 15 Jahren entwickelt. Mit kleineren Ergänzungen entsprechen sie auch den Vorgaben des deutschen Rechts. Schon deswegen, weil deutsche Unternehmen schlicht nicht ohne einen Datenaustausch mit US-amerikanischen Partnern auskommen, sind die Standardvertragsklauseln zurzeit unerlässlich. Erste US-Unternehmen haben dies erkannt und bieten Vertragsabschlüsse zu diesen Bedingungen aktiv an. Neu- wie Altverträge sollten deshalb insoweit unbedingt angepasst werden. Die Verhandlungsbereitschaft der US-Unternehmen dürfte dabei schnell steigen – denn bald wird sich auch jenseits des Atlantiks herumsprechen, dass die EuGH-Entscheidung das Geschäft der US-Unternehmen in Europa massiv gefährdet.

Weitere Beiträge

Cyberversicherung: Wann zahlt sie wirklich?- Die Obliegenheiten im Kleingedruckten, die Ihre Deckung kosten können – Teil II

III. Die gefährlichsten Obliegenheiten in der Praxis 1. Vorvertragliche Anzeigepflichten: Die Zeitbombe beim Vertragsschluss Versicherer stellen im Rahmen des Antrags detaillierte Risikofragen zu IT-Sicherheitsmaßnahmen, bspw.: Das Problem: Viele Unternehmen beantworten diese Fragen unvollständig, zu optimistisch oder ohne hinreichende interne Überprüfung.

Mehr lesen »
Miriam-Sheila Bohl 1. April 2026

Cyberversicherung: Wann zahlt sie wirklich?- Die Obliegenheiten im Kleingedruckten, die Ihre Deckung kosten können – Teil I

Abstrakt: Cyberversicherungen gehören heute zum Standard-Risikomanagement von Unternehmen. Doch der Versicherungsfall allein genügt nicht – vielmehr entscheidet die Einhaltung vertraglicher Obliegenheiten darüber, ob der Versicherer im Ernstfall tatsächlich leistet. Der vorliegende Beitrag analysiert die praxisrelevanten Ausschluss- und Obliegenheitsklauseln in Cyber-AVB,

Mehr lesen »
Miriam-Sheila Bohl 25. März 2026
Nach oben scrollen