Die EU-Kommission hat einen Nachfolger für das gekippte Safe Harbor Abkommen ausgehandelt. Die Kritik an diesem Vorschlagspaket ist laut, sehr laut. Wer sich das Ergebnis der Verhandlungen anschaut, versteht auch warum: Konkrete Ansätze dafür, dass der in Europa strenger werdende Datenschutz auch in den USA gelten soll für Daten von EU-Bürgern, fehlen in den Verhandlungen nahezu völlig.
Als der Europäische Gerichtshof (EuGH) in Luxemburg sich im Oktober 2015 das Safe-Harbor-Abkommen zwischen USA und der EU angeschaut hat, sind die Richter zu einem klaren Urteil gekommen: Die Daten von EU-Bürgern sind in den USA nicht ausreichend geschützt.
Von einem „sicheren Hafen“, wie der Name des Abkommens verspricht, kann bekanntlich keine Rede sein. Seitdem gibt es das Safe-Harbor-Abkommen nicht mehr. USA und EU mussten ein neues Abkommen aushandeln – und haben, trotz aller Dringlichkeit, den Stichtag verpasst. Jetzt haben sich USA und EU geeinigt – und Datenschützer sind entsetzt.
Von Privacy Shield zu DPF: Datenexporte bleiben problematisch
Es scheint, als wolle die verantwortliche Politik die Rote Karte des EuGH nicht sehen. Als wolle man nicht verstehen, was es bedeutet, wenn der EuGH eine Regelung kippt. Denn auch die neue Regelung bedeutet einen Ausverkauf des Datenschutzes, zumindest wenn man Parlamentarier wie den in Sachen Datenschutz äußerst profilierten Jan Philipp Albrecht fragt. „EU-Kommission verramscht EU-Grundrecht auf Datenschutz“, so sein damaliges Urteil.
EU-Kommission verramscht EU-Grundrecht auf Datenschutz https://t.co/GNmlAOoU0F #safeharbor #Privacyshield #US #EU
— Jan Philipp Albrecht (@JanAlbrecht) February 2, 2016
Das neue Abkommen hieß zunächst „EU-US-Privacy Shield“. Wieder so ein Begriff, der Sicherheit vorgaukelt – wie der „sichere Hafen“. Wir haben einen Schutzschild für die Privatsphäre – dieser Eindruck sollte zumindest entstehen. Wie lächerlich das generell ist, zeigen die mittlerweile über zehn Jahre öffentlich zugänglichen Snowden-Dokumente, die in der Politik jedoch nahezu keinerlei erkennbare Schutzmaßnahmen nach sich gezogen haben.
Angesichts der Kenntnis dieser Massenüberwachung überhaupt noch den Begriff „Schutzschild der Privatsphäre“ in den Mund zu nehmen, ohne jede Schamesröte, ist schon ein Faustschlag ins Gesicht jedes denkenden europäischen Internetnutzers. Auch Edward Snowden zeigte sich damals fassungslos:
It’s not a „Privacy Shield,“ it’s an accountability shield. Never seen a policy agreement so universally criticized. https://t.co/VxXxxkIEPR
— Edward Snowden (@Snowden) February 2, 2016
Von Privacy Shield zum Data Privacy Framework
Wie vorhergesagt wurde auch das Privacy Shield vom EuGH kassiert – im Juli 2020 mit der Schrems II-Entscheidung. Die Begründung war praktisch identisch: Unzureichender Schutz vor US-Massenüberwachung. Die Geschichte wiederholte sich fast identisch.
Das Logo für das Abkommen war fertig, lange bevor die Einigung stand. Die muss jetzt auch noch korrekt ausformuliert und verabschiedet werden. In den kommenden Wochen soll das neue Abkommen dann zur Entscheidung vorgelegt werden. Vorher haben aber die Datenschützer der EU-Mitgliedsstaaten sowie die Mitgliedsstaaten noch die Möglichkeit, Einfluss zu nehmen, wie die Kommission erklärt. Die ersten Reaktionen von Datenschützern sind jedoch verheerend. Da ist von „Ausverkauf“, „Mogelpackung“ und „schlechter Witz“ die Rede.
Als Reaktion auf das Aus für Privacy Shield wurde 2022 das EU-US Data Privacy Framework (DPF) verkündet – der dritte Versuch in derselben Sache. Im Oktober 2023 trat es in Kraft. Wieder werden dieselben Versprechungen gemacht: Das US-Handelsministerium soll Firmen überwachen, die Daten aus Europa verarbeiten. Es soll eine Aufsicht durch die Justiz- und Sicherheitsbehörden der USA geben. Und wer sich nicht an Standards hält, dem drohen Sanktionen.
Ewiger Kreislauf: Warum Datenexporte in die USA problematisch bleiben
Das fundamentale Problem bleibt bestehen: US-Gesetze wie der FISA Section 702 oder der CLOUD Act ermöglichen es US-Behörden weiterhin, auf Daten von EU-Bürgern zuzugreifen – oft ohne deren Wissen. Die neu geschaffene „Data Protection Review Court“ soll zwar EU-Bürgern Rechtsschutz bieten, aber Kritiker bemängeln deren begrenzte Kompetenzen und die praktischen Hürden.
Wer sieht, mit welcher Selbstverständlichkeit Behörden in den USA Unternehmen zwingen, Daten rauszurücken, der kann nicht ernsthaft davon ausgehen, dass EU-Daten in den USA jetzt plötzlich besser geschützt sein sollen als vorher, bloß weil es ein Abkommen gibt. Auch wenn den US-Behörden nun „klare Grenzen gesetzt“ sein sollen.
Die Trump-Präsidentschaft von 2017-2021 hat gezeigt, wie schnell sich die Haltung zu Datenschutz und Überwachung ändern kann. Und auch unter Biden bleiben die strukturellen Probleme bestehen: Section 702 wurde 2024 sogar verlängert und erweitert.
Die Kritik an den bisherigen Abkommen ist berechtigt. Man verlässt sich zu sehr darauf, dass in den USA schon alles richtig laufe. Faktisch müsste ein EU-Bürger in den USA sein Recht einklagen, was wenig Chancen auf Erfolg haben dürfte – und abgesehen davon sehr aufwändig ist.
Deshalb stehen die Chancen gut, dass der EuGH auch das Data Privacy Framework einkassiert, denn einen wirklichen Schutz der Daten von EU-Bürgern lässt auch das aktuelle Abkommen nicht erkennen. Der österreichische Datenschutzaktivist Max Schrems hat bereits angekündigt, auch gegen das DPF vorzugehen – und bisher hatte er mit seinen Klagen stets Erfolg.
Alternative: Datenverarbeitung in Europa
Unternehmen sollten daher verstärkt auf europäische Cloud-Anbieter und Datenverarbeitungsdienste setzen. Die DSGVO gilt seit 2018 und verschärft die Anforderungen noch einmal erheblich. Wer auf Nummer sicher gehen will, vermeidet Datenexporte in die USA ganz oder nutzt zusätzliche Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung.
Die Geschichte von Safe Harbor, Privacy Shield und Data Privacy Framework zeigt: Solange die USA ihre Überwachungsgesetze nicht grundlegend reformieren, werden Datenexporte dorthin ein Risiko bleiben. Das ist die unbequeme Wahrheit, die viele lieber ignorieren würden.
Zuletzt aktualisiert am 10.04.2026
