Die Zeiten von Privacy Shield sind längst Geschichte. Nach dem Schrems II-Urteil 2020 wurde auch dieses Datenschutzabkommen zwischen EU und USA für ungültig erklärt – genau wie zuvor schon Safe Harbor. Doch die Geschichte geht weiter: Seit Juli 2023 gibt es mit dem EU-US Data Privacy Framework einen neuen Anlauf für sicheren Datentransfer über den Atlantik.
Doch was hat sich diesmal wirklich geändert? Und können wir endlich darauf vertrauen, dass unsere Daten in den USA genauso sicher sind wie in Europa?
Vom Privacy Shield zum Data Privacy Framework: Was ist passiert?
Das Privacy Shield hatte nur vier Jahre Bestand. Im Juli 2020 kippte der Europäische Gerichtshof auch dieses Abkommen – hauptsächlich wegen der weiterhin bestehenden Massenüberwachung durch US-Geheimdienste. Der österreichische Datenschutzaktivist Max Schrems hatte erneut erfolgreich geklagt.
Die Probleme blieben dieselben: US-Behörden konnten weiterhin praktisch uneingeschränkt auf Daten europäischer Bürger zugreifen. Programme wie PRISM und andere Überwachungsmaßnahmen liefen unverändert weiter. Drei Jahre lang herrschte rechtliche Unsicherheit für Unternehmen, die Daten zwischen EU und USA transferieren wollten.
Das neue Data Privacy Framework: Alter Wein in neuen Schläuchen?
Im Oktober 2022 unterzeichnete US-Präsident Biden eine Executive Order, die den Grundstein für das neue EU-US Data Privacy Framework legte. Die EU-Kommission gab im Juli 2023 grünes Licht – trotz anhaltender Kritik von Datenschützern.
Die wichtigsten Neuerungen auf dem Papier:
- Verhältnismäßigkeitsprinzip: US-Geheimdienste sollen nur noch „verhältnismäßig“ und „notwendig“ Daten sammeln
- Neue Aufsichtsbehörde: Ein Civil Liberties Protection Officer soll die Einhaltung überwachen
- Unabhängiges Schiedsgericht: EU-Bürger können sich bei einem Data Protection Review Court beschweren
- Jährliche Reviews: Die EU-Kommission überprüft die Umsetzung regelmäßig
Die Realität: Fundamentale Probleme bleiben bestehen
Experten wie der Datenschutzanwalt Max Schrems sehen das neue Framework skeptisch. Zu Recht: Die strukturellen Probleme wurden nicht gelöst. US-Geheimdienste können weiterhin auf Basis von Section 702 des Foreign Intelligence Surveillance Act (FISA) Daten abgreifen – auch von EU-Bürgern.
Die Executive Order von Biden kann jederzeit von einem Nachfolger aufgehoben werden. Echte Gesetzesänderungen im US-Kongress gab es nicht. Das macht das ganze Konstrukt fragil.
Zudem bleibt unklar, was „verhältnismäßig“ konkret bedeutet. Die NSA und andere Behörden interpretieren diesen Begriff traditionell sehr großzügig. Eine echte Einschränkung ihrer Überwachungsmöglichkeiten ist nicht erkennbar.
Alternativen für Unternehmen: Was bleibt?
Unternehmen, die Daten in die USA übertragen wollen, haben verschiedene Optionen:
- Standardvertragsklauseln (SCCs): Diese gelten weiterhin, erfordern aber zusätzliche Schutzmaßnahmen
- Binding Corporate Rules: Für Konzerne mit eigenen US-Niederlassungen
- Einwilligung: Explizite Zustimmung der Betroffenen für jeden Transfer
- Datenlokalisierung: Verarbeitung ausschließlich in der EU
Viele Unternehmen setzen mittlerweile auf europäische Cloud-Anbieter oder US-Anbieter mit europäischen Rechenzentren. Microsoft, Google und Amazon haben ihre EU-Angebote massiv ausgebaut.
Die Zukunft: Schrems III bereits in Vorbereitung?
Max Schrems und seine Organisation noyb prüfen bereits rechtliche Schritte gegen das neue Framework. Ein „Schrems III“-Verfahren gilt als wahrscheinlich. Die Erfolgschancen stehen gut, solange sich an der US-Überwachungsgesetzgebung nichts Fundamentales ändert.
Parallel arbeitet die EU an eigenen Lösungen. Der European Health Data Space und ähnliche Initiativen zielen darauf ab, sensible Daten gar nicht erst das europäische Territorium verlassen zu lassen.
Praktische Tipps für den Alltag
Als Nutzer könnt ihr selbst aktiv werden:
- Nutzt europäische Alternativen zu US-Diensten wo möglich
- Aktiviert Datenschutzeinstellungen in US-Apps restriktiv
- Informiert euch über Serverstandorte eurer genutzten Dienste
- Nutzt VPN-Dienste mit EU-Sitz für sensible Kommunikation
Fazit: Rechtliche Sicherheit bleibt Illusion
Das EU-US Data Privacy Framework ist der dritte Versuch in 25 Jahren, Datentransfers zwischen EU und USA rechtlich abzusichern. Wie seine Vorgänger Safe Harbor und Privacy Shield wird vermutlich auch dieses Abkommen vor dem EuGH scheitern.
Solange die USA ihre Überwachungsgesetze nicht grundlegend reformieren, bleibt jeder Datentransfer über den Atlantik ein Risiko. Unternehmen und Nutzer sind gut beraten, sich nicht blind auf politische Absichtserklärungen zu verlassen, sondern technische und organisatorische Schutzmaßnahmen zu treffen.
Die digitale Souveränität Europas wird letztendlich nur durch eigene, unabhängige Infrastrukturen zu erreichen sein. Der Weg dorthin ist noch weit – aber er hat bereits begonnen.
Zuletzt aktualisiert am 07.04.2026
