Der Europäische Gerichtshof (EuGH) hat am 16. Juli sein lang erwartetes Urteil zum internationalen Datentransfer verkündet und den Nachfolger des Safe-Harbor-Abkommens für unwirksam erklärt – mit weitreichenden Folgen für Datenübermittlungen aus der EU in die USA.
Das EuGH hat das Pivacy Shield für unwirksam erklärt, hält jedoch an der Gültikeit der Standardvertragsklauseln fest.
Vorab die gute Nachricht für Unternehmen: Auch wenn der EuGH das transatlantische Datenschutzabkommen gekippt hat, bleiben die angefochtenen EU-Standardvertragsklauseln, die als Rechtsgrundlage für Datenübermittlungen in alle Länder außerhalb der EU gelten, weiterhin gültig. Das ist für alle Unternehmen bedeutsam, die die personenbezogene Daten ins außereuropäische Ausland – und damit auch in die USA – übermitteln. Denn ohne die Standardvertragsklauseln der EU-Kommission wäre der gesamte weltweite Datentransfer zum Erliegen gekommen. Gleichwohl werden die Weichen für den Datentransfer aus der EU in die USA (wieder einmal) neu gestellt, weil der EuGH nach Safe-Harbor im Jahr 2015 dem transatlantischen Datenaustausch auch das Nachfolgeabkommen Privacy Shield für ungültig erklärt hat. Bei Datenübermittlungen in die USA besteht daher für Unternehmen generell, aber gerade auch für IT-Unternehmen, akuter Handlungsbedarf.
Dr. Philip Kempermann ist Partner und Experte für Datenschutzrecht bei der Sozietät Heuking Kühn Lüer Wojtek.
(Bild: info@stephanwieland.de)
Aus für Privacy Shield
Das irische Gericht, das dem EuGH die Frage zu den Standardvertragsklauseln vorgelegt hatte, hatte indirekt auch Zweifel an der Wirksamkeit des Privacy Shields geäußert. Der EuGH hat dieses Abkommen nun gekippt, weil er die Rechte der EU-Bürger durch Maßnahmen der US-Sicherheitsbehörden verletzt sieht. Diese haben weitreichende Befugnisse, auf Daten zuzugreifen – auch auf solche von EU-Bürgern.
Das ist an sich nicht wesentlich anders als in Europa, aber hierzulande kann man als Bürger gerichtlich gegen solche Maßnahmen vorgehen. Diese Möglichkeit haben EU-Bürger in den USA aus Sicht des EuGH nicht, beziehungsweise nicht ausreichend – auch wenn Privacy-Shield-Zusagen der US-Regierung beinhalteten, dass Rechtsschutz für EU-Bürger möglich sein sollte. Am Ende reichten diese Zusagen den Luxemburger Richtern nicht aus.
Auswirkungen für IT-Unternehmen
Viele US-Cloud-Anbieter berufen sich für die Legitimation von Transfers personenbezogener Daten aus der EU und der Schweiz in die USA auf das Privacy Shield. Das ist zukünftig nicht mehr ausreichend. IT-Dienstleister müssen ihre Datenübermittlungen nun auf andere Rechtsgrundlagen stützen, wie beispielsweise die Standardvertragsklauseln. Bei bestehenden Verträgen sollten IT-Unternehmen also ihre Verträge von Privacy Shield auf Standardvertragsklauseln umstellen. Aber auch für diese müssen sich die IT-Unternehmen mindestens die Bestätigung geben lassen, dass die US-Cloud-Anbieter darauf hinweisen, wenn sie die Vorgaben nicht mehr einhalten. Das gilt vor allem, wenn unter dem Cloud Act oder dem Patriot Act Anfragen bei den Cloud-Anbietern erfolgen. Zusätzlich sind weitere Maßnahmen erforderlich wie etwa die Verschlüsselung der Daten.
Beitritt notwendig
Außerdem müssen IT-Unternehmen wissen, dass ihre Kunden den Standardvertragsklauseln „beitreten“ müssen, faktisch also selbst Vertragspartner des Anbieters werden müssen – zumindest für diesen Teil der Verträge. Sofern der Vertragspartner – also zum Beispiel der Cloud-Anbieter in den USA – die Einhaltung der Regelungen der Standardvertragsklauseln aufgrund von anderslautenden nationalen Regelungen oder behördlichen Maßnahmen nicht (mehr) garantieren kann, muss die Übermittlung auf eine andere Rechtsgrundlage gestützt oder eingestellt werden. Sonst besteht die Gefahr, dass nationale Aufsichtsbehörden tätig werden, was zu hohen Bußgeldern führen könnte – für die IT-Unternehmen, aber auch für die Unternehmen, die Daten ohne datenschutzrechtliche Grundlage in Länder außerhalb der EU übermitteln.
IT-Unternehmen sollten daher sehr genau beobachten, welche Verlautbarungen die Aufsichtsbehörden zu dem Thema in den nächsten Tagen und Wochen machen werden. Das kann für die zukünftige Verwaltungspraxis eine große Rolle spielen.
Alternativen in der EU
Nicht zuletzt werden auch Kunden sensibler werden, was den Zugriff und den Schutz ihrer Daten betrifft. IT-Unternehmen sollten daher unbedingt Alternativen zu US-Transfers ins Auge fassen. Das gilt vor allem für Neuverträge mit Cloud-Anbietern. Hier sollte darauf geachtet werden, dass sowohl die Speicherung der Daten in der EU erfolgt als auch der Support aus der EU heraus erbracht wird. Denn auch ein Zugriff aus den USA auf Daten, die in der EU gespeichert sind, stellt einen datenschutzrechtlichen Transfer dar, der durch Standardvertragsklauseln abgesichert sein muss und für den die gleichen Voraussetzungen und Anforderungen wie für einen kompletten Datentransfer gelten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Grundsätzlich müssen IT-Unternehmen daher nach der EuGH-Entscheidung die Rechtsgrundlagen für Datenübermittlungen stärker prüfen und sich bei der Speicherung von personenbezogenen Daten auf die EU konzentrieren. Denn dort regelt die DSGVO die Rechtssicherheit bei der Datenübermittlung und es sind keine zusätzlichen Vereinbarungen oder Absicherungen notwendig.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/17/fd1778d08449fea134998137a6b60297/0129245350v1.jpeg "Nur 1.034 Gramm bringt das Acer Travelmate P6 14 AI in der von uns getesteten Version auf die Waage. In dem Chassis aus Aluminium-Magnesium-Legierung sitzt ein Mainboard mit einem Intel Core Ultra 7 258V. Das 14-Zoll-IPS-Display liefert die Full-HD+-Auflösung, allerdings nur mit 60 Hz. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/64/95/64952f6ea7a90e5b05cfee86750f54a9/0129232332v1.jpeg "Der CM5-Pico von Zotac ist als Gerät auf Basis des Raspberry Pi Compute Module 5 für Linux als Betriebssystem ausgelegt. Der kleine Rechner kommt ohne aktive Kühlung aus und soll sich für den 24/7-Betrieb eignen. (Bild: Zotac)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/8a/678a22130528c/zadara-600.jpeg "zadara-600 (zadara)")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/cf/c4/cfc4d9feafee63db9adb66a93edf4926/0101766843.jpeg "Der Weg in die Cloud sollte gut überlegt sein. (Bild: bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/b2/a9b2d709a31904cee0628433211bdba2/0127676376v2.jpeg "Neue EU-Grundsatzurteile definieren den Umgang mit personenbezogenen Daten und grenzüberschreitigen Datentransfers neu. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/da/82dac135ba65b42e0c014a4b0374e7d4/0125253615v1.jpeg "Der Data Act bildet ein neues rechtliches Fundament für Cloud Computing. (Bild: Midjourney / KI-generiert)")