Facebook Icon-linkedin Instagram
Signo Media, digitale Werbeagentur
Gratis Website-Check
Signo Media, digitale Werbeagentur
Gratis Website-Check

Schrems II: Was das EuGH-Urteil für den Datentransfer in die USA bedeutet

Schrems-II-Urteil

Was ist Schrems II?

Schrems II bezieht sich auf das Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rechtssache C-311/18). In diesem Urteil erklärte der EuGH das Privacy Shield, das Abkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) zum Datentransfer, für ungültig. Gleichzeitig bestätigte der EuGH die Gültigkeit der sogenannten Standardvertragsklauseln (SCCs), setzte jedoch strenge Bedingungen für deren Verwendung.

Das Urteil geht auf eine Klage des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook Ireland zurück, der die Übertragung seiner personenbezogenen Daten in die USA und deren Zugriff durch US-Behörden für unvereinbar mit dem europäischen Datenschutz hielt.

Strategiegespräch buchen
Signo Media Wissensdatenbank mit Fokus auf das Schrems-II-Urteil und dessen Auswirkungen auf den internationalen Datentransfer gemäß DSGVO

Warum wurde das Privacy Shield für ungültig erklärt?

Der EuGH erklärte das Privacy Shield aus folgenden Hauptgründen für ungültig:

  1. Unzureichender Schutz vor US-Überwachung:
    • Die Überwachungsprogramme der US-Geheimdienste (z. B. PRISM) ermöglichen weitreichenden Zugriff auf personenbezogene Daten von EU-Bürger:innen, ohne dass diese ausreichend geschützt werden.
  2. Fehlender Rechtsschutz für EU-Bürger:innen:
    • EU-Bürger:innen haben in den USA keine angemessenen rechtlichen Mittel, um gegen den Zugriff auf ihre Daten durch US-Behörden vorzugehen.
  3. Unvereinbarkeit mit der DSGVO:
    • Die US-Gesetzgebung erfüllt nicht die Anforderungen an ein angemessenes Datenschutzniveau, wie es die DSGVO fordert.
Der nächste Schritt zum Ziel

Auswirkungen des Schrems-II-Urteils

  1. Ungültigkeit des Privacy Shield:
    • Unternehmen können sich nicht mehr auf das Privacy Shield berufen, um personenbezogene Daten legal in die USA zu übertragen.
  2. Prüfung der Standardvertragsklauseln (SCCs):
    • SCCs bleiben gültig, aber Unternehmen müssen sicherstellen, dass die übermittelten Daten in dem Empfängerland ausreichend geschützt sind.
    • Wenn dies nicht gewährleistet ist, dürfen die Daten nicht übertragen werden.
  3. Erhöhter Aufwand für Unternehmen:
    • Unternehmen müssen jeden Datentransfer individuell prüfen und zusätzliche Schutzmaßnahmen ergreifen.
  4. Rechtsunsicherheit:
    • Das Urteil führt zu großer Unsicherheit im internationalen Datenverkehr, insbesondere zwischen der EU und den USA.

Anforderungen an Unternehmen nach Schrems II

  1. Prüfung des Datenschutzniveaus im Empfängerland:
    • Unternehmen müssen bewerten, ob das Recht des Empfängerlandes (z. B. USA) ein Datenschutzniveau bietet, das mit der DSGVO vergleichbar ist.
  2. Zusätzliche Schutzmaßnahmen:
    • Wenn das Datenschutzniveau nicht angemessen ist, müssen zusätzliche technische, organisatorische oder vertragliche Schutzmaßnahmen implementiert werden, z. B.:
      • Verschlüsselung
      • Pseudonymisierung
      • Datenminimierung
  3. Dokumentation und Nachweisführung:
    • Unternehmen müssen ihre Bewertung und getroffenen Maßnahmen dokumentieren, um gegenüber Aufsichtsbehörden Rechenschaft abzulegen.
  4. Stoppen von Transfers:
    • Wenn kein ausreichender Schutz gewährleistet werden kann, dürfen Daten nicht übertragen werden.

Auswirkungen auf transatlantische Datenübertragungen

Das Schrems-II-Urteil hat erhebliche Folgen für den Datenaustausch zwischen der EU und den USA:

  • Unternehmen in der EU:
    Unternehmen, die US-Dienste nutzen (z. B. Cloud-Anbieter wie Google, Amazon oder Microsoft), müssen sicherstellen, dass die Daten DSGVO-konform verarbeitet werden.
  • US-Unternehmen:
    Sie müssen nachweisen, dass die Daten ihrer EU-Kund:innen trotz US-Gesetzen wie dem CLOUD Act sicher verarbeitet werden.
  • Aufsichtsbehörden:
    Nationale Datenschutzbehörden in der EU prüfen verstärkt internationale Datenübertragungen.

Kritik und Herausforderungen

  1. Hoher Aufwand für Unternehmen:
    • Die Prüfung und Absicherung jedes Datentransfers erfordert erhebliche Ressourcen.
  2. Technische Umsetzung:
    • Maßnahmen wie Verschlüsselung oder Pseudonymisierung sind nicht immer praktikabel.
  3. Rechtliche Unsicherheit:
    • Es ist oft unklar, ob zusätzliche Schutzmaßnahmen ausreichend sind.
  4. Abhängigkeit von US-Diensten:
    • Viele europäische Unternehmen nutzen US-Dienste wie Cloud-Plattformen, wodurch Datenübertragungen unvermeidlich werden.

Alternativen für den Datentransfer

  1. Datenspeicherung in der EU:
    • Daten können ausschließlich auf Servern innerhalb der EU gespeichert und verarbeitet werden.
  2. Lokale Anbieter:
    • Einsatz von europäischen Cloud- und Software-Dienstleistern.
  3. Standardvertragsklauseln (SCCs):
    • Verwendung mit zusätzlichen Schutzmaßnahmen.
  4. Einwilligung der betroffenen Personen:
    • Betroffene können ausdrücklich in die Übertragung ihrer Daten einwilligen.
  5. Binding Corporate Rules (BCRs):
    • Für konzerninterne Datenübertragungen.

Fazit

Das Schrems-II-Urteil hat die Grundlage für den Datenaustausch zwischen der EU und den USA grundlegend verändert. Es hat das Privacy Shield für ungültig erklärt und hohe Anforderungen an die Nutzung von Standardvertragsklauseln gestellt. Unternehmen stehen vor der Herausforderung, den Datenschutz international zu gewährleisten und gleichzeitig rechtliche Unsicherheiten zu bewältigen. In der Praxis erfordert dies eine verstärkte Nutzung von technischen Schutzmaßnahmen und eine stärkere Konzentration auf lokale Datenverarbeitung in der EU.

Kontaktieren Sie uns
Signo Media, digitale Werbeagentur
Gratis Website-Check