Viele Unternehmen sehen sich nach der EuGH-Entscheidung Schrems II mit der Herausforderung konfrontiert, ihre bisherige Datenverarbeitungspraxis zu überdenken. Der Beitrag stellt zunächst die Grundlagen der Datenübermittlung dar. Sodann wird erläutert und mit einer Checkliste zusammengefasst, unter welchen Bedingungen der Datentransfer in die USA möglich bleibt. Der Beitrag endet mit einem Ausblick zur Datenübermittlung in weitere Drittländer.

I. Allgemeine Grundsätze zur Datenübermittlung in Drittstaaten, Art. 44 ff. DSGVO

II. Besonderheiten der Datenübermittlung in die USA

III. Was ist jetzt noch möglich?

1. Aktiver Datentransfer

2. Passive Zugriffsmöglichkeiten

a) Anpassung der Standarddatenschutzklauseln

b) Zusätzliche technische Maßnahmen

c) Einsatz eines Datentreuhänders

d) Zwischenergebnis

3. Ausnahmen

IV. Checkliste

V. Fazit und Ausblick
 

I. Allgemeine Grundsätze zur Datenübermittlung in Drittstaaten, Art. 44 ff. DSGVO

Neben der allgemeinen Rechtfertigung für die Verarbeitung von Daten (Art. 6, 9 DSGVO, § 26 BDSG-2018) bedarf die Übermittlung von personenbezogenen Daten in ein Land außerhalb der Europäischen Union einer zusätzlichen Rechtsgrundlage. Gemäß Art. 44 ff. DSGVO ist die Übermittlung von Daten in ein Drittland nur nach einem Beschluss der Kommission zulässig, nach dem das betreffende Drittland ein angemessenes Schutzniveau bietet (sog. Angemessenheitsbeschluss). Liegt ein solcher nicht vor, ist eine Datenübermittlung in ein Land außerhalb der EU nur zulässig, sofern der Verantwortliche geeignete Garantien vorgesehen hat (Art. 46 ff. DSGVO) und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können insb. durch den Abschluss von Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder durch Unterwerfung unter verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) umgesetzt werden (Art. 46 Abs. 2 lit. b; 47 DSGVO).

II. Besonderheiten der Datenübermittlung in die USA

Nach Ansicht des EuGH verhindert das US-amerikanische Recht die Gewährleistung eines dem europäischen entsprechenden angemessenen Schutzniveaus. Es ermögliche US-amerikanischen Sicherheitsbehörden eine umfassende Datenerhebung und -auswertung, ohne den Betroffenen ausreichende, gerichtlich durchsetzbare Schutzrechte einzuräumen. Dies stehe einem gültigen Angemessenheitsbeschluss entgegen. Das EU-US-Privacy-Shield sei damit ungültig.

Aus der Entscheidung ergibt sich darüber hinaus, dass ein angemessenes Schutzniveau auch nicht bzw. nicht nur durch den Abschluss von Standarddatenschutzklauseln sichergestellt werden kann. Der EuGH hat festgestellt, dass die Standarddatenschutzklauseln lediglich den in einem Drittland ansässigen Datenempfänger binden, nicht jedoch die Behörden dieses Drittlandes. Demzufolge sind sie nicht dazu geeignet, das fehlende Schutzniveau innerhalb eines Drittlands auszugleichen.

In letzter Konsequenz ist anzunehmen, dass (...)