Der Europäische Gerichtshof (EuGH) hat mit seinem Schrems-II-Urteil im Juli 2020 für erhebliche Veränderungen im internationalen Datentransfer gesorgt. Dabei wurde der sogenannte „Privacy Shield“, ein Abkommen zwischen der EU und den USA, für ungültig erklärt. Dies geschah, weil der EuGH feststellte, dass die Datenschutzstandards in den USA nicht mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) vereinbar sind. Insbesondere die weitreichenden Befugnisse von US-Geheimdiensten wurden als problematisch eingestuft. Für Unternehmen, die personenbezogene Daten in Drittstaaten übertragen, hat Schrems II eine neue Ära der Compliance und Sorgfaltspflicht eingeläutet. Es geht nicht nur um die Rechtmäßigkeit des Datentransfers, sondern auch um das Vertrauen der Kunden und Geschäftspartner.
Die Herausforderungen des Datentransfers in Drittstaaten
Die Anforderungen, die Schrems II stellt, machen den internationalen Datentransfer komplex. Besonders in Länder außerhalb des Europäischen Wirtschaftsraums (sogenannte Drittstaaten) sehen sich Unternehmen mit erheblichen Hürden konfrontiert.
Rechtliche Unsicherheiten und ihre Auswirkungen
Eine der größten Herausforderungen ist die rechtliche Unsicherheit, die durch Schrems II entstanden ist. Selbst wenn Unternehmen Standardvertragsklauseln (SCCs) verwenden, reicht dies oft nicht aus, um den Datentransfer rechtmäßig zu gestalten. Der EuGH hat klargestellt, dass Unternehmen zusätzlich prüfen müssen, ob das Datenschutzniveau im Drittstaat auf einem mit der EU vergleichbaren Niveau ist. Ist dies nicht der Fall, sind ergänzende Maßnahmen erforderlich. Diese Unsicherheiten verursachen nicht nur erheblichen administrativen Aufwand, sondern können auch zu rechtlichen Konsequenzen führen, wenn die Anforderungen nicht erfüllt werden. Für viele Unternehmen bedeutet dies, dass sie ihre bestehenden Datenübertragungspraktiken komplett überdenken müssen.
Probleme bei der Datenübertragung in unsichere Länder
Ein weiteres Problem ist die praktische Umsetzung der Anforderungen in Ländern, die nicht über ein angemessenes Datenschutzniveau verfügen. Länder wie die USA, Indien oder China stellen besondere Herausforderungen dar, da dort staatliche Überwachungsprogramme oft Vorrang vor dem Schutz personenbezogener Daten haben. Unternehmen müssen hier nicht nur ihre Datenflüsse genau analysieren, sondern auch technische Maßnahmen wie Verschlüsselung oder Pseudonymisierung implementieren, um den Schutz der Daten zu gewährleisten. Dies kann teuer und technisch anspruchsvoll sein. Zudem gibt es Situationen, in denen selbst diese Maßnahmen nicht ausreichen, was Unternehmen dazu zwingt, die Zusammenarbeit mit bestimmten Partnern oder Dienstleistern zu überdenken.
Wie Unternehmen sich anpassen können
Obwohl Schrems II viele Herausforderungen mit sich bringt, gibt es verschiedene Ansätze, wie Unternehmen die neuen Anforderungen erfüllen können.
Implementierung von Standardvertragsklauseln (SCCs)
Standardvertragsklauseln, auch SCCs genannt, sind ein wichtiger Bestandteil des internationalen Datentransfers. Diese Klauseln wurden von der Europäischen Kommission entwickelt und bieten Unternehmen eine rechtliche Grundlage für die Datenübertragung in Drittstaaten. Nach Schrems II reicht es jedoch nicht aus, die SCCs einfach in Verträge aufzunehmen. Unternehmen müssen zusätzlich eine Transferfolgenabschätzung durchführen, um sicherzustellen, dass die Daten im Drittstaat ausreichend geschützt sind. Dabei wird geprüft, ob das Rechtssystem des Drittstaates die Einhaltung der Klauseln überhaupt ermöglicht. Falls dies nicht der Fall ist, müssen weitere Maßnahmen getroffen werden, um den Schutz der Daten zu gewährleisten.
Zusätzliche technische und organisatorische Maßnahmen
Neben den SCCs empfiehlt es sich, technische und organisatorische Maßnahmen (TOMs) zu ergreifen. Zu den technischen Maßnahmen gehört beispielsweise die Verschlüsselung sensibler Daten sowohl während der Übertragung als auch im Ruhezustand. Auch Pseudonymisierung, bei der personenbezogene Daten durch nicht identifizierbare Zeichenfolgen ersetzt werden, kann eine sinnvolle Maßnahme sein. Organisatorische Maßnahmen umfassen unter anderem die strikte Kontrolle des Datenzugriffs und die regelmäßige Überprüfung der Datenschutzpraktiken. Diese Maßnahmen sind nicht nur notwendig, um den Anforderungen von Schrems II gerecht zu werden, sondern auch, um das Vertrauen der Kunden und Partner zu stärken. Ein tiefergehender Blick auf Technische und Organisatorische Maßnahmen (TOMs) bietet weitere Einblicke in deren Bedeutung.
Schulungen und Sensibilisierung der Mitarbeiter
Ein oft unterschätzter Aspekt ist die Schulung der eigenen Mitarbeiter. Datenschutz ist nicht allein eine Aufgabe der IT-Abteilung oder der Rechtsabteilung, sondern betrifft alle Bereiche eines Unternehmens. Mitarbeiter, die regelmäßig mit personenbezogenen Daten arbeiten, müssen die Anforderungen von Schrems II und der DSGVO verstehen. Dazu gehört auch das Bewusstsein für potenzielle Risiken und die korrekte Umsetzung der getroffenen Maßnahmen. Regelmäßige Schulungen und Sensibilisierungskampagnen helfen dabei, Fehler zu vermeiden und den Datenschutz im Unternehmen nachhaltig zu stärken.
Fazit: Schrems II als Chance für besseren Datenschutz
Das Schrems-II-Urteil mag für viele Unternehmen zunächst wie eine bürokratische Bürde erscheinen, doch es bietet auch Chancen. Es zwingt Unternehmen dazu, ihre Datenschutzpraktiken zu überdenken und auf ein höheres Niveau zu bringen. Dadurch können nicht nur rechtliche Risiken minimiert, sondern auch das Vertrauen der Kunden gestärkt werden. In einer Welt, in der Datenschutz zunehmend an Bedeutung gewinnt, sind Unternehmen gut beraten, Schrems II als Anstoß für Verbesserungen zu nutzen und den Datenschutz als festen Bestandteil ihrer Unternehmenskultur zu etablieren. Weitere umfassende Informationen finden Unternehmen in der DSGVO für Unternehmen, die eine Orientierung im Umgang mit den gesetzlichen Anforderungen bietet.
Letztlich profitieren alle davon – die Unternehmen, ihre Kunden und die Gesellschaft als Ganzes.
FAQ zum Thema Datentransfer drittstaaten schrems ii
Was bedeutet Schrems II für Unternehmen?
Schrems II stellt Unternehmen vor die Herausforderung, ihre Datenübertragungen in Drittstaaten zu überprüfen und sicherzustellen, dass sie den Datenschutzanforderungen der EU entsprechen.
Welche Drittstaaten gelten als sicher für den Datentransfer?
Sichere Drittstaaten sind jene, die ein angemessenes Datenschutzniveau gemäß den EU-Vorgaben gewährleisten. Eine Liste dieser Staaten wird von der Europäischen Kommission bereitgestellt.
Was sind die Konsequenzen bei Verstößen gegen Schrems II?
Verstöße können zu hohen Geldstrafen, rechtlichen Konsequenzen und einem Vertrauensverlust bei Kunden führen. Unternehmen sollten daher proaktiv Maßnahmen ergreifen.
