Symbolbild für Internationaler Datentransfer

Internationaler Datentransfer: Koordinierte Prüfung nach Schrems II Urteil

Das Schrems II Urteil stellt Unternehmen hinsichtlich Datenschutz auf internationaler Ebene vor neuen Herausforderungen. Welche Entscheidungen sind genau von dem Europäischen Gerichtshof (EuGH) getroffen worden? Das klären wir im Folgenden und benennen zugleich, welche Auswirkungen das Urteil auf den internationalen Datentransfer für Ihr Unternehmen hat.
 

2022-03-16

Logo

Die Digitalisierung geschäftlicher Prozesse ermöglicht vielen Unternehmen ein effektives Arbeiten auf internationaler Ebene. Damit geht nicht selten ein länderübergreifender Datenaustausch einher, wenn zum Beispiel Dienste von internationalen Software- oder Cloud-Anbietern genutzt werden. Während auf europäischer Ebene die Regelungen der DSGVO greifen, sind bei Drittlandübermittlungen zusätzliche Garantien erforderlich, um ein vergleichbares Datenschutzniveau zu gewährleisten. Rechtliche Entscheidungen wie das Schrems II Urteil verdeutlichen, dass die Einhaltung der Datenschutzgarantien einer ständigen Überprüfung bedarf.

DSGVO und Drittländer: Was gilt es zu beachten?

Innerhalb der EU gelten die Datenschutzbestimmungen der DSGVO und regeln damit die Erfassung und Verarbeitung von personenbezogenen Daten. In Unternehmen außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländern) gelten wiederum andere Gesetze in Bezug auf Datenschutz, woraus sich aus europäischer Sicht zwei Tatbestände ergeben: 

Bieten Länder ein gleichwertiges oder höheres Datenschutzniveau, erleichtern sie die Vereinbarkeit des internationalen Datentransfers für in Europa ansässige Unternehmen. Allerdings nur dann, wenn die Europäische Kommission darüber einen Angemessenheitsbeschluss verabschiedet. Darunter fallen beispielsweise Länder wie die Schweiz oder auch Neuseeland.

Ist das Datenschutzniveau in den Ländern außerhalb der EU dagegen niedriger, bedarf es andere geeignete Garantien, um eine Brücke schlagen zu können. Zum Einsatz kommen dann Standarddatenschutzklauseln, die in bestehende Vereinbarungen zum Datenschutz aufgenommen werden. Auch einzeln ausgehandelte Vertragsklauseln können Bestand haben, die jedoch vorab von der zuständigen Aufsichtsbehörde genehmigt werden müssen.

Welche Bedeutung hat das Schrems II Urteil vom EuGH für den internationalen Datentransfer?

Für den Datentransfers in die USA galt seit 2016 das EU-U.S. Privacy Shield Abkommen als Grundlage, um den internationalen Datenaustausch aus datenschutzrechtlicher Sicht zu legitimieren. Mit diesem Angemessenheitsbeschluss wurde festgelegt, dass die verabschiedeten Regelungen dem Datenschutzniveau der Europäischen Union entsprechen. Mit dem Schrems II Urteil jedoch kippte der EuGH das Privacy Shield Abkommen am 16. Juli 2020. Zugleich wurden die Anforderungen an einen rechtssicheren Datenaustausch angehoben. Die bislang verwendeten Standarddatenschutzklauseln reichen nun mitunter nicht mehr aus, um den internationalen Datentransfer rechtssicher auszuführen. Nach Ansicht der Behörden sind sie nicht ausreichend, um die Nutzerdaten vor Zugriffen der US-Sicherheitsbehörden zu schützen. Betroffene Unternehmen sollten das Schutzniveau explizit prüfen und gegebenenfalls durch zusätzliche Maßnahmen anheben.

Internationaler Datentransfer: Prüfung durch Aufsichtsbehörden

Die Umsetzung der Schrems II Entscheidung wird von den Datenschutzbehörden aus verschiedenen Bundesländern geprüft. So zumindest lautet eine Ankündigung vom 1. Juni 2021. Die Behörden haben sich hierbei darauf geeinigt, anhand von gemeinsam abgestimmten Fragebögen an Unternehmen heranzutreten, welche vermehrt Dienstleister aus Drittländern einsetzen. Die Prüfung der Datenübermittlung bezieht sich auf folgende Bereiche:

  • E-Mail-Versand
  • Hosting von Internetseiten
  • Webtracking
  • Verwaltung von Bewerberdaten
  • Konzerninterner Datentransfer.

Die Aufsichtsbehörden entscheiden hierbei individuell, in welchem Umfang sie aktiv tätig werden. Das bezieht sich beispielsweise auch darauf, welche Fragebögen schwerpunktmäßig versendet werden. 

Damit Ihr Unternehmen auf der sicheren Seite ist, empfehlen wir Ihnen, die Fragen proaktiv für Ihr Unternehmen zu beantworten. Sollten Sie Defizite feststellen, beheben Sie diese umgehend in Zusammenarbeit mit Ihrem Datenschutzbeauftragten oder Rechtsexperten.
 

Am 16. Juli 2020 wurde vom Europäischen Gerichtshof ein Urteil gefällt, welches unter Schrems II bekannt wurde. Als Folge ergeben sich daraus neue datenschutzrechtliche Anforderungen für den internationalen Datenaustausch mit Unternehmen außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Um die Einhaltung der Datenschutzrichtlinien zu prüfen, führen entsprechende Aufsichtsbehörden länderübergreifende Kontrollen durch.
 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 16.03.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr