Schrems-II-Urteil
Das Schrems-II-Urteil ist eine Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020, mit der das Privacy Shield-Abkommen für ungültig erklärt wurde. Seitdem gelten verschärfte Anforderungen an die Übermittlung personenbezogener Daten in Drittstaaten, insbesondere in die USA.
Ausführliche Erklärung
Der Europäische Gerichtshof stellte in seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 fest, dass die USA kein angemessenes Datenschutzniveau im Sinne der Datenschutz-Grundverordnung bieten. Der Grund: US-Überwachungsprogramme wie PRISM oder auf Basis des FISA-Act sind nach Ansicht des Gerichts nicht auf das verhältnismäßig erforderliche Maß beschränkt. Zudem fehlt es für EU-Bürger an wirksamen Rechtsschutzmöglichkeiten gegen Zugriffe amerikanischer Nachrichtendienste. Der Durchführungsbeschluss zum Privacy Shield wurde daher sofort und ohne Übergangsfrist für unwirksam erklärt.
Für KMU bedeutet das Urteil, dass bei jedem Datentransfer in Drittstaaten ohne Angemessenheitsbeschluss geprüft werden muss, ob das Datenschutzniveau tatsächlich dem europäischen Standard entspricht. Dies betrifft viele alltägliche Cloud-Dienste, Newsletter-Tools, Videokonferenz-Systeme oder Website-Analyse-Anwendungen mit Sitz außerhalb der EU oder des EWR. Auch Standardvertragsklauseln allein reichen nicht aus, wenn im Empfängerland Gesetze gelten, die den Schutz der Daten untergraben können.
Verantwortliche müssen daher eine strukturierte Bestandsaufnahme ihrer Drittstaatentransfers vornehmen und dokumentieren, welche Rechtsgrundlage jeweils zur Anwendung kommt. Bei Einsatz von Standardvertragsklauseln ist zusätzlich ein sogenanntes Transfer Impact Assessment durchzuführen. Darin wird bewertet, ob im Empfängerland tatsächlich ein gleichwertiges Schutzniveau sichergestellt werden kann oder ob zusätzliche technische und organisatorische Maßnahmen erforderlich sind – etwa Verschlüsselung, Pseudonymisierung oder vertragliche Zusatzgarantien.
Seit 10. Juli 2023 besteht mit dem EU-US Data Privacy Framework ein neuer Angemessenheitsbeschluss für die USA, der unter bestimmten Voraussetzungen wieder vereinfachte Datentransfers erlaubt. Allerdings sind bereits Klagen gegen diesen Beschluss anhängig. Unternehmen sollten daher ihre Übermittlungen weiterhin sorgfältig dokumentieren und alternative Szenarien vorbereiten.
Praxisbeispiel
Ein steirisches Steuerberatungsbüro mit 12 Mitarbeitenden nutzt eine US-amerikanische Cloud-Buchhaltungssoftware und ein Newsletter-Tool eines kalifornischen Anbieters. Nach dem Schrems-II-Urteil muss die Kanzlei prüfen, ob beide Anbieter unter dem Data Privacy Framework zertifiziert sind oder ob Standardvertragsklauseln samt Transfer Impact Assessment erforderlich sind. Die Dokumentation dieser Prüfung wird im Verarbeitungsverzeichnis hinterlegt.