Schrems II

Schrems II Urteil

Heutzutage werden Daten rund um den Globus geschickt und ist der Schutz persönlicher Daten ist daher besonders wichtig. Mit der Datenschutzgrundverordnung (DSGVO) wurde der Schutz personenbezogener Daten im inner-europäischen Datenverkehr auf ein neues Niveau gehoben. Diese Daten sind jedoch auch außerhalb der EU zu schützen - dafür sorgt das Schrems II Urteil.

Was ist Schrems II?

Schrems II ist ein Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020. Das Urteil betrifft den Datentransfer von personenbezogenen Daten von der Europäischen Union (EU) in die USA. In seiner Entscheidung präzisierte der EuGH die Anforderungen an Unternehmen und Organisationen, die prüfen müssen, ob sie personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln dürfen und ob sie zusätzliche Schutzmaßnahmen ergreifen müssen, um die Datenschutzrechte der betroffenen Personen zu gewährleisten.

Gleichzeitig bestärkt der EuGH mit dem Schrems II Urteil die Bedeutung der Standardvertragsklauseln gemäß Art. 46 Abs. 2 c) DSGVO. Der Einsatz der EU-Standarddatenschutzklauseln stellt nach der Schrems II Entscheidung ein grundlegendes Instrument dar, um bei der Übermittlung von personenbezogenen Daten in einen Drittstaat den Anforderungen des europäischen Datenschutzes zu gewährleisten.

Wer ist Maximilian Schrems?

Maximilian Schrems wurde ein Jahr nach seinem Abschluss in Rechtswissenschaften an der Universität Wien bekannt, als er sich wegen des Umgangs von Facebook mit personenbezogenen Daten beschwerte. Schrems ist ein Datenschutzaktivist und der Gründer und Vorstandsvorsitzende des NOYB – europäisches Zentrum für digitale Rechte. Die NGO hat sich zum Ziel gesetzt, den Datenschutz innerhalb der Europäischen Union durchzusetzen. Seine Kritik führte schließlich zu einem Vorabentscheidungsersuchen des irischen High Court und dem ersten „Schrems“-Urteil des Europäischen Gerichtshofs, das am 6. Oktober 2015 das Safe-Harbor-Abkommen für unwirksam erklärte.

Die Europäische Kommission hatte das Safe-Harbor-Abkommen bereits Ende Juli 2000 in Absprache mit dem US-Handelsministerium erlassen. Diesem Abkommen waren bis 2015 rund 5.500 amerikanische Unternehmen beigetreten, um die Einhaltung der Datenschutzbestimmungen der Datenschutzrichtlinie 95/46/EG, dem Vorgänger der DSGVO, zu dokumentieren. Den am Safe-Harbor-Abkommen teilnehmenden Unternehmen in den USA wurde mit dem Safe-Harbor-Beschluss der Europäischen Kommission ein ausreichendes Datenschutzniveau zugeschrieben und die Übermittlung von personenbezogenen Daten aus Europa in die USA wurde somit rechtlich möglich.

Nach dem Scheitern von Safe-Harbor führten informelle Absprachen zwischen der EU und den Vereinigten Staaten im Juli 2016 zu einem neuen Abkommen, dem EU-US Privacy Shield. Dieses stand jedoch von Anfang an in der Kritik. Schrems war einer der prominentesten Kritiker, der betonte, dass das EU-US Privacy Shield im Kern keine wesentliche Verbesserung gegenüber dem Safe-Harbor-Abkommen darstellt. Schließlich stellte auch das Europäische Parlament erhebliche Defizite des Abkommens fest. Dies führte am 16. Juli 2020 zum „Schrems II Urteil“, in dem der EuGH den Beschluss, wie zuvor Safe-Harbor, für ungültig erklärte.

Was sind die Auswirkungen von Schrems II?

Das Urteil stützt sich auf den Grundsatz der Datenschutzgrundverordnung (DSGVO), wonach personenbezogene Daten nur in Länder übertragen werden dürfen, die ein angemessenes Datenschutzniveau bieten. Das Schrems II Urteil des Europäischen Gerichtshofs hat daher erhebliche Auswirkungen auf den internationalen Datenverkehr zwischen der Europäischen Union und Drittländern, insbesondere den USA.

Die Datenschutzbehörden der EU haben klargestellt, dass die Übertragung personenbezogener Daten in Länder außerhalb der EU nun einer sorgfältigen Prüfung unterzogen werden muss, um sicherzustellen, dass der Datenschutz angemessen gewährleistet ist. Unternehmen müssen insbesondere sicherstellen, dass die Empfänger der Daten in Drittländern angemessene Garantien für den Schutz personenbezogener Daten bieten, wie zum Beispiel verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder Standardvertragsklauseln.

Dabei muss nicht das allgemeine Datenschutzniveau im Empfängerland bewertet werden, sondern das konkrete Schutzniveau für die übertragenen Daten.

Zu bewerten sind daher:

  • der konkrete Übertragungsweg der Daten: Risiken für das Schutzniveau können sich beispielsweise aus der staatlichen Überwachung ergeben. Bei einer Datenübertragung in die USA mittels Überseekabel könnte eine Überwachung durch US-amerikanische Geheimdienste stattfinden.
  • die Risiken durch die Speicherung der Daten bei einem spezifischen Empfänger: Unterschiede können sich beispielsweise durch branchenspezifische Gesetzgebung ergeben, die bestimmte Empfänger zur Kooperation mit Geheimdiensten zwingen, wobei andere Datenimporteure von dieser Gesetzgebung nicht betroffen sein müssen.
  • die Verwendung von Alternativen (etwa in der EU ansässige Dienstleister), die ohne internationalen Datentransfer auskommen.

Ergibt sich aufgrund dieser Bewertung, dass das Schutzniveau nicht mit dem europäischen vergleichbar ist, müssen vor dem Datentransfer zusätzliche Maßnahmen ergriffen werden, um den Schutz der Daten zu garantieren. Für den Fall, dass keine angemessenen Garantien vorhanden sind, müssen Unternehmen die Übertragung personenbezogener Daten in Drittländer aussetzen oder einschränken.

Was müssen Unternehmen tun?

Infolge des "Schrems II Urteils" müssen Unternehmen und öffentliche Stellen eine Bestandsaufnahme machen, um zu prüfen, ob und wann personenbezogene Daten in einen Drittstaat übermittelt werden. Falls Dienstleister oder Vertragspartner in einem Drittstaat beschäftigt werden, müssen diese über die Entscheidung des EuGH informiert werden.

Unternehmen sollten prüfen, ob für das jeweilige Drittland ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt oder nicht. Bestehende Standardvertragsklauseln müssen daraufhin geprüft werden, ob sie für das jeweilige Drittland ausreichend sind oder nicht. Da das geforderte Schutzniveau auf Grundlage von Standardvertragsklauseln nur noch selten ausreicht, müssen Verantwortliche weitere Garantien bieten, beispielsweise durch Verschlüsselungen, Anonymisierung oder Pseudonymisierung. Wenn trotz dieser Maßnahmen die Datenübermittlung immer noch nicht zulässig ist, bleibt als letztes Mittel der Datentransfer nach Art. 49 DSGVO.

Glasskube unterstützt Sie bei der Einhaltung der DSGVO gemäß des Schrems-II-Urteils. Nehmen Sie Kontakt mit uns auf!

Unsere Lösungen für zuverlässige und skalierbare Infrastruktur

Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.

Testen Sie Glasskube kostenlos

Ihre Cloud Native Experten für zuverlässe IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.