Internationale Datentransfers nach dem Schrems II-Urteil

Das Schrems II-Urteil des Europäischen Gerichtshofs vom Juli 2020 hat die Landschaft für internationale Datentransfers grundlegend verändert. Dieser Artikel erklärt die Auswirkungen und zeigt praktische Lösungswege auf.

Was ist das Schrems II-Urteil?

Am 16. Juli 2020 entschied der EuGH im Fall "Schrems II" (C-311/18), dass:

1. Privacy Shield ungültig: Das EU-US Privacy Shield Framework wurde für ungültig erklärt
2. Standardvertragsklauseln bleiben gültig: Aber mit zusätzlichen Prüfpflichten
3. Zusätzliche Schutzmaßnahmen erforderlich: Bei unzureichendem Datenschutzniveau

## Auswirkungen auf Unternehmen

Sofortige Folgen
- Privacy Shield nicht mehr nutzbar: Keine Rechtsgrundlage für USA-Transfers
- Erhöhte Prüfpflichten: Für alle Drittlandtransfers
- Rechtsunsicherheit: Besonders bei US-Dienstleistern

### Langfristige Konsequenzen
- Compliance-Aufwand steigt: Umfassende Risikoanalysen erforderlich
- Anbieter-Wechsel: Weg von US-Anbietern zu EU-Alternativen
- Vertragliche Anpassungen: Neue Klauseln und Garantien

## Rechtliche Grundlagen für Drittlandtransfers

### 1. Angemessenheitsbeschluss
Die EU-Kommission stellt fest, dass ein Drittland angemessenen Datenschutz bietet.

Aktuelle Angemessenheitsbeschlüsse:
- Andorra, Argentinien, Kanada (kommerziell)
- Färöer, Guernsey, Isle of Man, Jersey
- Israel, Japan, Neuseeland
- Schweiz, Uruguay, Südkorea
- Neu: Großbritannien (bis 2025)

### 2. Standardvertragsklauseln (SCCs)
Von der EU-Kommission genehmigte Vertragsklauseln zwischen Datenexporteur und -importeur.

Neue SCCs seit Juni 2021:
- Vier verschiedene Module
- Erweiterte Pflichten
- Zusätzliche Schutzmaßnahmen

### 3. Verbindliche interne Datenschutzvorschriften (BCRs)
Für Unternehmensgruppen zur internen Datenübermittlung.

### 4. Ausnahmen nach Art. 49 DSGVO
Nur in besonderen Fällen und nicht für regelmäßige Transfers.

## Die Transfer Impact Assessment (TIA)

### Was ist eine TIA?
Eine Bewertung, ob das Datenschutzniveau im Zielland dem EU-Standard entspricht.

### Wann ist eine TIA erforderlich?
- Bei allen Transfers in Länder ohne Angemessenheitsbeschluss
- Besonders kritisch: USA, China, Russland
- Auch bei Cloud-Diensten mit Servern in der EU

### Durchführung einer TIA

Schritt 1: Datenanalyse
- Welche Daten werden übertragen?
- Wie sensibel sind die Daten?
- Wer hat Zugriff darauf?

Schritt 2: Rechtslage im Zielland
- Überwachungsgesetze (z.B. FISA, CLOUD Act)
- Zugriffsmöglichkeiten für Behörden
- Rechtsschutz für Betroffene

Schritt 3: Zusätzliche Schutzmaßnahmen
- Technische Maßnahmen (Verschlüsselung)
- Organisatorische Maßnahmen (Zugangskontrollen)
- Vertragliche Garantien

Schritt 4: Dokumentation
- Vollständige Dokumentation der Bewertung
- Regelmäßige Überprüfung
- Anpassung bei Änderungen

## Problematische Länder und Gesetze

### USA
Problematische Gesetze:
- FISA Section 702: Überwachung ausländischer Personen
- CLOUD Act: Zugriff auf Daten unabhängig vom Speicherort
- Executive Order 12333: Geheimdienstliche Überwachung

Betroffene Unternehmen:
- Alle US-Unternehmen
- Tochtergesellschaften von US-Unternehmen
- Unternehmen mit US-Investoren (umstritten)

### China
Problematische Gesetze:
- Cybersecurity Law: Datenlokalisierung
- National Intelligence Law: Kooperationspflicht mit Geheimdiensten
- Data Security Law: Weitreichende Überwachungsbefugnisse

### Russland
Problematische Gesetze:
- Datenlokalisierungsgesetz: Speicherung in Russland
- SORM-System: Technische Überwachung
- Extremismus-Gesetze: Weitreichende Zugriffsmöglichkeiten

## Zusätzliche Schutzmaßnahmen

### Technische Maßnahmen

Ende-zu-Ende-Verschlüsselung:
- Daten sind auch für den Anbieter unlesbar
- Schlüssel verbleiben in der EU
- Schutz vor behördlichen Zugriffen

Pseudonymisierung:
- Entfernung direkter Identifikatoren
- Zusätzliche Informationen erforderlich für Re-Identifikation
- Reduzierung des Risikos

Anonymisierung:
- Vollständige Entfernung der Identifizierbarkeit
- Höchster Schutzstandard
- Oft technisch schwer umsetzbar

### Organisatorische Maßnahmen

Zugangskontrollen:
- Minimale erforderliche Zugriffe
- Protokollierung aller Zugriffe
- Regelmäßige Überprüfung

Schulungen:
- Sensibilisierung der Mitarbeiter
- Umgang mit behördlichen Anfragen
- Eskalationsprozesse

Incident Response:
- Verfahren bei behördlichen Zugriffen
- Benachrichtigung der EU-Seite
- Dokumentation und Meldung

### Vertragliche Maßnahmen

Erweiterte SCCs:
- Zusätzliche Klauseln zu Behördenzugriffen
- Transparenzpflichten
- Kündigungsrechte

Data Processing Addenda:
- Detaillierte technische Spezifikationen
- Audit-Rechte
- Compliance-Garantien

## Praktische Lösungsansätze

### 1. EU-Anbieter bevorzugen
Vorteile:
- Keine Drittlandtransfers
- Direkter Rechtsschutz
- Einfachere Compliance

Nachteile:
- Begrenzte Auswahl
- Möglicherweise höhere Kosten
- Weniger Features

### 2. Hybride Lösungen
Ansatz:
- Sensible Daten in der EU
- Unkritische Daten bei globalen Anbietern
- Klare Datenklassifizierung

### 3. Technische Schutzmaßnahmen
Verschlüsselung:
- Client-side Encryption
- Bring Your Own Key (BYOK)
- Hold Your Own Key (HYOK)

### 4. Vertragliche Absicherung
Zusätzliche Klauseln:
- Data Residency Garantien
- Transparenz bei Behördenanfragen
- Kündigungsrechte bei Rechtsverstößen

## Branchenspezifische Besonderheiten

### Gesundheitswesen
- Besonders sensible Daten
- Strenge Compliance-Anforderungen
- Oft EU-Lösungen erforderlich

### Finanzdienstleistungen
- Regulatorische Anforderungen
- Aufsichtsbehördliche Prüfungen
- Hohe Sicherheitsstandards

### Öffentlicher Sektor
- Besondere Schutzpflichten
- Politische Sensibilität
- Oft Verbot von Drittlandtransfers

## Aktuelle Entwicklungen

### EU-US Data Privacy Framework
Status: Angemessenheitsbeschluss seit Juli 2023
Verbesserungen gegenüber Privacy Shield:
- Stärkere Überwachungsbeschränkungen
- Neuer Rechtsschutz-Mechanismus
- Regelmäßige Überprüfungen

Kritikpunkte:
- Grundsätzliche Probleme bleiben
- Neue Klage von Max Schrems erwartet
- Rechtsunsicherheit besteht weiter

### Neue Standardvertragsklauseln
- Seit Juni 2021 in Kraft
- Übergangszeit bis Dezember 2022
- Erweiterte Prüfpflichten

## Compliance-Checkliste

### Sofortmaßnahmen
- [ ] Inventar aller Drittlandtransfers
- [ ] Rechtsgrundlagen überprüfen
- [ ] Privacy Shield-Verträge anpassen
- [ ] Neue SCCs implementieren

### Mittelfristige Maßnahmen
- [ ] Transfer Impact Assessments durchführen
- [ ] Zusätzliche Schutzmaßnahmen implementieren
- [ ] Verträge mit Anbietern überarbeiten
- [ ] Mitarbeiter schulen

### Langfristige Strategie
- [ ] EU-Anbieter evaluieren
- [ ] Technische Lösungen implementieren
- [ ] Governance-Prozesse etablieren
- [ ] Regelmäßige Überprüfungen

## Fazit

Das Schrems II-Urteil hat internationale Datentransfers komplexer gemacht, aber nicht unmöglich. Mit der richtigen Strategie und angemessenen Schutzmaßnahmen können Unternehmen weiterhin global agieren.

Wichtig: Die Rechtslage entwickelt sich ständig weiter. Regelmäßige Überprüfungen und Anpassungen sind erforderlich.

Brauchen Sie Hilfe bei internationalen Datentransfers? Unsere Experten unterstützen Sie bei der Bewertung und Absicherung Ihrer Drittlandtransfers.