Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Relevante Auswirkungen des Schrems II Urteils

Das Schrems II Urteil hat weiterhin relevante Auswirkungen auf Unternehmen und Organisationen, die Datenübermittlungen außerhalb des EU-US Data Privacy Framework (EU-US DPF) an die USA oder an andere Drittländer (ohne Angemessenheitsbeschluss) vornehmen. Die wichtigsten Punkte haben wir zusammengestellt.

es ist die EU-Flagge mit dem Sternenkreis in digitalen Symbolen dargestellt und ein Gerichtshammer klopft mittig in den Sternenkreis
Quelle: ©mixmagic - stock.adobe.com

Schrems II Urteil

Rückblick: Der EuGH hatte durch das Schrems II Urteil (C-311/18 „Schrems II“) klargestellt, dass personenbezogene Daten nur an Drittländer übermittelt werden dürfen, wenn in diesem Drittland ein im Wesentlichen gleichwertiger Schutz gewährleistet ist wie in der EU. Für die USA hatte der EuGH ein solches angemessenes Schutzniveau verneint. Da der EuGH den Angemessenheitsbeschluss zum damaligen Privacy Shield mit sofortiger Wirkung für unwirksam erklärt hatte, konnten auf dieser Grundlage keine Datenübermittlungen mehr an die USA erfolgen. Außerdem folgte aus dem Urteil, dass Datenübermittlungen auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO mittels „zusätzlicher Maßnahmen“ abgesichert werden mussten, um sicherzustellen, dass die personenbezogenen Daten angemessen geschützt waren.

Was gilt nach Annahme des Angemessenheitsbeschlusses zum EU-US DPF

… im Hinblick auf Übermittlungen an die USA?

Die rechtliche Bewertung für Übermittlungen an die USA hat sich aufgrund des Angemessenheitsbeschlusses zum EU-US DPF geändert. Unternehmen und Organisationen, die am EU-US DPF teilnehmen, können Übermittlungen auf Grundlage des Angemessenheitsbeschlusses – im Rahmen des Anwendungsbereichs – vornehmen. Es sind also keine zusätzlichen Übermittlungsinstrumente nach Art. 46 DSGVO mehr erforderlich. Die Übermittlungen sind auch nicht durch zusätzliche Maßnahmen zu ergänzen. Die Einhaltung der sonstigen Anforderungen der DSGVO bleibt davon unabhängig erforderlich.

Datenübermittlungen an Stellen in den USA, welche nicht am EU-US DPF teilnehmen, müssen auf ein anderes Übermittlungsinstrument gem. Kapitel V DSGVO gestützt werden. Laut Europäischer Kommission gelten alle von der US-Regierung für den nationalen Sicherheitbereich implementierten Schutzmaßnahmen, für alle Datenübermittlungen im Rahmen der DSGVO an US-Unternehmen und Organisationen. Dies gilt unabhängig von den verwendeten Übermittlungsinstrumenten. Im Rahmen von Datenübermittlungen mithilfe geeigneter Garantien (Art. 46 DSGVO) können daher die von der Europäischen Kommission im Angemessenheitsbeschluss ausgeführten Bewertungen für das Transfer Impact Assessment berücksichtigt werden.

Die Datenschutzkonferenz (DSK) hat Anwendungshinweise zum Angemessenheitsbeschluss EU-US DPF erlassen.

… im Hinblick auf Übermittlungen an andere Drittländer (ohne Angemessenheitsbeschluss)?

Das Schrems II Urteil hat weiterhin Auswirkungen auf die Datenübermittlungen an andere Drittländer (ohne Angemessenheitsbeschluss). Bei diesen ist gegebenenfalls mit zusätzlichen Maßnahmen sicherzustellen, dass personenbezogene Daten im Drittland stets angemessen geschützt sind.

Bei Datenübermittlungen auf Grundlage von Art. 49 DSGVO  ist der Ausnahmecharakter der Norm zu berücksichtigen. Hierzu hat der Europäischen Datenschutzausschuss Leitlinien mit weiterführenden Hinweisen veröffentlicht.

Für Datenübermittlungen außerhalb des Anwendungsbereiches des EU-US DPF sowie an Drittländer ohne Angemessenheitsbeschluss gilt weiterhin:

  • Einzelheiten zu den Auswirkungen des Urteils und zu den daraus folgenden Pflichten von Unternehmen und Behörden finden Sie im Informationsschreiben des BfDI.
    Zum Herunterladen finden Sie auch eine Zusammenfassung der Kernaussagen des Schrems II Urteils.
  • Hier finden Sie ein Prüfschema des BfDI zur strukturierten Überprüfung der Rechtmäßigkeit der Datenübermittlung an Drittländer (derzeit in Überarbeitung). Hintergrund: Der Europäische Gerichtshof hat klargestellt, dass keine Übergangsfrist besteht. Das Ergebnis dieser Prüfung muss nachvollziehbar und überprüfbar dokumentiert werden, wie es Verantwortlichen etwa aus der Datenschutzfolgenabschätzung bekannt ist.
  • Der Europäische Datenschutzausschuss hat Hilfestellungen für die Umsetzung der Anforderungen des Schrems II Urteils erarbeitet, hierzu zählen die FAQs zum Schrems II Urteil sowie die Empfehlungen des EDSA zu den zusätzlichen Maßnahmen ("Supplementary measures").