Das Schrems-II-Urteil des EuGH (C-311/18, 16.07.2020) hat die Anforderungen an Drittlandtransfers erheblich verschärft.
Kernaußagen des Urteils
- Das EU-US Privacy Shield wurde für ungültig erklärt.
- Standarddatenschutzklauseln (SCCs) bleiben grundsätzlich gültig, erfordern aber eine Einzelfallprüfung.
- Der Verantwortliche muss prüfen, ob das Recht des Drittlandes einen angemessenen Schutz der übermittelten Daten gewährleistet.
Transfer Impact Assessment (TIA)
Bei Nutzung von SCCs muss der Verantwortliche ein Transfer Impact Assessment durchführen:
- Die Rechtslage im Empfängerland prüfen (Zugriffsbefugnisse der Behörden, Rechtsschutzmittel)
- Bewerten, ob die SCCs in der Praxis eingehalten werden können
- Bei Defiziten: Zusätzliche Schutzmassnahmen treffen (z.B. Verschlüßelung, bei der der Schlüßel nicht im Drittland liegt)
- Wenn kein angemessener Schutz erreicht werden kann: Transfer einstellen
EU-U.S. Data Privacy Framework
Seit Juli 2023 besteht ein neuer Angemessenheitsbeschluss für die USA (EU-U.S. Data Privacy Framework). Er gilt aber nur für US-Unternehmen, die beim US-Handelsministerium zertifiziert sind. Für nicht zertifizierte US-Empfänger gelten weiterhin die Schrems-II-Anforderungen.
Pflicht nach Paragraph 21 BDSG
Wenn eine deutsche Aufsichtsbehörde einen Kommissionsbeschluss (z.B. den Angemessenheitsbeschluss für die USA) für rechtswidrig hält, muss sie das Bundesverwaltungsgericht anrufen, das ggf. an den EuGH vorlegt.