News

Symbolbild: Digitale Datenübertragung in die USA

5 Jahre danach: Schrems II-Urteil

Kategorie: Datenschutz

Datentransfer in die USA: Was gilt seit Schrems II wirklich?

Vor fünf Jahren erschütterte das Schrems II-Urteil den internationalen Datentransfer. Der EuGH erklärte das sogenannte „Privacy Shield“-Abkommen zwischen der EU und den USA für ungültig – mit weitreichenden Folgen für Unternehmen. In unserem heutigen Newsletter fassen wir zusammen, was sich seitdem getan hat, wo weiterhin Unsicherheit herrscht und was Sie aktuell beachten sollten.

Rückblick: Was war Schrems II?

Im Juli 2020 urteilte der Europäische Gerichtshof (EuGH), dass das „Privacy Shield“ keinen ausreichenden Schutz für EU-Bürger:innen bietet, wenn deren Daten in die USA übertragen werden. Grund: US-Überwachungsgesetze widersprechen dem europäischen Datenschutzniveau. Viele Unternehmen mussten ihre Datenflüsse überprüfen und neue vertragliche Grundlagen schaffen – z. B. durch Standardvertragsklauseln (SCCs).

Welche Veränderungen gibt es seitdem?

1. Neue Standardvertragsklauseln (2021): Die EU-Kommission veröffentlichte überarbeitete SCCs.

2. Transfer Impact Assessments (TIAs): Unternehmen müssen bei jedem Drittland-Transfer prüfen, ob die rechtlichen Rahmenbedingungen im Zielland ein vergleichbares Datenschutzniveau mit Europa gewährleisten.

3. Data Privacy Framework DPF (seit 2023): Die USA und die EU haben eine informelle Vereinbarung zum elektronischen Datenaustausch geschlossen. Diese soll durch Feststellung der Angemessenheit des Datenschutzniveaus in den Vereinigten Staaten – sofern sich die Unternehmen beim Handelsministerium der Vereinigten Staaten selbst zertifizierten – die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in die Vereinigten Staaten legitimieren, ohne dass zusätzliche Datenschutzgarantien gewährt werden. Seither ist diese Vereinbarung umstritten.

4. Unsicherheit bleibt: Datenschutzorganisationen haben bereits Klagen gegen das neue Abkommen angekündigt. Ebenfalls ist seit der neuen US-Regierung nicht sicher, wie lange die Vereinbarung aufrechterhalten wird.

Wie sollten Unternehmen mit der Situation umgehen?

Aktuell können Sie das DPF nutzen, sofern Ihr US-Dienstleister dort zertifiziert ist. Prüfen Sie dies sorgfältig!
Für zusätzliche Sicherheit setzen viele Unternehmen weiterhin auf die neuen SCCs + Risikoanalyse (TIA). Dokumentationspflichten müssen eingehalten werden, denn die Aufsichtsbehörden verlangen im Zweifel klare Nachweise für jeden Drittlandtransfer.

Unser Tipp:

Überprüfen Sie regelmäßig Ihre Auftragsverarbeiter und Datenflüsse. Besonders bei US-Diensten (z. B. Cloud-Anbieter, Newsletter-Tools, Analyse-Software) sollten Sie sicherstellen, dass entweder eine gültige Zertifizierung oder aktuelle SCCs mit TIA zu dem Partnerunternehmen vorliegen.

Sie benötigen Unterstützung bei der Bewertung Ihrer Datentransfers? Wir helfen Ihnen gerne, sprechen Sie uns an!

 

datenschutzberatung@fkc-gmbh.de

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download
AI_Datenschutz_0425.pdf04.2025AI_Datenschutz_0425.pdf (527 KB)