Datenschutz & Sicherheit

Was bedeutet das Schrems-II-Urteil für Datentransfers in Drittländer?

Zuletzt aktualisiert:

Was das Urteil entschied

Der EuGH stellte fest: US-Geheimdienste können auf Daten von EU-Bürgern bei US-Cloud-Anbietern zugreifen, ohne ausreichende Rechtsschutz-Möglichkeiten für die Betroffenen. Das verletzt EU-Grundrechte. Privacy Shield (Vorgänger-Abkommen) wurde damit für ungültig erklärt. Unternehmen mussten ihre US-Datentransfers neu prüfen.

Folgen für Unternehmen

Jeder Datentransfer in die USA (oder andere Drittländer ohne Angemessenheits-Beschluss) braucht: 1) Rechtsgrundlage (z.B. Standardvertragsklauseln), 2) Transfer Impact Assessment (TIA), 3) zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Dieser Mehraufwand traf v.a. Mittelstand hart.

EU-US Data Privacy Framework (2023)

Seit Juli 2023 gibt es einen neuen Angemessenheits-Beschluss der EU-Kommission. Zertifizierte US-Unternehmen können wieder einfacher Daten erhalten, ähnlich wie unter Privacy Shield. Aber: Datenschützer wie Max Schrems haben bereits Schrems-III-Klage angekündigt. Rechtssicherheit bleibt fragil.

Praxis-Empfehlungen

1) Inventur: welche EU-Daten gehen in Drittländer? 2) Bei US-Anbietern prüfen, ob sie ans Data Privacy Framework angeschlossen sind. 3) TIA dokumentieren auch für DPF-zertifizierte Anbieter (gehört zur Rechenschaftspflicht). 4) Alternative EU-Anbieter prüfen, gerade für sensible Daten. Diversifizierung minimiert Risiko.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.