Was bedeutet das Schrems-II-Urteil für Datentransfers in Drittländer?
Was das Urteil entschied
Der EuGH stellte fest: US-Geheimdienste können auf Daten von EU-Bürgern bei US-Cloud-Anbietern zugreifen, ohne ausreichende Rechtsschutz-Möglichkeiten für die Betroffenen. Das verletzt EU-Grundrechte. Privacy Shield (Vorgänger-Abkommen) wurde damit für ungültig erklärt. Unternehmen mussten ihre US-Datentransfers neu prüfen.
Folgen für Unternehmen
Jeder Datentransfer in die USA (oder andere Drittländer ohne Angemessenheits-Beschluss) braucht: 1) Rechtsgrundlage (z.B. Standardvertragsklauseln), 2) Transfer Impact Assessment (TIA), 3) zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Dieser Mehraufwand traf v.a. Mittelstand hart.
EU-US Data Privacy Framework (2023)
Seit Juli 2023 gibt es einen neuen Angemessenheits-Beschluss der EU-Kommission. Zertifizierte US-Unternehmen können wieder einfacher Daten erhalten, ähnlich wie unter Privacy Shield. Aber: Datenschützer wie Max Schrems haben bereits Schrems-III-Klage angekündigt. Rechtssicherheit bleibt fragil.
Praxis-Empfehlungen
1) Inventur: welche EU-Daten gehen in Drittländer? 2) Bei US-Anbietern prüfen, ob sie ans Data Privacy Framework angeschlossen sind. 3) TIA dokumentieren auch für DPF-zertifizierte Anbieter (gehört zur Rechenschaftspflicht). 4) Alternative EU-Anbieter prüfen, gerade für sensible Daten. Diversifizierung minimiert Risiko.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.