Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Datenübermittlungen in die USA und Schrems II Urteil

Der Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA, das sogenannte EU-US Data Privacy Framework (DPF), legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die auf Grundlage des DPF Daten aus der EU an US-Unternehmen und US-Organisationen übermittelt werden. Die wichtigsten Punkte haben wir zusammengestellt.

es ist die EU-Flagge mit dem Sternenkreis in digitalen Symbolen dargestellt und ein Gerichtshammer klopft mittig in den Sternenkreis
Quelle: ©mixmagic - stock.adobe.com

Auch mit Annahme des Angemessenheitsbeschlusses zum EU-US Data Privacy Framework (EU-US DPF) hat das Schrems II Urteil weiterhin relevante Auswirkungen auf Datenübermittlungen außerhalb des DPF an die USA oder an andere Drittländer (ohne Angemessenheitsbeschluss). Die wichtigsten Informationen zu Datenübermittlungen in die USA und den weiterhin relevanten Auswirkungen des Schrems-II Urteils haben wir nachfolgend zusammengestellt.

Schrems II Urteil

Rückblick: Der EuGH hatte durch das Schrems II Urteil (C-311/18 „Schrems II“) klargestellt, dass personenbezogene Daten nur an Drittländer übermittelt werden dürfen, wenn in diesem Drittland ein im Wesentlichen gleichwertiger Schutz gewährleistet ist wie in der EU. Für die USA hatte der EuGH ein solches angemessenes Schutzniveau verneint. Da der EuGH den Angemessenheitsbeschluss zum damaligen Privacy Shield mit sofortiger Wirkung für unwirksam erklärt hatte, konnten auf dieser Grundlage keine Datenübermittlungen mehr an die USA erfolgen. Außerdem folgte aus dem Urteil, dass Datenübermittlungen auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO mittels „zusätzlicher Maßnahmen“ abgesichert werden mussten, um sicherzustellen, dass die personenbezogenen Daten angemessen geschützt waren.

Was gilt nach Annahme des Angemessenheitsbeschlusses zum EU-US DPF

… im Hinblick auf Übermittlungen an die USA?

Die rechtliche Bewertung für Übermittlungen an die USA hat sich aufgrund des Angemessenheitsbeschlusses zum EU-US DPF geändert. Die geänderte rechtliche Bewertung basiert unter anderem auch auf dem neu geschaffenen Beschwerdeverfahren, mit dem Betroffene die Verarbeitung ihrer personenbezogenen Daten durch US-Nachrichtendienste in den USA überprüfen lassen können.

Unternehmen und Organisationen, die am EU-US DPF teilnehmen, können Übermittlungen auf Grundlage des Angemessenheitsbeschlusses – im Rahmen des Anwendungsbereichs – vornehmen. Es sind also keine zusätzlichen Übermittlungsinstrumente nach Art. 46 DSGVO mehr erforderlich. Die Übermittlungen sind auch nicht durch zusätzliche Maßnahmen zu ergänzen. Die Einhaltung der sonstigen Anforderungen der DSGVO bleibt davon unabhängig erforderlich.

Datenübermittlungen an Stellen in den USA, welche nicht am EU-US DPF teilnehmen, müssen auf ein anderes Übermittlungsinstrument gem. Kapitel V DSGVO gestützt werden. Laut Europäischer Kommission gelten alle von der US-Regierung für den nationalen Sicherheitbereich implementierten Schutzmaßnahmen, für alle Datenübermittlungen im Rahmen der DSGVO an US-Unternehmen und Organisationen. Dies gilt unabhängig von den verwendeten Übermittlungsinstrumenten. Im Rahmen von Datenübermittlungen mithilfe geeigneter Garantien (Art. 46 DSGVO) können daher die von der Europäischen Kommission im Angemessenheitsbeschluss ausgeführten Bewertungen für das Transfer Impact Assessment berücksichtigt werden.

Sofern die in Art. 3 DSGVO festgelegten Bedingungen für den räumlichen Anwendungsbereich erfüllt sind, wirkt sich der Angemessenheitsbeschluss nicht auf die unmittelbare Anwendung der DSGVO auf nach dem DPF zertifizierte Unternehmen aus.

Die Datenschutzkonferenz (DSK) hat Anwendungshinweise zum Angemessenheitsbeschluss EU-US DPF veröffentlicht.

Außerdem hat der EDSA FAQ zum EU-US DPF für europäische Privatpersonen und Unternehmen in englischer Sprache veröffentlicht. Nichtamtliche deutsche Übersetzungen finden Sie hier:
--> Privatpersonen
--> Unternehmen

… im Hinblick auf Übermittlungen an andere Drittländer (ohne Angemessenheitsbeschluss)?

Das Schrems II Urteil hat weiterhin Auswirkungen auf die Datenübermittlungen an andere Drittländer (ohne Angemessenheitsbeschluss). Bei diesen ist gegebenenfalls mit zusätzlichen Maßnahmen sicherzustellen, dass personenbezogene Daten im Drittland stets angemessen geschützt sind.

Bei Datenübermittlungen auf Grundlage von Art. 49 DSGVO  ist der Ausnahmecharakter der Norm zu berücksichtigen. Hierzu hat der Europäischen Datenschutzausschuss Leitlinien mit weiterführenden Hinweisen veröffentlicht.

Für Datenübermittlungen außerhalb des Anwendungsbereiches des EU-US DPF sowie an Drittländer ohne Angemessenheitsbeschluss gilt weiterhin:

  • Einzelheiten zu den Auswirkungen des Urteils und zu den daraus folgenden Pflichten von Unternehmen und Behörden finden Sie im Informationsschreiben der BfDI.
    Zum Herunterladen finden Sie auch eine Zusammenfassung der Kernaussagen des Schrems II Urteils.
  • Hier finden Sie ein Prüfschema der BfDI zur strukturierten Überprüfung der Rechtmäßigkeit der Datenübermittlung an Drittländer (derzeit in Überarbeitung). Hintergrund: Der Europäische Gerichtshof hat klargestellt, dass keine Übergangsfrist besteht. Das Ergebnis dieser Prüfung muss nachvollziehbar und überprüfbar dokumentiert werden, wie es Verantwortlichen etwa aus der Datenschutzfolgenabschätzung bekannt ist.
  • Der Europäische Datenschutzausschuss hat Hilfestellungen für die Umsetzung der Anforderungen des Schrems II Urteils erarbeitet, hierzu zählen die FAQs zum Schrems II Urteil sowie die Empfehlungen des EDSA zu den zusätzlichen Maßnahmen ("Supplementary measures").