Suche
Contact
27.08.2020 | KPMG Law Insights

Ade Privacy Shield – Orientierungshilfe zum internationalen Datentransfer

Der Europäische Gerichtshof hat mit Urteil vom 16. Juli 2020 das EU-US Privacy Shield für unwirksam erklärt und damit vielen Datentransfers in die USA die Rechtsgrundlage genommen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg gibt in seiner Orientierungshilfe Hinweise zum rechtssicheren Umgang mit internationalen Datentransfers.

Ob aufgrund von Handelsbeziehungen, dem Speichern von Daten bei US-amerikanischen Cloudanbietern oder der Nutzung von Videokonferenzsystemen – für viele Verantwortliche ist die Übermittlung von Daten in die USA alltägliche Notwendigkeit. Das EuGH-Urteil „Schrems II“ stellt daher sowohl Unternehmen als auch öffentliche Stellen vor enorme Herausforderungen. Zur Rechtmäßigkeit von Datentransfers in Länder außerhalb der EU bedarf es einer bestimmten, datenschutzrechtlichen Grundlage. Die in den vergangenen Jahren überwiegend genutzte Rechtsgrundlage, das sogenannten EU-US Privacy Shield, wurde mit dem EuGH Urteil „Schrems II“ für ungültig erklärt. Zudem knüpfte der EuGH hohe Anforderungen an die ebenfalls häufig verwendete, alternative Rechtsgrundlage der Standardvertragsklauseln. Der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg hat nun eine Orientierungshilfe veröffentlicht, in der er auf Risiken von Verstößen hinweist, Verantwortlichen Handlungsempfehlungen zum rechtskonformen Datentransfer und einen Ausblick auf das weitere Vorgehen in seiner Funktion als Aufsichtsbehörde gibt.

Hintergrund

Der EuGH hatte das sogenannte Privacy Shield in seinem Urteil „Schrems II“ mit sofortiger Wirkung für ungültig erklärt. Das Privacy Shield bezeichnet den Angemessenheitsbeschluss, mit dem die europäische Kommission im Jahr 2016 beschlossen hatte, dass die USA unter bestimmten Umständen ein angemessenes Schutzniveau bieten, sodass Daten ohne weitere Genehmigung an zertifizierte US-amerikanische Unternehmen übermittelt werden konnten. Das oberste europäische Gericht hat in diesem Urteil allerdings entschieden, dass aufgrund der weitreichenden Befugnisse der US-Geheimdienste, die Eingriffe in die Rechte von EU-Bürgern ermöglichen, und des fehlenden Rechtsschutzes, ein angemessenes Datenschutzniveau nicht sichergestellt werden kann.

Eine weitere Feststellung des EuGH betrifft die von der Kommission im Jahr 2010 beschlossenen Standardvertragsklauseln, die bei wirksamer Vereinbarung vor dem Urteil ebenfalls eine Rechtsgrundlage für den Datentransfer in die USA darstellten. Diese seien weiterhin gültig, allerdings nur unter der Voraussetzung, dass ein entsprechendes Schutzniveau für personenbezogenen Daten sichergestellt werden kann. Bei Übermittlungen in die USA können Standardvertragsklauseln laut EuGH allein keinen angemessenen Schutz gewährleisten, da diese lediglich die Vertragsparteien binden – nicht jedoch die US-Behörden. Diese dürfen nach US-amerikanischem Recht in die Rechte betroffener Personen, etwa zur Strafverfolgung, eingreifen. Daher müssen zur rechtmäßigen Übermittlung zusätzliche Maßnahmen wie Verschlüsselung oder Anonymisierung getroffen werden, um die Rechte von betroffenen EU-Bürgern zu schützen.

Die Wertungen des Urteils erstecken sich nicht nur auf die Übermittlung von Daten in die USA aufgrund des Privacy Shields, sondern auch auf alle Transfers auf Grundlage von Standardvertragsklauseln sowohl in die USA als auch in andere Drittländer.

Mögliche Rechtsgrundlagen

Der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit weist ausdrücklich darauf hin, dass das Privacy Shield keine gültige Rechtslage für die Übermittlung personenbezogener Daten in die USA mehr darstellt und bei Verstößen empfindliche Bußgelder und Schadenersatzforderungen drohen. Solche Datentransfers sollten daher unterbleiben.

Eine Übermittlung auf Grundlage von Standardvertragsklauseln sei dagegen grundsätzlich möglich. Allerdings müsse ein angemessenes Schutzniveau sichergestellt werden. Erforderlich ist, dass der Verantwortliche zusätzliche Garantien bietet, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen. Dies könnte beispielsweise entweder durch eine Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die von US-Diensten nicht gebrochen werden kann oder eine Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann, erreicht werden. Kann ein solches angemessenes Schutzniveau nicht gewährleistet werden, sollten Verantwortliche dringend von einer Übermittlung auf dieser Grundlage absehen.

Denkbar sei darüber hinaus eine ausnahmsweise Übermittlung nach Art. 49 DSGVO. Hier sei allerdings der restriktive Charakter der gesamten Vorschrift zu beachten, sodass dies lediglich bei Datentransfers innerhalb von Konzernen oder bei Einzelvertragsbeziehungen eine wirksame Rechtsgrundlage darstellen könnte.

Empfohlenes Vorgehen

Der Landesbeauftragte empfiehlt sowohl Unternehmen als auch Behörden unverzüglich zu prüfen, in welchen Fällen sie personenbezogene Daten in Drittländer exportieren. Die jeweiligen Vertragspartner in den Drittländern sollten sodann über den Inhalt des EuGH-Urteils informiert werden. Im Anschluss sollten sich die Verantwortlichen über die Rechtslage in dem jeweiligen Land erkundigen und überprüfen, ob es für das jeweilige Drittland einen gültigen Angemessenheitsbeschluss der Kommission gibt, auf die sie ihren Datentransfer rechtlich stützen könnten. Liegt ein solcher nicht vor, sollte überprüft werden, ob die von der Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land genutzt werden können. Sollte dies, wie beispielsweise im Falle der USA, nur aufgrund zusätzlicher Garantien möglich sein, sollte beurteilt werden, ob durch entsprechende Maßnahmen im Einzelfall ein angemessenes Schutzniveau erreicht werden kann. Sollte dies ebenfalls scheitern, bliebe als letzte, eingeschränkte Möglichkeit die Übermittlung von Daten nach der Ausnahmevorschrift des Art. 49 DSGVO.

Ausblick

Der Beauftragte fordert Unternehmen und Behörden dazu auf, zumutbare Alternativangebote ohne Transferproblematik einzuholen und weist darauf hin, dass nicht notwendige, problematische Datentransfers künftig untersagt werden. Er zeigt allerdings auch Verständnis für einzelne Unternehmen, für die mit dem Urteil des EuGH extreme Belastungen einhergehen und kündigt an: „Das EuGH-Urteil gilt, wir müssen es unverzüglich umsetzen – und das werden wir auch tun. Allerdings werden wir dies mit Augenmaß nach dem Grundsatz der Verhältnismäßigkeit tun und immer die Frage stellen, ob die Datentransfers in die USA alternativlos sind oder nicht.“

Explore #more

04.04.2025 | In den Medien

KPMG Law Statement in DER PLATOW Brief: FiDA – Der Regulierungshammer

FiDA könnte den Finanzmarkt revolutionieren. Die neue Verordnung könnte Drittanbietern einen standardisierten Zugang zu Finanzdaten ermöglichen. Doch hohe Kosten und offene Fragen bleiben. Sie finden…

03.04.2025 | KPMG Law Insights

Erstes Omnibus-Paket soll Pflichten der CSDDD, CSRD und EU-Taxonomie lockern

Die EU-Kommission hatte am 26. Februar 2025 den Entwurf des ersten angekündigten Omnibus-Pakets veröffentlicht. Mit der ersten Omnibus-Initiative möchte die Kommission insbesondere die CSRD, die…

31.03.2025 | In den Medien

Statement in der IZ zum Thema Mieterstrommodelle

Der Europäische Gerichtshof hält deutsche Sonderregeln bezüglich PV-Anlagen und Ähnlichem für unvereinbar mit EU-Recht. Nun drohen die Betreiber von Mieterstrommodellen unter die Regulatorik zu fallen…

28.03.2025 | KPMG Law Insights

Planfeststellungsverfahren: So können Projektmanager Behörden entlasten

Große Infrastrukturvorhaben wie Flughäfen, Fernstraßen oder Eisenbahntrassen berühren diverse öffentliche Belange und die privaten Interessen einer großen Zahl von Personen. Daher gibt es für solche…

24.03.2025 | KPMG Law Insights

Produktpiraterie im Online-Handel: Das sind die neuesten Tricks

Mit dem wachsenden Online-Handel floriert auch die Produktpiraterie. Ein großes Problem für Markeninhaber, aber auch eine Herausforderung für Online-Marktplätze und die Gesetzgeber. Was sind die…

24.03.2025 | Dealmeldungen

KPMG Law berät den Flughafen München beim Verkauf der aerogate München Gesellschaft für Luftverkehrsabfertigungen mbH

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die Flughafen München GmbH (FMG) rechtlich beim Verkauf ihrer Tochtergesellschaft aerogate München Gesellschaft für Luftverkehrsabfertigungen mbH (aerogate)…

21.03.2025 | KPMG Law Insights

Sondervermögen Infrastruktur: So gelingt der Verwaltung eine schnelle Umsetzung der Projekte

Das Sondervermögen Infrastruktur schafft die Chance, den jahrelangen Investitionsrückstau aufzuholen. Es ist Eile geboten. Verteidigungsfähigkeit, Wirtschaftswachstum und Dekarbonisierung erfordern eine funktionierende Verkehrs- und Bildungsinfrastruktur. Der…

21.03.2025 | In den Medien

Einbindung des Baus in die Planung – Gutachten zur Vereinbarkeit mit Haushalts- und Vergaberecht

Planung und Bau bilden eine Einheit für die Realisierung von Bauprojekten. Durch die Planung werden die zentralen Weichen für die Ausführung des Bauvorhabens gestellt. Gleichwohl…

20.03.2025 | KPMG Law Insights

AI Act: Das gilt für KI in Hochschulen und Forschung

Künstliche Intelligenz (KI) bietet zahlreiche Chancen für Forschung, Lehre und Verwaltung, wirft aber zugleich komplexe rechtliche Fragen auf. Die KI-Verordnung der Europäischen Union (AI

19.03.2025 | In den Medien

BUJ/KPMG Law Summit Transformation

Der Bundesverband der Unternehmensjuristinnen und Unternehmensjuristen e.V. (BUJ) und KPMG Law laden Sie herzlich zum BUJ Summit Transformation am 28. Mai 2025 nach Frankfurt am…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

Tel.: +49 761 769999-20
shoegl@kpmg-law.com

Maik Ringel

Senior Manager

Münzgasse 2
04107 Leipzig

Tel.: +49 341 22572563
mringel@kpmg-law.com

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll