Mandanten-Informationen
Mandanten-Informationen

Der EuGH hat im Verfahren Schrems II am 16.07.2020 ein Urteil gefällt, das weitreichende Folgen für den internationalen Datentransfer hat:

  • Das EU – U.S. Privacy Shield ist unwirksam und kann nicht mehr für den Datentransfer in die USA genutzt werden. Es gibt keine Schonfrist.
  • Die EU –Standardvertragsklauseln („SCC“) sind zwar weiterhin wirksam, die Vertragsparteien müssen aber prüfen, ob im Empfängerland gesetzliche Regelungen bestehen, die eine Einhaltung der SCC beschränken und ob ggf. durch ergänzende Regelungen ein angemessenes Datenschutzniveau gewährleistet werden kann. Dasselbe gilt für bereits genehmigte Binding Corporate Rules („BCR“).
  • Die Aufsichtsbehörden haben des Recht, Datentransfers auch aufgrund der SCC zu verbieten, soweit im Einzelfall die mit den SCC getroffenen Regelungen nicht eingehalten werden (können).

Der Europäische Datenschutzausschuss „EDPD/EDSA“ kündigt in seinen FAQs, Stand 23. Juli 2020, an, dass er Hinweise zu den ergänzenden Maßnahmen für die SCC geben wird. Es könne sich um rechtliche, technische oder organisatorische Maßnahmen handeln. Für die USA dürften nach den Feststellungen des EuGH nur Maßnahmen in Betracht kommen, die einen Zugriff der US-Behörden ohne Rechtmäßigkeitsprüfung nach den Grundsätzen der DSGVO technisch verhindern, oder den Betroffenen die Möglichkeit einräumen, effektiven Rechtsschutz in den USA zu suchen.

Dem EDPD/EDSA folgend besteht derzeit folgende Empfehlung zum Umgang mit Datentransfers in Drittländer:

  1. Datentransfer in die USA auf der Grundlage des EU-U.S. Privacy Shield nicht fortsetzen. Prüfen, ob der Datentransfer auf eine andere Rechtsgrundlage, z.B. die SCC, umgestellt werden kann oder ob ein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt.
  2. Beim Datentransfer in die USA und andere Drittländer auf der Grundlage von SCC müssen Datenempfänger in den Drittländern prüfen, ob sie in ihrem Land die SCC einhalten können und die Datenexporteure in der EU informieren. Dasselbe gilt für BCR. Alle Datenexporteure in der EU sollten daher unverzüglich ihre Datenempfänger in Drittländern anschreiben und um entsprechende Auskunft bitten. Für die USA muss keine Auskunft mehr eingeholt werden, da das Urteil des EuGH bereits alle Informationen enthält.
  3. Wenn der Datenempfänger im Drittland erklärt, dass er die SCC nicht einhalten kann oder keine Auskunft erteilt, müssen beide (Datenexporteur und Datenimporteur) prüfen, ob die Sicherheitslücke durch ergänzende rechtliche, technische oder organisatorische Maßnahmen geschlossen werden kann und diese Maßnahmen in einer Änderungsvereinbarung zu den geschlossenen SCC vereinbaren.
  4. Wenn der Datenempfänger im Drittland die SCC nicht einhalten kann, die Sicherheitslücke nicht durch ergänzende Maßnahmen geschlossen werden kann und Art. 49 DSGVO nicht greift, sind die Daten in die EU zu verlagern. Wenn das nicht möglich ist, ist die zuständige Aufsichtsbehörde zu informieren.

Wir unterstützen Sie gern, z.B. bei der

  • Analyse Ihrer Leistungsbeziehungen zu Datenempfängern in Drittländern mit Blick auf etwaigen Anpassungsbedarf
  • daraufhin erforderlichen Ergänzungen der SCC
  • Analyse der Rechtslage in den Drittländern, sowie bei
  • Beantwortung von Anfragen oder Anordnungen von Datenschutzbehörden

Weitere Informationen zur Umsetzung des EuGH Urteils „Schrems II“ in den Drittländern, insbesondere in den USA, geben wir Ihnen in unseren 2 Webinar-Reihen, auf Deutsch gemeinsam mit den Experten der KPMG AG Wirtschaftsprüfungsgesellschaft und auf Englisch gemeinsam mit unseren Anwaltskollegen der Nelson Mullins Riley & Scarborough LLP in den USA, sowie mit unseren Anwaltskollegen aus anderen Ländern, geplant Ende August 2020.

Ansprechpartner:

KPMG Law

Das könnte Sie auch interessieren

Bundesförderung für effiziente Gebäude (BEG)

Beim Bauen und Sanieren spielen zukünftig Nach­haltigkeit, Digitalisierung und erneuerbare Energien eine größere Rolle. Maßnahmen in diesen Bereichen werden daher mit einer Förderung belohnt. Die...
mehr

Diskriminierung von Teilzeitbeschäftigten bei der Berechnung der Pensionshöhe?

Die Flexibilisierung der zu leistenden Arbeitszeit bei Sicherstellung der Abrufbarkeit liegt vor allem im wirtschaftlichen Interesse des Arbeitgebers und ist daher nach den vom Bundesarbeitsgericht...
mehr

Generalanwalt beim EuGH: Mindest- und Höchstsätze der HOAI auch in Altfällen zwischen Privaten nicht mehr anwendbar

Mit seinen Schlussanträgen vom 15. Juli 2021 hat der Generalanwalt beim EuGH Maciej Szpunar für Honorarstreitigkeiten unter Geltung der HOAI 2013 betont, dass auch bei...
mehr

KPMG Law und KPMG beraten Servicetrace-Gründer bei Verkauf an Salesforce

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und die KMPG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben den Gründer der Servicetrace GmbH (Servicetrace) bei der Veräußerung seines Unternehmens...
mehr
KPMG Law Rechtsanwaltsgesellschaft mbH verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen