Datenübermittlung in Drittstaaten

Die Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union ist ein zentraler Bestandteil internationaler Geschäftsprozesse. Zugleich stellt sie Unternehmen vor erhebliche rechtliche Herausforderungen. Spätestens seit dem Urteil des Europäischen Gerichtshofs in der Rechtssache Schrems II sind die Anforderungen an den internationalen Datentransfer deutlich verschärft.

Das Gericht erklärte das Privacy Shield für unwirksam und stellte klar, dass Unternehmen die Angemessenheit des Schutzniveaus im Empfängerstaat eigenständig prüfen müssen. Als wichtigste Grundlage dienen seither die von der Europäischen Kommission veröffentlichten Standardvertragsklauseln. Diese schaffen jedoch nur dann Rechtssicherheit, wenn sie durch eine sorgfältige Risikoprüfung, technische Sicherheitsmaßnahmen und gegebenenfalls ergänzende Vereinbarungen flankiert werden.

Die Herausforderungen liegen insbesondere in der Bewertung staatlicher Zugriffsmöglichkeiten, der praktischen Umsetzung von Verschlüsselung und Anonymisierung sowie in der Dokumentation der getroffenen Maßnahmen.

Unternehmen sollten daher verbindliche Prozesse für Transfer Impact Assessments etablieren, Sicherheitsstandards konsequent durchsetzen und ihre Vertragswerke regelmäßig aktualisieren. Nur so lassen sich internationale Datentransfers rechtssicher gestalten und zugleich die Anforderungen aus Schrems II und der Datenschutz-Grundverordnung erfüllen.