7. April 2025

Die DSGVO-Bußgeld- und Datenschutzverletzungsumfrage: Januar 2022 Gemäß einer Prognose der multinationalen Anwaltskanzlei DLA Piper wird „Datentransfer weiterhin eine Durchsetzungspriorität für Aufsichtsbehörden und eine Compliance-Priorität für regulierte Organisationen bleiben“ [1]. In Anbetracht der Bekanntmachung von Schrems II im Jahr 2020 ist die verstärkte Aufmerksamkeit für Datentransfers nicht überraschend. Die verschärften Vorschriften erfordern jedoch von Unternehmen, dem Datentransfer besondere Aufmerksamkeit zu widmen und Maßnahmen zu ergreifen, um DSGVO-konform zu bleiben.

Datenübertragung gemäß der DSGVO

Gemäß der DSGVO bezieht sich Datenübertragung bezieht sich auf die „Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach dem Transfer verarbeitet werden sollen, an ein Drittland oder an eine internationale Organisation“. Die Übermittlung personenbezogener Daten darf nur stattfinden, wenn sie „vorbehaltlich der anderen Bestimmungen dieser Verordnung den in diesem Kapitel festgelegten Bedingungen entspricht, die vom Verantwortlichen und vom Auftragsverarbeiter eingehalten werden, einschließlich für die Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation“ [2] .

Im Juli 2020 erklärte der Gerichtshof der Europäischen Union (EuGH) das EU-US-Datenschutzschild für ungültig. Dieser Fall ist auch bekannt als Schrems II (benannt nach Maximilian Schrems, einem österreichischen Aktivisten und Anwalt, der 2003 Datenschutzbeschwerden gegen Facebook einreichte) [3]. Vor Schrems II konnten Unternehmen in der EU und den USA Daten frei übertragen. Nach dem Inkrafttreten von Schrems II wurde von Organisationen erwartet, Folgenabschätzungen für Übermittlungen durchzuführen und möglicherweise zusätzliche organisatorische und technische Maßnahmen [4] zu ergreifen.

Obwohl bisher keine Geldbuße wegen Verstoßes gegen die Vorschriften bezüglich des Datentransfers verhängt wurde, ist dies zu „einer Durchsetzungspriorität für Aufsichtsbehörden und einer Compliance-Priorität für regulierte Organisationen“ geworden [5]. Darüber hinaus reichte einen Monat nach dem Urteil des EuGH im Fall Schrems II die Organisation von Maximilian Schrems, „My Privacy is None of Your Business“ (NOYB), 101 Beschwerden gegen EU-Datenexporteure ein, die nach Inkrafttreten von Schrems II weiterhin personenbezogene Daten an Facebook und Google in den USA übermittelten. Daher sind Unternehmen verpflichtet, dem Datentransferverfahren besondere Aufmerksamkeit zu widmen und DSGVO-konform zu bleiben.

Wie man bei der Datenübertragung DSGVO-konform bleibt

Wenn eine der Parteien bei der Datenübertragung eine Region außerhalb der EU betrifft, kann die Übertragung durchgeführt werden, wenn sie eine der folgenden Bedingungen erfüllt.

• Angemessenheitsbeschluss der EU-Kommission

Die EU-Kommission kann den Angemessenheitsbeschluss erlassen, der besagt, dass Datenübertragungen aus der EU (sowie Norwegen, Liechtenstein, Island) in ein Drittland ohne Hindernisse durchgeführt werden können und keine zusätzlichen Datenschutzanforderungen mehr erforderlich sind.

Die folgenden Optionen gelten für Länder, die die EU-Datenschutzstandards nicht erfüllen [6].

• Übermittlungen vorbehaltlich geeigneter Garantien
  • Standardvertragsklauseln

Datenübertragungen können unter vier Sätzen von Standardvertragsklauseln erfolgen:

• • • Verantwortlicher, für den die DSGVO gilt (Datenexporteur) – anderer Verantwortlicher im Drittland (Datenimporteur).
    • Verantwortlicher, für den die DSGVO gilt (Datenexporteur) – Auftragsverarbeiter im Drittland (Datenimporteur)
    • Auftragsverarbeiter in der EU (Datenexporteur) – Unterauftragsverarbeiter im Drittland (Datenimporteur)
    • Auftragsverarbeiter in der EU (Datenexporteur) – Hauptverantwortlicher (Verantwortlicher) im Drittland (Datenimporteur) [7].
    • Verbindliche interne Datenschutzvorschriften (BCRs)

Die BCRs gelten für „Mitglieder einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und deren Mitarbeiter, einschließlich jener, die sich außerhalb des EU-Gebiets befinden“. Nach Genehmigung durch die Datenschutzbehörden kann der Datentransfer innerhalb der Gruppe ohne zusätzliche Hindernisse durchgeführt werden.

• Zwei weitere Alternativen:

Datenübertragungen können auch erfolgen, wenn die Übertragung entweder die Anforderungen eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 erfüllt.

Die Artikel in der DSGVO bezüglich der Datenübermittlung zielen darauf ab, personenbezogene Daten vor Missbrauch zu schützen. Um DSGVO-konform zu bleiben, müssen Unternehmen die erforderlichen Maßnahmen ergreifen, um die Anforderungen zu erfüllen. brighter AI’s Anonymisierungslösung ist die weltweit fortschrittlichste automatisierte Redaktionssoftware für Bilder und Videos. Unsere Lösung schwärzt die personenbezogenen Daten (PII) im gewählten Medium und gewährleistet somit eine DSGVO-konforme grenzüberschreitende Datenübermittlung außerhalb der EU. Wenn Sie mehr über unsere Anonymisierungslösung erfahren möchten, informieren Sie sich über unsere Zusammenarbeit mit CSI, oder kontaktieren Sie uns.

[1] DLA Piper DSGVO-Bußgelder und Datenschutzverletzungsumfrage: Januar 2022; DLA Piper

[2] Art. 44, DSGVO

[3] Europas oberstes Gericht kippt wichtigen EU-US-Datentransfermechanismus; Lomas, N; 2020

[4] DLA Piper DSGVO-Bußgelder und Datenschutzverletzungsumfrage: Januar 2022; DLA Piper

[5] DLA Piper DSGVO-Bußgelder und Datenschutzverletzungsumfrage: Januar 2022; DLA Piper

[6] Leitfaden zur grenzüberschreitenden Übermittlung personenbezogener Daten in der DSGVO; Deloitte

[7] Nach Schrems II: Neue EU-Standardvertragsklauseln (SCC) treten in Kraft; Deloitte