4.4 Die Herausforderung grenzüberschreitender Daten
Modul 4: Die globale Regulierungslandschaft
Erklärt Jurisdiktionskonflikte im globalen Internet, die wichtigsten Mechanismen für Datentransfers (SCCs, Angemessenheitsbeschlüsse, DPF) und die Schrems-I/II-Urteile.
Learning Material
1 pagesDie Herausforderung grenzüberschreitender Daten
Das Internet kennt keine Grenzen — Datenschutzgesetze hingegen schon. Diese Spannung erzeugt eines der schwierigsten Probleme des modernen Datenschutzrechts: Was passiert, wenn Ihre Daten in ein Land übertragen werden, dessen Datenschutzstandards weit unter dem europäischen Niveau liegen?
Warum grenzüberschreitende Datenübertragungen ein Problem sind
Stellen Sie sich vor, Sie bestellen bei einem deutschen Online-Shop. Ihre Kundendaten werden auf US-amerikanischen Servern gespeichert. In den USA können Strafverfolgungsbehörden auf diese Daten zugreifen, ohne dass Sie davon erfahren — und ohne die strengen Garantien, die das europäische Recht vorsieht. Genau dieses Szenario lag den beiden wichtigsten EuGH-Urteilen zum Thema zugrunde.
Schrems I (EuGH, 6. Oktober 2015)
Der österreichische Jurist Max Schrems klagte gegen die Übertragung seiner Facebook-Daten in die USA. Der Europäische Gerichtshof (EuGH) erklärte das bis dahin gültige Safe-Harbor-Abkommen für ungültig. Begründung: Die USA bieten kein dem europäischen Recht gleichwertiges Schutzniveau, insbesondere angesichts der umfangreichen Überwachungsprogramme der NSA, die durch die Snowden-Enthüllungen bekannt geworden waren (EuGH, Rs. C-362/14).
Schrems II (EuGH, 16. Juli 2020)
Nach Safe Harbor wurde das Privacy Shield als Nachfolgeregelung eingeführt. Auch dieses erklärte der EuGH für ungültig — aus denselben Gründen: US-amerikanische Geheimdienste haben weitreichende Zugriffsmöglichkeiten auf Daten, die nicht mit den europäischen Grundrechten vereinbar sind (EuGH, Rs. C-311/18). Gleichzeitig bestätigte das Gericht, dass Standardvertragsklauseln (SCCs) grundsätzlich als Übertragungsmechanismus zulässig sind — aber nur, wenn im Einzelfall ein gleichwertiges Schutzniveau gewährleistet ist.
Die aktuellen Mechanismen für legale Datentransfers
Die DSGVO sieht drei Hauptwege vor, um Daten in Drittländer zu übertragen:
-
Angemessenheitsbeschlüsse: Die EU-Kommission erklärt, dass ein Drittland ein gleichwertiges Datenschutzniveau bietet. Derzeit anerkannte Länder umfassen u. a. die Schweiz, Japan, Kanada (kommerzieller Sektor), Neuseeland, Israel und Südkorea.
-
Standardvertragsklauseln (SCCs): Vertraglich vereinbarte Klauseln, die Unternehmen an europäische Datenschutzstandards binden. Nach Schrems II muss zusätzlich eine Einzelfallprüfung (Transfer Impact Assessment) erfolgen.
-
EU-US-Datenschutzrahmen (Data Privacy Framework, DPF, 2023): Der 2023 beschlossene Nachfolger von Safe Harbor und Privacy Shield. US-Unternehmen können sich zertifizieren lassen. Er beinhaltet einen neuen Rechtsbehelfsmechanismus (Data Protection Review Court). Kritiker — darunter erneut Max Schrems — halten ihn für unzureichend; ein neues EuGH-Verfahren gilt als wahrscheinlich.
Was bedeutet das für Verbraucher in Deutschland?
Für Verbraucher hat das konkrete Auswirkungen: Wenn Sie einen US-Cloud-Dienst nutzen (Google Drive, Dropbox, Microsoft 365), werden Ihre Daten in die USA übertragen. Die Rechtmäßigkeit hängt davon ab, ob der Anbieter unter dem DPF zertifiziert ist oder SCCs vereinbart hat — und ob diese im Einzelfall wirksam sind. Im Zweifelsfall können Sie bei Ihrer zuständigen Landesdatenschutzbehörde nachfragen oder eine Beschwerde einreichen.
Fazit
Der globale Datenfluss ist eine der größten Herausforderungen des modernen Datenschutzrechts. Schrems I und II haben gezeigt, dass formale Abkommen nicht ausreichen — der tatsächliche Schutz muss substantiell sein. Das Thema bleibt dynamisch, und Verbraucher sollten die Entwicklung verfolgen.