Kowoll Protects Logo +49 7071 770371

Glossar

Schrems II

EuGH-Urteil von 2020, das den EU-US Privacy Shield für ungültig erklärte und das Schutzniveau bei US-Datentransfers neu bewertet.

Definition

“Schrems II” bezeichnet das Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18. Geklagt hatte der österreichische Aktivist Max Schrems gegen die Datenübermittlung von Facebook Irland an die Konzernmutter in den USA.

Das Urteil hatte zwei Kernaussagen:

  1. Privacy Shield ungültig: Der EU-US Privacy Shield — das damalige Abkommen für US-Datentransfers — wurde für ungültig erklärt. US-Überwachungsgesetze (FISA, CLOUD Act) bieten kein angemessenes Schutzniveau.
  2. SCCs nicht automatisch ausreichend: Auch Standardvertragsklauseln müssen im Einzelfall mit einer Transfer Impact Assessment (TIA) ergänzt werden. Bei mangelndem Schutzniveau im Drittland sind zusätzliche Maßnahmen oder ein Stopp der Übermittlung erforderlich.

Das Urteil veränderte die Praxis aller Unternehmen, die US-Cloud-Dienste einsetzen — also praktisch jedes KMU.

In der Praxis

Für mehrere Jahre (2020–2023) war die Lage für US-Datentransfers stark verunsichert. Aufsichten in Deutschland (insbesondere LfDI BW, HmbBfDI) gingen aktiv gegen rechtswidrige US-Transfers vor. Bekannte Konsequenzen:

  • Verbote von Google Analytics in Österreich, Frankreich, Italien
  • Beschwerden gegen Mailchimp, Zoom, Microsoft 365
  • Hohe Anforderungen an die TIA bei jedem US-Cloud-Service

Seit dem EU-US Data Privacy Framework (DPF) vom 10. Juli 2023 hat sich die Lage entspannt: Die EU-Kommission hat den USA für DPF-zertifizierte Anbieter einen Angemessenheitsbeschluss erteilt. Für nicht-DPF-zertifizierte Anbieter gilt aber weiterhin die strenge Schrems II-Logik.

Wichtig: Das DPF kann jederzeit gekippt werden — Max Schrems hat bereits Klage angekündigt (“Schrems III”). Wer langfristig planen will, sollte sich nicht ausschließlich darauf verlassen.

Was Sie tun müssen

Für jeden US-Cloud-Dienst:

  • DPF-Status prüfen — Liste der zertifizierten Unternehmen auf dataprivacyframework.gov
  • Bei DPF-Zertifizierung: Angemessenheitsbeschluss greift, SCCs nicht zwingend
  • Ohne DPF: SCCs + TIA (Transfer Impact Assessment) durchführen
  • TIA dokumentieren: Welche US-Behörden könnten zugreifen? Welche Daten sind betroffen? Welche zusätzlichen TOMs (Verschlüsselung, Pseudonymisierung) reduzieren das Risiko?
  • Mindestens jährlich neu prüfen — Zertifizierungen können wegfallen
  • Alternative: Nutzung der EU-Datenregion beim Cloud-Anbieter (Azure EU, AWS EU-Central, Google EU)

Bei Kowoll prüfen wir den DPF-Status der wichtigsten Tools jährlich für unsere Mandanten mit. Bestandteil des Festpreis-Pakets, mehr unter Leistungen.

Verwandte Begriffe und Seiten