Glossar · EuGH-Urteil Schrems II
Das Urteil des Europäischen Gerichtshofs aus dem Jahr 2020, das den EU-US Privacy Shield für ungültig erklärte und transatlantische Datentransfers für europäische Unternehmen rechtlich heikel machte.
## Was Schrems II tatsächlich entschieden hat
Am 16. Juli 2020 erließ der Gerichtshof der Europäischen Union (EuGH) das Urteil in der Rechtssache C-311/18, bekannt als Schrems II. Das Urteil bewirkte zwei Dinge:
1. **Erklärte den EU-US Privacy Shield für ungültig** — das Rahmenwerk, das es US-Unternehmen erlaubt hatte, sich selbst als DSGVO-äquivalent zu zertifizieren
2. **Verschärfte die Anforderungen an Standardvertragsklauseln (SCCs)** — den vertraglichen Mechanismus, der weiterhin für transatlantische Datentransfers zulässig ist
Der Fall wurde von Max Schrems eingebracht, dem österreichischen Datenschutzanwalt, der bereits den Vorgänger des Privacy Shield (Safe Harbor) in Schrems I (2015) zu Fall gebracht hatte.
## Warum der Privacy Shield gekippt wurde
Der EuGH stellte zwei grundlegende Probleme mit US-Rechtsschutz für EU-Daten fest:
1. **US-Überwachungsprogramme** (insbesondere FISA Section 702 und Executive Order 12333) erlauben Massenüberwachung ausländischer Personen ohne richterliche Aufsicht, die EU-Standards entspricht
2. **Kein wirksamer Rechtsbehelf** für EU-Bürgerinnen und -Bürger, deren Daten US-Überwachung ausgesetzt sind — kein gerichtlicher Weg, der dem von der DSGVO geforderten entspricht
Das Gericht kam zu dem Schluss, dass US-Rechtsschutz unter dem von der DSGVO für internationale Datentransfers geforderten Standard der „im Wesentlichen gleichwertigen" Garantien liegt.
## Was das in der Praxis bedeutet
Nach Schrems II haben europäische Unternehmen, die personenbezogene Daten in die USA übermitteln, drei Optionen:
**1. Standardvertragsklauseln (SCCs) mit zusätzlichen Schutzmaßnahmen nutzen.** SCCs bleiben gültig, aber die Last liegt beim Datenexporteur (dem EU-Unternehmen), zu beurteilen, ob US-Rechtsschutz im konkreten Fall ausreichend ist. Dieses Transfer Impact Assessment (TIA) ist operativ aufwändig.
**2. Ausschließlich EU-Verarbeitung nutzen.** Den transatlantischen Transfer vollständig vermeiden, indem EU-ansässige Anbieter ohne US-Konzernverbindungen gewählt werden. Dies ist der stärkste Rechtsschutz.
**3. Das EU-US Data Privacy Framework (DPF) nutzen.** Im Juli 2023 angenommen, ersetzt das DPF den Privacy Shield mit verstärkten Schutzmaßnahmen. Datenschutzaktivisten einschließlich Max Schrems haben bereits angekündigt, das DPF gerichtlich anzufechten (Schrems III).
Für die meisten europäischen Unternehmen bietet Option 2 (EU-Verarbeitung) die sauberste rechtliche Position. Optionen 1 und 3 funktionieren, bringen aber anhaltende rechtliche Unsicherheit.
## Was „Schrems III" bringen könnte
Das EU-US Data Privacy Framework (DPF), seit 2023 in Kraft, ist die aktuelle Grundlage für transatlantische Datentransfers. Wesentliche Änderungen gegenüber dem Privacy Shield:
- Neuer „Data Protection Review Court" sieht richterliche Aufsicht über US-Geheimdienstzugriffe auf EU-Daten vor
- Strengere Beschränkungen für Massendatensammlung
- Spezifische Verpflichtungen zu Verhältnismäßigkeit und Notwendigkeit
Die bereits von NOYB (None Of Your Business — Schrems' Organisation) eingereichte Klage argumentiert, dass diese Reformen den DSGVO-Standard der „im Wesentlichen gleichwertigen" Garantien immer noch nicht erreichen. Ein zukünftiges Schrems-III-Urteil könnte das DPF für ungültig erklären und die transatlantische Transferlandschaft in die Post-Schrems-II-Unsicherheit zurückversetzen.
Zeitrahmen: Ein EuGH-Urteil zum DPF könnte 2026-2027 ergehen.
## Warum dies für die Tool-Auswahl relevant ist
Für europäische Unternehmen, die 2026 Anbieterentscheidungen treffen:
- **Das DPF ist derzeit gültig**, aber rechtlich unsicher
- **SCCs bleiben der sicherere Rückfall**, erfordern aber laufende TIA-Compliance-Arbeit
- **EU-ansässige Anbieter** vermeiden das Transferproblem vollständig
Für sensible Anwendungsfälle (Gesundheitsdaten, Mitarbeiterdaten, Kundendaten gefährdeter Personen) ist der umsichtige Weg, von Anfang an EU-ansässige Anbieter zu wählen. Für routinemäßige Geschäfts-Workloads bleiben US-Anbieter unter DPF + SCCs praktikabel, sollten aber regelmäßig überprüft werden.
Schrems II ist kein einmaliges Ereignis — es ist eine fortlaufende rechtliche Spannung, die periodisch wieder auftaucht. Es als Hintergrundkontext statt als Krise des Monats zu behandeln, ist die operativ vernünftige Herangehensweise.
War das hilfreich?
Danke für Ihr Feedback!