Der EuGH hat mit seinem Urteil in der Rechtssache „Schrems II“ vom 16. Juli 2020 eine Zäsur in der europäischen Datenschutzpraxis gesetzt. Das EuGH-Urteil Schrems II erklärte das EU-US Privacy Shield für ungültig – jenes Abkommen, das bis dahin als zentrale Rechtsgrundlage für den transatlantischen Datentransfer personenbezogener Daten nach der DSGVO diente.
Für Unternehmen, die auf US-basierte Dienste wie Google, Microsoft oder Facebook setzen, stellt sich seither die Frage, wie sie Datenübertragungen rechtskonform gestalten können. Die Antwort darauf ist komplex – denn das EuGH-Urteil fordert mehr als nur neue Verträge. Schrems II verlangt ein systematisches und dokumentiertes Vorgehen: von der Einzelfallprüfung über technische Maßnahmen bis hin zum Umgang mit Aufsichtsbehörden.
Ursprung und Tragweite: Der Fall Schrems II
Juristischer Hintergrund von dem EuGH-Urteil zu Schrems II: Die DSGVO
Die juristische Auseinandersetzung geht auf eine Beschwerde des österreichischen Datenschutzaktivisten Maximilian Schrems zurück. Im Fokus stand die Frage, ob ein Datentransfer von Facebook Ireland an die US-Muttergesellschaft mit dem europäischen Datenschutzrecht (DSGVO) vereinbar sind – insbesondere angesichts der weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf personenbezogene Daten beim Datentransfer.
Das EuGH-Urteil Schrems II: Privacy Shield und DSGVO nicht gleichwertig
Der EuGH stellte in Schrems II klar: Das US-Recht gewährt EU-Bürgern kein angemessenes und mit der DSGVO vergleichbares Schutzniveau, insbesondere mangelt es an rechtsstaatlichen Schutzmechanismen gegen staatliche Überwachung. Die Konsequenz des EuGH-Urteils war die sofortige Ungültigkeit des EU-US Privacy Shield – ein Paukenschlag für Unternehmen im Hinblick auf den Datentransfer nach der DSGVO.
Das EuGH-Urteil Schrems II wurde in der Fachwelt kontrovers aufgenommen. Vielfach wird kritisiert, dass der EuGH mit diesem Urteil seine Kompetenzen überschritten habe. Dennoch sind Unternehmen faktisch verpflichtet, sich resultierenden Rechtsfolgen von Schrems II auseinanderzusetzen.
Standardvertragsklauseln als Rettungsanker im Lichte vom EuGH-Urteil Schrems II
EuGH-Urteil zu Schrems II: Privacy Shield gekippt – SCCs weiterhin gültig nach der DSGVO
Obwohl der EuGH das Privacy Shield in Schrems II kippte, ließ er die Verwendung von Standardvertragsklauseln (SCCs) grundsätzlich zu. Diese Vertragsmuster der EU-Kommission können weiterhin als Rechtsgrundlage für Datentransfers nach der DSGVO in Drittländer dienen – allerdings nur unter bestimmten Voraussetzungen.
Konkret müssen Unternehmen im Sinne der DSGVO eine Einzelfallprüfung durchführen: Reicht das nationale Recht im Drittland aus, um die in den SCCs garantierten Datenschutzrechte zu schützen? Besteht ein Risiko durch staatliche Zugriffe, sind ergänzende technische und organisatorische Maßnahmen – wie in der DSGVO verankert – erforderlich.
Dabei reicht es nicht aus, SCCs pauschal einzusetzen. Unternehmen tragen die Beweislast und müssen dokumentieren, dass der Empfänger im Drittland den Datenschutz gemäß der DSGVO auch faktisch umsetzen kann, um den Anforderungen des EuGH-Urteils Schrems II gerecht zu werden.
Bedeutung des EuGH-Urteils Schrems II für die Unternehmenspraxis
Das EuGH-Urteil Schrems II hat klar bestätigt, dass die von der EU-Kommission genehmigten Standardvertragsklauseln (SCCs) weiterhin eine gültige Rechtsgrundlage für Datentransfers nach der DSGVO darstellen – unabhängig vom EU-US Privacy Shield, das der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil für ungültig erklärt hat.
Diese Standardvertragsklauseln verpflichten Datenempfänger in Drittländern zur datenschutzkonformen Verarbeitung personenbezogener Daten gemäß der DSGVO. Entscheidend ist jedoch, dass Unternehmen deren praktische Umsetzung und Wirksamkeit im Rahmen jeder Datenübertragung sorgfältig prüfen, dokumentieren und regelmäßig kontrollieren, um die Vorgaben des EuGH-Urteils Schrems II vollständig zu erfüllen.
Wichtig: Eine Datenübermittlung auf Grundlage von Standardvertragsklauseln (SCCs) ist nur dann unzulässig, wenn die zuständige Datenschutzaufsichtsbehörde im Einzelfall feststellt, dass die SCCs im konkreten Übermittlungskontext kein angemessenes Schutzniveau gewährleisten.
Eine solche behördliche Untersagung oder Einschränkung liegt bislang nicht vor. Nach dem EuGH-Urteil Schrems II bleibt die Verwendung der Standardvertragsklauseln gemäß Art. 46 DSGVO daher grundsätzlich zulässig, sofern Unternehmen ergänzende Schutzmaßnahmen umsetzen und deren Wirksamkeit dokumentieren.
DSGVO-Compliance für Unternehmen nach dem EuGH-Urteil zu Schrems II
Neue Risikolage durch Wegfall des Privacy Shield nach dem EuGH-Urteil Schrems II
Mit dem Wegfall des Privacy Shield aufgrund des EuGH-Urteils Schrems II ergibt sich eine neue Risikolage für internationale Datentransfers. Betroffen sind vor allem Unternehmen, die Cloud-, Analyse- oder Kommunikationsdienste aus den USA nutzen. Darunter fallen Tools wie Google Analytics, Microsoft 365, HubSpot oder Amazon Web Services – Systeme, die regelmäßig mit personenbezogenen Daten arbeiten.
Die DSGVO verlangt, dass ein angemessenes Schutzniveau beim Empfänger gewährleistet ist. Falls dies nicht der Fall ist, müssen Unternehmen technische Sicherungsmaßnahmen ergreifen oder auf Alternativen im Europäischen Wirtschaftsraum (EWR) ausweichen. Die Umsetzung ist dabei nicht optional, sondern verpflichtend – Verstöße können teure Bußgelder nach sich ziehen.
Technische und organisatorische Maßnahmen für DSGVO-konformen Datentransfer nach Schrems II
Sicherheitsmaßnahmen zur Einhaltung der DSGVO nach Schrems II
Ein zentrales Ergebnis des EuGH-Urteils Schrems II ist die Erkenntnis, dass Standardvertragsklauseln allein nicht genügen. Um dem in der DSGVO geforderten Schutzniveau gerecht zu werden, sind zusätzliche Maßnahmen beim Datentransfer erforderlich.
Besonders wirksam ist die Ende-zu-Ende-Verschlüsselung, bei der nur Sender und Empfänger Zugriff auf die entschlüsselten Daten haben. Selbst bei einem staatlichen Zugriff durch US-Behörden könnten diese Informationen nicht gelesen werden. Ebenso sinnvoll sind laut Schrems II Pseudonymisierungstechniken, bei denen identifizierende Merkmale vor der Übermittlung anonymisiert werden.
Darüber hinaus empfiehlt es sich laut dem EuGH-Urteil zu Schrems II, den Grundsatz der Datenminimierung nach der DSGVO zu beachten, also nur die nötigsten Informationen zu übermitteln. Weitere Schutzmechanismen sind die Nutzung von Rechenzentren innerhalb der EU, regelmäßige Audits beim Dienstleister und eine transparente Dokumentation der Datenverarbeitung.
Aufsichtsbehörden und Schrems II: Kontrolle der DSGVO-Umsetzung beim Datentransfer
Mit dem EuGH-Urteil zu Schrems II wurde auch die Kontrollfunktion der Aufsichtsbehörden deutlich gestärkt. Nationale Behörden wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die Datenschutzkonferenz (DSK) sind verpflichtet, Übermittlungen in Drittstaaten zu untersuchen und bei Verstößen einzuschreiten.
Liegen keine ausreichenden Schutzmaßnahmen vor, können sie die Datenübertragung aussetzen oder sogar dauerhaft untersagen – mit weitreichenden Folgen für betroffene Geschäftsmodelle. Unternehmen sollten daher aktiv auf ihre Landesbehörde zugehen und bei Unsicherheiten frühzeitig Rücksprache halten, um die Anforderungen gemäß dem neuen EuGH-Urteil zu Schrems II einzuhalten.
Reaktionen großer US-Anbieter auf das EuGH-Urteil Schrems II: Anpassung mit Einschränkungen
Vertragsanpassungen großer Anbieter nach dem EuGH-Urteil zu Schrems II
In Reaktion auf das EuGH-Urteil zu Schrems II haben große US-Konzerne wie Google, Microsoft und Meta ihre Vertragsbedingungen angepasst. Sie integrieren die neuen Standardvertragsklauseln nach der DSGVO in ihre Datenverarbeitungsbedingungen und betonen, sich gegen unrechtmäßige Zugriffe zu wehren.
Ein Beispiel ist Google: Der Konzern hat seine Google Ads Data Processing Terms explizit an das neue EuGH-Urteil Schrems II angepasst. Unternehmen, die Google-Dienste – insbesondere Analytics – nutzen, sollten daher unbedingt prüfen, ob auf ihrer Website die aktualisierten Vertragsklauseln korrekt eingebunden sind.
EuGH-Urteil Schrems II: Verantwortung liegt bei den Unternehmen
Allerdings bleibt festzuhalten: Die bloße Übernahme neuer Klauseln genügt nicht. Es obliegt dem Datenexporteur in der EU, zu prüfen, ob der Anbieter seine Verpflichtungen auch umsetzen kann – ein Risiko, das viele Unternehmen unterschätzen.
Aus datenschutzrechtlicher Perspektive wird vereinzelt argumentiert, dass alle Analytic Tools von US-Anbietern laut Schrems-II-Urteil des EuGH unzulässig seien. Diese Position wird jedoch nicht einheitlich vertreten. Insbesondere wenn die Standardvertragsklauseln (gemäß Art. 46 Abs. 2 lit. d DSGVO) korrekt abgeschlossen sind, können solche Tools weiter genutzt werden – sofern keine gegenteilige Entscheidung der zuständigen Datenschutzbehörde vorliegt.
Zudem ist zu berücksichtigen, dass bei Analytics-Lösungen in der Regel keine Klarnamen übertragen werden, sondern primär IP-Adressen und Bewegungsprofile. Auch dies trägt zur Risikominimierung und zur Einhaltung der Anforderungen für den Datentransfer gemäß dem Schrems-II-Urteil des EuGH bei.
Handlungsempfehlungen nach dem Schrems-II-Urteil des EuGH: Schritt für Schritt zur Rechtskonformität
Die Anforderungen aus dem Schrems II-Urteil des EuGH lassen sich in fünf Handlungsschritte gliedern, welche die Einhaltung der DSGVO sicherstellen:
- Bestandsaufnahme:
Welche Systeme übertragen personenbezogene Daten in Drittstaaten? - Vertragsprüfung:
Existieren gültige SCCs? Basieren sie auf dem aktuellen EU-Standard? - Einzelfallprüfung:
Gibt es Risiken im Empfängerland (z. B. Zugriff durch Geheimdienste)? - Schutzmaßnahmen:
Werden Verschlüsselung, Pseudonymisierung oder EU-Hosting eingesetzt? - Dokumentation & Transparenz:
Maßnahmen sollten nachvollziehbar dokumentiert und – falls erforderlich – in der Datenschutz-Folgenabschätzung (DSFA) berücksichtigt werden.
Das Data Privacy Framework: Neue Hoffnung nach dem EuGH-Urteil Schrems II?
Im Juli 2023 verabschiedete die EU-Kommission – als Nachfolger des Privacy Shield – das EU-US Data Privacy Framework (DPF). Einen neuen Angemessenheitsbeschluss gem. Art. 45 DSGVO, der auf rechtlichen Reformen in den USA basiert. Er soll das durch Schrems II entstandene Vakuum füllen und wieder eine einheitliche Grundlage für Datentransfers nach der DSGVO schaffen.
Doch die Kritik bleibt: Datenschutzorganisationen sehen weiterhin systemische Defizite, insbesondere bei der Kontrolle staatlicher Zugriffe. Max Schrems kündigte bereits eine neue Klage gegen das DPF an. Es bleibt abzuwarten, ob das neue Abkommen langfristig Bestand hat – oder bald das gleiche Schicksal ereilt wie das Safe-Harbor- und Privacy-Shield-Abkommen.
Fazit: Datenschutz braucht aktive Gestaltung laut Schrems II
Das Schrems II-Urteil des EuGH zeigt unmissverständlich: Unternehmen können sich nicht auf formale Vereinbarungen verlassen. Sie müssen aktiv prüfen, dokumentieren und technische Vorkehrungen treffen, wenn personenbezogene Daten ins Ausland übermittelt werden und ein Datentransfer stattfindet.
In einer zunehmend digitalisierten Wirtschaft ist Datenschutz kein bürokratisches Hindernis – sondern eine strategische Aufgabe, die Vertrauen schafft und langfristig Wettbewerbsvorteile sichern kann. Nur wer die Vorgaben aus dem EuGH-Urteil Schrems II beachtet, kann rechtskonform agieren und Bußgelder vermeiden.
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie kompetent zur Umsetzung der Anforderungen aus dem EuGH-Urteil Schrems II und der DSGVO. Gemeinsam sorgen wir dafür, dass Ihr Unternehmen internationale Datentransfers rechtskonform gestaltet und künftige Datenschutz- und Compliance-Vorgaben sicher erfüllt.
Jetzt Beratung im IT- und Datenschutzrecht anfordern.
❓ FAQ: Schrems II, DSGVO und Datentransfer
Das Schrems-II-Urteil ist eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, mit der das EU-US Privacy Shield für ungültig erklärt wurde. Es betrifft internationale Datentransfers auf Grundlage der DSGVO.
Der EuGH sah im US-Recht kein angemessenes Datenschutzniveau gemäß der DSGVO für EU-Bürger, insbesondere wegen staatlicher Überwachung ohne ausreichende Rechtsmittel, weshalb der EU-US Privacy Shield im EuGH-Urteil zu Schrems II gekippt wurde.
Nein sie sind nach dem EuGH-Urteil zu Schrems II nicht verboten, aber sie sind nur unter strengen Bedingungen erlaubt – z. B. bei Einsatz gültiger Standardvertragsklauseln (SCCs) und ergänzender DSGVO-Schutzmaßnahmen wie Verschlüsselung.
SCCs sind von der EU-Kommission genehmigte Vertragsmuster, die Datenschutzstandards bei Datentransfers in Drittstaaten vertraglich absichern sollen.
Laut Schrems-II-Urteil des EuGH müssen Unternehmen Datentransfers einzeln prüfen, dokumentieren und bei Risiken zusätzliche technische oder organisatorische Maßnahmen ergreifen – wie in der DSGVO vorgesehen.
Das DPF ist ein neuer Angemessenheitsbeschluss der EU-Kommission (seit Juli 2023), der das EU-US Privacy Shield ersetzen soll. Es ist jedoch rechtlich umstritten.
Zu den wichtigsten zählen Ende-zu-Ende-Verschlüsselung, Pseudonymisierung, Datenminimierung und EU-Hosting. Maßnahmen, die dem EuGH-Urteil Schrems II entsprechen und den Datentransfer DSGVO-konform machen.