Der EuGH hat mit seinem Urteil in der Rechtssache „Schrems II“ vom 16. Juli 2020 eine Zäsur in der europäischen Datenschutzpraxis gesetzt. Das EuGH-Schrems-II-Urteil erklärte das EU-US Privacy Shield für ungültig – jenes Abkommen, das bis dahin als zentrale Rechtsgrundlage für den Datentransfer in die USA nach DSGVO diente.
Für Unternehmen, die auf US-basierte Dienste wie Google, Microsoft oder Facebook setzen, stellt sich seither die Frage, wie sie Datenübertragungen rechtskonform gestalten können. In den Fokus rücken nun Standardvertragsklauseln (SCCs), Transfer Impact Assessments und technische Schutzmaßnahmen, die Unternehmen nach Schrems II zwingend durchführen müssen.
Was bedeutet das Schrems-II-Urteil für internationale Datentransfers?
Hintergrund des Falls Schrems II
Die juristische Auseinandersetzung geht auf eine Beschwerde des österreichischen Datenschutzaktivisten Maximilian Schrems zurück. Im Fokus stand die Frage, ob ein Datentransfer von Facebook Ireland an die US-Muttergesellschaft mit dem europäischen Datenschutzrecht (DSGVO) vereinbar ist – insbesondere angesichts der weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf personenbezogene Daten beim Datentransfer. Der Fall wurde als „Schrems II“ bekannt und gilt heute als zentrales Referenzurteil für internationale Datentransfers nach der DSGVO.
Warum der EuGH das Privacy Shield gekippt hat
Die Entscheidung des EuGH vom 16. Juli 2020 stellte klar: Das US-Recht gewährt EU-Bürgern kein angemessenes und mit der DSGVO vergleichbares Schutzniveau, insbesondere mangelt es an rechtsstaatlichen Schutzmechanismen gegen staatliche Überwachung. Die Konsequenz des EuGH-Urteils war die sofortige Ungültigkeit des EU-US Privacy Shield – ein Paukenschlag für Unternehmen im Hinblick auf den Datentransfer nach der DSGVO und den Datentransfer in die USA allgemein.
Das Schrems-II-Urteil wurde in der Fachwelt kontrovers aufgenommen. Vielfach wird kritisiert, dass der EuGH mit diesem Urteil seine Kompetenzen überschritten habe. Dennoch sind Unternehmen faktisch verpflichtet, sich mit den rechtlichen Folgen des Schrems-II-Urteils für die DSGVO und den internationalen Datentransfer auseinanderzusetzen.
Standardvertragsklauseln nach Schrems II
SCCs als Rechtsgrundlage nach Art. 46 DSGVO
Obwohl der EuGH das Privacy Shield in Schrems II kippte, ließ er die Verwendung von Standardvertragsklauseln (Standard Contractual Clauses, SCCs) grundsätzlich zu. Diese Vertragsmuster der EU-Kommission können weiterhin als Rechtsgrundlage für Datentransfers nach der DSGVO in Drittländer dienen – allerdings nur unter bestimmten Voraussetzungen.
Transfer Impact Assessment und Zusatzmaßnahmen
Konkret müssen Unternehmen im Sinne der DSGVO eine Einzelfallprüfung durchführen: Im Rahmen dieser „Transfer Impact Assessment“ (TIA) ist zu prüfen, ob das nationale Recht im Drittland ausreicht, um die in den SCCs garantierten Datenschutzrechte zu schützen. Besteht ein Risiko durch staatliche Zugriffe, sind ergänzende technische und organisatorische Maßnahmen – wie in der DSGVO verankert – erforderlich.
Dabei reicht es nicht aus, SCCs pauschal einzusetzen. Unternehmen tragen die Beweislast und müssen dokumentieren, dass der Empfänger im Drittland den Datenschutz gemäß der DSGVO auch faktisch umsetzen kann, um die Anforderungen aus dem Schrems-II-Urteil zu erfüllen und einen rechtssicheren Datentransfer zu gewährleisten.
Bedeutung des EuGH-Urteils Schrems II für die Unternehmenspraxis – DSGVO-Pflichten beim Datentransfer in die USA
Das Schrems-II- Urteil hat klar bestätigt, dass die von der EU-Kommission genehmigten Standardvertragsklauseln (SCCs) weiterhin eine gültige Rechtsgrundlage für Datentransfers nach der DSGVO darstellen – unabhängig vom EU-US Privacy Shield, das der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil für ungültig erklärt hat.
Diese Standardvertragsklauseln verpflichten Datenempfänger in Drittländern zur datenschutzkonformen Verarbeitung personenbezogener Daten gemäß der DSGVO. Entscheidend ist jedoch, dass Unternehmen deren praktische Umsetzung und Wirksamkeit im Rahmen jeder Datenübertragung sorgfältig prüfen, dokumentieren und regelmäßig kontrollieren, um die Vorgaben der EuGH-Rechtssprechung zum Datentransfer vollständig zu erfüllen. Das bedeutet: Schrems II verlangt ein aktives Datenschutz-Management und keine rein formalen Vertragslösungen.
Wichtig: Eine Datenübermittlung auf Grundlage von Standardvertragsklauseln (SCCs) ist nur dann unzulässig, wenn die zuständige Datenschutzaufsichtsbehörde im Einzelfall feststellt, dass die SCCs im konkreten Übermittlungskontext kein angemessenes Schutzniveau gewährleisten.
Eine solche behördliche Untersagung oder Einschränkung liegt bislang nicht vor. Nach der Entscheidung des EuGH vom 16. Juli 2020 bleibt die Verwendung der Standardvertragsklauseln gemäß Art. 46 DSGVO daher grundsätzlich zulässig, sofern Unternehmen ergänzende Schutzmaßnahmen umsetzen und deren Wirksamkeit dokumentieren. Unternehmen sollten daher ihre internationalen Datentransfers systematisch erfassen, bewerten und unter dem Blickwinkel von Schrems II und der DSGVO regelmäßig überprüfen.
Datentransfer in die USA nach Schrems II
Risiken für Cloud- und Analyseanbieter
Mit dem Wegfall des Privacy Shield aufgrund des EuGH-Rechtssprechung zum Datentransfer ergibt sich eine neue Risikolage für internationale Datentransfers. Betroffen sind vor allem Unternehmen, die Cloud-, Analyse- oder Kommunikationsdienste aus den USA nutzen. Darunter fallen Tools wie Google Analytics, Microsoft 365, HubSpot oder Amazon Web Services – Systeme, die regelmäßig mit personenbezogenen Daten arbeiten.
Die DSGVO verlangt, dass ein angemessenes Schutzniveau beim Empfänger gewährleistet ist. Falls dies nicht der Fall ist, müssen Unternehmen technische Sicherungsmaßnahmen ergreifen oder auf Alternativen im Europäischen Wirtschaftsraum (EWR) ausweichen. Die Umsetzung ist dabei nicht optional, sondern verpflichtend – Verstöße können teure Bußgelder nach sich ziehen. Gerade für datenschutzsensiblen Datentransfer in die USA stellt Schrems II Unternehmen vor strategische Entscheidungen hinsichtlich Dienstleisterwahl und Systemarchitektur.
Technische und organisatorische Schutzmaßnahmen
Sicherheitsmaßnahmen zur Einhaltung der DSGVO nach Schrems II
Ein zentrales Ergebnis des EuGH-Urteils Schrems II ist die Erkenntnis, dass Standardvertragsklauseln allein nicht genügen. Um dem in der DSGVO geforderten Schutzniveau gerecht zu werden, sind zusätzliche Maßnahmen beim Datentransfer erforderlich.
Besonders wirksam ist die Ende-zu-Ende-Verschlüsselung, bei der nur Sender und Empfänger Zugriff auf die entschlüsselten Daten haben. Selbst bei einem staatlichen Zugriff durch US-Behörden könnten diese Informationen nicht gelesen werden. Ebenso sinnvoll sind laut Schrems II Pseudonymisierungstechniken, bei denen identifizierende Merkmale vor der Übermittlung anonymisiert werden.
Darüber hinaus empfiehlt es sich laut dem EuGH-Urteil zu Schrems II, den Grundsatz der Datenminimierung nach der DSGVO zu beachten, also nur die nötigsten Informationen zu übermitteln. Weitere Schutzmechanismen sind die Nutzung von Rechenzentren innerhalb der EU, regelmäßige Audits beim Dienstleister und eine transparente Dokumentation der Datenverarbeitung. In der Praxis ergeben sich daraus Checklisten und technische Mindeststandards, die Unternehmen für einen DSGVO-konformen Datentransfer nach Schrems II definieren sollten.
Aufsichtsbehörden und Schrems II: Kontrolle über Datentransfers in Drittstaaten
Mit dem EuGH-Urteil zu Schrems II wurde auch die Kontrollfunktion der Aufsichtsbehörden deutlich gestärkt. Nationale Behörden wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die Datenschutzkonferenz (DSK) sind verpflichtet, Übermittlungen in Drittstaaten zu untersuchen und bei Verstößen einzuschreiten.
Liegen keine ausreichenden Schutzmaßnahmen vor, können sie die Datenübertragung aussetzen oder sogar dauerhaft untersagen – mit weitreichenden Folgen für betroffene Geschäftsmodelle. Unternehmen sollten daher aktiv auf ihre Landesbehörde zugehen und bei Unsicherheiten frühzeitig Rücksprache halten, um die Anforderungen gemäß dem neuen EuGH-Urteil zu Schrems II einzuhalten. So lassen sich Konflikte mit den Aufsichtsbehörden vermeiden und datenschutzrechtliche Risiken frühzeitig reduzieren.
Reaktionen großer US-Anbieter auf Schrems II – Anpassung der SCCs & technische Maßnahmen
Vertragsanpassungen großer Anbieter nach dem EuGH-Urteil zu Schrems II
In Reaktion auf das EuGH-Urteil zu Schrems II haben große US-Konzerne wie Google, Microsoft und Meta ihre Vertragsbedingungen angepasst. Sie integrieren die neuen Standardvertragsklauseln nach der DSGVO in ihre Datenverarbeitungsbedingungen und betonen, sich gegen unrechtmäßige Zugriffe zu wehren.
Ein Beispiel ist Google: Der Konzern hat seine Google Ads Data Processing Terms explizit an das neue EuGH-Urteil Schrems II angepasst. Unternehmen, die Google-Dienste – insbesondere Analytics – nutzen, sollten daher unbedingt prüfen, ob auf ihrer Website die aktualisierten Vertragsklauseln korrekt eingebunden sind. Zudem sind ergänzende technische Maßnahmen und eine dokumentierte Risikoabwägung erforderlich, um den Einsatz solcher Tools nach Schrems II rechtssicher zu gestalten.
Schrems II und die Verantwortung der Unternehmen beim Datentransfer in die USA
Allerdings bleibt festzuhalten: Die bloße Übernahme neuer Klauseln genügt nicht. Es obliegt dem Datenexporteur in der EU, zu prüfen, ob der Anbieter seine Verpflichtungen auch umsetzen kann – ein Risiko, das viele Unternehmen unterschätzen.
Aus datenschutzrechtlicher Perspektive wird vereinzelt argumentiert, dass alle Analytic Tools von US-Anbietern laut Schrems-II-Urteil des EuGH unzulässig seien. Diese Position wird jedoch nicht einheitlich vertreten. Insbesondere wenn die Standardvertragsklauseln (gemäß Art. 46 Abs. 2 lit. d DSGVO) korrekt abgeschlossen sind, können solche Tools weiter genutzt werden – sofern keine gegenteilige Entscheidung der zuständigen Datenschutzbehörde vorliegt.
Zudem ist zu berücksichtigen, dass bei Analytics-Lösungen in der Regel keine Klarnamen übertragen werden, sondern primär IP-Adressen und Bewegungsprofile. Auch dies trägt zur Risikominimierung und zur Einhaltung der Anforderungen für den Datentransfer gemäß dem Schrems-II-Urteil des EuGH bei. Dennoch sollten Unternehmen eine dokumentierte Interessenabwägung, Datenschutz-Folgenabschätzungen (DSFA) und ein fortlaufendes Monitoring der Rechtslage vornehmen.
Handlungsempfehlungen nach dem EuGH-Urteil Schrems II: Schritt-für-Schritt zur DSGVO-Konformität
Die Anforderungen aus dem Schrems II-Urteil des EuGH lassen sich in fünf Handlungsschritte gliedern, welche die Einhaltung der DSGVO sicherstellen:
- Bestandsaufnahme:
Welche Systeme übertragen personenbezogene Daten in Drittstaaten? (z. B. Cloud-Dienste, Tracking-Tools, Kommunikationsplattformen) - Vertragsprüfung:
Existieren gültige SCCs? Basieren sie auf dem aktuellen EU-Standard? Sind die neuen Standardvertragsklauseln der EU-Kommission bereits umgesetzt? - Einzelfallprüfung:
Gibt es Risiken im Empfängerland (z. B. Zugriff durch Geheimdienste)? Erfordert die Risikobewertung zusätzliche technische oder organisatorische Maßnahmen? - Schutzmaßnahmen:
Werden Verschlüsselung, Pseudonymisierung oder EU-Hosting eingesetzt? - Dokumentation & Transparenz:
Maßnahmen sollten nachvollziehbar dokumentiert und – falls erforderlich – in der Datenschutz-Folgenabschätzung (DSFA) berücksichtigt werden. Nur so lässt sich gegenüber Aufsichtsbehörden nachweisen, dass die Vorgaben aus Schrems II und der DSGVO ernst genommen werden.
Data Privacy Framework als Nachfolger des Privacy Shield
Im Juli 2023 verabschiedete die EU-Kommission – als Nachfolger des Privacy Shield – das EU-US Data Privacy Framework (DPF). Einen neuen Angemessenheitsbeschluss gem. Art. 45 DSGVO, der auf rechtlichen Reformen in den USA basiert. Er soll das durch Schrems II entstandene Vakuum füllen und wieder eine einheitliche Grundlage für Datentransfers nach der DSGVO schaffen.
Doch die Kritik bleibt: Datenschutzorganisationen sehen weiterhin systemische Defizite, insbesondere bei der Kontrolle staatlicher Zugriffe. Max Schrems kündigte bereits eine neue Klage gegen das DPF an. Es bleibt abzuwarten, ob das neue Abkommen langfristig Bestand hat – oder bald das gleiche Schicksal ereilt wie das Safe-Harbor- und Privacy-Shield-Abkommen. Unternehmen sollten das DPF daher als Erleichterung, aber nicht als Freifahrtschein verstehen und ihre Schutzmaßnahmen weiterhin an den Grundsätzen aus Schrems II ausrichten.
Fazit: Schrems-II als dauerhafter Maßstab für DSGVO-Compliance
Das Schrems II-Urteil des EuGH zeigt unmissverständlich: Unternehmen können sich nicht auf formale Vereinbarungen verlassen. Sie müssen aktiv prüfen, dokumentieren und technische Vorkehrungen treffen, wenn personenbezogene Daten ins Ausland übermittelt werden und ein Datentransfer stattfindet.
In einer zunehmend digitalisierten Wirtschaft ist Datenschutz kein bürokratisches Hindernis – sondern eine strategische Aufgabe, die Vertrauen schafft und langfristig Wettbewerbsvorteile sichern kann. Nur wer die Vorgaben aus dem EuGH-Urteil Schrems II beachtet, kann rechtskonform agieren und Bußgelder vermeiden. Schrems II ist damit kein einmaliges Urteil, sondern ein dauerhafter Maßstab für DSGVO-konforme internationale Datentransfers.
Fragen zu Schrems II oder weiteren Compliance-Themen?
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie kompetent zur Umsetzung der Anforderungen aus dem EuGH-Urteil Schrems II und der DSGVO. Gemeinsam sorgen wir dafür, dass Ihr Unternehmen internationale Datentransfers rechtskonform gestaltet und künftige Datenschutz- und Compliance-Vorgaben sicher erfüllt.
In der Praxis sind Unternehmen jedoch häufig auch mit anderen Themen wie Organhaftung, Energiewirtschaft oder Forderungsmanagement konfrontiert.
Unsere Kanzlei unterstützt Sie bei sämtlichen rechtlichen Fragen. Jetzt Beratungstermin vereinbaren!
❓ FAQ: Schrems II, DSGVO und Datentransfer
Die Entscheidung des EuGH vom 16. Juli 2020 erklärte das EU-US Privacy Shield für ungültig und verschärfte die Anforderungen an DSGVO-konforme Datentransfers in die USA. Unternehmen müssen seitdem Datentransfers u. a. über SCCs und Zusatzmaßnahmen absichern.
Der EuGH kippte das Privacy Shield, weil in den USA kein der DSGVO vergleichbares Datenschutzniveau gewährleistet war – insbesondere wegen staatlicher Zugriffsrechte und fehlender wirksamer Rechtsmittel für EU-Betroffene.
Nein. Datentransfers in die USA sind nach Schrems II nicht verboten, aber nur unter strengen DSGVO-Voraussetzungen zulässig (z. B. SCCs, TIA und zusätzliche Schutzmaßnahmen wie Verschlüsselung).
Standardvertragsklauseln (SCCs) sind EU-Vertragsmuster nach Art. 46 DSGVO als Rechtsgrundlage für Datentransfers in Drittländer. Nach Schrems II reichen SCCs allein oft nicht aus – Unternehmen müssen zusätzlich ein Transfer Impact Assessment (TIA) durchführen und ggf. Schutzmaßnahmen umsetzen.
Schrems II verpflichtet Unternehmen zu einem prüf- und dokumentationsbasierten Datentransfer-Management: Jeder Transfer in ein Drittland muss bewertet, abgesichert und regelmäßig überprüft werden. Konkret bedeutet das:
- TIA je Datentransfer
- Risiken dokumentieren
- zusätzliche technische/organisatorische Maßnahmen
- Wirksamkeit regelmäßig kontrollieren
Das EU-US Data Privacy Framework (DPF) ist ein Angemessenheitsbeschluss der EU-Kommission (seit Juli 2023) als Nachfolger des Privacy Shield. Es soll Datentransfers in die USA erleichtern, ist aber rechtlich umstritten; eine neue Prüfung durch Gerichte ist möglich.
Technische Schutzmaßnahmen nach Schrems II sollen Zugriffe im Drittland minimieren und ein DSGVO-Schutzniveau absichern. Typische Maßnahmen sind:
- Ende-zu-Ende-Verschlüsselung
- Pseudonymisierung
- Datenminimierung
- EU-Hosting / lokales Rechenzentrum
Ja. Für Datentransfers in Drittstaaten ohne Angemessenheitsbeschluss ist ein TIA grundsätzlich erforderlich. Es prüft, ob im Empfängerland ein mit der DSGVO vergleichbares Datenschutzniveau besteht.
SCCs reichen nur aus, wenn sie im konkreten Fall tatsächlich wirksam sind. Bestehen Risiken durch staatliche Zugriffe, sind zusätzliche technische oder organisatorische Maßnahmen notwendig.
Ja. Schrems II betrifft alle Datentransfers in Drittstaaten, auch bei gängigen US-Diensten. Die Nutzung ist nicht automatisch unzulässig, erfordert aber SCCs, ein TIA und ggf. Zusatzmaßnahmen.
Unternehmen müssen Datentransfers, SCCs, TIAs, Schutzmaßnahmen und regelmäßige Prüfungen dokumentieren, um die Einhaltung von Schrems II und der DSGVO nachzuweisen.
Weiterführende Themen
Schrems II Urteil – Folgen für DSGVO Datentransfer
Das Schrems-II-Urteil des EuGH kippt das Privacy Shield und verschärft die Anforderungen an internationale Datentransfers nach der DSGVO. Der Beitrag zeigt, wann Datentransfers in die USA noch zulässig sind, welche Rolle Standardvertragsklauseln spielen und welche Pflichten Unternehmen jetzt erfüllen müssen.
EuGH zur DSGVO: Verarbeitung personenbezogener Daten erfordert aktive Einwilligung
Der Europäische Gerichtshof hat klargestellt: Ohne echte, freiwillige Zustimmung ist die Verarbeitung personenbezogener Daten unzulässig. Vorgekreuzte Kästchen und pauschale Klauseln reichen nicht aus. Warum dieses Urteil für Unternehmen ein Weckruf ist – und wie Sie Ihre Einwilligungsprozesse rechtssicher gestalten sollten. Jetzt weiterlesen!
Personalakte und DSGVO: Welche Auskunftsansprüche Arbeitnehmer wirklich haben
Welche Daten dürfen in der digitalen Personalakte gespeichert werden – und was muss im Fall eines Auskunftsersuchens offengelegt werden?
Unternehmen stehen zunehmend vor der Herausforderung, datenschutzrechtliche Pflichten mit effizienter Personalverwaltung zu vereinen. Dieser Beitrag zeigt praxisnah, wie Sie § 83 BetrVG und Art. 15 DSGVO rechtssicher umsetzen – und dabei Vertrauen, Compliance und Prozesssicherheit stärken.