Der EuGH hat mit seinem Urteil in der Rechtssache „Schrems II“ vom 16. Juli 2020 eine Zäsur in der europäischen Datenschutzpraxis gesetzt. Das EuGH-Schrems-II-Urteil erklärte das EU-US Privacy Shield für ungültig – jenes Abkommen, das bis dahin als zentrale Rechtsgrundlage für den Datentransfer in die USA nach DSGVO diente.
Für Unternehmen, die auf US-basierte Dienste wie Google, Microsoft oder Facebook setzen, stellt sich seither die Frage, wie sie Datenübertragungen rechtskonform gestalten können. In den Fokus rücken nun Standardvertragsklauseln (SCCs), Transfer Impact Assessments und technische Schutzmaßnahmen, die Unternehmen nach Schrems II zwingend durchführen müssen.
Ursprung und Tragweite: Der Fall Schrems II – Hintergrund & Bedeutung für internationale Datentransfers
Juristischer Hintergrund von dem EuGH-Urteil zu Schrems II: Die DSGVO und der internationale Datentransfer
Die juristische Auseinandersetzung geht auf eine Beschwerde des österreichischen Datenschutzaktivisten Maximilian Schrems zurück. Im Fokus stand die Frage, ob ein Datentransfer von Facebook Ireland an die US-Muttergesellschaft mit dem europäischen Datenschutzrecht (DSGVO) vereinbar ist – insbesondere angesichts der weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf personenbezogene Daten beim Datentransfer. Der Fall wurde als „Schrems II“ bekannt und gilt heute als zentrales Referenzurteil für internationale Datentransfers nach der DSGVO.
Das EuGH-Urteil „Schrems II“: Warum das Privacy Shield für ungültig erklärt wurde
Der EuGH stellte in Schrems II klar: Das US-Recht gewährt EU-Bürgern kein angemessenes und mit der DSGVO vergleichbares Schutzniveau, insbesondere mangelt es an rechtsstaatlichen Schutzmechanismen gegen staatliche Überwachung. Die Konsequenz des EuGH-Urteils war die sofortige Ungültigkeit des EU-US Privacy Shield – ein Paukenschlag für Unternehmen im Hinblick auf den Datentransfer nach der DSGVO und den Datentransfer in die USA allgemein.
Das EuGH-Urteil Schrems II wurde in der Fachwelt kontrovers aufgenommen. Vielfach wird kritisiert, dass der EuGH mit diesem Urteil seine Kompetenzen überschritten habe. Dennoch sind Unternehmen faktisch verpflichtet, sich mit den rechtlichen Folgen des Schrems-II-Urteils für die DSGVO und den internationalen Datentransfer auseinanderzusetzen.
Standardvertragsklauseln als Rettungsanker im Lichte vom EuGH-Urteil Schrems II
EuGH-Urteil zu Schrems II: Privacy Shield gekippt – SCCs weiterhin gültig nach der DSGVO
Obwohl der EuGH das Privacy Shield in Schrems II kippte, ließ er die Verwendung von Standardvertragsklauseln (Standard Contractual Clauses, SCCs) grundsätzlich zu. Diese Vertragsmuster der EU-Kommission können weiterhin als Rechtsgrundlage für Datentransfers nach der DSGVO in Drittländer dienen – allerdings nur unter bestimmten Voraussetzungen.
Konkret müssen Unternehmen im Sinne der DSGVO eine Einzelfallprüfung durchführen: Im Rahmen dieser „Transfer Impact Assessment“ (TIA) ist zu prüfen, ob das nationale Recht im Drittland ausreicht, um die in den SCCs garantierten Datenschutzrechte zu schützen. Besteht ein Risiko durch staatliche Zugriffe, sind ergänzende technische und organisatorische Maßnahmen – wie in der DSGVO verankert – erforderlich.
Dabei reicht es nicht aus, SCCs pauschal einzusetzen. Unternehmen tragen die Beweislast und müssen dokumentieren, dass der Empfänger im Drittland den Datenschutz gemäß der DSGVO auch faktisch umsetzen kann, um die Anforderungen aus dem Schrems-II-Urteil zu erfüllen und einen rechtssicheren Datentransfer zu gewährleisten.
Bedeutung des EuGH-Urteils Schrems II für die Unternehmenspraxis – DSGVO-Pflichten beim Datentransfer in die USA
Das EuGH-Urteil Schrems II hat klar bestätigt, dass die von der EU-Kommission genehmigten Standardvertragsklauseln (SCCs) weiterhin eine gültige Rechtsgrundlage für Datentransfers nach der DSGVO darstellen – unabhängig vom EU-US Privacy Shield, das der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil für ungültig erklärt hat.
Diese Standardvertragsklauseln verpflichten Datenempfänger in Drittländern zur datenschutzkonformen Verarbeitung personenbezogener Daten gemäß der DSGVO. Entscheidend ist jedoch, dass Unternehmen deren praktische Umsetzung und Wirksamkeit im Rahmen jeder Datenübertragung sorgfältig prüfen, dokumentieren und regelmäßig kontrollieren, um die Vorgaben des EuGH-Urteils Schrems II vollständig zu erfüllen. Das bedeutet: Schrems II verlangt ein aktives Datenschutz-Management und keine rein formalen Vertragslösungen.
Wichtig: Eine Datenübermittlung auf Grundlage von Standardvertragsklauseln (SCCs) ist nur dann unzulässig, wenn die zuständige Datenschutzaufsichtsbehörde im Einzelfall feststellt, dass die SCCs im konkreten Übermittlungskontext kein angemessenes Schutzniveau gewährleisten.
Eine solche behördliche Untersagung oder Einschränkung liegt bislang nicht vor. Nach dem EuGH-Urteil Schrems II bleibt die Verwendung der Standardvertragsklauseln gemäß Art. 46 DSGVO daher grundsätzlich zulässig, sofern Unternehmen ergänzende Schutzmaßnahmen umsetzen und deren Wirksamkeit dokumentieren. Unternehmen sollten daher ihre internationalen Datentransfers systematisch erfassen, bewerten und unter dem Blickwinkel von Schrems II und der DSGVO regelmäßig überprüfen.
DSGVO-Compliance nach dem EuGH-Urteil zu Schrems II – Risiken für den Datentransfer in die USA und internationale Anbieter
Neue Risikolage durch Wegfall des Privacy Shield nach dem EuGH-Urteil Schrems II
Mit dem Wegfall des Privacy Shield aufgrund des EuGH-Urteils Schrems II ergibt sich eine neue Risikolage für internationale Datentransfers. Betroffen sind vor allem Unternehmen, die Cloud-, Analyse- oder Kommunikationsdienste aus den USA nutzen. Darunter fallen Tools wie Google Analytics, Microsoft 365, HubSpot oder Amazon Web Services – Systeme, die regelmäßig mit personenbezogenen Daten arbeiten.
Die DSGVO verlangt, dass ein angemessenes Schutzniveau beim Empfänger gewährleistet ist. Falls dies nicht der Fall ist, müssen Unternehmen technische Sicherungsmaßnahmen ergreifen oder auf Alternativen im Europäischen Wirtschaftsraum (EWR) ausweichen. Die Umsetzung ist dabei nicht optional, sondern verpflichtend – Verstöße können teure Bußgelder nach sich ziehen. Gerade für datenschutzsensiblen Datentransfer in die USA stellt Schrems II Unternehmen vor strategische Entscheidungen hinsichtlich Dienstleisterwahl und Systemarchitektur.
Technische und organisatorische Maßnahmen für DSGVO-konformen Datentransfer: Anforderungen nach Schrems II
Sicherheitsmaßnahmen zur Einhaltung der DSGVO nach Schrems II
Ein zentrales Ergebnis des EuGH-Urteils Schrems II ist die Erkenntnis, dass Standardvertragsklauseln allein nicht genügen. Um dem in der DSGVO geforderten Schutzniveau gerecht zu werden, sind zusätzliche Maßnahmen beim Datentransfer erforderlich.
Besonders wirksam ist die Ende-zu-Ende-Verschlüsselung, bei der nur Sender und Empfänger Zugriff auf die entschlüsselten Daten haben. Selbst bei einem staatlichen Zugriff durch US-Behörden könnten diese Informationen nicht gelesen werden. Ebenso sinnvoll sind laut Schrems II Pseudonymisierungstechniken, bei denen identifizierende Merkmale vor der Übermittlung anonymisiert werden.
Darüber hinaus empfiehlt es sich laut dem EuGH-Urteil zu Schrems II, den Grundsatz der Datenminimierung nach der DSGVO zu beachten, also nur die nötigsten Informationen zu übermitteln. Weitere Schutzmechanismen sind die Nutzung von Rechenzentren innerhalb der EU, regelmäßige Audits beim Dienstleister und eine transparente Dokumentation der Datenverarbeitung. In der Praxis ergeben sich daraus Checklisten und technische Mindeststandards, die Unternehmen für einen DSGVO-konformen Datentransfer nach Schrems II definieren sollten.
Aufsichtsbehörden und Schrems II: Kontrolle über Datentransfers in Drittstaaten
Mit dem EuGH-Urteil zu Schrems II wurde auch die Kontrollfunktion der Aufsichtsbehörden deutlich gestärkt. Nationale Behörden wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die Datenschutzkonferenz (DSK) sind verpflichtet, Übermittlungen in Drittstaaten zu untersuchen und bei Verstößen einzuschreiten.
Liegen keine ausreichenden Schutzmaßnahmen vor, können sie die Datenübertragung aussetzen oder sogar dauerhaft untersagen – mit weitreichenden Folgen für betroffene Geschäftsmodelle. Unternehmen sollten daher aktiv auf ihre Landesbehörde zugehen und bei Unsicherheiten frühzeitig Rücksprache halten, um die Anforderungen gemäß dem neuen EuGH-Urteil zu Schrems II einzuhalten. So lassen sich Konflikte mit den Aufsichtsbehörden vermeiden und datenschutzrechtliche Risiken frühzeitig reduzieren.
Reaktionen großer US-Anbieter auf Schrems II – Anpassung der SCCs & technische Maßnahmen
Vertragsanpassungen großer Anbieter nach dem EuGH-Urteil zu Schrems II
In Reaktion auf das EuGH-Urteil zu Schrems II haben große US-Konzerne wie Google, Microsoft und Meta ihre Vertragsbedingungen angepasst. Sie integrieren die neuen Standardvertragsklauseln nach der DSGVO in ihre Datenverarbeitungsbedingungen und betonen, sich gegen unrechtmäßige Zugriffe zu wehren.
Ein Beispiel ist Google: Der Konzern hat seine Google Ads Data Processing Terms explizit an das neue EuGH-Urteil Schrems II angepasst. Unternehmen, die Google-Dienste – insbesondere Analytics – nutzen, sollten daher unbedingt prüfen, ob auf ihrer Website die aktualisierten Vertragsklauseln korrekt eingebunden sind. Zudem sind ergänzende technische Maßnahmen und eine dokumentierte Risikoabwägung erforderlich, um den Einsatz solcher Tools nach Schrems II rechtssicher zu gestalten.
Schrems II und die Verantwortung der Unternehmen beim Datentransfer in die USA
Allerdings bleibt festzuhalten: Die bloße Übernahme neuer Klauseln genügt nicht. Es obliegt dem Datenexporteur in der EU, zu prüfen, ob der Anbieter seine Verpflichtungen auch umsetzen kann – ein Risiko, das viele Unternehmen unterschätzen.
Aus datenschutzrechtlicher Perspektive wird vereinzelt argumentiert, dass alle Analytic Tools von US-Anbietern laut Schrems-II-Urteil des EuGH unzulässig seien. Diese Position wird jedoch nicht einheitlich vertreten. Insbesondere wenn die Standardvertragsklauseln (gemäß Art. 46 Abs. 2 lit. d DSGVO) korrekt abgeschlossen sind, können solche Tools weiter genutzt werden – sofern keine gegenteilige Entscheidung der zuständigen Datenschutzbehörde vorliegt.
Zudem ist zu berücksichtigen, dass bei Analytics-Lösungen in der Regel keine Klarnamen übertragen werden, sondern primär IP-Adressen und Bewegungsprofile. Auch dies trägt zur Risikominimierung und zur Einhaltung der Anforderungen für den Datentransfer gemäß dem Schrems-II-Urteil des EuGH bei. Dennoch sollten Unternehmen eine dokumentierte Interessenabwägung, Datenschutz-Folgenabschätzungen (DSFA) und ein fortlaufendes Monitoring der Rechtslage vornehmen.
Handlungsempfehlungen nach dem EuGH-Urteil Schrems II: Schritt-für-Schritt zur DSGVO-Konformität
Die Anforderungen aus dem Schrems II-Urteil des EuGH lassen sich in fünf Handlungsschritte gliedern, welche die Einhaltung der DSGVO sicherstellen:
- Bestandsaufnahme:
Welche Systeme übertragen personenbezogene Daten in Drittstaaten? (z. B. Cloud-Dienste, Tracking-Tools, Kommunikationsplattformen) - Vertragsprüfung:
Existieren gültige SCCs? Basieren sie auf dem aktuellen EU-Standard? Sind die neuen Standardvertragsklauseln der EU-Kommission bereits umgesetzt? - Einzelfallprüfung:
Gibt es Risiken im Empfängerland (z. B. Zugriff durch Geheimdienste)? Erfordert die Risikobewertung zusätzliche technische oder organisatorische Maßnahmen? - Schutzmaßnahmen:
Werden Verschlüsselung, Pseudonymisierung oder EU-Hosting eingesetzt? - Dokumentation & Transparenz:
Maßnahmen sollten nachvollziehbar dokumentiert und – falls erforderlich – in der Datenschutz-Folgenabschätzung (DSFA) berücksichtigt werden. Nur so lässt sich gegenüber Aufsichtsbehörden nachweisen, dass die Vorgaben aus Schrems II und der DSGVO ernst genommen werden.
Das Data Privacy Framework 2023: Nachfolger des Privacy Shield im Lichte von Schrems II
Im Juli 2023 verabschiedete die EU-Kommission – als Nachfolger des Privacy Shield – das EU-US Data Privacy Framework (DPF). Einen neuen Angemessenheitsbeschluss gem. Art. 45 DSGVO, der auf rechtlichen Reformen in den USA basiert. Er soll das durch Schrems II entstandene Vakuum füllen und wieder eine einheitliche Grundlage für Datentransfers nach der DSGVO schaffen.
Doch die Kritik bleibt: Datenschutzorganisationen sehen weiterhin systemische Defizite, insbesondere bei der Kontrolle staatlicher Zugriffe. Max Schrems kündigte bereits eine neue Klage gegen das DPF an. Es bleibt abzuwarten, ob das neue Abkommen langfristig Bestand hat – oder bald das gleiche Schicksal ereilt wie das Safe-Harbor- und Privacy-Shield-Abkommen. Unternehmen sollten das DPF daher als Erleichterung, aber nicht als Freifahrtschein verstehen und ihre Schutzmaßnahmen weiterhin an den Grundsätzen aus Schrems II ausrichten.
Fazit: Was das Schrems-II-Urteil des EuGH für DSGVO und Datentransfer USA bedeutet
Das Schrems II-Urteil des EuGH zeigt unmissverständlich: Unternehmen können sich nicht auf formale Vereinbarungen verlassen. Sie müssen aktiv prüfen, dokumentieren und technische Vorkehrungen treffen, wenn personenbezogene Daten ins Ausland übermittelt werden und ein Datentransfer stattfindet.
In einer zunehmend digitalisierten Wirtschaft ist Datenschutz kein bürokratisches Hindernis – sondern eine strategische Aufgabe, die Vertrauen schafft und langfristig Wettbewerbsvorteile sichern kann. Nur wer die Vorgaben aus dem EuGH-Urteil Schrems II beachtet, kann rechtskonform agieren und Bußgelder vermeiden. Schrems II ist damit kein einmaliges Urteil, sondern ein dauerhafter Maßstab für DSGVO-konforme internationale Datentransfers.
Fragen zu Schrems II oder weiteren Compliance-Themen?
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie kompetent zur Umsetzung der Anforderungen aus dem EuGH-Urteil Schrems II und der DSGVO. Gemeinsam sorgen wir dafür, dass Ihr Unternehmen internationale Datentransfers rechtskonform gestaltet und künftige Datenschutz- und Compliance-Vorgaben sicher erfüllt.
In der Praxis sind Unternehmen jedoch häufig auch mit anderen Themen wie Organhaftung, Energiewirtschaft oder Forderungsmanagement konfrontiert.
Unsere Kanzlei unterstützt Sie bei sämtlichen rechtlichen Fragen. Jetzt Beratungstermin vereinbaren!
❓ FAQ: Schrems II, DSGVO und Datentransfer
Das Schrems-II-Urteil ist eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, mit der das EU-US Privacy Shield für ungültig erklärt wurde. Es betrifft internationale Datentransfers auf Grundlage der DSGVO. Mit dem Urteil müssen Unternehmen nun strenge Anforderungen für Datentransfers in die USA erfüllen.
Der EuGH sah im US-Recht kein angemessenes Datenschutzniveau gemäß DSGVO für EU-Bürger – vor allem wegen umfassender staatlicher Überwachungsbefugnisse und fehlender effektiver Rechtsmittel. Daher wurde das EU-US Privacy Shield im EuGH-Schrems-II-Urteil für ungültig erklärt.
Nein, Datentransfers in die USA sind nach dem Schrems-II-Urteil nicht verboten, aber nur unter strengen DSGVO-Bedingungen zulässig – etwa durch den Einsatz gültiger Standardvertragsklauseln (SCCs) und ergänzender technischer Schutzmaßnahmen wie Verschlüsselung oder Pseudonymisierung.
Standardvertragsklauseln (SCCs) sind von der EU-Kommission genehmigte Vertragsmuster, die sicherstellen sollen, dass der Empfänger im Drittstaat ein DSGVO-konformes Schutzniveau gewährleistet. Sie sind nach dem EuGH-Urteil Schrems II weiterhin zulässig, aber nur nach einer Einzelfallprüfung.
Nach dem Schrems-II-Urteil müssen Unternehmen:
- jeden Datentransfer einzeln prüfen (Transfer Impact Assessment / TIA)
- Risiken im Empfängerland dokumentieren
- zusätzliche technische oder organisatorische Maßnahmen ergreifen
- und regelmäßig kontrollieren, ob die Anforderungen der DSGVO weiterhin erfüllt werden.
Diese Prüfpflicht gilt für alle Datentransfers in Drittländer, insbesondere die USA.
Das Data Privacy Framework (DPF) ist ein neuer Angemessenheitsbeschluss der EU-Kommission (seit Juli 2023), der das Privacy Shield ersetzen soll. Es ermöglicht unter bestimmten Bedingungen wieder einen vereinfachten Datentransfer in die USA.
Allerdings ist das DPF rechtlich umstritten, und eine erneute Klage von Max Schrems ist bereits angekündigt.
Zu den wichtigsten technischen Schutzmaßnahmen zählen:
- Ende-zu-Ende-Verschlüsselung
- Pseudonymisierung
- Datenminimierung
- EU-Hosting / lokales Rechenzentrum
Diese Maßnahmen helfen, Anforderungen aus Schrems II einzuhalten und einen DSGVO-konformen Datentransfer sicherzustellen.
Weiterführende Themen
Schrems II Urteil: EuGH kippt Privacy Shield – Folgen für DSGVO & Datentransfer
Das EuGH-Urteil Schrems II kippt das Privacy Shield und verschärft Anforderungen an Datentransfers in die USA. Unternehmen müssen Risiken prüfen, SCCs sorgfältig anwenden und zusätzliche Schutzmaßnahmen wie Verschlüsselung oder Pseudonymisierung umsetzen.
EuGH zur DSGVO: Verarbeitung personenbezogener Daten erfordert aktive Einwilligung
Der Europäische Gerichtshof hat klargestellt: Ohne echte, freiwillige Zustimmung ist die Verarbeitung personenbezogener Daten unzulässig. Vorgekreuzte Kästchen und pauschale Klauseln reichen nicht aus. Warum dieses Urteil für Unternehmen ein Weckruf ist – und wie Sie Ihre Einwilligungsprozesse rechtssicher gestalten sollten. Jetzt weiterlesen!
DSGVO: EuGH stärkt Verbraucherschutzverbände und Verbandsklagen
DSGVO: EuGH stärkt Verbraucherschutzverbände – Zwei richtungsweisende Urteile verändern die Spielregeln im Datenschutzrecht: Verbände dürfen künftig auch ohne konkreten Auftrag gegen Unternehmen vorgehen. Was das für Ihre Datenschutzerklärung, Einwilligungsprozesse und die Abmahngefahr bedeutet, erfahren Sie hier.