Schrems II
EuGH-Urteil vom 16. Juli 2020 (C-311/18), das das EU-U.S. Privacy Shield kippte und Standardvertragsklauseln um eine Einzelfallprüfung des Drittlandes ergänzte.
Schrems II bezeichnet das Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18 (Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems). Es ist nach dem österreichischen Juristen Maximilian Schrems benannt, der die Übermittlung seiner Facebook-Daten in die USA über Jahre vor irischen Gerichten und dem EuGH angegriffen hatte. Das Urteil prägt seither die Bedingungen, unter denen personenbezogene Daten aus der EU in Drittländer übermittelt werden dürfen.
Hintergrund des Verfahrens
Bereits 2015 hatte Schrems mit dem Vorgängerurteil Schrems I das Safe-Harbor-Abkommen zu Fall gebracht. Die anschließend ausgehandelte Nachfolgeregelung — das EU-U.S. Privacy Shield — sollte die festgestellten Defizite beheben. Schrems griff auch diese Konstruktion an und stellte zusätzlich die Gültigkeit der damaligen Standardvertragsklauseln in Frage. Der EuGH entschied auf beiden Ebenen.
Die zwei Kernaussagen des Urteils
Erstens erklärte der Gerichtshof den Angemessenheitsbeschluss zum Privacy Shield für ungültig. Begründet wurde dies mit der Massenüberwachung durch US-Behörden auf Grundlage von Section 702 FISA und Executive Order 12333 sowie mit dem Fehlen wirksamer gerichtlicher Rechtsbehelfe für EU-Betroffene gegenüber US-Behörden. Der bestehende Ombudsperson-Mechanismus erfüllte nach Auffassung des EuGH nicht die Anforderungen an einen unabhängigen Rechtsweg im Sinne von Art. 47 der EU-Grundrechtecharta.
Zweitens bestätigte der EuGH die grundsätzliche Gültigkeit der Standardvertragsklauseln (SCC), knüpfte deren Nutzung aber an eine wichtige Bedingung: Verantwortliche und Auftragsverarbeiter müssen vor jeder Übermittlung prüfen, ob die Rechtslage des Drittstaats ein Schutzniveau gewährleistet, das dem EU-Niveau der Sache nach gleichwertig ist. Diese Einzelfallprüfung hat sich unter dem Begriff Transfer Impact Assessment (TIA) etabliert.
Ergänzende Maßnahmen
Reicht das gesetzliche Schutzniveau im Drittstaat nicht aus, dürfen SCC nur dann genutzt werden, wenn ergänzende Maßnahmen — supplementary measures — das Defizit ausgleichen. Der Europäische Datenschutzausschuss (EDSA) hat dies in den EDPB Recommendations 01/2020 konkretisiert. Im Vordergrund stehen technische Maßnahmen wie starke Verschlüsselung in Transit und at Rest mit ausschließlich in der EU verwalteten Schlüsseln, Pseudonymisierung mit Re-Identifikationsmöglichkeit nur durch den EU-Exporteur sowie Split-Processing-Architekturen. Organisatorische Maßnahmen — etwa dokumentierte Government-Access-Challenges, Transparenzberichte und enge interne Eskalationspfade — ergänzen den Schutz, ersetzen ihn aber nicht.
Nachfolger Privacy Shield: EU-U.S. Data Privacy Framework
Am 10. Juli 2023 erließ die Europäische Kommission einen neuen Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF). Auf US-Seite wurden zwei zentrale Schrems-II-Kritikpunkte adressiert: Executive Order 14086 führte den Verhältnismäßigkeitsgrundsatz für nachrichtendienstliche Datenzugriffe ein, und mit dem Data Protection Review Court (DPRC) wurde ein zweistufiges Rechtsbehelfssystem für EU-Betroffene eingerichtet. Datenübermittlungen an DPF-zertifizierte US-Unternehmen sind damit ohne SCC zulässig.
Eine erste Klage gegen den DPF (Latombe, T-553/23) wurde vom EuG am 3. September 2025 abgewiesen; weitere Verfahren — informell als „Schrems III" diskutiert — werden u. a. von NOYB vorbereitet, sind beim EuGH derzeit aber nicht formell anhängig. Die rechtliche Stabilität des DPF ist damit nicht endgültig gesichert. Verantwortliche sollten den DPF nutzen, aber SCC und TIA als Rückfallebene parallel bereithalten.
Praxis-Konsequenzen für deutsche Verantwortliche
Für Workloads auf Microsoft 365, Azure, Google Workspace oder AWS bedeutet Schrems II in der Praxis dreierlei. Erstens ist zu prüfen, ob der konkrete Anbieter und die genutzte Konzerngesellschaft unter dem DPF zertifiziert sind — die Zertifizierung erfolgt entitätsbezogen, nicht produktbezogen. Zweitens sollten SCC weiterhin in den AVV eingebettet sein, damit eine vertragliche Absicherung auch bei einem Wegfall des DPF besteht. Drittens ist die TIA als eigenständiges Dokument zu führen — getrennt für jeden Drittlandtransfer, mit aktualisierter Bewertung der Rechtslage im Empfängerstaat.
Verhältnis zu DSGVO und Aufsicht
Schrems II ist keine eigene Rechtsnorm, sondern die maßgebliche Auslegung von Art. 44 ff. DSGVO durch den EuGH. Deutsche Aufsichtsbehörden — koordiniert in der Datenschutzkonferenz (DSK) — orientieren ihre Prüfpraxis konsequent an diesem Urteil und verlangen bei Drittlandübermittlungen den Nachweis einer durchgeführten TIA. Eine fehlende oder oberflächliche TIA ist in jüngeren Bußgeldverfahren wiederholt als eigenständiger Verstoß gewertet worden. Wie sich die Schrems-II-Anforderungen in einer Microsoft-365-/Windows-Flotte mit EU Data Boundary, SCC und DPF dokumentieren lassen, zeigt Kapitel 1 und 8 unseres Leitfadens zur datenschutzkonformen Windows-11-Konfiguration.