Schrems II

Schrems II ist die Kurzbezeichnung für das Urteil des Europäischen Gerichtshofs in der Rechtssache C-311/18, verkündet am 16. Juli 2020. Kläger war der österreichische Jurist Maximilian Schrems, der sich seit 2013 gegen die Übermittlung seiner Nutzerdaten von Facebook Ireland an die Konzernmutter in den USA wendet. Bereits 2015 hatte derselbe Kläger mit dem Urteil C-362/14 (Schrems I) das Safe-Harbor-Abkommen zu Fall gebracht.

Verfahrensgegenstand war die Frage, ob Standardvertragsklauseln (Standard Contractual Clauses, SCC) und der EU-US Privacy Shield als Rechtsgrundlage für den Datentransfer von der EU in die USA mit der DSGVO vereinbar sind.

Der EuGH erklärte den EU-US Privacy Shield Beschluss 2016/1250 für ungültig. Begründung waren US-Überwachungsgesetze, insbesondere Section 702 des Foreign Intelligence Surveillance Act sowie Executive Order 12333. Diese Gesetze erlauben den US-Behörden Zugriff auf personenbezogene Daten in einem Umfang, der nach EuGH-Auffassung nicht den europäischen Anforderungen an Verhältnismäßigkeit entspricht. Betroffenen fehlen außerdem effektive Rechtsmittel vor US-Gerichten.

Standardvertragsklauseln blieben grundsätzlich gültig, allerdings mit verschärfter Prüfpflicht: Datenexporteure müssen vor jeder Übermittlung prüfen, ob das Empfängerland einen mit der EU vergleichbaren Schutzstandard bietet. Wenn nicht, sind zusätzliche technische, vertragliche oder organisatorische Maßnahmen erforderlich. Diese Prüfung wird als Transfer Impact Assessment (TIA) bezeichnet.

Für EU-Unternehmen, die US-Dienste verwenden, ergaben sich drei zentrale Konsequenzen: Erstens muss vor jedem Drittlandtransfer ein Transfer Impact Assessment durchgeführt werden. Zweitens reichen technische und organisatorische Maßnahmen nur dann aus, wenn sie den Zugriff durch US-Behörden tatsächlich verhindern. Der EuGH nannte ausdrücklich Ende-zu-Ende-Verschlüsselung mit Schlüsseln, die nicht beim US-Anbieter liegen, als Beispiel. Drittens haftet primär der Datenexporteur in der EU, nicht der US-Empfänger.

Mehrere europäische Datenschutzbehörden haben in der Folge Bußgelder gegen Unternehmen verhängt, die ohne ausreichende Schutzmassnahmen US-Dienste einsetzten. Die österreichische Datenschutzbehörde stellte im Januar 2022 die Nutzung von Google Analytics auf einer österreichischen Website als rechtswidrig fest. Ähnliche Entscheidungen folgten in Frankreich, Italien und Liechtenstein.

Das Urteil hat den Markt für europäische Software- und Cloud-Anbieter nachhaltig verändert. Anbieter aus EU-Mitgliedstaaten und Ländern mit Angemessenheitsbeschluss (Schweiz, Norwegen, Vereinigtes Königreich) werben gezielt mit der Aussage, kein Transfer Impact Assessment zu erfordern. Beispiele sind Proton Mail, Tutanota und Mailbox.org im E-Mail-Bereich, Plausible und etracker im Web-Analytics-Bereich sowie Hetzner, OVHcloud und Scaleway im Cloud-Hosting.

Die deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat im November 2020 in einer Bewertung festgestellt, dass die Wahl eines EU-Anbieters in vielen Fällen die einfachste Form der DSGVO-Compliance darstellt. Der Bundesbeauftragte für den Datenschutz (BfDI) hat 2022 explizit auf europäische Alternativen verwiesen.

Im Juli 2023 trat das EU-US Data Privacy Framework als Nachfolger des Privacy Shield in Kraft. Auf dieser Grundlage sind Datentransfers in die USA an zertifizierte Unternehmen wieder ohne zusätzliche SCC möglich. Maximilian Schrems hat angekündigt, das neue Abkommen erneut vor dem EuGH anzugreifen; Beobachter rechnen mit einer Entscheidung in den Jahren 2026 oder 2027. Bis dahin bleiben die Schrems-II-Vorgaben für alle Transfers ohne DPF-Zertifizierung weiterhin verbindlich.