ai-finden.de
Startseite Lexikon Was ist Schrems II?
Lexikon 🧠 Grundlagen

Was ist Schrems II?

A. Blick A. Blick  ·  Stand: 10. Juni 2026  ·  Lesezeit: 9 Min.

Das Schrems-II-Urteil des Europäischen Gerichtshofs hat 2020 die Spielregeln für den Einsatz von US-Cloud-Software in europäischen Unternehmen dauerhaft verändert. Wer Google Workspace, Microsoft 365, Salesforce, HubSpot oder ähnliche US-Tools nutzt, ist von diesem Urteil direkt betroffen — auch wenn der eigene Server in Deutschland steht.

Kurze Antwort

Schrems II bezeichnet das EuGH-Urteil vom 16. Juli 2020 (Rechtssache C-311/18), das den EU-US Privacy Shield für ungültig erklärte. Hintergrund: US-Geheimdienste dürfen auf Daten von US-Unternehmen zugreifen — auch wenn diese in EU-Rechenzentren liegen. Seitdem müssen Unternehmen für jeden Datentransfer in die USA eine alternative Rechtsgrundlage nachweisen, etwa Standardvertragsklauseln (SCCs) plus eine Einzelfallprüfung (Transfer Impact Assessment).

Definition

Das Urteil geht auf den österreichischen Datenschutzaktivisten Max Schrems zurück, der 2013 nach den Snowden-Enthüllungen Beschwerde gegen Facebook Ireland einreichte. Das erste Schrems-Urteil kippte 2015 das Safe-Harbor-Abkommen, Schrems II traf dann 2020 dessen Nachfolger, den EU-US Privacy Shield.

Kern der Entscheidung: Der EuGH befand, dass US-Recht — insbesondere FISA Section 702 und Executive Order 12333 — US-Geheimdiensten weitreichenden Datenzugriff erlaubt, ohne dass EU-Bürger wirksamen Rechtsschutz dagegen hätten. Das sei mit den Grundrechten auf Privatsphäre (Art. 7 und 8 EU-Grundrechtecharta) nicht vereinbar.

Was nicht gekippt wurde: Standardvertragsklauseln (SCCs) blieben als Übermittlungsmechanismus grundsätzlich gültig — aber mit einer wichtigen Einschränkung. Anwender müssen vor jeder Übermittlung ein Transfer Impact Assessment (TIA) durchführen: eine dokumentierte Prüfung, ob die SCCs im Zielland tatsächlich Schutz bieten oder ob staatliche Zugriffsbefugnisse sie aushöhlen.

Warum wurde Privacy Shield gekippt?

Privacy Shield (2016–2020) war der Nachfolger des Safe-Harbor-Abkommens und sollte den rechtssicheren Datentransfer in die USA auf Basis von Selbst-Zertifizierungen US-amerikanischer Unternehmen ermöglichen.

Das Problem: US-Recht — insbesondere FISA Section 702 und Executive Order 12333 — erlaubt US-Geheimdiensten weitreichenden Datenzugriff, auch auf EU-Daten. EU-Bürger hatten dagegen keinen wirksamen Rechtsschutz. Der EuGH befand: Diese Rechtslage ist mit den europäischen Grundrechten (Art. 7 und 8 EU-GRCh) unvereinbar — Privacy Shield damit ungültig, rückwirkend zum 16. Juli 2020.

Unternehmen, die sich auf Privacy Shield gestützt hatten, brauchten sofort eine neue Rechtsgrundlage — meist Standardvertragsklauseln (SCCs) plus TIA. Seit Juli 2023 gibt es mit dem Data Privacy Framework (DPF) einen neuen Angemessenheitsbeschluss für die USA, der aber bereits gerichtlich angefochten wird.

Beispiel aus der Praxis

Eine Steuerberatungskanzlei in München nutzt Google Workspace für E-Mail und Dokumentenverwaltung. Mandantendaten — Name, Adresse, Einkommensdaten — werden in Google Drive abgelegt. Google LLC ist ein US-Unternehmen und damit dem CLOUD Act unterworfen. Vor Schrems II reichte die Privacy-Shield-Zertifizierung von Google als Rechtsgrundlage. Nach dem Urteil fiel diese weg.

Die Kanzlei muss jetzt prüfen: Stützt sich Google auf SCCs? (Ja.) Hat Google ein TIA durchgeführt und dokumentiert, warum die SCCs trotz US-Zugriffsmöglichkeiten ausreichend Schutz bieten? (Google stellt entsprechende Unterlagen bereit.) Reicht das für das eigene Risikoprofil — angesichts der Vertraulichkeitspflichten nach § 203 StGB? Das ist eine Abwägungsfrage, die der Datenschutzbeauftragte treffen muss. Ohne diese Prüfung und Dokumentation ist die Datenübermittlung nach Art. 44 DSGVO rechtswidrig.

Was Schrems II für den Alltag bedeutet

  • US-Tools mit EU-Hosting: Kein automatischer Schutz — CLOUD Act gilt für US-Mutterkonzerne unabhängig vom Serverstandort
  • SCCs allein nicht ausreichend: Immer TIA erforderlich (EDPB-Empfehlungen 01/2020)
  • Privacy Shield weg: Keine nachträgliche Heilung durch Archiv-Zertifikate
  • DPF als Nachfolger: Das EU-US Data Privacy Framework (Juli 2023) ist aktuell gültig, aber politisch angreifbar — Schrems III-Klage läuft
  • Dokumentationspflicht: TIA und SCC-Verwendung müssen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) nachgewiesen werden
  • Aufsichtsbehörden prüfen: Datenschutzbehörden in Bayern, Hamburg und Berlin haben Verfahren auf Basis von Schrems II eingeleitet

Wie läuft ein US-Datentransfer heute ab?

In der Praxis hat sich nach Schrems II eine klare Prüfreihenfolge etabliert:

  1. DPF prüfen: Ist der US-Anbieter auf der DPF-Liste (dataprivacyframework.gov) zertifiziert? → Falls ja: DPF als Rechtsgrundlage nutzen, AVV (Auftragsverarbeitungsvertrag) abschließen — fertig, kein TIA nötig.
  2. SCCs prüfen: Falls kein DPF → Bietet der Anbieter Standardvertragsklauseln (SCCs) an? Bei den meisten großen SaaS-Anbietern: ja.
  3. TIA dokumentieren: Falls SCCs → Transfer Impact Assessment (TIA) durchführen und dokumentieren. Für viele Anbieter (Google, Microsoft, Salesforce) gibt es vorausgefüllte TIA-Vorlagen.
  4. AVV abschließen: Unabhängig von DPF oder SCCs immer Pflicht (Art. 28 DSGVO).

Faustregel: Erst DPF prüfen — das spart das aufwendige TIA. Nur wenn kein DPF vorliegt, auf SCCs ausweichen.

DSGVO-Relevanz

Schrems II ist kein abstraktes Gerichtsurteil — es hat direkte Auswirkungen auf die tägliche Tool-Auswahl im KMU.

Wer ist betroffen? Jedes Unternehmen, das personenbezogene Daten an einen Auftragsverarbeiter mit Sitz in den USA übermittelt oder dessen Subprozessoren in den USA sitzen. Das umfasst praktisch alle großen SaaS-Anbieter: Google, Microsoft, Salesforce, HubSpot, Zoom, Slack, Mailchimp und viele andere.

Typische KI-Tools mit Schrems-II-Relevanz — in unseren Tooltests prüfen wir DPF, SCCs, CLOUD Act, AVV und TIA-Unterlagen: → ChatGPT Plus · Claude (Anthropic) · Jasper · Copy.ai · Notion KI

Welche Pflichten entstehen? Nach Art. 44 ff. DSGVO dürfen personenbezogene Daten nur in Drittländer übermittelt werden — jede solche Drittlandübermittlung setzt den Nachweis eines angemessenen Schutzniveaus voraus. Nach Schrems II sind dafür typischerweise SCCs (Art. 46 Abs. 2c DSGVO) die gewählte Grundlage — kombiniert mit einem TIA. Das TIA muss dokumentieren, ob das Recht des Ziellandes die Wirksamkeit der SCCs beeinträchtigt.

Was KMU konkret tun sollten: Eine vollständige Prüfung jedes eingesetzten US-Tools ist aufwendig, aber notwendig. Priorität haben Tools, in die Kundendaten, Mitarbeiterdaten oder besondere Datenkategorien (Art. 9 DSGVO) fließen. Für viele US-Anbieter — darunter Google, Microsoft und Salesforce — liegen vorausgefüllte TIA-Dokumente vor, die als Ausgangspunkt dienen können. Ob das Ergebnis für das eigene Risikoprofil akzeptabel ist, sollte ein Datenschutzbeauftragter einschätzen.

Kommt ein Schrems III Urteil?

Das EU-US Data Privacy Framework (DPF) — der seit Juli 2023 gültige Nachfolger von Privacy Shield — wird bereits gerichtlich angefochten. Max Schrems und die Organisation noyb haben Klage eingereicht (Stand: 2026). Ein Urteil in dieser Sache — umgangssprachlich als ‘Schrems III’ bezeichnet — ist realistisch, der Zeitplan aber offen.

Was das für KMU bedeutet: Wer sich ausschließlich auf DPF stützt, geht ein regulatorisches Risiko ein. Prudenter Ansatz: DPF nutzen wo möglich, gleichzeitig SCCs als dokumentierte Fallback-Option parat halten. Sollte das DPF kippen, wäre ein schneller Wechsel auf SCCs-Basis möglich — ohne Betriebsunterbrechung.

Verwandte Begriffe

  • Cloud Act: US-Bundesgesetz, das US-Unternehmen verpflichtet, Behörden Datenzugriff zu gewähren — auch auf EU-Servern. Direkter Grund, warum SCCs und TIA nach Schrems II nötig sind.
  • DPF (Data Privacy Framework): Der aktuelle Nachfolger des Privacy Shield (seit Juli 2023). Aktuell gültig, aber politisch angreifbar.
  • SCCs (Standardvertragsklauseln): Der nach Schrems II meistgenutzte Übermittlungsmechanismus für Datentransfers in die USA.
  • AVV (Auftragsverarbeitungsvertrag): Pflichtbestandteil bei jeder Auftragsverarbeitung — ergänzt SCCs, ersetzt sie nicht.
  • Drittlandübermittlung: Der übergeordnete DSGVO-Begriff für jeden Datentransfer außerhalb EU/EWR — Schrems II definiert die Anforderungen daran.
  • § 203 StGB: Berufsgeheimnis für Anwälte, Steuerberater und Ärzte — bei diesen Berufsgruppen erhöht Schrems II das Haftungsrisiko besonders.

Häufige Missverständnisse

  • „Unser Anbieter hat Server in Frankfurt — also kein Schrems-II-Problem.” Falsch. Entscheidend ist der Firmensitz des Anbieters und seiner Muttergesellschaft, nicht der Serverstandort. Microsoft Azure Deutschland-Rechenzentrum ändert nichts daran, dass Microsoft Corp. unter den Cloud Act fällt.
  • „Wir haben SCCs unterzeichnet — das reicht.” Nicht mehr. Nach Schrems II sind SCCs nur eine notwendige, keine hinreichende Bedingung. Das TIA muss zusätzlich dokumentieren, dass die SCCs im konkreten Fall wirksam sind.
  • „Das DPF hat das Problem gelöst.” Das DPF ist aktuell gültig, aber bereits vor dem EuGH angefochten (Schrems III). Unternehmen, die sich ausschließlich auf DPF stützen, gehen ein regulatorisches Risiko ein.
  • „Kleine Unternehmen sind nicht betroffen.” Die DSGVO gilt größenunabhängig. Auch ein Zwei-Personen-Büro, das Kundendaten in Google Sheets verwaltet, muss Schrems II berücksichtigen.

Häufig gestellte Fragen

Welche US-Tools sind nach Schrems II noch nutzbar? Grundsätzlich alle, sofern eine gültige Übermittlungsgrundlage besteht — meist SCCs plus TIA, oder DPF-Zertifizierung des Anbieters. Die Frage ist nicht ob, sondern mit welcher Dokumentation. Anbieter wie Google, Microsoft und Salesforce stellen TIA-Unterlagen bereit.

Muss ich jetzt alle US-Tools abschalten? Nein. Schrems II verlangt eine dokumentierte Prüfung, keine automatische Tool-Abschaltung. Viele Unternehmen nutzen weiter US-Software — mit SCCs, TIA und AVV als Rechtsgrundlage.

Gilt Schrems II auch für kleinste KMU ohne Datenschutzbeauftragten? Ja. Die DSGVO-Pflichten gelten unabhängig von der Unternehmensgröße. Bei sensiblen Daten (Kundendaten, Mitarbeiterdaten) empfiehlt sich eine externe Datenschutzberatung, wenn kein eigener DSB vorhanden ist.

Was passiert bei einem Verstoß? Datentransfers ohne gültige Rechtsgrundlage verstoßen gegen Art. 44 DSGVO. Die zuständige Aufsichtsbehörde kann Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 Abs. 5 DSGVO). Europäische Behörden haben bereits Bußgelder auf Basis von Schrems-II-Verstößen verhängt.

Ist das EU-US Data Privacy Framework sicherer als SCCs? DPF ist aktuell die rechtlich einfachere Grundlage — kein TIA erforderlich. Aber politisch angreifbar: Änderungen in der US-Geheimdienstpolitik oder ein erneutes EuGH-Urteil könnten es kippen, wie schon Safe Harbor und Privacy Shield.

Ist Microsoft 365 nach Schrems II erlaubt? Ja, mit entsprechender Dokumentation. Microsoft Corporation ist ein US-Unternehmen und unterliegt dem CLOUD Act — auch Microsoft Azure EU-Rechenzentren. Microsoft bietet DPF-Zertifizierung sowie SCCs plus TIA-Unterlagen an. Für die meisten Unternehmen ist Microsoft 365 mit abgeschlossenem DPA und Nachweis der Rechtsgrundlage nutzbar — eine individuelle Risikobewertung, insbesondere bei besonders sensiblen Daten (Art. 9 DSGVO oder §203 StGB), bleibt erforderlich.

Ist ChatGPT nach Schrems II erlaubt? Grundsätzlich ja, sofern die Rechtsgrundlage dokumentiert ist. OpenAI LLC hat seinen Hauptsitz in den USA. OpenAI bietet SCCs und — für ChatGPT Enterprise / API — eine DPA an. Im kostenlosen und Plus-Tarif werden Eingaben standardmäßig für KI-Training genutzt — Opt-out ist über die Account-Einstellungen möglich. Für Unternehmen mit vertraulichen Daten empfiehlt sich der Enterprise-Tarif oder die API mit deaktiviertem Training.

Fazit

Schrems II ist keine abgeschlossene Geschichte, sondern ein dauerhaft wirksames Urteil mit praktischen Konsequenzen: Jede Nutzung von US-Cloud-Software mit personenbezogenen Daten braucht eine dokumentierte Rechtsgrundlage — SCCs plus TIA oder DPF. Wer das ignoriert, riskiert nicht nur Bußgelder, sondern auch aufsichtsbehördliche Maßnahmen — Datenschutzverstöße können unter Umständen zudem wettbewerbsrechtliche Folgen haben. Wie einzelne KI-Tools in der Praxis mit diesen Anforderungen umgehen, zeigen unsere Tooltests.

Passende Tooltests

Weiterführende Begriffe

Welches Tool passt zu dir?

Unser KI-Finder empfiehlt das optimale Tool für deine Situation — in 2 Minuten.

KI-Finder starten →