Schrems II.

Schrems II ist das EUGH-Urteil von 2020, das das EU-US Privacy Shield aufgehoben und die Anforderung einer Transfer Impact Assessment eingeführt hat. Jede Übermittlung in ein Drittland erfordert nun eine dokumentierte Analyse des lokalen Überwachungsrechts sowie ergänzender Maßnahmen. In der Praxis durch den EU-US Data Privacy Framework (2023) abgelöst, doch die TIA-Disziplin ist geblieben.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Die Einschätzung der Cyber Academy

Schrems II ist das EUGH-Urteil von 2020, das das EU-US Privacy Shield aufgehoben und die Anforderung einer Transfer Impact Assessment eingeführt hat. Jede Übermittlung in ein Drittland erfordert nun eine dokumentierte Analyse des lokalen Überwachungsrechts sowie ergänzender Maßnahmen. In der Praxis durch den EU-US Data Privacy Framework (2023) abgelöst, doch die TIA-Disziplin ist geblieben.

Was das Urteil tatsächlich entschieden hat

Schrems II ist das Urteil des Gerichtshofs der Europäischen Union vom Juli 2020 in der Rechtssache Data Protection Commissioner v Facebook Ireland und Maximillian Schrems, das neu geprägt hat, wie personenbezogene Daten den Europäischen Wirtschaftsraum verlassen. Zwei Dinge geschahen gleichzeitig.

Erstens erklärte der Gerichtshof den EU-US Privacy Shield für ungültig, die Angemessenheitsregelung, die Tausenden von Unternehmen den Datentransfer an zertifizierte US-Importeure ermöglicht hatte, weil das US-Überwachungsrecht den Personen der Union keinen Schutz bot, der dem innerhalb der Union gewährleisteten der Sache nach gleichwertig war, und ihnen keinen wirksamen gerichtlichen Rechtsbehelf gewährte. Zweitens, und dies ist der Teil, der Bestand hat, hob der Gerichtshof die Standardvertragsklauseln nicht auf. Er ließ sie gültig, fügte jedoch eine Bedingung hinzu: Der Exporteur kann die Klauseln nicht einfach unterzeichnen und sich abwenden.

Diese Bedingung ist der Kern der Sache. Der Gerichtshof befand, dass Datenexporteure im Einzelfall prüfen müssen, ob Recht und Praxis des Bestimmungslands es dem Importeur tatsächlich erlauben, die vertraglichen Garantien einzuhalten. Wo dies nicht der Fall ist, muss der Exporteur zusätzliche Maßnahmen ergreifen oder den Transfer einstellen. Der Vertrag allein genügt nicht, wenn eine ausländische Regierung den Zugriff in einer Weise erzwingen kann, die die Klauseln nicht verhindern können.

Das Transfer Impact Assessment in der Praxis

Die Disziplin, die Schrems II geschaffen hat, ist das Transfer Impact Assessment, oder TIA. Es ist die dokumentierte Analyse, die das Urteil in eine wiederholbare Kontrolle überführt. Ein Praktiker, der ein TIA durchführt, arbeitet eine erkennbare Abfolge ab statt eines einmaligen Rechtsgutachtens.

  • Den Transfer kartieren. Bestimmen, welche Daten wohin gehen, die Kategorien der betroffenen Personen, den Importeur, etwaige Weiterübermittlungen sowie den herangezogenen Rechtsmechanismus, in der Regel die SCC.
  • Recht und Praxis des Bestimmungslands bewerten. Das Überwachungs- und Behördenzugriffsregime im Importland betrachten und beurteilen, ob es den Schutz untergräbt, den das Transferinstrument bieten soll. Dies ist die Analyse des Überwachungsrechts, die der Gerichtshof verlangt hat.
  • Zusätzliche Maßnahmen bestimmen. Wo das lokale Recht problematisch ist, entscheiden, welche zusätzlichen technischen, vertraglichen oder organisatorischen Garantien die Lücke schließen. Starke Verschlüsselung mit ausschließlich im EWR gehaltenen Schlüsseln, Pseudonymisierung und aufgeteilte Verarbeitung sind die technischen Maßnahmen, auf die Aufsichtsbehörden am häufigsten verweisen.
  • Dokumentieren und entscheiden. Die Begründung festhalten, abschließen, ob der Transfer fortgesetzt werden kann, und einen Überprüfungsauslöser festlegen, damit die Bewertung erneut geprüft wird, wenn sich das Recht oder die Regelung ändert.

Wo es heute steht

Im Jahr 2023 erließ die Europäische Kommission das EU-US Data Privacy Framework, einen neuen Angemessenheitsbeschluss, der für zertifizierte US-Organisationen einen Weg wiederherstellt, Daten ohne TIA für diesen spezifischen Korridor zu übermitteln. Es wurde geschaffen, um die Bedenken hinsichtlich Rechtsbehelf und Verhältnismäßigkeit auszuräumen, die den Privacy Shield zu Fall gebracht hatten, einschließlich eines unabhängigen Überprüfungsmechanismus für Personen der Union. Im Alltag gesprochen ist die durch Schrems II geöffnete Privacy-Shield-Lücke somit für die Vereinigten Staaten geschlossen worden, sofern der Importeur nach dem neuen Rahmen zertifiziert ist und der Transfer in dessen Anwendungsbereich bleibt.

Was nicht verschwunden ist, ist die umfassendere Methode. Übermittlungen in Länder ohne Angemessenheitsbeschluss stützen sich weiterhin auf die SCC oder andere Instrumente des Artikels 46, und jede davon benötigt nach wie vor ein TIA. Die Leitlinien des Europäischen Datenschutzausschusses zu zusätzlichen Maßnahmen bleiben das praktische Handbuch. Die richtige Art, Schrems II im Jahr 2026 zu lesen, ist daher nicht als tote Privacy-Shield-Geschichte, sondern als der Moment, in dem das Transferrisiko zu etwas wurde, das man bewertet und belegt, Transfer für Transfer, statt es durch Abhaken eines Angemessenheitskästchens beiseitezuwischen.

Zwei benachbarte Begriffe sollte man auseinanderhalten. Ein Angemessenheitsbeschluss ist die Kommission, die feststellt, dass ein ganzes Land gleichwertigen Schutz bietet, was den Bedarf an zusätzlichen Garantien beseitigt. SCC sind ein vertragsbasiertes Instrument, das man verwendet, wenn es keinen Angemessenheitsbeschluss gibt, und Schrems II ist genau das Urteil, das gesagt hat, dass die SCC mit der angehängten Hausaufgabe eines TIA daherkommen.

Frequently asked questions

01Hat Schrems II Datenübermittlungen in die Vereinigten Staaten verboten?

Nein. Es erklärte die Angemessenheitsregelung des Privacy Shield für ungültig, doch Übermittlungen konnten weiterhin auf Grundlage der SCC mit einem Transfer Impact Assessment und zusätzlichen Maßnahmen erfolgen. Seit 2023 bietet das EU-US Data Privacy Framework einen neuen Angemessenheitsweg für zertifizierte US-Importeure.

02Sind Standardvertragsklauseln nach Schrems II noch gültig?

Ja. Der Gerichtshof bestätigte die SCC. Hinzugefügt hat er die Pflicht, im Einzelfall zu prüfen, ob das Bestimmungsland es dem Importeur tatsächlich erlaubt, sie einzuhalten, und zusätzliche Maßnahmen zu ergreifen oder den Transfer einzustellen, wo dies nicht der Fall ist.

03Was ist ein Transfer Impact Assessment?

Es ist die dokumentierte Analyse, die Schrems II erforderlich gemacht hat: den Transfer kartieren, das Überwachungs- und Behördenzugriffsrecht des Bestimmungslands bewerten, entscheiden, welche zusätzlichen Maßnahmen erforderlich sind, und die Schlussfolgerung festhalten. Es ist heute eine Standardkontrolle bei jedem auf die SCC gestützten Transfer.

04Macht das EU-US Data Privacy Framework Schrems II bedeutungslos?

Nicht für die umfassendere Pflicht. Der Rahmen stellt einen Angemessenheitsweg für zertifizierte US-Organisationen wieder her und beseitigt das TIA für diesen spezifischen Korridor, doch Übermittlungen in jedes nicht angemessene Land erfordern weiterhin ein TIA. Die durch Schrems II geschaffene Bewertungsdisziplin bleibt in Kraft.

05Was zählt als zusätzliche Maßnahme?

Technische, vertragliche oder organisatorische Garantien, die die durch schwaches Bestimmungsrecht hinterlassene Lücke schließen. Aufsichtsbehörden verweisen am häufigsten auf starke Verschlüsselung mit im EWR gehaltenen Schlüsseln, Pseudonymisierung und aufgeteilte oder mehrparteiige Verarbeitung als wirksame technische Maßnahmen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.