Skip to main content
Über uns

Schrems II

TL;DR

Schrems II ist die Bezeichnung für einen Fall des EuGH (Europäischer Gerichtshof), der darauf beruhte, dass US-Unternehmen keine angemessenen Standards für den Schutz personenbezogener Daten gewährleisten können. Infolgedessen wurde die Übermittlung personenbezogener Daten zwischen der EU und den USA illegal und das zwischen ihnen geschlossene Abkommen über den Schutz der Privatsphäre obsolet.

Was bedeutet Schrems II?

Schrems II ist der Oberbegriff für einen Fall vor dem Europäischen Gerichtshof, der zugunsten von Max Schrems entschieden und zur Ungültigkeitserklärung des EU-US Privacy Shield am 16. Juli 2020 geführt hat. Dies führte dazu, dass es für jede Art von Datenverarbeiter illegal wurde, Dienste aus den USA zu nutzen, die diesen Diensten Zugang zu den persönlichen Daten von EU-Bürgern verschaffen würden, ohne die Risiken vollständig aufzuklären. Die Folgen waren sehr schwerwiegend, so sehr, dass einige große US-Unternehmen (z.B. Facebook) in Erwägung zogen, ihre Geschäftstätigkeit in der EU ganz zu unterbrechen.

Ein früherer Fall, bekannt als Schrems I, der von derselben Person begonnen wurde, hatte 2015 zu einem ähnlichen Ergebnis geführt. Die Entscheidung des EuGH im Fall Schrems II basierte auf dem Argument, dass es insbesondere aufgrund der US-Gesetzgebung wie dem CLOUD Act keine Möglichkeit gibt, den Schutz personenbezogener Daten zu gewährleisten, wenn diese von US-Unternehmen verarbeitet werden. Bundesbehörden, die einen Durchsuchungsbefehl verwenden, könnten Datenverarbeiter wie Google oder Facebook immer dazu zwingen, persönliche Informationen über Nutzer ohne deren Zustimmung offenzulegen. Dabei spielt es keine Rolle, wo die Server, die die Daten enthalten, physisch stehen. Daher muss jeder EU-Bürger, der auf eine in den USA gehostete Webseite, oder eine Webseite zugreift, die von US-Unternehmen verwaltete Anwendungen Dritter (z.B. Google Analytics) verwendet, über alle rechtlichen Auswirkungen der Datenübertragung sowie über alle Risiken angemessen informiert werden.

Weitere Einzelheiten zu den Folgen von Schrems II können Sie dieser Übersicht entnehmen. Zusammengefasst sind diese:

  • Webseitenbesitzer mit EU-Besuchern dürfen keine Daten außerhalb der EU speichern, es sei denn, die Gesetze dieses Landes können einen angemessenen Schutz der Daten gewährleisten.
  • alle Dienstleistungen Dritter, die auf einer Webseite zum Einsatz kommen, müssen ebenfalls Schutz bieten und können daher nicht in den USA ansässig sein. Zu diesen Diensten können gehören: Webseitenanalyse-Tools, Kundenbeziehungsmanagement-Tools, Werbedienste, Chat-Tools, Tools zur Einsicht der Benutzer usw.
  • die auf dem Privacy Shield basierende Liste der US-Unternehmen, die von den Regeln ausgenommen wurden, sind nicht mehr legal.
  • Einwilligungsbanner müssen spezifische Cookie-Informationen sowie Datenübertragungsvorschriften enthalten.