Schrems II

Schrems II

Auf einen Blick

Schrems II ist ein EuGH-Urteil von 2020, das den Datenschutz bei US-Cloud-Diensten in der EU verschärft und Standardvertragsklauseln nur mit Zusatzmaßnahmen für zulässig erklärt.

KategorieDatenschutz, Recht & Compliance
Lesezeit8 Min
ZielgruppeDatenschutzbeauftragte, IT-Juristen, Cloud-Nutzer
SchwierigkeitFortgeschritten
Stand2026-05
QuellenGerichtsurteil, Rechtsanalyse

Datenschutz, Recht & Compliance

Schrems II — Urteil des EuGH von 2020, das die US-Cloud-Nutzung in der EU rechtlich anspruchsvoll macht. Für jeden, der ChatGPT oder andere US-KI-Tools nutzt, der wichtigste Hintergrund.

Was Schrems II konkret bedeutet

Im Juli 2020 hat der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield-Abkommen für ungültig erklärt. Das Urteil ist nach dem österreichischen Datenschutzaktivisten Max Schrems benannt, der die Klage geführt hat. Konsequenz: der einfache Datentransfer in die USA ohne weitere Schutzmaßnahmen ist seit damals rechtswidrig.

Für KI-Nutzer 2026 bedeutet das: jede Verarbeitung von Personendaten durch ChatGPT, Claude, Gemini & Co. ist potenziell ein Schrems-II-Verstoß — es sei denn, der Anbieter hat passende Garantien.

Warum das Privacy-Shield gefallen ist

Der EuGH hat festgestellt: US-Geheimdienste (FBI, NSA) haben weitreichende Zugriffsbefugnisse auf Daten, die in den USA gespeichert sind. Die EU-Bürgerinnen und EU-Bürger haben keine effektiven Rechtsmittel dagegen. Das ist mit dem europäischen Grundrechte-Schutz nicht vereinbar.

Konkret betroffen sind US-Behördenanfragen nach FISA Section 702 und Executive Order 12333 — beide erlauben es US-Behörden, auf Daten zuzugreifen, ohne dass die Betroffenen davon erfahren oder dagegen vorgehen können.

Was hat sich seit 2020 geändert?

Im Juli 2023 ist das EU-US Data Privacy Framework in Kraft getreten — quasi „Privacy Shield 2.0". US-Unternehmen können sich zertifizieren lassen, und die EU-Kommission betrachtet zertifizierte Unternehmen als „sicher".

ABER: noyb (Schrems' NGO) und andere kritisieren das Framework als unzureichend. Eine erneute Klage liegt schon vor — Schrems III ist nur eine Frage der Zeit. Bis dahin nutzen die meisten Anbieter das Framework, aber zusätzliche Schutzmaßnahmen sind weiterhin empfohlen.

Praktische Konsequenzen für KI-Nutzer

  1. Datenresidenz beachten: OpenAI EU Data Boundary, Anthropic EU-Region, Microsoft Azure mit EU-Hosting. Diese Optionen reduzieren das Schrems-Risiko.
  2. Standardvertragsklauseln (SCC): Die meisten US-Anbieter bieten SCCs an. Diese reichen alleine nicht — zusätzliche Schutzmaßnahmen sind nötig.
  3. Verschlüsselung in der Übertragung UND in der Speicherung: Best Practice, mindert das Risiko.
  4. Transfer Impact Assessment (TIA): Eine schriftliche Risikobewertung pro US-Tool — ist seit Schrems II faktisch Pflicht.
  5. Datensparsamkeit: Was nicht übertragen wird, kann nicht abgegriffen werden. Lokale KI ist die radikalste Lösung.

Praxisbeispiel: Steuerberater nutzt ChatGPT Team

Eine 8-Personen-Steuerkanzlei abonniert ChatGPT Team für €30/Nutzer/Monat. ChatGPT Team hat:

  • AVV-Vertrag verfügbar
  • SCC + EU-Datenresidenz
  • Opt-out vom Modell-Training (Default)
  • DPF-Zertifizierung

Trotzdem: Mandantendaten sollten NICHT in Free/Plus-Konten landen. Und auch bei Team-Konto ist ein Transfer Impact Assessment zu dokumentieren.

Wann Schrems II nicht greift

  • Bei lokaler KI auf eigener Hardware
  • Bei EU-Anbietern wie Mistral AI, Aleph Alpha, n8n self-hosted
  • Wenn nur anonymisierte Daten (kein PII) verarbeitet werden
  • Bei Schweizer Anbietern wie Proton (Schweiz hat „angemessenes Datenschutzniveau" attestiert)

Was sagt die Datenschutzbehörde dazu?

Die deutschen und österreichischen Datenschutzbehörden positionieren sich vorsichtig. Bisher wenige Bußgelder gegen KMU für Schrems-II-Verstöße — aber das kann sich ändern. Insbesondere Beschwerden von Betroffenen führen regelmäßig zu Audits.

Verwandte Begriffe

DSGVO · AVV · Datenresidenz · Souveränität · Lokale KI

Praxis-Hilfe

Sie wollen KI strukturiert + DSGVO-konform in Ihrem KMU einführen? Wir setzen das mit Ihrem Team um — in 90 Tagen. Zum KMU-Leitfaden →

Häufige Fragen

Was ist Schrems II?

Schrems II ist ein Urteil des Europäischen Gerichtshofs vom 16. Juli 2020, das den Angemessenheitsbeschluss Privacy Shield für ungültig erklärte und die Übermittlung personenbezogener Daten in die USA erschwerte.

Welche Auswirkungen hat Schrems II auf US-Cloud-Dienste?

US-Cloud-Dienste wie AWS, Google Cloud oder Microsoft 365 dürfen personenbezogene Daten aus der EU nur noch dann nutzen, wenn zusätzliche Schutzmaßnahmen ergriffen werden, da US-Gesetze wie FISA 702 einen Zugriff durch US-Behörden erlauben.

Was sind die Konsequenzen für Unternehmen?

Unternehmen müssen ihre Datenübermittlungen in Drittländer überprüfen, Transfer Impact Assessments durchführen und ggf. zusätzliche vertragliche oder technische Maßnahmen (z.B. Verschlüsselung) ergreifen.

Gilt Schrems II nur für die USA?

Nein, das Urteil betrifft alle Drittländer ohne angemessenes Datenschutzniveau. Die USA stehen jedoch im Fokus, da der Privacy Shield für ungültig erklärt wurde.

Zuletzt aktualisiert: 2026-06-01 · Autor: Florian Neuhuber

× 📊 KI-Reality-Check
Wie nutzt der Mittelstand wirklich KI? 2 Min, anonym. Jetzt mitmachen →