Anmelden Abonnieren
Glossar

Schrems II

Florian

2 Min. Lesezeit
Teilen

Datenschutz, Recht & Compliance

Schrems II — Urteil des EuGH von 2020, das die US-Cloud-Nutzung in der EU rechtlich anspruchsvoll macht. Für jeden, der ChatGPT oder andere US-KI-Tools nutzt, der wichtigste Hintergrund.

Was Schrems II konkret bedeutet

Im Juli 2020 hat der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield-Abkommen für ungültig erklärt. Das Urteil ist nach dem österreichischen Datenschutzaktivisten Max Schrems benannt, der die Klage geführt hat. Konsequenz: der einfache Datentransfer in die USA ohne weitere Schutzmaßnahmen ist seit damals rechtswidrig.

Für KI-Nutzer 2026 bedeutet das: jede Verarbeitung von Personendaten durch ChatGPT, Claude, Gemini & Co. ist potenziell ein Schrems-II-Verstoß — es sei denn, der Anbieter hat passende Garantien.

Warum das Privacy-Shield gefallen ist

Der EuGH hat festgestellt: US-Geheimdienste (FBI, NSA) haben weitreichende Zugriffsbefugnisse auf Daten, die in den USA gespeichert sind. Die EU-Bürgerinnen und EU-Bürger haben keine effektiven Rechtsmittel dagegen. Das ist mit dem europäischen Grundrechte-Schutz nicht vereinbar.

Konkret betroffen sind US-Behördenanfragen nach FISA Section 702 und Executive Order 12333 — beide erlauben es US-Behörden, auf Daten zuzugreifen, ohne dass die Betroffenen davon erfahren oder dagegen vorgehen können.

Was hat sich seit 2020 geändert?

Im Juli 2023 ist das EU-US Data Privacy Framework in Kraft getreten — quasi „Privacy Shield 2.0". US-Unternehmen können sich zertifizieren lassen, und die EU-Kommission betrachtet zertifizierte Unternehmen als „sicher".

ABER: noyb (Schrems' NGO) und andere kritisieren das Framework als unzureichend. Eine erneute Klage liegt schon vor — Schrems III ist nur eine Frage der Zeit. Bis dahin nutzen die meisten Anbieter das Framework, aber zusätzliche Schutzmaßnahmen sind weiterhin empfohlen.

Praktische Konsequenzen für KI-Nutzer

  1. Datenresidenz beachten: OpenAI EU Data Boundary, Anthropic EU-Region, Microsoft Azure mit EU-Hosting. Diese Optionen reduzieren das Schrems-Risiko.
  2. Standardvertragsklauseln (SCC): Die meisten US-Anbieter bieten SCCs an. Diese reichen alleine nicht — zusätzliche Schutzmaßnahmen sind nötig.
  3. Verschlüsselung in der Übertragung UND in der Speicherung: Best Practice, mindert das Risiko.
  4. Transfer Impact Assessment (TIA): Eine schriftliche Risikobewertung pro US-Tool — ist seit Schrems II faktisch Pflicht.
  5. Datensparsamkeit: Was nicht übertragen wird, kann nicht abgegriffen werden. Lokale KI ist die radikalste Lösung.

Praxisbeispiel: Steuerberater nutzt ChatGPT Team

Eine 8-Personen-Steuerkanzlei abonniert ChatGPT Team für €30/Nutzer/Monat. ChatGPT Team hat:

  • AVV-Vertrag verfügbar
  • SCC + EU-Datenresidenz
  • Opt-out vom Modell-Training (Default)
  • DPF-Zertifizierung

Trotzdem: Mandantendaten sollten NICHT in Free/Plus-Konten landen. Und auch bei Team-Konto ist ein Transfer Impact Assessment zu dokumentieren.

Wann Schrems II nicht greift

  • Bei lokaler KI auf eigener Hardware
  • Bei EU-Anbietern wie Mistral AI, Aleph Alpha, n8n self-hosted
  • Wenn nur anonymisierte Daten (kein PII) verarbeitet werden
  • Bei Schweizer Anbietern wie Proton (Schweiz hat „angemessenes Datenschutzniveau" attestiert)

Was sagt die Datenschutzbehörde dazu?

Die deutschen und österreichischen Datenschutzbehörden positionieren sich vorsichtig. Bisher wenige Bußgelder gegen KMU für Schrems-II-Verstöße — aber das kann sich ändern. Insbesondere Beschwerden von Betroffenen führen regelmäßig zu Audits.

Verwandte Begriffe

DSGVO · AVV · Datenresidenz · Souveränität · Lokale KI

Praxis-Hilfe

Sie wollen KI strukturiert + DSGVO-konform in Ihrem KMU einführen? Wir setzen das mit Ihrem Team um — in 90 Tagen. Zum KMU-Leitfaden →