Schrems II

Security & Compliance intermediate

Schrems II ist das EuGH-Urteil von 2020, das den EU–US Privacy Shield für ungültig erklärte und die Bedingungen für Drittlandtransfers personenbezogener Daten verschärfte.

Kurzfassung

Schrems II ist das Urteil des Gerichtshofs der Europäischen Union von 2020 (Rechtssache C-311/18). Es erklärte den EU–US Privacy Shield für ungültig und verschärfte die Voraussetzungen für die Übermittlung personenbezogener Daten in Drittländer erheblich.

Was ist Schrems II?

Das vom österreichischen Juristen Max Schrems angestrengte Verfahren prüfte, ob das US-Rechtssystem EU-Bürgern ausreichenden Schutz vor US-Überwachung bot, sobald ihre Daten den Atlantik überqueren. Der Gerichtshof verneinte dies, kippte den Privacy Shield und stellte klar: Verantwortliche, die sich auf Standardvertragsklauseln (SCCs) stützen, müssen für jeden Drittlandtransfer ein Transfer Impact Assessment durchführen und bei Defiziten zusätzliche technische oder organisatorische Maßnahmen ergreifen.

In der Praxis zwang Schrems II jede EU-Organisation, ihre Cloud- und SaaS-Lieferanten genauer zu prüfen. Wo werden die Daten verarbeitet? Wo sitzen die Administratoren? Hat der Anbieter eine Muttergesellschaft, die unter extraterritoriale Gesetze wie den US-CLOUD-Act fällt? Reaktionen reichten von Verschlüsselung mit in der EU gehaltenen Schlüsseln über den Wechsel zu EU-Anbietern bis hin zum Umzug auf self-hosted, on-premises oder souveräne Cloud-Plattformen.

Das EU–US Data Privacy Framework von 2023 hat eine rechtliche Grundlage für Transfers teilweise wiederhergestellt, doch die Argumentation hinter Schrems II prägt die Anbieterwahl weiterhin. Entscheidungen zu Identity Providern, Mesh-VPN-Management-Planes und SIEM-Datenresidenz werden typischerweise im Lichte von Schrems II getroffen.

Warum ist Schrems II relevant?

  • Lieferanten-Due-Diligence: Erzwingt explizite Bewertung grenzüberschreitender Datenflüsse
  • Treiber für Souveränität: Starkes Argument für EU- und Self-Hosted-Alternativen
  • Audit-Thema: Aufsicht und Auditoren erwarten dokumentierte Transfer Impact Assessments
  • Architekturwirkung: Beeinflusst, wo Control Planes und Schlüsselmaterial liegen

Verwandte Begriffe

  • GDPR: Datenschutzverordnung, die Schrems II auslegt
  • CLOUD Act: US-Gesetz, das in Schrems-II-Analysen als zentraler Risikofaktor gilt
  • NIS2 Directive: Jüngere EU-Regulierung, die in Lieferkettenprüfungen mit Schrems II zusammenwirkt
  • DORA: Finanzregulierung, die ebenfalls Souveränitätserwägungen treibt

Ähnliche Lösungen

Für regulierte Branchen

<b>Regulierte Branchen scheitern nicht bei Audits, weil ihnen Richtlinien fehlen. Sie scheitern, weil Compliance Fähigkeiten erfordert, nicht Zertifikate.</b> Wir arbeiten mit Organisationen, die unter kontinuierlichem regulatorischem Druck stehen, einschließlich NIS2, ISO 27001 und branchenspezifischen Anforderungen. Wir haben Teams bei mehreren Audits, Sicherheitsüberprüfungen und Compliance-Programmen unterstützt – immer mit Fokus auf operative Realität statt Theorie.

Mehr entdecken

NIS2 & ISO 27001 Vorbereitung

Compliance erfordert Kompetenz, keine Zertifikate. Unsere Trainings helfen Ihnen, genau das zu erreichen. Damit Sie bei Audits, Vorfällen oder Prüfern nie wieder ins Schwitzen kommen.

Mehr entdecken

Verwandte Begriffe

DSGVO (Datenschutz-Grundverordnung)

Die DSGVO ist die EU-Verordnung zum Schutz personenbezogener Daten von EU-Bürgern und regelt deren Erhebung, Verarbeitung und Speicherung.

Mehr entdecken

CLOUD Act

Der US-CLOUD-Act erlaubt US-Behörden, US-Technologieunternehmen zur Herausgabe von Daten zu verpflichten, unabhängig davon, wo auf der Welt die Daten gespeichert sind.

Mehr entdecken

NIS2-Richtlinie

Was ist die NIS2-Richtlinie? Die EU-Cybersicherheitsverordnung und ihre Auswirkungen erklärt.

Mehr entdecken

DORA (Digital Operational Resilience Act)

DORA ist eine EU-Verordnung, die Finanzunternehmen zur digitalen operationalen Resilienz ihrer IKT-Systeme verpflichtet.

Mehr entdecken

Wir sind für Sie da

Sie interessieren sich für unsere Trainings oder haben einfach eine Frage, die beantwortet werden muss? Sie können uns jederzeit kontaktieren! Wir werden unser Bestes tun, um alle Ihre Fragen zu beantworten.

Hier kontaktieren