Logo Logo
Cookiebot

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (ePR) haben Einfluss darauf, wie Ihre Website Cookies verwenden darf und wohin auf der Welt sie personenbezogene Daten senden darf.

Scannen Sie Ihre Website kostenlos, um zu sehen, ob Sie personenbezogene Daten in nicht-adäquate Länder senden.

Schrems II and Privacy Shield ruling out of CJEU.

Veröffentlicht am 17. Juli 2020.


Können personenbezogene Daten aus der EU in die USA übermittelt und dort gespeichert werden, während gleichzeitig ein angemessenes Datenschutzniveau wie im Rahmen der DSGVO gewährleistet ist?

Dies war die zentrale Frage im Fall Schrems II vor dem EuGH.

Lesen Sie hier über das Urteil Schrems II und seine Folgen für Ihre Website.


Kurze Zusammenfassung


Schrems II, Privacy Shield und EU-US Datenfluss

Der EU-Gerichtshof (EuGH) fällte am Donnerstag, den 16. Juli 2020, ein Urteil in dem als Schrems II bekannten Fall (C-3111/18), in dem die Mechanismen für die Übermittlung personenbezogener Daten zwischen der EU und den USA mit dem Argument angefochten wurden, dass das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann.

In einer bahnbrechenden Entscheidung schlug der EuGH den "Privacy Shield" nieder, einer der meist genutzten Mechanismen, der es US-Handelsunternehmen erlaubt, personenbezogene Daten aus der EU in die USA zu übertragen und dort zu speichern.

Die Entscheidung des EuGH, den Privacy Shield für ungültig zu erklären, macht die USA zu einem nicht-adäquaten Land ohne gesonderten Zugang zu Europas personenbezogenen Datenströmen.

Als nächstes validierte der EuGH einen weiteren häufig verwendeten Mechanismus für transatlantische Datentransfers, die Standardvertragsklauseln (kurz: SVK, engl. Standard Contractual Clauses (SCC)), und erklärte, dass dieser Mechanismus es in der Praxis ermöglicht, die Einhaltung des vom EU-Recht geforderten Schutzniveaus zu gewährleisten.

Die Entscheidung verlangt jedoch von den für die Datenverarbeitung Verantwortlichen, das Datenschutzniveau im Land des Datenempfängers zu bewerten und die Übermittlung auszusetzen, wenn sie als nicht angemessen erachtet wird. Außerdem wird die starke Verpflichtung der einzelnen Datenschutzbehörden in allen EU-Mitgliedstaaten unterstrichen, die Übermittlung personenbezogener Daten auszusetzen, wenn sie diese gemäß den EU-Datenschutzvorschriften für unsicher erachten.​

Offizielle Pressemitteilung des EU-Gerichtshofs zum Schrems-II-Urteil

In Erwartung einer Reaktion der Industrie, insbesondere von Facebook, die direkt in das Schrems-II-Urteil des EU-Gerichtshofs verwickelt sind, erfahren Sie hier, wie Sie vollständige Transparenz über die Datenströme Ihrer Website erhalten können, einschließlich der Frage, wohin in der Welt personenbezogene Daten Ihrer Endnutzer gesendet werden.


Wohin sendet Ihre Website Daten?


Scannen Sie Ihre Website kostenlos mit Cookiebot

Scannen Sie Ihre Website, um den vollständigen Überblick und die Kontrolle über alle Cookies und Tracker zu erhalten, die auf Ihrer Website in Betrieb sind.

Die weltweit führende Scan-Technologie von Cookiebot ermöglicht es Ihnen, herauszufinden, welche Art von Daten Ihre Domain verarbeitet und wohin in der Welt die Daten gesendet werden.

Erhalten Sie einen kostenlosen Scan-Bericht von Cookiebot, der zeigt, in welche Länder jedes Cookie auf Ihrer Website Benutzerdaten sendet und ob die Länder von der EU als angemessenes Land betrachtet werden.

Mit Cookiebot erhalten Sie vollständige Transparenz über die Datenströme Ihrer Website und volle Kontrolle über Cookies von Drittanbietern wie Facebook und Google-Cookies aus den USA.



Cookie-Banner von Cookiebot für vollständige DSGVO-Konformität

Der Cookie-Banner von Cookiebot für vollständige DSGVO-Konformität Ihrer Website.



Die Consent Management-Plattform von Cookiebot ermöglicht eine echte Zustimmung der Endbenutzer durch einen Cookie-Banner, der alle Tracker automatisch in vier leicht verständliche Cookie-Kategorien gruppiert, die von den Endbenutzern in detaillierter Weise aktiviert und deaktiviert werden können, um eine gültige Zustimmung gemäß der DSGVO sicherzustellen.


Vollständige Transparenz

Die Scan-Technologie von Cookiebot findet alle Cookies und Tracker auf Ihrer Website und stellt genau fest, welche Arten von personenbezogenen Daten sie verarbeiten und wohin in der Welt sie Daten senden - so können Sie schnell vollständige Einsicht in den Konformitätsgrad Ihrer Domain und den Schutz der Endbenutzerdaten erhalten.


Vollständige Konformität

Die Consent Management-Plattform von Cookiebot überträgt dem Endbenutzer die volle Kontrolle und ermöglicht es ihm, eine granulare Einwilligung zu jedem spezifischen Datenverarbeitungszweck zu erteilen, wie es nach der DSGVO erforderlich ist, um den vollen Schutz personenbezogener Daten zu gewährleisten.


Vollständige Anpassbarkeit

Cookiebot ist vollständig individualisierbar und ermöglicht es Ihrer Website, ihre Nutzer über Ihre spezifischen Cookie- und Tracking-Einstellungen zu informieren, um einen ehrlichen und transparenten Dialog darüber zu ermöglichen, welche Daten Sie wie, zu welchem Zweck verarbeiten und wohin in der Welt diese gesendet werden.

Scannen Sie Ihre Website kostenlos, um zu sehen, wohin in der Welt persönliche Daten gesendet werden.

Testen Sie Cookiebot 30 Tage kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Erfahren Sie mehr im Artikel des Cookiebot-Supports über das Versenden personenbezogener Daten in nicht-adäquate Länder.

Erfahren Sie mehr zu DSGVO und Cookie-Zustimmung.

Lesen Sie mehr zu CCPA-Konformität mit Cookiebot.


Worum geht es im Fall Schrems II?


Benannt nach dem österreichischen Rechtsanwalt und Datenschutzaktivisten Max Schrems von NOYB (kurz für „none of your business“ dt. geht Dich nichts an), stellte der Fall Schrems II zwei der am häufigsten verwendeten Mechanismen für den Transfer personenbezogener Daten von der EU in die USA in Frage, nämlich die Standardvertragsklauseln (engl. Standard Contractual Clauses (SCC)) und das Privacy Shield Framework.

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) der EU schreibt vor, dass ein Land über ein angemessenes Datenschutzniveau verfügen muss, bevor Daten aus der EU an dieses Land übermittelt werden können. Angemessenheitsentscheidungen (engl. Adequacy Decisions) der EU-Kommission entscheiden darüber, ob personenbezogene Daten legal in ein Land außerhalb der EU übermittelt werden können.

Die USA werden von der EU nicht als Land anerkannt, das über ein angemessenes Datenschutzniveau verfügt, aber mehrere Transfer-Mechanismen ermöglichen es kommerziellen Unternehmen und Organisationen in den USA, personenbezogene Daten aus der EU an die USA zu übermitteln, wo diese dann gespeichert werden.

Dazu gehören die Standardvetragsklauseln (SVK), das Privacy Shield und die Binding Corporate Rules (BCR, dt. verbindliche Unternehmensregeln).


Können die EU-Datenschutzstandards nach einem Transfer in die USA garantiert werden?

Der Fall Schrems II ging an den EuGH, nachdem Max Schrems 2015 die irische Datenschutzbehörde gebeten hatte, Facebook anzuordnen, seine Datentransfers von der EU in die USA auszusetzen.

Die Vorgehensweise von Facebook, personenbezogene Daten aus der EU über ihre Server in Irland an den Hauptsitz in den USA zu übermitteln, stützt sich auf die Standardvertragsklauseln (SVK).

Der Fall Schrems II stellte jedoch die Rechtmäßigkeit dieses Systems in Frage und argumentierte, dass ein angemessenes Datenschutzniveau in der EU von Facebook nicht gewährleistet werden kann, da die US-Gesetze (wie FISA 702 und EO 12.333) eine Massenüberwachung vorschreiben. Dies steht in scharfem Gegensatz zum EU-Recht (wie der DSGVO), das einen starken Datenschutz vorschreibt.

Schrems' Antrag, Facebook-Datentransfers aus der EU in die USA zu verbieten, ging über den Irish High Court an den EuGH, der nun elf Fragen vorliegen hat, die sich alle damit befassen, ob und wie personenbezogene Daten von EU-Bürgern in den USA geschützt werden können unter Berücksichtigung der grundlegend anderen Rechtslandschaft.

Das EuGH-Urteil im Fall Schrems II vom 16. Juli 2020 hat sich zum großen Teil auf die Seite von Max Schrems geschlagen, indem es den Privacy Shield als Mechanismus für die Übermittlung personenbezogener Daten zwischen der EU und den USA für ungültig erklärte.

Ebenso hat das Urteil den für die Datenverarbeitung Verantwortlichen und den Datenschutzbehörden in jedem EU-Mitgliedstaat strenge Verpflichtungen auferlegt, einen angemessenen Schutz für die Übermittlung personenbezogener Daten bei der Verwendung von Standardvertragsklauseln (SVK) als Mechanismus zu gewährleisten.

Testen Sie kostenlos, ob Ihre Website persönliche Daten in nicht-adäquate Länder sendet.


FAQ


Was ist Schrems II?

Schrems II ist ein Fall des EU-Gerichtshofs (EuGH), der über die Mechanismen entscheidet, die den Transfer personenbezogener Daten aus der EU in die USA ermöglichen. Der EuGH hat den Privacy Shield, einen weit verbreiteten Rahmen für die Übermittlung personenbezogener Daten in die USA, abgeschafft und entschieden, dass Standardvertragsklauseln (SVK) verwendet werden können, solange der für die Datenverarbeitung Verantwortliche, der Datenempfänger und die Datenschutzbehörde des EU-Mitgliedslandes der Meinung sind, dass die Übermittlung ein angemessenes Datenschutzniveau gewährleisten kann.

Scannen Sie kostenlos, um zu sehen, wohin Ihre Website Daten sendet.


Sendet meine Website Daten in die USA?

Wenn Ihre Website Cookies und Tracker von Social-Media-Plattformen, Analyse-Tools oder Marketing-Software von US-Firmen verwendet, ist es sehr wahrscheinlich, dass diese personenbezogene Daten von Ihren Endnutzern in die USA übertragen und speichern.

Scannen Sie Ihre Website mit Cookiebot, um vollständige Transparenz zu erhalten.


Ist meine Website DSGVO-konform?

Damit Ihre Website mit der Allgemeinen Datenschutz-Grundverordnung (DSGVO) konform ist, müssen Sie die ausdrückliche Zustimmung der Endnutzer vor jeder Erhebung, Verarbeitung oder Weitergabe ihrer personenbezogenen Daten erbitten und einholen. Wenn Sie Facebook- oder Google-Cookies auf Ihrer Website haben, dürfen diese nur aktiviert werden, nachdem Ihre Benutzer ihre Zustimmung gegeben haben.

Erfahren Sie mehr über die DSGVO und Cookie-Einwilligung.


Wie kann ich meine Website nach Cookies durchsuchen?

Die Verwendung einer Consent Management-Plattform mit weltweit führender Scanning-Technologie ermöglicht es Ihnen, Ihre Domain tiefgehend zu scannen, um alle Cookies und ähnliche Tracking-Technologien zu erkennen und zu kontrollieren. Das Mapping des Cookie-Setups Ihrer Website gibt Ihnen einen sofortigen Einblick in die Art und Weise, wie Ihre Website personenbezogene Daten verarbeitet und wohin in der Welt sie diese Daten sendet.

Testen Sie Cookiebot 30 Tage lang kostenlos... oder für immer, wenn Sie eine kleine Website haben.


Ressourcen


Offizielle Pressemitteilung des EU-Gerichtshofs (EuGH) im Fall Schrems II/Privacy Shield

Reaktion auf das Schrems II Urteil von Max Schrems bei NOYB

Erfahren Sie mehr über die DSGVO und Cookie-Zustimmung

Lesen Sie mehr über die Einhaltung der DSGVO für Ihre Website

Erfahren Sie mehr über die EDPB-Richtlinien zur gültigen Zustimmung in der EU

Süddeutsche Zeitung: Europäischer Gerichtshof kippt US-EU-Datendeal "Privacy Shield"

Netzpolitik.org: EU-Gericht zerschlägt Privacy Shield

Testen Sie Cookiebot 30 Tage kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website konform

Jetzt kostenlos testen