Datenschutz & Souveränität
Schrems II einfach erklärt: Was das Urteil für Unternehmen bedeutet
Ein einziges EuGH-Urteil hat den Datentransfer in die USA auf den Kopf gestellt — und wirkt bis heute nach. Was Schrems II entschied, was seither gilt und warum EU-Hosting die Frage elegant umgeht.

Wenn es um Datenschutz und US-Anbieter geht, führt kein Weg an zwei Wörtern vorbei: „Schrems II“. Gemeint ist ein Urteil des Europäischen Gerichtshofs, das den transatlantischen Datenverkehr grundlegend verändert hat — benannt nach dem österreichischen Juristen Maximilian Schrems, der dagegen klagte.
Was das Gericht entschied
Am 16. Juli 2020 erklärte der EuGH in der Rechtssache C-311/18 das „Privacy Shield“ — die damalige Grundlage für Datentransfers in die USA — für ungültig. Zugleich blieben die Standardvertragsklauseln (SCC) grundsätzlich gültig. In den Worten der EuGH-Pressemitteilung:
„The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield … However, it considers that Commission Decision 2010/87 on standard contractual clauses … is valid.“
Der Grund für das Aus des Privacy Shield: Das US-Überwachungsrecht erlaubt Behördenzugriffe, die nach Auffassung des Gerichts „not limited to what is strictly necessary“ sind — kein dem EU-Recht gleichwertiges Schutzniveau, und kein wirksamer Rechtsschutz für EU-Bürger.
Der Haken an den Standardvertragsklauseln
Die SCC überlebten das Urteil — aber nicht unbeschadet. Der EuGH verlangt, dass Datenexporteur und -importeur vor jedem Transfer prüfen, ob im Zielland tatsächlich ein „im Wesentlichen gleichwertiges“ Schutzniveau besteht. Reicht es nicht, sind zusätzliche Maßnahmen nötig — oder der Transfer muss unterbleiben. Diese Prüfung ist als „Transfer Impact Assessment“ (TIA) bekannt geworden; die dazugehörige Methodik lieferte der Europäische Datenschutzausschuss mit einem Sechs-Schritte-Ansatz.
Was seit 2020 passiert ist
Die Lücke, die das Privacy Shield hinterließ, sollte ein Nachfolger schließen: Am 10. Juli 2023 nahm die EU-Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF) an. Seitdem können Daten an DPF-zertifizierte US-Unternehmen wieder auf klarer Grundlage fließen. Die Datenschutzorganisation NOYB kündigte prompt an, auch dieses Konstrukt prüfen zu lassen. Ein erster Test verlief für das DPF günstig: Am 3. September 2025 wies das Gericht der EU die erste Klage (T-553/23) ab und bestätigte — zum Zeitpunkt des Beschlusses — ein angemessenes Schutzniveau. Ein Rechtsmittel zum EuGH bleibt möglich; die Geschichte ist also nicht zu Ende erzählt.
Was das praktisch bedeutet
Für Unternehmen, die US-Dienste nutzen, folgt daraus:
Prüfen, ob der US-Anbieter DPF-zertifiziert ist — dann besteht eine Transfergrundlage.
Andernfalls SCC plus TIA — mit dem Aufwand einer Einzelfallprüfung des US-Rechts.
Den US CLOUD Act mitdenken: Er kann US-Anbieter zur Herausgabe verpflichten, auch wenn die Daten in einem EU-Rechenzentrum liegen.
Der einfachste Weg, all das zu umgehen: EU-Hosting bei einem europäischen Anbieter. Wo kein Drittlandtransfer stattfindet, greift Kapitel V der DSGVO gar nicht erst — kein TIA, kein DPF-Risiko. Genau darauf baut Kasimir.
Fazit
Schrems II hat gezeigt, dass ein EU-Serverstandort allein nicht genügt, solange ein Anbieter US-Recht unterliegt. Wer diese Unsicherheit gar nicht erst eingehen will, wählt einen europäischen Anbieter — das Thema vertieft unser Beitrag Datensouveränität im Unternehmen; den Gesamtrahmen gibt der Leitfaden zu DSGVO-konformer KI.
Quellen
DSGVO-konforme KI aus einem echten deutschen Rechenzentrum
Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.



