Schrems II

Schrems II bezeichnet das Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020 das das EU-US Privacy Shield Abkommen für ungültig erklärte. Benannt nach dem österreichischen Datenschutzaktivisten Maximilian Schrems der das Verfahren angestrengt hatte.

Das Urteil hatte massive praktische Auswirkungen: Viele Unternehmen die US-Cloud-Dienste nutzten befanden sich plötzlich in einer rechtlichen Grauzone. Das Privacy Shield hatte bis dahin US-Anbietern erlaubt, EU-Daten einfacher zu verarbeiten.

Die Lösung kam 2023 mit dem EU-US Data Privacy Framework (DPF): Ein neues Abkommen das US-Unternehmen die Möglichkeit gibt, sich zertifizieren zu lassen und damit wieder rechtssicher EU-Daten zu verarbeiten. Große Anbieter wie Google, Microsoft, Amazon (AWS), Meta und OpenAI sind dem DPF beigetreten.

Für die Praxis: Prüfe ob der KI-Anbieter deiner Wahl dem DPF beigetreten ist (einsehbar auf dem DPF-Registrierungsportal). Alternativ bieten Standardvertragsklauseln (SCCs) eine weitere Möglichkeit für konforme Datenübermittlungen. Bei besonders sensiblen Daten empfiehlt sich weiterhin ein europäischer Anbieter.