EuroComply
Sign up
Back to blog
DSGVO 9 min read

Schrems II und Einwilligungsmanagement: Was EU-Organisationen jetzt tun müssen

What you need to know: Schrems II und Einwilligungsmanagement: Was EU-Organisationen jetzt tun müssen

Das EuGH-Urteil Schrems II (C-311/18) hat das EU-US Privacy Shield für ungültig erklärt und zusätzliche Schutzmaßnahmen für Standardvertragsklauseln eingeführt. Dieser Leitfaden erläutert, was Einwilligungsverantwortliche und EU-KMU tun müssen, um DSGVO-konform für transatlantische Datenübermittlungen zu bleiben.

Source: EuroComply Editorial (2026-05-20)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Schrems II ist die informelle Bezeichnung für das EuGH-Urteil C-311/18, das am 16. Juli 2020 ergangen ist. Der Gerichtshof der Europäischen Union erklärte das EU-US Privacy Shield für ungültig und stellte strenge zusätzliche Anforderungen an Standardvertragsklauseln (SVK) für die Übermittlung personenbezogener Daten in die Vereinigten Staaten und andere Drittländer. Für EU-Organisationen, die US-amerikanische Consent-Management-Plattformen (CMPs) einsetzen, entstand durch das Urteil eine ungelöste Spannung: Die CMP kann zwar technisch die Cookie-Einwilligungsregeln einhalten und gleichzeitig personenbezogene EU-Daten an eine US-Einheit übermitteln, die dem US-Überwachungsrecht unterliegt.

Was sich durch Schrems II geändert hat

Vor Schrems II standen EU-Organisationen bei der Übermittlung personenbezogener Daten in die USA zwei Hauptmechanismen zur Verfügung: das Privacy Shield (Angemessenheitsbeschluss) und Standardvertragsklauseln (SVK). Der EuGH erklärte das Privacy Shield vollständig für ungültig, da das US-Überwachungsrecht — insbesondere Section 702 des Foreign Intelligence Surveillance Act (FISA) und Executive Order 12333 — kein dem EU-Standard im Wesentlichen gleichwertiges Schutzniveau bietet. Die SVK wurden nicht vollständig für unwirksam erklärt, doch stellte der Gerichtshof fest, dass SVK allein nicht ausreichend sind, wenn das Recht des Ziellandes deren Einhaltung verhindert. Organisationen, die SVK verwenden, müssen nun eine Transfer-Folgenabschätzung (TFA) durchführen, um zu überprüfen, ob die SVK in der Praxis tatsächlich eingehalten werden können.

Der Europäische Datenschutzausschuss (EDSA) hat anschließend die Empfehlungen 01/2020 zu ergänzenden Maßnahmen veröffentlicht, die Leitlinien dazu enthalten, welche „ergänzenden Maßnahmen" — technische, vertragliche oder organisatorische — SVK für bestimmte Übermittlungsszenarien tragfähig machen können. Für Übermittlungen in die USA hat der EDSA festgestellt, dass in den meisten Fällen keine technische ergänzende Maßnahme für Übermittlungen an Einheiten ausreicht, die FISA 702 unterliegen. Die praktische Konsequenz: Wenn Ihr CMP-Anbieter eine US-Einheit ist, die FISA 702 unterliegt, und seine Verarbeitung in den Anwendungsbereich dieser Vorschrift fällt, können SVK die Compliance-Lücke nicht schließen.

Die CLOUD-Act-Dimension

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) von 2018 verschärft das Schrems-II-Problem. Gemäß dem CLOUD Act können US-Strafverfolgungsbehörden US-amerikanische Unternehmen zwingen, Kundendaten offenzulegen, die weltweit gespeichert sind — auch auf EU-Servern. Ein US-amerikanischer CMP-Anbieter, der EU-Datenresidenz vertraglich in Ihrem Auftragsverarbeitungsvertrag (AVV) garantiert, kann dennoch durch eine US-Gerichtsanordnung zur Herausgabe von Daten gezwungen werden, unabhängig vom Speicherort. Die CLOUD Act Exposure Score-Methodik (eurocomply.app/cloud-act-scores) quantifiziert dieses Risiko für einzelne SaaS-Anbieter auf einer Skala von 0 bis 100.

Laut Eurostat-Daten zur digitalen Wirtschaft (2024) nutzen etwa 43 % der EU-Unternehmen mit 10 oder mehr Beschäftigten einen US-amerikanischen Cloud-Dienstleister für mindestens eine Kerngeschäftsfunktion. Im CMP-Bereich wird der Markt von OneTrust (USA, CLOUD Act Exposure Score 72/100), Osano (USA, Score 91/100) und Termly (USA, Score 95/100) dominiert — allesamt US-Einheiten, die dem CLOUD Act unterliegen.

Was Schrems II für das Einwilligungsmanagement erfordert

Eine Consent-Management-Plattform verarbeitet personenbezogene Daten auf zwei für Schrems II relevante Arten: (1) Sie erfasst und speichert Einwilligungsaufzeichnungen, die nach DSGVO personenbezogene Daten darstellen; (2) Sie kann Drittanbieter-Tracking-Skripte freischalten oder sperren, von denen einige selbst grenzüberschreitende Datenübermittlungen beinhalten. Schrems-II-Verpflichtungen gelten für beide Szenarien.

Für die CMP selbst müssen Organisationen:

  1. Prüfen, ob der CMP-Anbieter dem US-Überwachungsrecht (FISA 702, EO 12333 oder CLOUD Act) unterliegt.
  2. Falls ja, eine Transfer-Folgenabschätzung gemäß den EDSA-Empfehlungen 01/2020 durchführen.
  3. Die TFA im Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO dokumentieren.
  4. Prüfen, ob ergänzende Maßnahmen — Verschlüsselung, Pseudonymisierung, Datensparsamkeit — die Übermittlung tragfähig machen. Für die meisten US-CMP-Anbieter ist der Standpunkt des EDSA, dass technische Maßnahmen unzureichend sind, wenn der Anbieter Klartextzugang benötigt.
  5. Falls die Übermittlung nicht DSGVO-konform gestaltet werden kann, den Wechsel zu einer EU-souveränen CMP in Betracht ziehen.

Für von der CMP gesteuerte Drittanbieter-Skripte gilt dieselbe Analyse für jedes Skript, das personenbezogene Daten außerhalb der EU übermittelt. Eine Einwilligung heilt keinen Schrems-II-Verstoß: Art. 49 Abs. 1 lit. a DSGVO erlaubt die Übermittlung auf Basis einer ausdrücklichen Einwilligung, jedoch nur, wenn die Übermittlung nicht systematisch oder in großem Umfang erfolgt — der EDSA hat durchgängig festgestellt, dass eine CMP-basierte Cookie-Einwilligung nicht als Art.-49-Ausnahmeregelung für routinemäßige kommerzielle Übermittlungen gilt.

EU-souveräne CMP-Optionen

Drei CMPs mit ausschließlichem EU-Sitz vermeiden das CLOUD-Act-Problem:

| Anbieter | Hauptsitz | CLOUD Act Exposure | Ab | |----------|-----------|--------------------|----| | Cookiebot (Usercentrics GmbH) | München, Deutschland | Souverän (Score: 18) | 9 €/Monat | | Usercentrics | München, Deutschland | Souverän (Score: 18) | 60 €/Monat | | Iubenda (Team.blue-Gruppe) | Bologna, Italien | Souverän (Score: 22) | 27,99 €/Jahr |

Weder Cookiebot noch Usercentrics decken KI-Verordnung-, NIS2- oder DORA-Verpflichtungen ab. Wenn Ihre Organisation EU-KI-Produktverpflichtungen hat oder in den NIS2-Anwendungsbereich fällt, benötigen Sie zusätzlich eine umfassendere Compliance-Plattform. EuroComply deckt sowohl einwilligungsnahe als auch KI-Verordnung-Verpflichtungen ab und ist als EU-Unternehmen (Portugal) mit ausschließlich europäischer Infrastruktur aufgestellt.

Transfer-Folgenabschätzungen: Praktische Checkliste

Gemäß den EDSA-Empfehlungen 01/2020 muss eine TFA für einen US-amerikanischen CMP-Anbieter folgende Schritte umfassen:

  1. Schritt 1 — Übermittlung kartieren: Bestimmen, welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage an den Anbieter fließen.
  2. Schritt 2 — Übermittlungsinstrument bestimmen: In der Praxis SVK auf Basis der EU-Standardvertragsklauseln der Kommission von 2021 (Beschluss 2021/914).
  3. Schritt 3 — Recht des Ziellandes prüfen: Feststellen, ob US-Recht (FISA 702, CLOUD Act) die SVK beeinträchtigt. Bei den meisten US-SaaS-Anbietern ist dies der Fall.
  4. Schritt 4 — Ergänzende Maßnahmen bewerten: Technisch (Verschlüsselung, wenn der Anbieter keinen Zugang zu Schlüsseln hat), vertraglich (Warrant Canary, Benachrichtigungspflichten), organisatorisch (Datensparsamkeit). Der EDSA hat technische Maßnahmen bei FISA-702-Übermittlungen für unzureichend befunden, wenn der Anbieter Klartextzugang benötigt.
  5. Schritt 5 — Dokumentieren oder wechseln: Das TFA-Ergebnis im VVT dokumentieren. Falls keine tragfähigen ergänzenden Maßnahmen existieren, ist der rechtmäßige Weg die Nutzung einer EU-souveränen Alternative.

Der DSGVO-Bußgeldrechner kann Ihre maximale Haftung bei einem Art.-46-Übermittlungsverstoß modellieren: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Häufig gestellte Fragen

Was bedeutet Schrems II für das Einwilligungsmanagement?

Schrems II (EuGH C-311/18, Juli 2020) bedeutet, dass EU-Organisationen personenbezogene Daten — einschließlich Einwilligungsaufzeichnungen — nicht rechtmäßig allein auf Basis von Standardvertragsklauseln an US-amerikanische Anbieter übermitteln können, es sei denn, eine Transfer-Folgenabschätzung bestätigt, dass US-Recht die Einhaltung dieser Klauseln nicht verhindert. Für die meisten US-CMP-Anbieter, die FISA 702 oder dem CLOUD Act unterliegen, ist keine technische ergänzende Maßnahme ausreichend. Organisationen sollten entweder eine Transfer-Folgenabschätzung durchführen und dokumentieren oder zu einer EU-souveränen CMP wechseln.

Ist Cookiebot Schrems-II-konform?

Ja. Cookiebot wird von der Usercentrics GmbH, einer deutschen Gesellschaft mit Sitz in München, betrieben und unterliegt weder dem US-CLOUD-Act noch FISA 702. Es hat einen CLOUD Act Exposure Score von 18/100 (Sovereign-Tier). Einwilligungsdaten werden innerhalb der EU verarbeitet. Cookiebot ist eine der wenigen CMPs, bei der für die Kernfunktion des Einwilligungsmanagements keine Standardvertragsklauseln erforderlich sind, da für die Einwilligungsaufzeichnung selbst keine Übermittlung in Drittländer erfolgt.

Ist OneTrust Schrems-II-konform?

OneTrust hat seinen Hauptsitz in den USA und einen CLOUD Act Exposure Score von 72/100 (US-Dominant). Es bietet EU-Datenresidenz in Enterprise-Plänen an, doch EU-Datenresidenz beseitigt die CLOUD-Act-Exposition nicht — US-Strafverfolgungsbehörden können die Offenlegung unabhängig vom Speicherort erzwingen. EU-Organisationen, die OneTrust nutzen, sollten eine Transfer-Folgenabschätzung durchführen und dokumentieren, ob die Übermittlung gemäß Art. 46 DSGVO DSGVO-konform gestaltet werden kann. Kommt die TFA zu dem Ergebnis, dass keine ergänzende Maßnahme ausreichend ist, ist der DSGVO-konforme Weg die Nutzung einer EU-souveränen Alternative.

Was ist eine Transfer-Folgenabschätzung (TFA) im Rahmen von Schrems II?

Eine Transfer-Folgenabschätzung ist eine dokumentierte Analyse, die ein EU-Datenexporteur vor der Nutzung von Standardvertragsklauseln für Übermittlungen in Drittländer abschließen muss. Sie bewertet, ob das Recht des Ziellandes es dem Datenimporteur ermöglicht, die SVK in der Praxis einzuhalten — insbesondere, ob Überwachungsgesetze oder Befugnisse für den Zugang durch Strafverfolgungsbehörden die vertraglichen Schutzmaßnahmen außer Kraft setzen. Die EDSA-Empfehlungen 01/2020 sehen einen sechsstufigen Prozess für die Durchführung einer TFA vor. Eine TFA muss dokumentiert und als Teil des VVT aufbewahrt werden.


Häufig gestellte Fragen

Ist Schrems II im Jahr 2026 noch relevant?

Ja. Das Schrems-II-Urteil (C-311/18) bleibt das maßgebliche EuGH-Urteil zu EU-US-Datenübermittlungen. Das EU-US Data Privacy Framework (DPF), das im Juli 2023 verabschiedet wurde, bietet einen neuen Angemessenheitsmechanismus — Interessenvertreter einschließlich NOYB haben jedoch seine Gültigkeit vor dem EuGH angefochten. Bis zu einem abschließenden Urteil unterliegen Organisationen, die US-amerikanische CMPs verwenden, die FISA 702 unterliegen, einer verbleibenden rechtlichen Unsicherheit. Der rechtlich sicherste Ansatz bleibt die Nutzung eines EU-ansässigen Anbieters ohne US-Muttergesellschaft.

Was bedeutet „Schrems-II-konformes Einwilligungsmanagement"?

Schrems-II-konformes Einwilligungsmanagement bedeutet, dass Ihr CMP-Anbieter nicht dem US-Überwachungsrecht unterliegt. Dies erfordert: (1) Der CMP-Anbieter ist in der EU eingetragen ohne US-Muttergesellschaft; (2) Einwilligungsdaten werden in EU-Rechenzentren gespeichert, ohne dass US-Auftragsverarbeiter personenbezogene Daten im Klartext verarbeiten; (3) Der Anbieter kann nicht durch eine US-Gerichtsanordnung zur Offenlegung von EU-Kundendaten gemäß dem CLOUD Act gezwungen werden. Cookiebot (Usercentrics GmbH, München), Usercentrics (München) und iubenda (Bologna, Italien) erfüllen diese Kriterien. OneTrust (USA), Osano (USA) und Termly (USA) tun dies nicht.

Welche EU-Consent-Management-Plattformen sind Schrems-II-konform?

Drei weit verbreitete EU-CMPs vermeiden CLOUD-Act-Exposition: Cookiebot von Usercentrics GmbH (München, Deutschland) ab 9 €/Monat; Usercentrics (München, Deutschland) ab 60 €/Monat; und iubenda (Bologna, Italien, Team.blue-Gruppe) ab 27,99 €/Jahr. Alle drei werden von EU-eingetragenen Unternehmen betrieben, die weder US-FISA 702 noch dem CLOUD Act unterliegen. Für umfassendere Compliance-Anforderungen im Bereich KI-Verordnung, NIS2 und DORA ist EuroComply ein portugiesisches EU-Unternehmen mit ausschließlich europäischer Infrastruktur (Frankfurt + Mistral AI Paris), das einwilligungsnahe und Multi-Regulierungs-Compliance ab 49 €/Monat abdeckt.

Welche Auswirkungen hat das Schrems-II-Urteil auf EU-Unternehmen, die US-SaaS nutzen?

Das Schrems-II-Urteil (C-311/18) verpflichtet EU-Organisationen, vor der Übermittlung personenbezogener Daten an US-Anbieter Transfer-Folgenabschätzungen (TFA) durchzuführen und zu überprüfen, ob Standardvertragsklauseln in der Praxis tatsächlich eingehalten werden können. Für die meisten US-Einheiten, die FISA 702 unterliegen, ist der Standpunkt des EDSA (Empfehlungen 01/2020), dass keine technische ergänzende Maßnahme SVK für dem US-Geheimdienstüberwachungsrecht unterliegende Übermittlungen vollständig tragfähig macht. Das bedeutet, dass EU-Organisationen bei der Nutzung US-amerikanischer SaaS-Anbieter — einschließlich US-CMPs — einer anhaltenden Compliance-Lücke gegenüberstehen, es sei denn, sie wechseln zu EU-souveränen Alternativen oder akzeptieren ein verbleibendes rechtliches Risiko mit dokumentierter Risikominderung.


Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: Schrems II und Einwilligungsmanagement: Was EU-Organisationen jetzt tun müssen

This article covers: Was sich durch Schrems II geändert hat, Die CLOUD-Act-Dimension, Was Schrems II für das Einwilligungsmanagement erfordert.

  • Was sich durch Schrems II geändert hat
  • Die CLOUD-Act-Dimension
  • Was Schrems II für das Einwilligungsmanagement erfordert
  • EU-souveräne CMP-Optionen
  • Transfer-Folgenabschätzungen: Praktische Checkliste
Source: EuroComply Editorial (2026-05-20)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.