Schrems II für Marketing- und Compliance-Verantwortliche

Was sich seit dem EuGH-Urteil 2020 wirklich geändert hat — und warum US-Tracking-Tools für deutsche Unternehmen 2026 immer noch ein Compliance-Risiko sind.

Lesezeit: etwa 12 Minuten · Zielgruppe: Marketing-Leitung, Datenschutzbeauftragte, IT-Verantwortliche in DACH-KMU und Konzernen

Zusammenfassung in vier Sätzen

Mit dem Urteil C-311/18 vom 16. Juli 2020 hat der Europäische Gerichtshof die EU-US-Datenschutzvereinbarung Privacy Shield gekippt und Standardvertragsklauseln stark eingeschränkt. Das Nachfolgeabkommen EU-U.S. Data Privacy Framework von 2023 schließt die Lücke nur teilweise, weil zentrale Kritikpunkte des EuGH nicht aufgelöst sind: US-Behörden haben weiterhin unverhältnismäßigen Zugriff auf bei US-Anbietern verarbeitete Daten, und EU-Bürger haben weiterhin keinen vollständigen Rechtsweg. Für Marketing-Teams in Deutschland bedeutet das: jeder US-basierte Marketing-Stack-Baustein (Tracking-Pixel, Tag-Manager, Analytics, URL-Shortener, CRM, Hosting) muss aktiv auf Compliance-Risiken geprüft werden. Wer ohne Risiko-Assessment weitermacht, riskiert Aufsichtsbescheide und im Worst Case Bußgelder bis zu 4 % des weltweiten Konzernumsatzes nach Art. 83 DSGVO.

Worum es bei Schrems II eigentlich geht

Der österreichische Jurist Max Schrems hat 2013 nach den Snowden-Enthüllungen Beschwerde gegen Facebooks Datentransfers von Irland in die USA eingelegt. Sein Argument: Die NSA-Programme PRISM und Upstream geben US-Geheimdiensten faktisch unbegrenzten Zugriff auf bei US-Anbietern gespeicherte EU-Bürger-Daten. Das ist mit dem in Art. 8 EU-Grundrechtecharta verbrieften Recht auf Datenschutz nicht vereinbar.

In zwei Etappen hat der EuGH diese Argumentation aufgenommen:

Schrems I (Oktober 2015)

Das Safe-Harbor-Abkommen von 2000 wird für ungültig erklärt. Der EuGH stellt fest, dass Selbstzertifizierungen US-amerikanischer Unternehmen keinen ausreichenden Schutz gegen behördlichen Zugriff garantieren.

Schrems II (Juli 2020)

Auch das Nachfolge-Abkommen Privacy Shield wird gekippt. Standardvertragsklauseln (Standard Contractual Clauses, SCC) bleiben grundsätzlich gültig, aber Datenexporteur und -importeur müssen ab sofort selbst prüfen, ob das Drittland ein dem EU-Recht gleichwertiges Schutzniveau bietet (sogenanntes Transfer Impact Assessment, TIA). Bei den USA ist die Antwort laut EuGH: in den meisten Fällen nein.

Im Juli 2023 hat die EU-Kommission das EU-U.S. Data Privacy Framework als Adäquanzbeschluss verabschiedet. US-Unternehmen können sich erneut selbstzertifizieren und gelten damit als „angemessen". Max Schrems hat dagegen bereits Klage angekündigt; eine Entscheidung des EuGH ist im Jahr 2026 oder 2027 zu erwarten. Bis dahin gilt der Adäquanzbeschluss zwar formal, aber die Bundesbeauftragte für Datenschutz hat in Stellungnahmen 2024 darauf hingewiesen, dass die Risiken aus Schrems II strukturell nicht beseitigt sind.

Was sich für deutsche Unternehmen konkret geändert hat

Vor Schrems II konnten deutsche Unternehmen US-Tools weitgehend bedenkenlos einsetzen, solange der US-Anbieter Privacy-Shield-zertifiziert war. Seit Juli 2020 reicht das nicht mehr. Wer US-Tools einsetzt, muss aktiv dokumentieren:

• Welche personenbezogenen Daten das Tool verarbeitet,
• wohin sie übertragen werden (oft USA, manchmal weitere Drittländer),
• auf welcher Rechtsgrundlage der Transfer stattfindet (Adäquanzbeschluss, SCC, Binding Corporate Rules),
• welche zusätzlichen Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, vertragliche Vereinbarungen) ergriffen wurden,
• wie das Risiko bewertet wurde (Transfer Impact Assessment).

Die deutschen Aufsichtsbehörden, vor allem die Berliner Beauftragte für Datenschutz, der Hamburger Beauftragte und das Bayerische Landesamt, haben seit 2021 mehrfach Bescheide gegen Unternehmen erlassen, die diese Pflichten ignoriert haben. Die Bandbreite reicht von Verwarnungen über Anordnungen zur Beendigung der Datenverarbeitung bis zu Bußgeldern. Die EU-DSGVO-Bußgelddatenbank verzeichnet allein zum Stichwort „US-Datentransfer" über 200 Fälle aus den Jahren 2021 bis 2025.

Praktisch heißt das: Wenn dein Marketing-Team Google Analytics 4 in der Standardkonfiguration einsetzt, ein Meta-Pixel auf der Landingpage einbindet oder einen US-basierten URL-Shortener wie Bitly für Kampagnen nutzt, muss die Datenschutz-Funktion deines Unternehmens das individuell bewerten und dokumentieren. Mit dem Data Privacy Framework 2023 ist die Lage formal entspannter, aber rechtlich nicht abschließend geklärt.

Fünf typische Compliance-Fallstricke im Marketing-Stack

Aus der Beratungspraxis im DACH-Raum tauchen fünf Konstellationen immer wieder auf, in denen Unternehmen ohne klare Bewertung US-Tools einsetzen:

Fallstrick 1: Google Analytics 4 ohne Server-seitiges Tagging

Standard-GA4 sendet IP-Adresse, User-Agent und Geräte-IDs an Google-Server in den USA. Auch wenn IP-Anonymisierung aktiviert ist, geschieht die Anonymisierung erst nach Empfang auf US-Servern. Die österreichische Datenschutzbehörde hat 2022 erstmals den Einsatz von Google Analytics in der Standardkonfiguration als DSGVO-Verstoß qualifiziert; die französische CNIL ist dem gefolgt. Lösung: Server-seitiges Tagging über einen EU-basierten Reverse-Proxy, oder Wechsel zu Plausible, Matomo, etracker.

Fallstrick 2: Meta-Pixel zur Conversion-Optimierung

Beim Klick eines Nutzers landen IP, User-Agent, Klick-Kontext und manchmal hashed E-Mail bei Meta in den USA. Privacy Sandbox und Conversion-API verschieben das Problem nur teilweise, weil die Daten weiterhin transferiert werden. Lösung: Conversion-API über einen EU-Proxy mit reduziertem Datenumfang, oder Verzicht auf Pixel-Tracking auf Compliance-kritischen Seiten.

Fallstrick 3: US-basierte URL-Shortener wie Bitly, Rebrandly, Short.io

Beim Klick auf einen Bitly-Link wird die Klick-IP an die US-Server von Bitly übermittelt, bevor der Browser zur Ziel-URL weitergeleitet wird. Selbst wenn der User direkt auf einer DSGVO-konformen Landingpage landet, ist beim ersten Hop bereits ein Datentransfer in die USA passiert. Das ist besonders problematisch bei Print-Kampagnen, weil dort gar keine Cookie-Einwilligung möglich ist. Lösung: Wechsel zu einem EU-basierten URL-Shortener mit Server in Deutschland und vollständigem AVV nach Art. 28 DSGVO. Mehr zum DSGVO-konformen URL-Shortener.

Fallstrick 4: Marketing-Automation auf US-Hosting

Tools wie HubSpot, Salesforce oder Mailchimp verarbeiten Profil-Daten, Verhaltens-Daten, manchmal sensible Branchen-Informationen. Auch die EU-Instanzen dieser Anbieter laufen häufig im Hintergrund auf US-Infrastruktur und sind dem US-Cloud-Act unterworfen. Lösung: vor jedem Tool-Einkauf ein Transfer Impact Assessment, idealerweise mit Wahl eines EU-Anbieters wie Brevo (Frankreich), CleverReach (Deutschland) oder sevDesk (Deutschland) für die Bereiche, in denen die Branche das hergibt.

Fallstrick 5: Cookie-Consent-Manager mit US-Hosting

Ironischerweise hosten viele populäre Cookie-Banner-Anbieter ihre Consent-Daten in den USA. Damit wird genau die Einwilligungs-Information selbst zu einem unzulässigen Datentransfer. Lösung: Consent-Manager mit dokumentiertem EU-Hosting (Usercentrics, Borlabs, Cookiebot mit EU-Stack).

Wer ist besonders betroffen?

Die theoretische DSGVO-Compliance-Pflicht gilt für alle. In der Praxis sind aber drei Gruppen besonders im Visier der Aufsichtsbehörden:

• Öffentliche Stellen und Verwaltungen. Bund, Länder, Kommunen, kommunale Unternehmen und Behörden sind aufgrund ihrer Vorbildfunktion und ihrer hochsensiblen Datenbestände in Stichproben überproportional vertreten. Eine Verwaltung, die mit Bitly arbeitet, läuft Gefahr, dass der Landesbeauftragte für Datenschutz aktiv wird.
• Gesundheits- und Sozialsektor. Krankenhäuser, Reha-Zentren, Krankenkassen, Pflegedienste, Sozialträger. Hier kommen besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO hinzu. US-Datentransfers sind quasi nicht zu rechtfertigen.
• Regulierte Branchen. Banken, Versicherungen, Energieversorger, Telekommunikationsanbieter. Branchen-Aufsichtsbehörden (BaFin, BNetzA) übernehmen DSGVO-Themen oft in ihre eigenen Prüfungen.
• Bildungseinrichtungen. Universitäten, Hochschulen, Volkshochschulen, Schulträger. Hier verbindet sich die DSGVO-Pflicht mit Landesdatenschutzgesetzen und schulrechtlichen Bestimmungen.

Für KMU im B2B-Bereich gilt: Die Aufsichtsbehörden gehen risikobasiert vor. Wer schwerwiegende personenbezogene Daten verarbeitet (Bewerbungen, Gesundheitsdaten, Finanzdaten, Standortdaten), muss intensiver dokumentieren als ein Hersteller von Industriebauteilen, der nur Adresse und Bestellhistorie speichert.

Praktische Checkliste in fünf Schritten zur dokumentierten Compliance

Schritt 1: Inventarisierung

Erstelle eine Tabelle aller Tools, die personenbezogene Daten verarbeiten. Spalten: Tool-Name, Anbieter, Hosting-Standort, Datentypen, Datenmenge, Rechtsgrundlage. Diese Tabelle ist später Teil deines Verarbeitungsverzeichnisses nach Art. 30 DSGVO. Quellen: Browser-Devtools (welche Domains laden), TagManager-Übersicht, IT-Inventar, Marketing-Verträge.

Schritt 2: Risiko-Klassifikation

Markiere jedes Tool nach Hosting-Standort. Grüne Box: Hosting in DACH oder EU mit dokumentierter EU-Verarbeitung. Gelbe Box: Hosting in EU, aber Konzernverbund mit US-Mutter (typisch HubSpot EU, Salesforce EU). Rote Box: Hosting in USA oder anderem Drittland ohne EU-Adäquanzbeschluss.

Schritt 3: Transfer Impact Assessment

Für jedes Tool in der gelben oder roten Box: Dokumentiere konkret, welche zusätzlichen Schutzmaßnahmen ergriffen werden. Verschlüsselung in transit und at rest sollte Standard sein, reicht aber nicht. Sinnvoller sind Pseudonymisierung, IP-Hashing, EU-Reverse-Proxies, oder vertragliche Pflichten des Anbieters, US-Anordnungen aktiv anzufechten.

Schritt 4: Substitutionsplan

Wo grüne EU-Alternativen existieren, plane den Wechsel. Migration verläuft selten in einem Big Bang, sondern als Parallelbetrieb über sechs bis zwölf Monate. Priorisiere nach Risiko: Tools, die viel personenbezogene Daten verarbeiten, zuerst.

Schritt 5: AVV-Pflege

Für jeden externen Dienstleister ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Halte alle AVV in einem zentralen Vertragsmanagement, mit Erneuerungsfristen und Anbieter-Sub-Auftragsverarbeitern. Bei US-Anbietern muss zusätzlich die Rechtsgrundlage für den Drittlandtransfer dokumentiert sein.

Spezialfall URL-Shortener und QR-Codes

Ein Detail-Fokus, weil es in der Praxis besonders oft übersehen wird: URL-Shortener und QR-Codes erzeugen mit jedem Klick beziehungsweise Scan einen HTTP-Request an die Shortener-Domain, bevor der Browser zur Ziel-URL umgeleitet wird. Bei US-basierten Anbietern bedeutet das: IP, User-Agent, Klick-Zeitpunkt und Referrer landen sofort auf US-Servern, ganz unabhängig davon, wie deine Ziel-URL und deine Landingpage gestaltet sind.

Besonders problematisch sind Print-Kampagnen mit QR-Codes. Auf einem Plakat oder einer Visitenkarte kann der Nutzer vor dem Scan keine Cookie-Einwilligung geben. Sobald er scannt, wird die Klick-IP übertragen. Wer hier einen US-basierten QR-Code-Service einsetzt, hat einen kaum sauber zu rechtfertigenden Datentransfer.

Die DSGVO-konforme Lösung sieht so aus: URL-Shortener und QR-Code-Service mit Server in Deutschland, anonymisierter Klick-Erfassung (idealerweise IP nur als gesalzener SHA-256-Hash, kein Klartext) und vollständigem AVV nach Art. 28 DSGVO. Genau diese Architektur baut QR-Guru. Auch andere EU-Anbieter wie short.io (Estland) oder T2M (Großbritannien) haben EU-Optionen, allerdings mit unterschiedlichen Detailfragen zum Hosting-Standort.

Konkret für die Migration von Bitly zu einem EU-Anbieter gibt es einen ausführlichen Migrations-Guide, der den Schritt-für-Schritt-Wechsel ohne Verlust der bestehenden Kurz-Links beschreibt. Wer den Wechsel plant, findet dort die Praxis-Anleitung inklusive 301-Redirect-Strategie und Click-History-Migration.

Häufige Fragen aus der DPO-Praxis

Reicht der EU-U.S. Data Privacy Framework als Rechtsgrundlage für US-Tools?

Formal ja, weil die EU-Kommission im Juli 2023 einen Adäquanzbeschluss verabschiedet hat. Praktisch nein, weil Max Schrems bereits Klage angekündigt hat und der EuGH die Adäquanz erfahrungsgemäß restriktiv prüft. Wer auf das Privacy Framework ausschließlich vertraut, riskiert, dass eine künftige EuGH-Entscheidung Schrems III die Adäquanz rückwirkend in Frage stellt und Unternehmen plötzlich ohne Rechtsgrundlage dastehen.

Reichen Standardvertragsklauseln aus?

Sie sind notwendig, aber nicht hinreichend. Nach Schrems II müssen Datenexporteur und -importeur zusätzlich ein Transfer Impact Assessment durchführen und dokumentieren, dass das Schutzniveau im Drittland dem EU-Niveau entspricht. Bei den USA ist das aufgrund des FISA Section 702 und Executive Order 12333 in der Regel nicht der Fall.

Was kann uns konkret passieren, wenn wir nichts ändern?

Drei Eskalationsstufen. Erste Stufe: anonyme oder namentliche Beschwerde bei der Aufsichtsbehörde. Zweite Stufe: Auskunftsverlangen oder Hinweis-Bescheid der Behörde. Dritte Stufe: Anordnung zur Beendigung der Datenverarbeitung und gegebenenfalls Bußgeld nach Art. 83 DSGVO. Bußgelder können bis zu 4 % des weltweiten Konzernumsatzes betragen, in der Praxis liegt der Median deutscher Bescheide für US-Transfer-Verstöße im fünf- bis sechsstelligen Bereich.

Ist die Schweiz auch betroffen?

Ja. Die Schweiz hat ein eigenes Datenschutzgesetz (revDSG seit September 2023), das in den Kernpunkten mit der DSGVO vergleichbar ist, einschließlich der Drittland-Transfer-Anforderungen. Das Schweiz-USA-Privacy-Framework von 2024 hat ähnliche Schwächen wie das EU-Pendant.

Was ist mit AI-Tools?

OpenAI, Anthropic, Google Gemini und Microsoft Copilot in der Standardkonfiguration verarbeiten Daten in den USA. Wer Mitarbeitergespräche, Kundendaten oder Compliance-relevante Texte in diese Tools eingibt, exportiert sie in die USA. Die Aufsichtsbehörden bauen seit Mitte 2024 spezifische Prüfprozesse für AI-Tool-Einsatz auf. Für 2026 erwarten wir verschärfte Anforderungen.

Was du heute konkret tun kannst

In dreißig Minuten

• Inventarisierungs-Tabelle anlegen, alle Marketing-Tools deines Unternehmens eintragen.
• Drei Tools mit höchstem Risiko identifizieren (typischerweise Analytics, Tag-Manager, URL-Shortener).
• Für jedes der drei: AVV-Status prüfen, Hosting-Standort dokumentieren, Risiko-Box markieren.

In einer Woche

• Transfer Impact Assessment für die drei Tools verfassen, sofern noch keines existiert.
• Mit der Datenschutz-Funktion deines Unternehmens (DSB intern oder externer DSB) abstimmen.
• Wenn möglich, einen EU-Alternative-Test starten (parallel zu bestehendem Tool, 30 Tage Vergleich).

In einem Quartal

• Migrationsplan für identifizierte Hochrisiko-Tools beschließen und budgetieren.
• AVV-Management zentralisieren, Erneuerungsfristen automatisch überwachen.
• Schulungs-Briefing für Marketing-Team zum Thema Tool-Auswahl unter DSGVO-Gesichtspunkten.

Quellen und weiterführende Lektüre

• EuGH-Urteil Rs. C-311/18 (Schrems II), 16.07.2020
• EuGH-Urteil Rs. C-362/14 (Schrems I), 06.10.2015
• EU-U.S. Data Privacy Framework, Adäquanzbeschluss der Europäischen Kommission, 10.07.2023
• Berliner Beauftragte für Datenschutz: Hinweise zum internationalen Datentransfer, fortlaufend aktualisiert
• Datenschutzkonferenz (DSK): Beschlüsse zu Drittlandtransfers
• noyb.eu: Max Schrems, laufende Klage-Verfahren