Der Datenschutzaktivist erreichte weltweite Bekanntheit, weil er vor den Europäischen Gerichtshof gegen Facebook (heute: Meta) zog. Obwohl Max Schrems und seine Mitstreiter den Prozess gewannen, beendet Max Schrems seine Mission in Sachen Datenschutz hiermit nicht. Was treibt den Juristen heute um? Und worüber sprach er auf der MCTTP in München?
Max Schrems erläutert auf der MCTTP das Wirrwarr rund um FISA, transatlantischer Datenaustausch und Datenschutz.
(Bild: Paula Breukel)
Der österreichische Jurist Max Schrems erreichte eine breite Bekanntheit für seine Klagen vor dem Europäischen Gerichtshof (EuGH) im Jahr 2015 und 2020 gegen Facebook Irland. Doch wie kam der Jurist dazu, sich so intensiv mit dem Datenschutz zu befassen?
In einem persönlichen Gespräch mit dieser Redaktion erzählt Max Schrems, dass er sich schon zu Schulzeiten für Technik interessierte. In der Oberstufe entdeckte er seine Leidenschaft zur Technik. Er programmierte in seiner Freizeit und nach seiner Matura in Salzburg, begann er Rechtswissenschaften in Wien zu studieren, wo er noch heute lebt. Während seiner Studienzeit beschäftigte er sich bereits vermehrt mit IT-Recht und Datenschutz. Er erkannte eine Lücke in Sachen Recht und Datenschutz und so kam ihm ein Zweifel auf: „Als Jurist fragte ich mich dann, warum hält sich keiner daran, im Vergleich zu anderen Rechtsgebieten?“ Er ärgert sich auch darüber, dass Großkonzerne „wirklich machen, was sie sollen, ohne irgendeine reale Konsequenz“ und daher „hat mich dann eigentlich als Jurist das Thema interessiert“, so schildert er seine Motivation.
„Man versteht immer nur einen Teil von der ganzen Kette“
Obwohl die Mission des Datenschutzaktivisten aus einer tiefen Überzeugung herrührt, wie im Gespräch klar wird, sieht er nicht die einzelne Person in der Verantwortung sich mit diesem hochkomplexen Thema auseinanderzusetzen. Er erläutert: „Ich glaube, die Aufklärung funktioniert gar nicht in dem Bereich, und das ist auch okay. Wir klären die Leute auch nicht über die Bauordnung auf oder über die technischen Spezifikationen von Hochgeschwindigkeitszügen“. Des Weiteren sieht er auch das Problem im Umfang der Datenschutzerklärungen, denn es handele sich um unzählige Seiten, die von einzelnen Nutzern tagtäglich bestätigt werden: „Es gibt Hochrechnungen, die besagen, dass ich ein halbes Jahr nur lesen müsste und das sind Regelungsmechanismen, die keinen Sinn ergeben“.
Das Problem liegt laut Schrems bei den Unternehmen, denn „die Unternehmen haben kein Interesse daran, das Interface angenehm zu machen“. Für Schrems ist der Sachverhalt klar: Datenschutz ist ein Grundrecht und die Umsetzung der Gesetze stellt das Grundproblem dar.
Die Entscheidungen, die vom EuGH beschlossen wurden „sind zu unserer vollkommenen Zufriedenheit“, so der Jurist. Doch „das Problem ist, dass die EU-Kommission praktisch diese Abkommen jederzeit neu erschaffen kann und Abkommen, die schon aufgehoben worden sind wieder neu erlassen“, erläutert er weiter.
Uncle Sam is Watching: FISA802 and the US Cloud – Who is watching the watchmen?
Auf der diesjährigen MCTTP (Munich Cyber Tactics, Techniques and Procedures) war Max Schrems als Keynote-Speaker geladen und die Teilnehmer der Veranstaltung warteten gespannt auf seinen Vortrag. Der Cyberrechtsanwalt und Mitgründer der MCTTP, Marc Maisch, sagt im Gespräch über Max Schrems: „Er ist der bekannteste Datenschutzjurist der ganzen Welt, der es quasi wie David gegen Goliath mit Facebook aufgenommen hat“. Dementsprechend war auch die Stimmung im Saal, als Max Schrems auf die Bühne trat: Alle wollten wissen, was der österreichische Jurist über die FISA zu berichten hat. Die FISA (Foreign Intelligence Surveillance Act) ist Schrems ein Dorn im Auge. Die Gründe hierfür sind vielfältig – von der Sammlung personenbezogener Daten von Nicht-US-Bürgern, ohne deren Zustimmung über die Frage der Definition des Begriffs „relevant“ für den Schutz der nationalen Sicherheit bis hin zur fehlenden Transparenz der US-Behörden.
Dieses Thema war auch Teil des EuGH-Urteils Schrems-II, das 2020 den transatlantischen Datentransfer für ungültig erklärte. Aufgrund der medialen Präsenz des Datenschutzaktivisten wird er auf unzähligen Veranstaltungen als Speaker eingeladen und verrät dieser Redaktion, dass er nach der Veranstaltung in München weiter nach Kalifornien auf ein Event reist.
Schrems-I-Urteil
Schrems forderte bereits 2011 Facebook dazu auf, alle über ihn gespeicherten Daten herauszugeben. Daraufhin erhielt er 1200 Seiten an gesammelten Daten, die auch bereits entfernte Informationen enthielten. Im Jahr 2015 zog Schrems gegen Facebook Irland dann vor den Europäischen Gerichtshof und erhielt Recht: Es ging dabei um das sogenannte „Safe-Harbor“-Abkommen zwischen der EU und den USA. Das Abkommen soll Schutz personenbezogener Daten europäischer Bürger gewährleistet. Er argumentierte, dass die Übertragung seiner Daten an Server in den USA aufgrund der US-Überwachungsgesetze (zum Beispiel durch die NSA) seine Datenschutzrechte verletze. Das Safe-Harbor-Abkommen erlaubte es Unternehmen, Daten zwischen der EU und den USA zu übertragen, solange sie gewisse Datenschutzstandards einhielten. Schrems zweifelte jedoch an der Angemessenheit des Schutzes.
Die Auswirkungen des Schems-I-Urteil sind bis heute spürbar: Das Urteil führte zu weitreichenden Diskussionen über Datenschutz und internationale Datenflüsse und Unternehmen müssen im Fall einer transatlantischen Datenübertragung hinterfragen, inwieweit diese zulässig ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Schrems-II-Urteil
Das Schrems-II-Urteil, das im Juli 2020 vom EuGH gefällt wurde, war eine Fortsetzung des Kampfes von Max Schrems gegen den Datentransfer zwischen der EU und den USA. Schrems klagte erneut gegen Facebook Irland. Der Einsatz von Standardvertragsklauseln (SCCs) zur Übermittlung von Daten in die USA war sein Anliegen. Er argumentierte, dass auch diese Klauseln keinen ausreichenden Schutz vor US-Überwachungsmaßnahmen böten – insbesondere nach den Enthüllungen über die Überwachungspraktiken der USA (zum Beispiel durch den PRISM-Skandal). Wieder erhielt Schrems recht.
Das Schrems-II-Urteil bewirkte, dass Unternehmen alternative Mechanismen für den Datenaustausch oder neue Schutzmaßnahmen implementieren mussten. Es verstärkte auch die Diskussion rund um digitale Souveränität in der EU und den Druck auf die Schaffung neuer, sicherer Abkommen für den transatlantischen Datentransfer.
Im persönlichen Gespräch mit dem Datenschutzaktivisten wird deutlich, dass sein Erfolg daher rührt, dass ihm der Datenschutz eine Herzensangelegenheit ist. Mit tiefer Überzeugung für sein Anliegen zog er vor den Europäischen Gerichtshof, um dafür zu kämpfen, die Grundrechte auf den Datenschutz zu verteidigen.
Was ist die MCTTP (Munich Cyber Tactics, Techniques and Procedures)?
Ins Leben gerufen wurde die MCTTP von Florian Hansemann, Florian Oelmaier und Marc Maisch. Die Veranstaltung wird von der Vogel IT-Akademie fachlich und organisatorisch unterstützt. Die zweite MCTTP Munich Cyber Tactics Techniques and Procedures fand vom 17. bis zum 19. September in der Motorworld München statt und bot fundiertes Know-how aus der Praxis, welche konkreten Auswirkungen verschärfte Cyberbedrohungen, neue Technologien und hohe Compliance-Anforderungen auf die Taktiken, Technologien und Prozesse in der Cybersecurity haben. Die aus eintägigen Intensivtrainings und einer darauffolgenden zweitägigen Cybersecurity-Konferenz bestehende MCTTP hatte neueste Angriffsmethoden, Best-Practices zur Erkennung und Abwehr der Cyberattacken sowie die Compliance im Fokus.
Aktuelles eBook
Daten DSGVO-konform speichern – und löschen
eBook „Daten DSGVO-konform speichern – und löschen“
(Bild: Storage-Insider)
Auch vier Jahre nach Beginn der Anwendung der Datenschutz-Grundverordnung (DSGVO) haben Unternehmen und Behörden Probleme damit, ihr Konzept zur Speicherung und Löschung personenbezogener Daten konform mit der DSGVO zu entwickeln und umzusetzen. Das neue eBook gibt Orientierung für die Prozesse der Aufbewahrung, Löschung und Einschränkung der Verarbeitung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/cf/84/cf84b35e27099f50cd509bec1a69bc55/0120877535v1.jpeg "Die zweite MCTTP Munich Cyber Tactics Techniques & Procedures hat neue Maßstäbe gesetzt: Vom 17. bis 19. September 2024 kamen über 140 Gäste in die Motorworld nach München – darunter 42 international renommierte Speaker aus 12 Ländern. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/84/99/8499e2221791df4c1a5d1c58d71ae508/0120875297v1.jpeg "Ready, folks? Zum zweiten Mal öffnet die Munich Cyber Tactics Techniques & Procedures (MCTTP) ihre Tore und begrüßt über 140 international anerkannte Experten, CISOs, Pen Tester, Red Teamer und Hacker!(Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/87/75/87750c57581db286788f5f298bacd425/0120875300v1.jpeg "Servus in München zur zweiten MCTTP!(Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/35/43/3543408bdd5a47de7240ad62e37b628e/0120877141v1.jpeg "Florian Oelmaier vom Programmkomittee freut sich auf die Gäste, die aus aller Welt angereist sind.(Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/12/a3/12a32a615f4cf42aea76a1d004eaa3c0/0118142176v2.jpeg "Kennt ChatGPT die Antwort auf eine Frage nächt rät es einfach und liefert so oft falschje Informationen. Laut Nyob spätestens dann bedenklich, wenn es um Informationen über Menschen geht. (Bild: Barriography - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/d2/b2d25ff4a1b310f1000d25a259e6c9b3/0104313667.jpeg "Standardvertragsklauseln sind Vertragsklauseln für den Datentransfer personenbezogener Daten in Nicht-EU-Länder, die für Neuverträge seit dem 27.9.2021 verpflichtend sind. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/e1/9a/e19a302848490e0037cd3b7d96c5df3e/0124164258v1.jpeg "Wie die digitale Unabhägigkeit in Europa erreicht werden kann, erläutert Fin Glowick. (Bild: jamesteohart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/cf/f4cf41e6589664f736feb022d54eb096/0128337429v2.jpeg "Wer einen Online-Marktplatz betreibt, auf dem personenbezogene Daten landen könnten, muss künftig die Verantwortung für die Konformität mit der DSGVO übernehmen. (Bild: Almahyra - stock.adobe.com / KI-generiert)")