Datenschutz HubRechtsprechung

EuGH, Urt. v. 06.10.2015, C-362/14, Schrems (Safe Harbor)

Der EuGH erklärt das Safe-Harbor-Abkommen für unwirksam und stärkt die unabhängige Prüfungskompetenz der nationalen Aufsichtsbehörden. Auftakt der Kette von US-Angemessenheitsentscheidungen und Grundlage der Anforderungen an Datenübermittlungen in die USA.

Als Markdown ansehen

Der EuGH (Große Kammer) hat in der Sache Maximillian Schrems gegen Data Protection Commissioner die Safe-Harbor-Entscheidung der Kommission für ungültig erklärt. Die Entscheidung erging noch zur früheren Datenschutz-Richtlinie 95/46/EG; ihre Maßstäbe prägen die Anforderungen an Drittlandsübermittlungen unter der DSGVO fort und bilden den Auftakt zu den späteren US-Angemessenheitsentscheidungen Privacy Shield und Data Privacy Framework.

1. Sachverhalt

Maximillian Schrems beschwerte sich bei der irischen Aufsichtsbehörde gegen die Übermittlung seiner bei Facebook Ireland erhobenen Daten an die US-Muttergesellschaft. Er machte unter Hinweis auf die Snowden-Enthüllungen geltend, das US-Recht biete keinen wirksamen Schutz vor dem Zugriff der Sicherheitsbehörden. Die Behörde wies die Beschwerde unter Verweis auf die Safe-Harbor-Entscheidung der Kommission (Entscheidung 2000/520) zurück, mit der die USA als sicheres Drittland eingestuft worden waren. Der angerufene irische High Court legte dem EuGH Fragen zur Reichweite der Befugnisse der nationalen Aufsichtsbehörden und zur Gültigkeit der Safe-Harbor-Entscheidung vor.

2. Entscheidung

2.1 Unabhängige Prüfungskompetenz der Aufsichtsbehörden

Der Gerichtshof hat klargestellt, dass eine Angemessenheitsentscheidung der Kommission die nationalen Aufsichtsbehörden nicht daran hindert, eine Beschwerde unabhängig zu prüfen. Hält eine Behörde die Übermittlung für unvereinbar mit dem Schutz der Daten, muss sie den Rechtsweg beschreiten können, damit die Gültigkeit der Kommissionsentscheidung gerichtlich, letztlich durch den EuGH, überprüft werden kann.

2.2 Safe-Harbor-Entscheidung ungültig

Der Gerichtshof hat die Safe-Harbor-Entscheidung für ungültig erklärt. Die Kommission hatte sich auf eine Prüfung der Safe-Harbor-Grundsätze beschränkt, ohne im Rahmen einer Gesamtschau den Schutz der Daten gegen Zugriffe staatlicher Stellen und die Wirksamkeit des Rechtsschutzes zu prüfen. Das Programm sah seine Grundsätze gegenüber nationalen Sicherheitsbedürfnissen, dem öffentlichen Interesse und dem US-Recht ausdrücklich als nachrangig an. Ein verdachtsloser, massenhafter Zugriff auf den Inhalt elektronischer Kommunikation verletzt den Wesensgehalt des Grundrechts auf Achtung des Privatlebens; das Fehlen eines Rechtsbehelfs verletzt den Wesensgehalt des Rechts auf wirksamen gerichtlichen Rechtsschutz.

3. Bedeutung für die Praxis

  • Eine Angemessenheitsentscheidung verlangt einen im Wesentlichen gleichwertigen Schutz, der auch den Zugriff staatlicher Stellen und den Rechtsschutz einbezieht.
  • Aus dem Urteil folgt die Pflicht der Kommission, Angemessenheitsentscheidungen fortlaufend zu überprüfen.
  • Das Urteil ist der Beginn einer Kette von US-Regelungen: Auf Safe Harbor folgten der Privacy Shield (2020 für ungültig erklärt) und das EU-US Data Privacy Framework (2023).

EU-US Data Privacy Framework

Aktueller Angemessenheitsbeschluss für zertifizierte US-Empfänger und die Geschichte der US-Regelungen.

EuGH, Schrems II (C-311/18)

Unwirksamkeit des Privacy Shield und Grundlage der Pflicht zum Transfer Impact Assessment.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

EuGH, Urt. v. 16.07.2020, C-311/18, Schrems II

Der EuGH erklärt den EU-US Privacy Shield für ungültig und bestätigt die Standardvertragsklauseln nur unter der Bedingung, dass der Datenexporteur zusätzlich prüft, ob im Drittland ein gleichwertiges Schutzniveau gewahrt wird. Grundlage der Pflicht zum Transfer Impact Assessment.

EuGH, Urt. v. 27.02.2025, C-203/22, Dun & Bradstreet Austria

Reichweite des Auskunftsrechts über die involvierte Logik einer automatisierten Entscheidung nach Art. 15 Abs. 1 lit. h DSGVO; Erläuterung von Verfahren und Grundsätzen statt Algorithmus-Offenlegung; In-Camera-Verfahren bei Geschäftsgeheimnissen.

Auf dieser Seite

1. Sachverhalt2. Entscheidung2.1 Unabhängige Prüfungskompetenz der Aufsichtsbehörden2.2 Safe-Harbor-Entscheidung ungültig3. Bedeutung für die Praxis