Datenschutz HubRechtsprechung

EuGH, Urt. v. 16.07.2020, C-311/18, Schrems II

Der EuGH erklärt den EU-US Privacy Shield für ungültig und bestätigt die Standardvertragsklauseln nur unter der Bedingung, dass der Datenexporteur zusätzlich prüft, ob im Drittland ein gleichwertiges Schutzniveau gewahrt wird. Grundlage der Pflicht zum Transfer Impact Assessment.

View as Markdown

Der EuGH (Große Kammer) hat in der Sache Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems über die Anforderungen an Datenübermittlungen in unsichere Drittländer entschieden. Die Entscheidung erklärt den EU-US Privacy Shield für ungültig und stellt klar, dass die Standardvertragsklauseln allein kein angemessenes Schutzniveau garantieren. Sie ist die Grundlage der Pflicht zum Transfer Impact Assessment.

1. Sachverhalt

Maximillian Schrems wandte sich gegen die Übermittlung seiner bei Facebook Ireland erhobenen Daten an die US-Muttergesellschaft. Er machte geltend, das US-Recht biete keinen ausreichenden Schutz vor dem Zugriff staatlicher Stellen. Die irische Aufsichtsbehörde rief daraufhin den High Court an, der dem EuGH Fragen zur Gültigkeit der Standardvertragsklauseln und des Privacy Shield vorlegte. Im Zentrum standen die Zugriffsbefugnisse der US-Nachrichtendienste, insbesondere nach Section 702 des Foreign Intelligence Surveillance Act (FISA 702).

2. Entscheidung

2.1 Privacy Shield ungültig

Der Gerichtshof hat den Angemessenheitsbeschluss zum EU-US Privacy Shield für ungültig erklärt. Die Zugriffsmöglichkeiten der US-Nachrichtendienste seien nicht auf das notwendige und verhältnismäßige Maß beschränkt, und den Betroffenen fehle ein wirksamer Rechtsschutz. Damit entfiel diese Grundlage für Datenübermittlungen in die USA.

2.2 Standardvertragsklauseln nur mit Zusatzprüfung

Die Standardvertragsklauseln hat der Gerichtshof grundsätzlich für gültig gehalten. Weil sie als Vertrag zwischen den Parteien staatliche Stellen im Drittland aber nicht binden können, genügt ihr bloßer Abschluss nicht. Der Datenexporteur muss vor der Übermittlung prüfen, ob im Bestimmungsland ein der EU gleichwertiges Schutzniveau tatsächlich gewahrt wird. Stehen das Recht oder die Praxis im Zielland dem entgegen, sind zusätzliche Schutzmaßnahmen erforderlich; andernfalls ist die Übermittlung auszusetzen.

3. Bedeutung für die Praxis

Aus dem Urteil folgt die Pflicht, neben dem Abschluss der Standardvertragsklauseln stets ein Transfer Impact Assessment durchzuführen:

  • Der Abschluss der Standardvertragsklauseln allein reicht nicht aus.
  • Der Datenexporteur muss das Schutzniveau im Drittland im Einzelfall bewerten, mit besonderem Blick auf Zugriffsrechte staatlicher Stellen.
  • Für die USA ist FISA 702 als problematische Rechtsvorschrift einzuordnen.
  • Verbleibt trotz ergänzender Schutzmaßnahmen ein zu hohes Risiko, darf nicht übermittelt werden.

Standardvertragsklauseln und Transfer Impact Assessment

Umsetzung der Schrems-II-Vorgaben: die vier Module und das dreistufige Transfer Impact Assessment.

Drittlandsübermittlung (Datenexport)

Prüfschema und Instrumente für Übermittlungen in unsichere Drittländer.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

EuGH, Urt. v. 05.06.2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein

Der Betreiber einer Facebook-Fanpage ist mit dem Netzwerk gemeinsam für die Verarbeitung der Besucherdaten verantwortlich. Leitentscheidung zur weiten Auslegung der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.

EuGH, Urt. v. 06.10.2015, C-362/14, Schrems (Safe Harbor)

Der EuGH erklärt das Safe-Harbor-Abkommen für unwirksam und stärkt die unabhängige Prüfungskompetenz der nationalen Aufsichtsbehörden. Auftakt der Kette von US-Angemessenheitsentscheidungen und Grundlage der Anforderungen an Datenübermittlungen in die USA.

On this page

1. Sachverhalt2. Entscheidung2.1 Privacy Shield ungültig2.2 Standardvertragsklauseln nur mit Zusatzprüfung3. Bedeutung für die Praxis