# EuGH, Urt. v. 06.10.2015, C-362/14, Schrems (Safe Harbor)

Der EuGH erklärt das Safe-Harbor-Abkommen für unwirksam und stärkt die unabhängige Prüfungskompetenz der nationalen Aufsichtsbehörden. Auftakt der Kette von US-Angemessenheitsentscheidungen und Grundlage der Anforderungen an Datenübermittlungen in die USA.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/rechtsprechung/1.4.51-eugh-schrems-i
> Sprache: en



Der EuGH (Große Kammer) hat in der Sache Maximillian Schrems gegen Data Protection Commissioner die Safe-Harbor-Entscheidung der Kommission für ungültig erklärt. Die Entscheidung erging noch zur früheren Datenschutz-Richtlinie 95/46/EG; ihre Maßstäbe prägen die Anforderungen an Drittlandsübermittlungen unter der DSGVO fort und bilden den Auftakt zu den späteren US-Angemessenheitsentscheidungen Privacy Shield und Data Privacy Framework.

## 1. Sachverhalt [#1-sachverhalt]

Maximillian Schrems beschwerte sich bei der irischen Aufsichtsbehörde gegen die Übermittlung seiner bei Facebook Ireland erhobenen Daten an die US-Muttergesellschaft. Er machte unter Hinweis auf die Snowden-Enthüllungen geltend, das US-Recht biete keinen wirksamen Schutz vor dem Zugriff der Sicherheitsbehörden. Die Behörde wies die Beschwerde unter Verweis auf die Safe-Harbor-Entscheidung der Kommission (Entscheidung 2000/520) zurück, mit der die USA als sicheres Drittland eingestuft worden waren. Der angerufene irische High Court legte dem EuGH Fragen zur Reichweite der Befugnisse der nationalen Aufsichtsbehörden und zur Gültigkeit der Safe-Harbor-Entscheidung vor.

## 2. Entscheidung [#2-entscheidung]

### 2.1 Unabhängige Prüfungskompetenz der Aufsichtsbehörden [#21-unabhängige-prüfungskompetenz-der-aufsichtsbehörden]

Der Gerichtshof hat klargestellt, dass eine Angemessenheitsentscheidung der Kommission die nationalen Aufsichtsbehörden nicht daran hindert, eine Beschwerde unabhängig zu prüfen. Hält eine Behörde die Übermittlung für unvereinbar mit dem Schutz der Daten, muss sie den Rechtsweg beschreiten können, damit die Gültigkeit der Kommissionsentscheidung gerichtlich, letztlich durch den EuGH, überprüft werden kann.

### 2.2 Safe-Harbor-Entscheidung ungültig [#22-safe-harbor-entscheidung-ungültig]

Der Gerichtshof hat die Safe-Harbor-Entscheidung für ungültig erklärt. Die Kommission hatte sich auf eine Prüfung der Safe-Harbor-Grundsätze beschränkt, ohne im Rahmen einer Gesamtschau den Schutz der Daten gegen Zugriffe staatlicher Stellen und die Wirksamkeit des Rechtsschutzes zu prüfen. Das Programm sah seine Grundsätze gegenüber nationalen Sicherheitsbedürfnissen, dem öffentlichen Interesse und dem US-Recht ausdrücklich als nachrangig an. Ein verdachtsloser, massenhafter Zugriff auf den Inhalt elektronischer Kommunikation verletzt den Wesensgehalt des Grundrechts auf Achtung des Privatlebens; das Fehlen eines Rechtsbehelfs verletzt den Wesensgehalt des Rechts auf wirksamen gerichtlichen Rechtsschutz.

## 3. Bedeutung für die Praxis [#3-bedeutung-für-die-praxis]

* Eine Angemessenheitsentscheidung verlangt einen im Wesentlichen gleichwertigen Schutz, der auch den Zugriff staatlicher Stellen und den Rechtsschutz einbezieht.
* Aus dem Urteil folgt die Pflicht der Kommission, Angemessenheitsentscheidungen fortlaufend zu überprüfen.
* Das Urteil ist der Beginn einer Kette von US-Regelungen: Auf Safe Harbor folgten der Privacy Shield (2020 für ungültig erklärt) und das EU-US Data Privacy Framework (2023).

<Cards>
  <Card title="EU-US Data Privacy Framework" href="/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.3-data-privacy-framework" description="Aktueller Angemessenheitsbeschluss für zertifizierte US-Empfänger und die Geschichte der US-Regelungen." />

  <Card title="EuGH, Schrems II (C-311/18)" href="/docs/dsgvo-hub/rechtsprechung/1.4.50-eugh-schrems-ii" description="Unwirksamkeit des Privacy Shield und Grundlage der Pflicht zum Transfer Impact Assessment." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.