Der Beitrag behandelt einen Wendepunkt des internationalen Datenschutzrechts: Der EuGH erklärte das Privacy Shield für unwirksam und verschärfte zugleich die Anforderungen an Datenübermittlungen in Drittländer. Für die heutige Einordnung bleibt deshalb vor allem relevant, wie internationale Transfers nach Art. 45 und 46 DSGVO rechtlich abgesichert und organisatorisch kontrolliert werden müssen. Den breiteren Rahmen dazu erläutert die Hauptseite zum Datenschutzrecht.
Schneller Einstieg
Worum es hier geht
- Der EuGH hat den Angemessenheitsbeschluss zum EU-US Privacy Shield am 16.07.2020 in der Rechtssache C-311/18 für ungültig erklärt.
- Standardvertragsklauseln blieben nicht pauschal unwirksam, dürfen aber nur eingesetzt werden, wenn im konkreten Drittland ein im Ergebnis gleichwertiges Schutzniveau gesichert werden kann.
- Für Unternehmen mit USA-Bezug ist der Beitrag deshalb vor allem als historische und dogmatische Einordnung wichtig, nicht als abschließende Darstellung der heutigen Transferpraxis.
- Die praktische Kernfrage lautet seit Schrems II unverändert: Reichen Transferinstrument, technische Maßnahmen und tatsächliche Zugriffslage zusammen aus, um die DSGVO-Anforderungen zu tragen?
Für wen das relevant ist
Für Unternehmen, Plattformen, SaaS-Anbieter und Verantwortliche, die personenbezogene Daten an US-Anbieter oder andere Empfänger in Drittländern übermitteln.
Was der Beitrag leistet
Er ordnet das Urteil ein, zeigt die damalige Tragweite und macht sichtbar, welche Punkte für die heutige Bewertung von Datentransfers fortgelten.
Was sich seit dem Urteil verändert hat
Das Privacy Shield ist weiterhin unwirksam. Seit dem 10.07.2023 gibt es jedoch mit dem EU-US Data Privacy Framework erneut einen Angemessenheitsbeschluss der Europäischen Kommission für zertifizierte US-Unternehmen. Für Transfers an Empfänger ohne tragfähige Zertifizierung bleiben insbesondere Standardvertragsklauseln und die dazugehörige Einzelfallprüfung maßgeblich.
Die Grundlinie aus Schrems II gilt damit fort: Ein Transferinstrument allein genügt nicht, wenn die tatsächliche Rechts- und Zugriffslage im Drittland das erforderliche Schutzniveau unterläuft. Ergänzend bleiben die modernisierten Standardvertragsklauseln aus 2021 und die Empfehlungen des Europäischen Datenschutzausschusses zu ergänzenden Maßnahmen der praktische Referenzrahmen.
Für die heutige Einordnung dieses älteren Beitrags ist deshalb wichtig: Das Urteil ist nicht überholt, sondern der Maßstab, an dem auch spätere Transfermechanismen und ihre praktische Tragfähigkeit gemessen werden.
EGUH: Privacy Shield unwirksam
Datenschutzrecht. Der Gerichtshof der Europäischen Union (EuGH) hat am 16.07.2020 (Urt. v. 16.07.2020, Az. C-311/18) einen Beschluss der Europäischen Union aufgehoben, der der Datenschutzvereinbarung „Privacy-Shield“ zwischen der EU und den USA angemessenen Datenschutz für Europäische Bürger attestierte.
Hintergrund war die Beschwerde des österreichischen Datenschutzaktivsten Max Schrems gegen Facebook Ireland bei der irischen Datenschutzbehörde, wonach die Weitergabe seiner personenbezogenen Daten an den Mutterkonzern in den USA wegen weitreichender Zugriffsbefugnisse von US-Behörden wie FBI und NSA unzulässig sei. In diesem Zusammenhang stellte sich das höchste irische Gericht die Frage, ob der „Privacy Shield“ und die sogenannten Standardvertragsklauseln dem europäischen Datenschutzniveau entsprechen, und legte diese Frage dem EuGH zur Entscheidung vor.
Der EuGH verneinte diese Frage in Bezug auf "Privacy Shield" und fügte der Argumentation hinzu, dass auch der Rechtsschutz gegen Datenschutzverletzungen in den USA unzureichend sei, wenn Betroffene rechtlich gegen das Auslesen oder die Verwendung ihrer Daten dort vorgehen wollten. So führt der EuGH ist in bestechender Deutlichkeit aus:
„Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.“
Mit Standartvertragsklauseln hingegen könne in zulässiger Weise vereinbart werden, dass das Europäische Datenschutzniveau bei der Übermittlung personenbezogener Daten ins Ausland einzuhalten ist. Hierzu führt der EuGH aus:
„Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der Verordnung 2016/679 sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 der Verordnung 2016/679 genannten Elemente.“
Allerdings stellte der EuGH auch klar, dass mit der Verwendung entsprechender Standardvertragsklauseln keine Garantie für die Rechtmäßigkeit der Datenübermittlung in das Drittland einhergehe. Vielmehr ist es hier an den Verantwortlichen sowie den Datenschutzbehörden, die Einhaltung des Europäischen Datenschutzniveaus zu überwachen. Der EuGH führt aus:
„Art. 58 Abs. 2 Buchst. f und j der Verordnung 2016/679 ist dahin auszulegen, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 dieser Verordnung sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.“
Sollte also der Verdacht aufkommen, dass der in den Standardvertragsklauseln vereinbarte Datenschutz in dem betreffenden Drittland nicht eingehalten wird, ist die zuständige Aufsichtsbehörde angehalten, die Datenweiterleitung auszusetzen oder sogar ganz zu verbieten, wenn nicht der Verantwortliche selbst dies bereits veranlasst hat.
Im Jahre 2015 hatte der EuGH bereits den Vorgänger des „Privacy Shield“, das Save-Harbor-Abkommen, gekippt. Damit ist der „Privacy Shield“ bereits das zweite Datenschutzabkommen zwischen den USA und der EU, dass vor dem Hintergrund der durch Edward Snowden bekannt gemachten Überwachungspraktiken der US-Geheimdienste scheitert. Entsprechend fielen die Reaktionen auf das Urteil aus.
"US-Internetunternehmen sind jetzt gezwungen, die ausufernde Überwachung ihrer europäischen Kunden durch die US-Behörden einzuschränken und Druck auf die dortigen Gesetzgeber zu machen", kommentierte der Netzpolitiker Jan Philipp Albrecht, der eine treibende Kraft hinter der Datenschutzgrundverordnung (DSGVO) der EU war.
Und Susanne Dehmel, Mitglied der Geschäftsleitung beim Verband Bitkom, betonte, mit dem Urteil gerate auch die bis dato gültige Praxis der so genannten Standardvertragsklauseln "ins Wanken". Für Unternehmen mit einer Datenverarbeitung in den USA entstehe durch das Urteil "massive Rechtsunsicherheit".
Was davon heute fortgilt
- US-Datentransfers bleiben kein reines Vertragsthema, sondern eine Frage von Rechtsgrundlage, tatsächlicher Zugriffslage und wirksamen Schutzmaßnahmen.
- Standardvertragsklauseln sind kein Automatismus. Sie verlangen eine belastbare Prüfung, ob der konkrete Transfer im Zielland praktisch tragfähig abgesichert werden kann.
- Angemessenheitsbeschlüsse können die Lage erleichtern, beseitigen aber nicht das Grundproblem, dass transatlantische Transfermechanismen europarechtlich belastbar bleiben müssen.
Knappe Einordnung
| Ebene | Bedeutung |
|---|---|
| Urteil vom 16.07.2020 | Privacy Shield unwirksam; SCC nur unter strengen materiellen Voraussetzungen nutzbar. |
| Transferpraxis seit 2021 | Modernisierte SCC und ergänzende Maßnahmen strukturieren die operative Prüfung. |
| Lage seit 10.07.2023 | Mit dem EU-US Data Privacy Framework besteht erneut ein Angemessenheitsbeschluss für zertifizierte US-Unternehmen. |
Offizielle Quellen und Vertiefung
- EuGH, Urteil vom 16.07.2020, C-311/18
- Durchführungsbeschluss (EU) 2023/1795 zum EU-US Data Privacy Framework
- Europäische Kommission: Standard Contractual Clauses
- EDPB: Empfehlungen 01/2020 zu ergänzenden Maßnahmen bei Drittlandtransfers
- Europäische Kommission: erster Prüfbericht zum EU-US Data Privacy Framework vom 09.10.2024
Fazit
Der Beitrag bleibt als Einordnung des Schrems-II-Urteils wichtig, weil er den Kern des Problems internationaler Datentransfers sichtbar macht: Datenschutzrechtliche Zulässigkeit endet nicht bei einer formalen Vertragsklausel oder einem politischen Rahmenabkommen. Maßgeblich bleibt, ob der konkrete Transfer in seiner tatsächlichen Ausgestaltung ein im Ergebnis gleichwertiges Schutzniveau trägt.
Wer Datentransfers, US-Dienstleister, Auftragsverarbeitung und Dokumentation heute belastbar einordnen muss, findet die breitere rechtliche Ausgangsbasis auf der Seite zum Datenschutzrecht.