Der Europäische Gerichtshof (EuGH) hat in der Rechtssache Schrems II darüber entscheiden, ob die EU-US Privacy Shield-Regelung für die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union gültig ist. Ist sie nicht.
Im Urteil in der Rechtssache C-311/18 klärte der Gerichtshof den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.
Im Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland erklärte der Gerichtshof den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig.
Das wirft viele Fragen auf, weist aber auch einen Weg, denn die von vielen Unternehmen genutzten Standardvertragsklauseln sollen ja weiter genutzt werden dürfen. Nach Informationen des Centrums für Europäische Politik hatten während des Verfahrens praktisch alle Beteiligten – als da wären Facebook und Max Schrems, die EU-Kommission, die USA in Form von vier Anwälten sowie die EU-Mitgliedstaaten – an die Richter appellierten, die Standardvertragsklauseln weiter bestehen zu lassen.
Diese stellen den Datenschutz sicher – ganz wie ursprünglich auch geplant: „Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet (...)“, heißt es gleich zu Anfang im Beschluss der Kommission vom 5. Februar 2010 zu den Standardvertragsklauseln für die Übermittlung personenbezogener Daten.
Seit vielen Jahren leisten sie gute Dienste, so auch der Bitkom: „Der internationale Datenaustausch ist essenziell für die Wirtschaft. Wenn Unternehmen personenbezogene Daten außerhalb der EU verarbeiten lassen, greifen die allermeisten auf Standardvertragsklauseln zurück“, berichtete Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung Recht und Sicherheit. Sollten diese Klauseln nicht mehr rechtens sein, stünden viele Unternehmen vor einem Daten-Chaos. „Nicht nur der Zusammenarbeit mit ausländischen Unternehmen drohen massive Einschränkungen. Selbst der Datenaustausch zwischen einer Firmenzentrale innerhalb der EU und dem Tochterunternehmen im Ausland wäre dann in Gefahr, wenn Unternehmen nicht schnell genug auf die binding corporate rules umstellen.“
So kam es zum EuGH-Urteil in Sachen Privacy Shield
Zum Hintergrund: Das „Privacy Shield“-Verfahren hat 2016 das sogenannte „Safe Harbor“-Abkommen abgelöst und sorgt dafür, dass der Datentransfer zwischen der EU und dem Rest der Welt rechtssicher abgewickelt wird. Genau das bezweifelt aber die irische Datenschutzbehörde, die im aktuellen Fall als Kläger auftrat. Sie war vor das irische High Court gezogen, der hatte die Klage im Oktober 2017 an den Europäischen Gerichtshof weiterverwiesen. Die irischen Richter äußerten Zweifel daran, dass das Grundrecht auf gerichtlichen Rechtsschutz für europäische Bürger in den USA gewahrt ist.
Nun also lag das Verfahren beim EuGH. Der österreichische Jurist Max Schrems hatte das Verfahren 2011 als Student ins Rollen gebracht, als er in Irland, dem Rechtssitz von Facebook, gegen den Transfer seiner Nutzerdaten durch Facebook in die USA klagte. Das bezeichnet der EuGH als Fall „Schrems I“. Der Weiterdreh und die aktuelle Frage, ob die USA europäischen Bürgern Rechtsschutz zusichern können, wird vom Gericht als „Schrems II“ tituliert.
Schrems Anwalt Eoin McCullough argumentierte vor dem EuGH, dass die US-Behörden den Datenschutz mit den Gesetzen zur nationalen Sicherheit umgehen würden. Wie nicht zuletzt durch den Fall Snowden bekannt sei, zapften die Vereinigten Staaten das Untersee-IP-Kabel an, um staatsgefährdende oder terroristische Aktionen aus den Konversationen herauszufiltern. Insbesondere der Rechtsvertreter der irischen Datenschutzbehörde wertete dies als klaren Beweis dafür, dass es in den USA keinen echten Datenschutz gebe.
Die Anwältin der US-Regierung Eileen Barrington hielt dagegen, dass es sich bei dem – ihrer Worte nach mutmaßlichen – Anzapfen des Unterseekabels um keine „zielgerichtete“ Datenerhebung handle, vielmehr werde nach bestimmten Schlüsselbegriffen gefahndet und die Konversation gegebenenfalls näher untersucht. Man erhöhe so nicht nur die Sicherheit der US-Bürger, sondern auch die der Europäer. Auch der Anwalt von Facebook, Paul Gallagher, rechtfertigte das Anzapfen mit dem Schutz der Bevölkerung.
Hebelt dies aber die Rechtssicherheit der EU-Bürger aus? Laut dem Privacy-Shield-Abkommen von 2016 wacht ein Ombudsmann über die Einhaltung des Datenschutzes. Dieser ist, soweit kam man vor Gericht überein, unabhängig von den amerikanischen Geheimdiensten, untersteht aber der US-Regierung. Schrems forderte vor dem EuGH daher, „Privacy Shield“ für ungültig zu erklären und eine datenschutzrechtlich wirklich wasserdichte Regelung durchzusetzen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.