Datenübermittlungen in die USA bleiben ein zentraler Streitpunkt des Datenschutzrechts. Besonders deutlich wird dies bei der Nutzung sozialer Netzwerke, deren Geschäftsmodell gerade auf weltweiter Kommunikation und grenzüberschreitendem Austausch beruht. Das OLG München hat sich in einem Hinweisbeschluss vom 11.05.2026 (21 U 3882/25 e) mit der Frage befasst, ob solche Übermittlungen nach dem Wegfall des früheren Angemessenheitsbeschlusses für die USA rechtswidrig waren und ob Nutzer hieraus Schadensersatz-, Unterlassungs- oder Auskunftsansprüche ableiten können.
Der Beschluss ist vor allem deshalb bemerkenswert, weil das Gericht nicht nur Art. 46 DSGVO und Standardvertragsklauseln in den Blick nimmt, sondern ergänzend auch eine Rechtfertigung über Art. 49 Abs. 1 Satz 1 lit. b DSGVO für möglich hält.
Schadensersatz wegen Datenübermittlung in die USA?
Die klagende Partei nutzte ein soziales Netzwerk der Beklagten. Sie machte geltend, personenbezogene Daten seien seit dem Schrems-II-Urteil des EuGH, d.h. im Zeitraum ab Streitgegenstand sind ab dem 16.07.2020, unzulässig in die USA übermittelt oder dort insbesondere US-Behörden zugänglich gemacht worden. Daraus leitete sie Ansprüche auf Schadensersatz, Unterlassung, Feststellung, Auskunft sowie Ersatz vorgerichtlicher Rechtsanwaltskosten ab.
Das Landgericht Ingolstadt hatte die Klage zuvor abgewiesen. Gegen diese ablehnende Entscheidung richtete sich die Berufung der Klagepartei – voraussichtlich erfolglos.
Denn das OLG München beabsichtigt, die Berufung gemäß § 522 Abs. 2 ZPO zurückweisen zu wollen und führt in seinem Hinweisbeschluss vom 11.05.2026 zu den Gründen hierfür aus.
Fehlender Angemessenheitsbeschluss für den Zeitraum 16. Juli 2020 bis 9. Juli 2023
Für die Zeit vor dem 16. Juli 2020 statuierte der frühere Angemessenheitsbeschluss der Kommission im Sinne des nach Art. 45 DSGVO, eine Datenübermittlungen in die USA aufgrund des dieser Zeit dort bestehenden, angemessenes Schutzniveaus ohne besondere Genehmigung für zulässig. Das Schrems-II-Urteil kippte diese Einordnung.
Für den Zeitraum vom 16. Juli 2020 bis zum 9. Juli 2023 stellt das OLG daher ausdrücklich fest, dass keine Rechtfertigung nach Art. 45 DSGVO für die Beklagte greift, da ein neuer Angemessenheitsbeschluss noch nicht vorlag.
Damit war die Datenübermittlung nicht über Art. 45 DSGVO gedeckt. Das bedeutete jedoch nach Einordnung des Senats nicht automatisch, dass jedwede Übermittlung rechtswidrig war.
Standardvertragsklauseln nach Art. 46 DSGVO
Das OLG führt aus, dass die Beklagte ihre Datenübermittlungen vor dem 10. Juli 2023 wirksam auf Standardvertragsklauseln gestützt habe: zunächst auf die Standardvertragsklauseln 2010 und ab dem 31. August 2021 auf die Standardvertragsklauseln 2021.
Ergänzend stellte das Gericht auf den Vortrag der Beklagten zu zusätzlichen Schutzmaßnahmen ab. Genannt wurden insbesondere Verschlüsselung, eine Beschränkung auf notwendige Daten sowie Transparenzberichte. Da die Klagepartei dem erstinstanzlich nicht substantiiert entgegengetreten war, sah das OLG die Übermittlung über Art. 46 DSGVO nicht als rechtswidrig an.
Erforderlichkeit zur Vertragserfüllung
Zusätzlich hält das OLG eine Rechtfertigung über Art. 49 Abs. 1 Satz 1 lit. b DSGVO für möglich. Danach kann eine Drittlandübermittlung zulässig sein, wenn sie zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
Nach dem Hinweisbeschluss war diese Erforderlichkeit aufgrund des konkreten Vortrags zu bejahen. Das Gericht stellte darauf ab, dass soziale Netzwerke wie etwa Facebook und Instagram globale Kommunikations- und Content-Sharing-Dienste seien. EU-Nutzer und US-Nutzer könnten nur dann miteinander interagieren, wenn Inhalte und Kommunikation grenzüberschreitend ausgetauscht würden.
Außerdem berücksichtigte das OLG den Vortrag, wonach eine Trennung der Daten nach Jurisdiktionen technisch und infrastrukturell nicht möglich sei. Technische Blockaden zwischen Kontinenten seien mit der Funktionsweise der Dienste nicht vereinbar. Auf dieser Grundlage ging der Senat davon aus, dass routinemäßige Übermittlungen von EU-Nutzerdaten in die USA zur Bereitstellung des Dienstes erforderlich seien.
Zeitraum ab 10. Juli 2023: neuer Angemessenheitsbeschluss
Ab dem 10. Juli 2023 bewertet das OLG die Datenübermittlung anders. An diesem Tag trat der neue Durchführungsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework in Kraft.
Für diesen Zeitraum sieht der Senat die Übermittlung in die USA daher nach Art. 45 DSGVO als gerechtfertigt an.
Auch der geltend gemachte Unterlassungsanspruch scheiterte deshalb nach Ansicht des Gerichts daran, dass keine Wiederholungsgefahr einer rechtswidrigen Übermittlung bestand.
Auskunftsanspruch nach Art. 15 DSGVO
Der Auskunftsantrag war nach Auffassung des OLG zwar zulässig, aber unbegründet. Der Senat ging davon aus, dass der Anspruch erfüllt worden war.
Dabei hielt das Gericht auch ein Selbstbedienungstool grundsätzlich für geeignet, um Auskunft nach Art. 15 DSGVO zu erteilen. Entscheidend sei, dass der Verantwortliche erkennbar die geschuldete Auskunft erbringen wolle. Wer eine Unvollständigkeit geltend macht, muss konkret benennen, welche Informationen fehlen.
Soweit es um mögliche Datenübermittlungen an US-Behörden ging, verwies das OLG zudem auf rechtliche Grenzen der Auskunft. Wenn dem Verantwortlichen eine Mitteilung untersagt ist, kann eine weitergehende Auskunft ausscheiden.
Fazit
Der Hinweisbeschluss des OLG München verdeutlicht, dass die Rechtmäßigkeit von Datenübermittlungen in die USA stets im jeweiligen rechtlichen und zeitlichen Kontext zu beurteilen ist. Für Unternehmen ist dabei besonders interessant, dass das Gericht bei globalen sozialen Netzwerken nicht nur auf Standardvertragsklauseln abstellt, sondern auch eine Rechtfertigung über Art. 49 Abs. 1 Satz 1 lit. b DSGVO für möglich hält. Entscheidend war aus Sicht des Senats, dass die weltweite Vernetzung und Kommunikation gerade zum Kern des angebotenen Dienstes gehört.
Die Entscheidung zeigt zugleich, dass die bloße Übermittlung von Daten in ein Drittland nicht automatisch einen Datenschutzverstoß begründet. Maßgeblich sind vielmehr die konkrete Ausgestaltung des Dienstes, die eingesetzten Schutzmaßnahmen und die Frage, auf welche Rechtsgrundlage sich die Übermittlung stützen lässt. Für Unternehmen, die internationale digitale Dienste anbieten oder nutzen, unterstreicht der Beschluss die Bedeutung einer nachvollziehbaren Dokumentation ihrer Transfermechanismen und der dahinterstehenden datenschutzrechtlichen Bewertung.
NIS-2 jetzt umsetzen
KINAST Informationssicherheitsberatung für NIS-2-regulierte Einrichtungen
Ganzheitliche Beratung zu Cybersicherheit, Risikomanagement, Incident Response und regulatorischer Umsetzung.
