In seinem Urteil hielt der EuGH zunächst fest, dass die auf die DS-RL bezogenen Vorlagefragen zulässig sind. Im Unterschied zu den Fällen Google (EuGH, 24.9.2019, C-507/17) bzw. Planet49 (EuGH, 1.10.2019, C-673/17) sei das Vorabentscheidungsersuchen aber anhand der Bestimmungen der DSGVO zu beantworten, weil die irische Aufsichtsbehörde vor Aufhebung der DS-RL durch Inkrafttreten der DSGVO am 25. Mai 2018 noch keine endgültige Entscheidung getroffen hatte.
Ebenso wurde einleitend klargestellt, dass die DSGVO auf eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken in ein Drittland auch dann anzuwenden sei, wenn die Daten bei der Übermittlung oder in weiterer Folge von Behörden dieses Drittlandes für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden. Eine der eng auszulegenden Ausnahmen vom sachlichen Anwendungsbereich der DSGVO sei nicht gegeben (in Betracht gezogen wurden Art. 2 Abs. 2 lit. a, b bzw. d. DSGVO).
Der EuGH führte im Hinblick auf das verlangte Schutzniveau allgemein aus, dass bei Fehlen eines Angemessenheitsbeschlusses iSd Art. 45 Abs. 4 DSGVO personenbezogene Daten nur im Fall von „geeigneten Garantien“, „durchsetzbare[n] Rechte und wirksame[n] Rechtsbehelfen“ in ein Drittland übermittelt werden dürften, wobei die geeigneten Garantien u.a. in von der Kommission erlassenen SDK bestehen können (Rn. 91). Der Ausdruck „angemessenes Schutzniveau“, welcher in Art. 45 Abs. 1 DSGVO angeführt wird, schreibe nicht vor, dass das Schutzniveau im betreffenden Drittland „identisch“ mit dem der EU sein muss, jedoch müsse „tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet [sein], das dem in der Union […] garantierten Niveau der Sache nach gleichwertig ist“ (Rn. 94).
Die Beurteilung des gebotenen bzw. tatsächlichen Niveaus des Grundrechtsschutzes sei zum einen anhand der DSGVO vorzunehmen, welche im Lichte der Charta der Grundrechte der EU (EU-GRC) auszulegen sei, zum anderen anhand der vertraglichen Regelungen zwischen Datenexporteur und ‑importeur bzw. den maßgeblichen Elementen der Rechtsordnung dieses Drittlandes.