Mit dem Schrems II Urteil des Europäischen Gerichtshofs wurde der EU-US Privacy Shield aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von der EU-DSGVO geforderten gleichwertigen Schutzniveau führen. Unternehmen im Anwendungsbereich der DSGVO müssen daher die Rechtsgrundlagen eines Datentransfers in die USA überprüfen.
Sofern Personendaten in die USA nur gestützt auf das Privacy Shield übermittelt wurden, müssen andere Rechtsgrundlagen vereinbart werden. In der Praxis werden vielfach Standard Contractual Clauses (SCC) als Alternative in Frage kommen, sofern diese nicht schon zur Absicherung vereinbart wurden. In beiden Fällen stellt der Schrems II Entscheid aber klar, dass der Einsatz von SCC für Datentransfers in die USA und andere Länder ohne Angemessenheitsbeschluss einer Einzelfallprüfung ihrer Eignung und gegebenenfalls einer Ergänzung um zusätzliche vertragliche Garantien bedarf.
Was der Inhalt dieser Garantien sein soll, wurde weder durch den EuGH noch durch die bisherigen Stellungnahmen der europäischen Datenschutzbehörden geklärt. Angesichts der hohen Anforderungen, die der EuGH an die Gleichwertigkeit des Schutzniveaus stellt, ist eigentlich nicht ersichtlich, wie vertragliche Garantien sich für Datenexporte in die USA noch eignen sollen.
Da mit einem Nachfolgeabkommen des Privacy Shields nicht in naher Zukunft zu rechnen ist, sollten die vom EuGH geforderten Anpassungen an SCC dennoch jetzt schon vorbereitet und Datentransfers in die USA und andere Staaten ohne angemessenen Datenschutz kritisch überprüft werden.
