Am Anfang war Schrems II
Das Schrems II-Urteil des EuGH im Juli 2020 ließ viele Verantwortliche und Auftragsverarbeiter ratlos zurück. Denn mit dem Urteil kippte der EuGH das EU-US Privacy Shield und dieses konnte nicht mehr als Rechtsgrundlage für Datenübermittlungen in unsichere Drittstaaten herangezogen werden. Als unsichere Drittländer im Sinne der DSGVO gelten Staaten, für welche die EU-Kommission nicht mittels Beschlusses i. S. d. Art. 45 DSGVO festgestellt hat, dass diese ein angemessenes Schutzniveau bieten. Nach Kapitel V der DSGVO bestehen zwar grundsätzlich andere Rechtsgrundlagen, auf die ein Datenexport in unsichere Drittländer gestützt werden kann, so z. B. die Standardvertragsklauseln i. S. d. Art. 46 Abs. 2 lit. c DSGVO. Jedoch hat der EuGH auch für diese Optionen betont. Es muss ein angemessenes Datenschutzniveau bestehen und ggf. müssen Verantwortliche dieses über zusätzliche Maßnahmen sicherstellen.
Die Frage ist nur: Was können das für zusätzliche Maßnahmen sein?