Wie vielerorts umfangreich berichtet, wurde die bisherige Rechtsgrundlage – das sogenannte „privacy-shield“ – vom EuGH bereits im Jahr 2020 für unmittelbar ungültig erklärt. Gründe für die Nichtigkeit waren insbesondere einige US Gesetze (u. a. Cloud Act, FISA 702) und mangelnde Rechtsbehelfe für betroffene Personen aus der EU.
Damit ein transatlantischer Datentransfer datenschutzkonform erfolgen kann, bedarf es jedoch auch nach Wegfall des „privacy-shield“ einer geeigneten Rechtsgrundlage. Diese kann in Form von geeigneten Garantien, beispielsweise durch den Abschluss von Standardvertragsklauseln in der aktuellen Version, vorliegen. Alleine der Abschluss dieser Vertragswerke reicht jedoch nicht aus. Vielmehr muss vom Verantwortlichen ergänzend eine sogenannten Datentransfer-Folgenabschätzung durchgeführt werden, in der der Rechtsrahmen im Empfängerland auf den Prüfstand gestellt wird. Zudem bedarf es der Identifizierung und Implementierung von – auf die geplante Verarbeitung bezogener – Maßnahmen vertraglicher, technischer und organisatorischer Natur.
