Als Konsequenz des Schrems-II-Urteils sind (legale) Datentransfers in die USA mittlerweile nur noch eingeschränkt möglich. Die faktisch einzige Möglichkeit besteht zur Zeit in der Nutzung von Standard-Datenschutz-Klauseln (kurz: SCC für Standard-Contractual-Clauses). Doch auch diese dürfen (buchstäblich) nicht "ohne Weiteres" verwendet werden, da der EuGH im Schrems-II-Urteil klar stellt, dass es für Datentransfers in die USA, neben den SCC, zusätzlicher Garantien bedarf, die deren Einhaltung sicherstellen.

Das wirft Fragen auf

Dies führt zu zwei Fragen: einerseits hat zur Zeit niemand Ahnung was diese zusätzlichen Garantien sein sollen, andererseits stehen wir vor dem Dilemma, dass SCCs nicht verändert werden dürfen.

Hinsichtlich der ersten Frage werden wir uns noch weiter gedulden müssen bis sich die Aufsichtsbehörden hierzu konkret äußern (insbesondere die österreichische DSB ist hier noch ausständig, hat aber eine FAQ zu diesem Thema angekündigt); hinsichtlich der zweiten Frage können wir uns aber schon heute Gedanken machen:

Zunächst zum Hintergrund (denn der Teufel liegt manchmal im Detail):
Art 10 der SCC verpflichtet einen dazu, dass man diese nicht verändert. Jedoch dürfen gemäß Art 10 der SCC auch weitere Klauseln aufgenommen werden, wenn diese nicht im Widerspruch zu den SCC stehen.

"Zusätzliche Garantien" wie sie der EuGH im Schrems-II-Urteil verlangt können daher grundsätzlich auch ohne Genehmigung durch die Aufsichtsbehörde in die SCC aufgenommen werden, sofern diese Garantien eben "zusätzlich" sind und dadurch nicht die restlichen SCC unterläuft.

PRO-Tip

Auch vor anderen Änderungen wie etwa die Umformulierung zu einem multilateralen Vertrag (beispielsweise durch Einfügung mehrerer Vertragspartner etwa bei Unternehmensgruppen) braucht man sich nicht fürchten, dass es sich hierbei um "genehmigungspflichtige" Änderungen handelt.