Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. wertet diese Entscheidung in einer ersten Stellungnahme als Bestätigung des durch die europäische Datenschutz-Grundverordnung (DSGVO) begründeten sehr hohen Schutzniveaus für personenbezogene Daten und die Rechte sowie Freiheiten betroffener Personen. Losgelöst davon erwartet der BvD gleichzeitig massive praktische Auswirkungen durch die Entscheidung, da Transfers personenbezogener Daten zwischen den USA und der EU eine wichtige Grundlage darstellen für den globalen Handel und die unbeschränkte Nutzung von Onlinediensten, die nach wie vor im Schwerpunkt aus den USA heraus angeboten werden. Vor diesem Hintergrund sieht der BvD die Europäische Kommission im Zugzwang. Durch das Urteil sei ihr, so Dr. Christoph Bausewein, BvD-Experte für internationalen Datentransfer, erneut ein schlechtes Zeugnis hinsichtlich der angemessenen Berücksichtigung von europäischem Datenschutz in bilateralen Verträgen ausgestellt worden.
Doch nach Auffassung des BvD sind die viel diskutierten und auch vom EuGH thematisierten und als rechtmäßig befundenen Standardvertragsklauseln anpassungsbedürftig. Die Europäische Kommission ist nach der neuen Entscheidung des EuGH mehr denn je aufgefordert, neue Standardvertragsklauseln vorzulegen, die sowohl die DSGVO als auch das nationale Recht der EU-Mitgliedstaaten angemessen berücksichtigen und geeignet sind, ohne einzelvertragliche Anpassungen das Schutzniveau der DSGVO abzubilden. Des Weiteren hält es Bausewein für außerordentlich wichtig, dass neue Standardvertragsklauseln in Abkehr von der heutigen Praxis die Möglichkeit bieten, ein angemessenes Datenschutzniveau zugunsten von verbundenen Unternehmen zu etablieren.
Entsprechend der Maßgabe der Artikel-29-Datenschutzgruppe, dem durch den Europäischen Datenschutzausschuss abgelösten unabhängigen europäischen Beratungsgremien in Datenschutzfragen, können Standardvertragsklauseln von einer juristischen Person nicht für andere juristische Personen abgeschlossen werden, auch wenn diese zum gleichen Unternehmensverbund bzw. Konzern gehören. In der Konsequenz bedeutet dies aktuell in der Praxis, dass für eine zentral beschaffte Dienstleistung – in Abhängigkeit der Anzahl der angeschlossenen Konzernunternehmen – eine Vielzahl von Verträgen mit Standardvertragsklauseln geschlossen werden muss.
Insbesondere hier liegen nach wie vor die Vorzüge des EU-US „Privacy Shield“. Durch das sogenannte „Onward-Transfer-Prinzip“ hat dieses es pragmatisch ermöglicht, durch bilateralen Vertragsschluss zwischen der Muttergesellschaft und dem Dienstleister sowie durch Verträge zwischen dem Dienstleister und seinen Subdienstleistern zur internen Weitergabe der Pflichten zur Einhaltung des Datenschutzes ein angemessenes Datenschutzniveau ohne unsinnige Papierschlacht herzustellen.
Neben der Neugestaltung der Vertragsklauseln sieht der BvD-Vorstandsvorsitzende Thomas Spaeing die Europäische Kommission gemeinsam mit den europäischen Datenschutzaufsichtsbehörden in der Pflicht, durch geeignete Maßnahmen Klarheit darüber zu schaffen, welche Länder außerhalb Europas im Lichte ihrer Sicherheitsgesetze sichere Häfen für personenbezogene Daten bieten und welche Voraussetzungen erfüllt sein müssen, um den hohen Anforderung des EuGH im Zusammenhang mit der Nutzung von Standardvertragsklauseln zu entsprechen. Ein Angemessenheitsbeschluss ist aufgrund des Brexit insbesondere für Großbritannien von großer Bedeutung, aber genauso wichtig für Unternehmen, die mit britischen Unternehmen Wirtschaftsbeziehungen pflegen oder sogar im Verbund stehen.