EuGH kippt Privacy-Shield: was nun?

Die DSGVO bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Das legt die EU-Kommission fest, sog. Angemessenheitsbeschluss. Liegt ein solcher nicht vor, darf eine Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht. Bislang werden die meisten Datenübermittlungen in die USA auf Durchführungsbeschluss (EU) 2016/1250, das sog. EU-US-Privacy Shield gestützt. Mit aktuellem Urteil hat der EuGH entschieden, dass das Privacy-Shield-Abkommen unwirksam ist. Eine Möglichkeit, eine datenschutzkonforme Übermittlung in Drittstaaten sicherzustellen, ist die Verwendung sog. Standarddatenschutzklauseln. Art. 49 DSGVO sieht als weitere Möglichkeit vor, dass die betroffene Person ausdrücklich in Datenübermittlung einwilligt. Problem: Die betroffene Person muss vorher umfassend über die für sie bestehenden möglichen Risiken einer solchen Datenübermittlung unterrichtet werden.