Allerdings ist die Verwendung von Standardvertragsklauseln nach dem Schrems-II-Urteil an strengere Regeln und Bedingungen geknüpft: Unternehmen müssen zusätzliche Maßnahmen ergreifen und im Prinzip bei jeder Datenübermittlung eine Einzelfallprüfung vornehmen. Dabei müssen sie sich vergewissern, dass in dem jeweiligen Drittland tatsächlich ein angemessenes Datenschutzniveau vorliegt. Sollte dies etwa aufgrund der dort gültigen nationalen Sicherheitsgesetze nicht der Fall sein, muss ein Unternehmen die Datenübermittlung stoppen.
Des Weiteren unterliegen Standardvertragsklauseln einer Überprüfung durch europäische Aufsichts- und Datenschutzbehörden. Kann ein Datenempfänger aufgrund der Rechtslage in einem Drittland die Pflichten aus den Standardvertragsklauseln nicht einhalten, können Datenübermittlungen ausgesetzt oder gar verboten werden. Zu berücksichtigen ist bei der Prüfung des Datenschutzniveaus der gesamte Ablauf. Es muss also durchgängig garantiert sein, dass etwa nationale Sicherheits- und Ermittlungsbehörden im Empfängerland keinen Zugriff auf personenbezogene Daten haben.
In der aktuellen Situation erweist sich die Einzelfallprüfung gerade für KMUs als schwierig, da sie normalerweise nicht über das Know-how und die Mittel verfügen, um etwa ein angemessenes Datenschutzniveau in einem Drittland in allen Einzelheiten zu überprüfen. Zudem legt der EuGH in seinem Urteil nicht genau fest, welche konkreten Maßstäbe an Einzelfallprüfungen oder an mögliche Erweiterungen von Standardvertragsklauseln zu stellen sind.
Dennoch sollten sich KMUs aktiv mit dem Thema auseinandersetzen. Rechtsexperten raten dazu, sich bestmöglich abzusichern und eine solide Dokumentation über die eigenen Datenschutzbemühungen anzulegen. Für eine mögliche gerichtliche Auseinandersetzung sind Unternehmen dann gewappnet und können das eigene Vorgehen nach dem Ende des Privacy Shields vor Gericht besser verteidigen.
Eine konkrete Maßnahme zur Absicherung ist, auch die formellen Aspekte von Standarddatenschutzklauseln sorgfältig umzusetzen (z. B. durch eine genaue Beschreibung von Datenflüssen). Zudem sollte man nur zwingend benötigte personenbezogene Daten sammeln und weitergeben. Außerdem raten Rechtsexperten zu einer fundierten und gut dokumentierten Risikoanalyse, die alle relevanten Probleme in den Blick nimmt. So sollte die Rechtslage in den USA oder einem anderen Zielland außerhalb der EU genauer analysiert und die Wahrscheinlichkeit eines unangemessenen Datenzugriffs eingeschätzt werden.
Zudem sollte geklärt werden, ob der Empfänger angesichts der aktuellen Situation besonderevertragliche Pflichten übernimmt (z. B. erhöhte Beobachtungs- und Mitteilungspflichten). Unternehmen könnten in der aktuellen Situation auch amerikanische Geschäftspartner und Dienstleister dazu auffordern, alle verfügbaren technischen Mittel zur Optimierung des Datenschutzes einzusetzen (z. B. Verwendung einer Ende-zu-Ende-Verschlüsselung bei einer Videokonferenzsoftware.
Wer auf Datentransfers, Cloud-Dienste und Server in Drittländern außerhalb der EU verzichten kann, sollte sich nach DSGVO-konformen Alternativen in Europa umsehen. Außerdem sollte man die datenschutzrechtlichen Entwicklungen genau verfolgen. Der Europäische Datenschutzausschuss (EDSA) informiert Interessierte und Betroffene in einem FAQ-Dokument zum Privacy-Shield-Urteil des EuGHs über den aktuellen Stand.