Bekanntlich hat der EuGH mit seiner Entscheidung in der Rechtssache "Schrems II" (C-311/18) den "Privacy Shield" Mechanismus bzw. den betreffenden Angemessenheitsbeschluss für ungültig erklärt. Standardvertragsklauseln ("SCCs") können zwar grundsätzlich weiterhin verwendet werden, doch hat jeder Verantwortliche zu prüfen, ob im jeweiligen Drittland die Einhaltung der SCCs gewährleistet werden kann (angemessenes Datenschutzniveau) - wenn nicht sind "zusätzliche Maßnahmen" zu treffen (vgl die FAQ des EDSA vom 23.07.2020).

Am 11.11.2020 hat der EDSA die "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data" zur öffentlichen Konsultation veröffentlicht. Darin werden mögliche technische, organisatorische und vertragliche Maßnahmen erläutert, die zumeist in gewisser Kombination als "zusätzliche Maßnahmen" ("supplementary measures") herangezogen werden können.

Die Empfehlungen sollen Verantwortliche und Auftragsverarbeiter in der Eigenschaft als "Data Exporter" dabei unterstützen, "zusätzliche Maßnahmen" zur Gewährleistung eines angemessenen Datenschutzniveaus bei Drittlandsübermittlungen zu identifizieren und umzusetzen. Zur Veranschaulichung werden in den Empfehlungen verschiedene Use Cases beschrieben.

Festzuhalten ist jedenfalls: Verschlüsselung stellt nur dann eine "zusätzliche Maßnahme" dar, wenn der Schlüssel in den Händen des "Data Exporter" verbleibt.