Die Ethikkommission weist darauf hin, dass durch das Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 [Aktenzeichen C3-11/18] die Regelungen des EU-US-Privacy Shield, insbesondere vor dem Hintergrund des Clarifying Lawful Overseas Use of Data Act (CLOUD Act) bzw. des Foreign Surveillance Act (FISA) keinen tauglichen Rechtsrahmen mehr darstellen.

Es sollte seitens der Verantwortlichen im Einzelfall geprüft werden, inwieweit personenbezogene/personenbeziehbare Daten (also auch i.S.d. Art. 4 Abs. 5 DSGVO pseudonymisierte Datensätze) rechtssicher, entweder auf Basis geeigneter Garantien (etwa verbindlicher Unternehmensregeln, Standardvertragsklauseln) oder auf Basis einer ausdrücklichen Einwilligung nach erfolgter Risiko-Aufklärung (nach Art 49 Abs. 1 lit. a) DSGVO) übermittelt werden können.