Der zentrale Punkt in dem Bescheid ist die Datenübertragung personenbezogener Daten in die USA. Die DSGVO stellt fest, dass bei einer Übertragung oder einer Verarbeitung personenbezogener Daten in einem Drittland ein gewisses Schutzniveau gewährleistet werden muss.
EU-Kommission und US-Regierung hatten in den vergangenen Jahren versucht, das in der DSGVO geforderte Schutzniveau auch amerikanischen Unternehmen zu ermöglichen, die sich nach dem Safe Harbour bzw. dem Privacy Shield zertifizieren lassen.
Da aber amerikanische Unternehmen, bzw. deren Server in den USA, unter 50 U.S. Code §1881 a fallen und damit personenbezogene Daten von Nicht-US-Bürgern nicht vor dem Zugriff von US- Geheimdiensten geschützt sind (und Nicht-US-Bürger keine Einspruchsmöglichkeiten haben), wurden sowohl Safe Harbour, als auch Privacy Shield (“Schrems II”-Urteil) vom Europäischen Gerichtshof für unzulässig erklärt.
Als Rechtsgrundlage für einen Datentransfer in die USA müssen daher Standardvertragsklauseln herhalten. Mit solchen Standardvertragsklauseln lassen sich die nach DSGVO nötigen europäischen Datenschutzstandards vertraglich zwischen Datenexporteuren in Drittstaaten vereinbaren. Als „Standardvertragsklauseln“ werden sie bezeichnet, weil sie von der Europäischen Kommission als Vorlage ausgegeben werden.
Diese zum Zeitpunkt der NOYB-Beschwerde von Google zur Verfügung gestellten Standardvertragsklauseln stammten jedoch aus Zeiten vor der DSGVO. Denn Google bzw. auch die EU-Kommission hatte sich im Grunde auf Safe Harbour bzw. Privacy Shield verlassen.