Grenzüberschreitende Datenübertragung: SCCs, BCRs und Angemessenheitsentscheidungen

Internationale Datenübertragungen gehören zu den technisch komplexesten und rechtlich unsichersten Bereichen der globalen Datenschutz-Compliance. Wenn personenbezogene Daten grenzüberschreitend übertragen werden – von Cloud-Servern in der EU zu US-amerikanischen, von Japan zum globalen Personalsystem eines multinationalen Konzerns, von Brasilien zu einem Verarbeitungszentrum in Indien – gelten mehrere rechtliche Rahmenbedingungen gleichzeitig, die jeweils die Einrichtung spezifischer Übertragungsmechanismen erfordern, bevor Daten übertragen werden.

Das Schrems-II-Urteil (EuGH, 16. Juli 2020) hat die internationale Transferlandschaft grundlegend auf den Kopf gestellt, indem es Privacy Shield ungültig machte und Organisationen dazu verpflichtete, Transfer Impact Assessments (TIAs) für auf Standardvertragsklauseln basierende Transfers durchzuführen. Seitdem sind drei wichtige Entwicklungen eingetreten: Angemessenheit des EU-US-Datenschutzrahmens (Juli 2023), aktualisierte Standardvertragsklauseln der EU (Juni 2021) und eine Zunahme nationaler Übermittlungsbeschränkungen aus Ländern wie China (PIPL), Indien (DPDP Act) und Saudi-Arabien (PDPL). Dieser Leitfaden bietet eine umfassende Roadmap für die Navigation im Labyrinth der internationalen Datenübertragung.

Wichtige Erkenntnisse

Die EU-DSGVO beschränkt die Übermittlung personenbezogener Daten in Nicht-EWR-Länder ohne angemessenen Schutz oder angemessene Garantien

Angemessenheitsentscheidungen sind der einfachste Mechanismus – es sind keine zusätzlichen Schutzmaßnahmen erforderlich, wenn das Zielland über EU-Angemessenheit verfügt

Standardvertragsklauseln (SCCs 2021) sind der am weitesten verbreitete Mechanismus – vier Module, die Übertragungen von Verantwortlichem zu Verantwortlichem, Verantwortlichem zu Auftragsverarbeiter, Auftragsverarbeiter zu Verantwortlichem und Auftragsverarbeiter zu Auftragsverarbeiter abdecken

Transfer Impact Assessments (TIAs) sind für SCC-basierte Transfers erforderlich – beurteilen, ob das Recht des Ziellandes einen wirksamen Schutz ermöglicht

Binding Corporate Rules (BCRs) gelten für gruppeninterne Übertragungen, erfordern jedoch die Genehmigung der Datenschutzbehörde der EU – ein zwei- bis dreijähriger Prozess

Das EU-US-Datenschutzrahmenwerk (Juli 2023) bietet einen auf Angemessenheit basierenden Mechanismus für US-Übertragungen – überprüfen Sie den DPF-Zertifizierungsstatus – China PIPL, Saudi-Arabien PDPL und Indien DPDP erlassen alle ausgehende Transferbeschränkungen, die ihre eigenen Mechanismen erfordern

Territoriale Datenlokalisierungsanforderungen (Russland, China für CIIOs, saudische Gesundheits-/Finanzdaten) verbieten bestimmte ausgehende Übertragungen vollständig

Die rechtliche Grundlage für Übertragungsbeschränkungen

EU-DSGVO Kapitel V

DSGVO Kapitel V (Artikel 44–49) legt fest, dass personenbezogene Daten nur dann in ein Drittland übermittelt werden dürfen, wenn:

Die Europäische Kommission hat für dieses Land einen Angemessenheitsbeschluss erlassen (Artikel 45).
Es sind angemessene Schutzmaßnahmen vorhanden (Artikel 46) – SCCs, BCRs, genehmigte Verhaltenskodizes mit verbindlichen Verpflichtungen, genehmigte Zertifizierungsmechanismen, rechtsverbindliche Instrumente zwischen Behörden
Es gilt eine spezifische Ausnahmeregelung (Artikel 49) – ausdrückliche Zustimmung, Vertragsnotwendigkeit, Rechtsansprüche, lebenswichtige Interessen, öffentliches Interesse, öffentliche Register

Der Grundsatz: Personenbezogene Daten aus der EU sollten überall dort, wo sie übermittelt werden, das gleiche Schutzniveau genießen. Der Transfermechanismus ist das Werkzeug, das dies theoretisch erreicht.

Wichtige Rechtsprechung

Schrems I (EuGH, 2015): Das Safe-Harbor-Rahmenwerk für Übermittlungen zwischen der EU und den USA wurde für ungültig erklärt, da festgestellt wurde, dass das nationale Sicherheitsrecht der USA eine wirksame Durchsetzung der DSGVO-Grundsätze verhinderte.

Schrems II (EuGH, 2020): Privacy Shield (Nachfolger von Safe Harbor) für ungültig erklärt; festgestellt, dass Musterklauseln (SCCs) grundsätzlich gültig bleiben, Verantwortliche/Auftragsverarbeiter jedoch im Einzelfall prüfen müssen, ob das Zielland einen wirksamen Schutz bietet. Dadurch entstand die TIA-Anforderung.

EU-US-Datenschutzrahmen (Beschluss der Kommission, Juli 2023): Verabschiedet im Anschluss an die US-Exekutivverordnung 14086 (Oktober 2022) zur Reform der Signalaufklärung. Bietet Angemessenheit für zertifizierte DPF-Teilnehmer. Von Max Schrems vor irischen Gerichten angefochten – Schrems III-Verfahren läuft, aber DPF bleibt gültig, sofern der EuGH keine Aussetzung erlässt.

Angemessenheitsentscheidungen

Der einfachste Übertragungsmechanismus: Es sind keine zusätzlichen Schutzmaßnahmen erforderlich, wenn die Kommission einen Angemessenheitsbeschluss für das Zielland getroffen hat.

Aktuelle EU-Angemessenheitsbeschlüsse (Stand März 2026):

Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea, Schweiz, Vereinigtes Königreich, Uruguay, Vereinigte Staaten (EU-US-Datenschutzrahmen – nur Organisationen, die nach DPF zertifiziert sind)

Wichtige Vorbehalte:

USA: Eignung nur für Organisationen, die nach dem EU-US DPF zertifiziert sind. Für Übertragungen an nicht zertifizierte US-Unternehmen sind SCCs, BCRs oder andere Mechanismen erforderlich. Überprüfen Sie den DPF-Zertifizierungsstatus auf der DPF-Website (dataprivacyframework.gov), bevor Sie sich auf die Angemessenheit verlassen.
Kanada: Die Angemessenheit gilt für kommerzielle Organisationen im Rahmen von PIPEDA – nicht für alle kanadischen Unternehmen oder die Gesetze des Privatsektors in den Provinzen
Japan: Angemessenheit vorbehaltlich ergänzender Vorschriften für personenbezogene Daten aus der EU
UK: Angemessenheitsentscheidung im Juni 2021 mit vierjähriger Verfallsklausel angenommen; Erneuerung voraussichtlich im Jahr 2025

Angemessenheitsentscheidungen unterliegen einer Überprüfung und können ausgesetzt werden – der Fall Schrems II zeigt das Risiko einer Angemessenheitsabhängigkeit. Behalten Sie die Notfall-SCC-Dokumentation bei, auch wenn die Angemessenheit derzeit gilt.

Standardvertragsklauseln (EU SCCs 2021)

Die EU-SCCs 2021 (Beschluss 2021/914 der Kommission vom 4. Juni 2021) ersetzten ältere Musterklauseln und führten eine modulare Struktur ein, die alle vier Übertragungsszenarien abdeckt:

Vier Module

Modul 1 – Controller zu Controller (C2C): Zwei Datencontroller. Am häufigsten für: Datenaustausch zwischen nicht verbundenen Unternehmen, Senden von Kundendaten an CRM-Anbieter, die diese für eigene Zwecke verarbeiten, gemeinsame Datenpartnerschaften.

Modul 2 – Verantwortlicher an Auftragsverarbeiter (C2P): Der Datenverantwortliche lagert die Verarbeitung an einen Drittverarbeiter aus. Am häufigsten für: Cloud-Dienste, SaaS, IT-Outsourcing, Analysedienste, Rechenzentren.

Modul 3 – Prozessor zu Prozessor (P2P): Vereinbarungen mit Unterauftragsverarbeitern. Wird verwendet, wenn ein Prozessor einen Subprozessor nutzt.

Modul 4 – Prozessor an Controller (P2C): Der Prozessor gibt Daten an den Controller zurück. Seltener; Wird in bestimmten Architekturszenarien verwendet.

SCC-Pflichtkomponenten

Die Standardvertragsklauseln 2021 enthalten zwingende Klauseln, die nicht geändert werden können:

Klausel 2: Wirkung und Unveränderlichkeit – die Parteien vereinbaren, dass Klauseln nur auf zulässige Weise geändert werden können
Klausel 7: Docking-Klausel – Ermöglichung des Beitritts weiterer Parteien
Klausel 9: Autorisierungsansatz für Unterauftragsverarbeiter (allgemeine oder spezifische schriftliche Genehmigung)
Klausel 17: Anwendbares Recht (es muss sich um das Recht eines Mitgliedstaats handeln, in dem mindestens eine Partei ansässig ist, oder um das Recht eines Mitgliedstaats, das Drittbegünstigtenrechte zulässt)
Klausel 18: Wahl des Gerichtsstands (zuständige Gerichte des für die Standardvertragsklauseln zuständigen Mitgliedsstaats)

Welche Parteien anpassen können:

Zusätzliche Schutzmaßnahmen, die über das Minimum hinausgehen (vom EDSA empfohlen)
Unternehmensspezifische Anhangsinhalte (Beschreibung der Verarbeitung, Datenkategorien, technische Maßnahmen)
Autorisierungsansatz für Unterauftragsverarbeiter (allgemein oder spezifisch)
Rechtsbehelfsmechanismus für betroffene Personen im Zielland

Britische IDTAs

Für Übertragungen aus dem Vereinigten Königreich (nicht der EU) verwenden Sie das International Data Transfer Agreement (IDTA) des ICO oder den IDTA-Nachtrag zu EU-Standardvertragsklauseln. Diese ersetzten ab dem 21. September 2022 die EU-Standardvertragsklauseln für Überweisungen im Vereinigten Königreich (mit Verlängerung bis zum 21. März 2024 für bereits bestehende EU-Standardvertragsklauseln).

Transfer Impact Assessments (TIAs)

Im Anschluss an Schrems II veröffentlichte der EDSA die Empfehlungen 01/2020 zu Übermittlungen mit einer obligatorischen TIA-Anforderung für SCC-basierte Übermittlungen. Bei der TIA handelt es sich um eine dokumentierte Analyse, die beurteilt, ob die rechtlichen Rahmenbedingungen des Ziellandes einen wirksamen Schutz der übermittelten Daten verhindern.

TIA-Schritte (EDPB-Empfehlungen 01/2020)

Schritt 1 – Kennen Sie Ihre Übertragungen: Ordnen Sie alle Übertragungen zu, einschließlich der Weiterübertragungen durch Auftragsverarbeiter und Unterauftragsverarbeiter.

Schritt 2 – Überprüfen Sie die verwendeten Übertragungstools: Bestätigen Sie, welcher Übertragungsmechanismus angewendet wird (SCC-Modul, Angemessenheit usw.).

Schritt 3 – Bewerten Sie das Recht des Drittlandes: Bewerten Sie, ob das Recht des Ziellandes die Wirksamkeit der Standardvertragsklauseln beeinträchtigt. Relevante Faktoren:

Ermöglicht das Land der Regierung Zugriff auf personenbezogene Daten, der über das notwendige und verhältnismäßige Maß hinausgeht?
Gibt es wirksame Rechtsbehelfe für EU-Bürger, wenn Rechte verletzt werden?
Verfügt das Land über eine unabhängige Aufsichtsbehörde?

Schritt 4 – Identifizieren und Ergreifen zusätzlicher Maßnahmen: Wenn die TIA problematische Gesetze des Ziellandes identifiziert, implementieren Sie ergänzende Maßnahmen:

Technische Maßnahmen:

Ende-zu-Ende-Verschlüsselung (wobei der Importeur keinen Zugriff auf den Entschlüsselungsschlüssel hat)
Pseudonymisierung auf EU-Seite vor der Übermittlung
Geteilte/Mehrparteien-Verarbeitung, bei der kein einzelner Importeur Zugriff auf die vollständigen Daten hat
Zero-Knowledge-Architektur

Vertragliche Maßnahmen:

Transparenzpflicht (Importeur benachrichtigt Exporteur über jede rechtsverbindliche Anfrage zur Datenoffenlegung)
Der Importeur widerspricht Anträgen auf Offenlegung von Daten, sofern dies rechtlich möglich ist
Reduzierung der verarbeiteten Daten auf das erforderliche Minimum

Organisatorische Maßnahmen:

Interne Richtlinien, die den Zugang der Regierung einschränken
Geeignetes technisches Personal zur Bearbeitung von Strafverfolgungsanfragen

Schritt 5 – Ergreifen Sie formelle Verfahrensschritte: SCCs ausfüllen, Datensätze aktualisieren, TIA dokumentieren.

Schritt 6 – Neubewertung in angemessenen Abständen: TIAs sind keine einmaligen Übungen – führen Sie eine Neubewertung durch, wenn: sich die Gesetze des Ziellandes ändern, SCCs geändert werden, wichtige neue Leitlinien des EDPB oder nationaler Datenschutzbehörden auftauchen.

TIA-länderspezifische Überlegungen

Zielland	Wichtige TIA-Themen	Status
Vereinigte Staaten	Abschnitt 702 FISA-Überwachung; Reformen der Executive Order 14086	DPF sorgt für Angemessenheit für zertifizierte Unternehmen; Nicht zertifizierte Unternehmen benötigen eine vollständige TIA
China	CSL/PIPL-Datenzugriffspflichten; umfassende nationale Sicherheitsbestimmungen	Erhebliche TIA-Herausforderungen; Erwägen Sie Verschlüsselung und Datenminimierung
Indien	Abhörbefugnisse gemäß IT-Gesetz; Übertragungsregeln des DPDP-Gesetzes	TIA stellt den gegebenen Überwachungsrahmen in Frage
Russland	Datenlokalisierung; Roskomnadzor-Zugang	Übermittlungen sind für EU-Konformität weitgehend unpraktisch
Saudi-Arabien	Datenzugriffsbefugnisse der Regierung; PDPL-Übertragungsmechanismen	Einzelfallbezogene TIA-Bewertung erforderlich

Verbindliche Unternehmensregeln (BCRs)

BCRs sind rechtsverbindliche konzerninterne Datenschutzregeln, die von einer zuständigen EU-Aufsichtsbehörde genehmigt wurden. Sie sind der robusteste Übertragungsmechanismus, aber auch der komplexeste in der Implementierung.

BCRs decken Folgendes ab:

Controller-BCRs: Ermöglichen gruppeninterne Übertragungen innerhalb einer Unternehmensgruppe, bei der alle Gruppenmitglieder als Controller fungieren
Auftragsverarbeiter-BCRs: Ermöglichen Auftragsverarbeitern (einschließlich konzerninterner Dienstleistungsunternehmen), Daten von EU-Verantwortlichen zu empfangen und zu verarbeiten

BCR-Vorteile:

Nach der Genehmigung ist kein Pro-Transfer-Mechanismus für abgedeckte gruppeninterne Ströme erforderlich
Zeigt ein Höchstmaß an Compliance-Engagement – Einige Datenschutzbehörden betrachten BCR-Gruppen als vertrauenswürdiger

BCR-Anforderungen (Artikel 47 DSGVO und EDSA-Richtlinien):

Verbindlich für alle Gruppenmitglieder und durchsetzbar für Betroffene als Drittbegünstigte
Geben Sie die Gruppenstruktur und die Gruppenmitglieder klar an
Abdeckung aller Transfers und Transfersätze innerhalb der Gruppe
Muss enthalten: Datenverarbeitungszwecke, Datenkategorien, Empfänger, Speicherfristen, Informationen für Nicht-EU-Gruppenmitglieder
Spezifizieren Sie die Rechte der betroffenen Person, einschließlich der Art und Weise, wie diese ausgeübt werden
Compliance-Überprüfung einbeziehen (Audits, Schulung)
Meldemechanismus für Änderungen
Kooperationsmechanismus mit Datenschutzbehörden

BCR-Prozess: Wenden Sie sich an die federführende Aufsichtsbehörde (die Datenschutzbehörde, in der sich der EU-Hauptsitz des Unternehmens befindet). Die federführende Datenschutzbehörde führt ein Verfahren der gegenseitigen Anerkennung mit anderen EU-Datenschutzbehörden durch. Zeitrahmen: in der Regel 2–3 Jahre vom Antrag bis zur Genehmigung. Die Bewerbung erfordert eine umfangreiche Dokumentation.

Anerkannte BCR-Inhaber: Über 100 multinationale Konzerne verfügen über von der EU-Kommission genehmigte BCRs, darunter IBM, Marriott, BCG, Ernst & Young, Johnson & Johnson.

Übertragungsbeschränkungen für Nicht-EU-Länder

Viele Länder außerhalb der EU erlassen inzwischen ihre eigenen Beschränkungen für die ausgehende Datenübertragung. Dies führt zu einer bidirektionalen Compliance-Komplexität für multinationale Organisationen.

China PIPL

CAC-Sicherheitsbewertung erforderlich für: CIIOs; Übermittlung von Daten von mehr als 100.000 Personen pro Jahr. Standardverträge (nach EU-SCC-Vorbild, aber spezifisch für China) für Überweisungen mit geringerem Volumen. Zertifizierungsmechanismus für gruppeninterne Transfers. (Ausführliche Informationen finden Sie im speziellen China PIPL-Leitfaden.)

Saudi-Arabien PDPL

Für die meisten ausgehenden Überweisungen ist eine SDAIA-Genehmigung oder Angemessenheit erforderlich. Branchenspezifische Lokalisierungen (Gesundheit, Finanzen) können bestimmte Übertragungen vollständig verbieten. Mechanismus für Standardvertragsklauseln, der von SDAIA entwickelt wird.

Indisches DPDP-Gesetz

Positivlisten-Ansatz – Übertragungen in alle Länder zulässig, mit Ausnahme derjenigen, die durch eine Mitteilung der Zentralregierung ausdrücklich eingeschränkt sind. Die branchenspezifische Lokalisierung (RBI, Gesundheit) gilt weiterhin unabhängig voneinander.

Brasilien LGPD

ANPD-Angemessenheitsentscheidungen oder vertragliche Schutzmaßnahmen erforderlich. ANPD entwickelt Standardvorlagen für Vertragsklauseln. Als alternativer Mechanismus steht die ausdrückliche Einwilligung zur Verfügung.

Russland

Das Bundesgesetz Nr. 149-FZ und das Bundesgesetz Nr. 152-FZ verlangen, dass personenbezogene Daten russischer Staatsbürger zunächst innerhalb Russlands erhoben und verarbeitet werden. Grenzüberschreitende Überweisungen sind nur nach russischer Lokalisierung zulässig. In der Praxis machen Sanktionen und Technologiebeschränkungen den Datentransfer aus Russland äußerst komplex.

Compliance-Checkliste für grenzüberschreitende Übermittlungen

Häufig gestellte Fragen

Können wir alte EU-SCCs (vor 2021) für bestehende Verträge verwenden?

Nein. Die Übergangsfrist für die Ersetzung alter EU-SCCs durch die 2021-SCCs war der 27. Dezember 2022. Alte EU-SCCs sind nicht mehr gültig. Wenn Ihre Verträge noch auf die alten SCCs verweisen (ausgestellt gemäß den Entscheidungen 2001/497/EG, 2004/915/EG oder 2010/87/EU), müssen diese Verträge auf die SCCs von 2021 aktualisiert werden. Alle neuen Verträge müssen die SCCs 2021 verwenden. Wenn Sie sich weiterhin auf alte Standardvertragsklauseln verlassen, setzt sich Ihr Unternehmen Durchsetzungsmaßnahmen aus.

Benötigen wir für jede Datenübertragung eine SCC oder nur eine Gesamtvereinbarung?

SCCs müssen zwischen jedem Paar aus Datenexporteur und Datenimporteur ausgeführt werden. Wenn Ihr Unternehmen (mit Sitz in der EU) 10 verschiedene Cloud-Anbieter nutzt, die jeweils personenbezogene Daten erhalten, benötigen Sie 10 separate SCC-Vereinbarungen. Innerhalb einer einzigen SCC-Vereinbarung können Sie mehrere Datenkategorien, mehrere betroffene Personen und mehrere Zwecke abdecken – jede bilaterale Beziehung erfordert jedoch eine eigene ausgeführte Vereinbarung. Für große Unternehmen mit vielen Anbietern ist die Pflege eines SCC-Bestands- und Erneuerungsverfolgungssystems unerlässlich.

Was ist das EU-US-Datenschutzrahmenwerk und wie verwenden wir es?

Das EU-US Data Privacy Framework (DPF) ist ein Angemessenheitsmechanismus, der am 10. Juli 2023 von der Europäischen Kommission im Anschluss an die US-Exekutivverordnung 14086 zur Stärkung der Datenschutzvorkehrungen für Signalaufklärung angenommen wurde. Es ermöglicht den Fluss personenbezogener Daten aus der EU an zertifizierte US-Organisationen ohne SCCs oder TIAs. Um DPF zu verwenden: (1) Der US-Empfänger muss sich gegenüber dem US-Handelsministerium selbst zertifizieren; (2) Überprüfen Sie die Zertifizierung unter dataprivacyframework.gov; (3) Sofern zertifiziert, erfordern Überweisungen zwischen der EU und den USA an diese Organisation keinen zusätzlichen Mechanismus. DPF wird rechtlich angefochten (Schrems III) – behalten Sie als Notfall die SCC-Sicherungsdokumentation bei.

Was sind die häufigsten TIA-Befunde, die zu Problemen führen?

Zu den häufigsten problematischen TIA-Ergebnissen gehören: (1) umfassender staatlicher Überwachungszugriff – insbesondere Abschnitt 702 FISA in den USA und gleichwertige Behörden in anderen Ländern, die eine Massensammlung ohne richterliche Aufsicht zulassen; (2) Nationale Sicherheitsgesetze, die den Schutz der Privatsphäre außer Kraft setzen – was in autoritären Staaten üblich ist; (3) Mangel an wirksamen Rechtsbehelfen für EU-Bürger – wenn Gerichte nicht unabhängig sind oder EU-Bürger keine Klagebefugnis haben; (4) Den Datenverarbeitern auferlegte Datenzugriffsverpflichtungen – z. B. Chinas Verpflichtungen gemäß CSL/PIPL für CIIOs. Wenn TIA Probleme erkennt, werden in der Regel technische Maßnahmen (Verschlüsselung, Pseudonymisierung) implementiert, um das spezifische Risiko anzugehen – sie müssen jedoch den identifizierten Zugriff tatsächlich verhindern und nicht nur behaupten, dass er vorliegt.

Gelten Ausnahmen gemäß Artikel 49 für routinemäßige Überstellungen?

Nein. Der EDSA hat stets erklärt, dass die Ausnahmen gemäß Artikel 49 nur für gelegentliche und sich nicht wiederholende Übermittlungen gelten. Eine ausdrückliche Einwilligung (Ausnahmeregelung 49(1)(a)) ist besonders bei routinemäßigen Transfers problematisch: Die Einwilligung muss spezifisch sein (Bezeichnung des Ziellandes und Erläuterung der Risiken der Übermittlung), freiwillig erteilt werden (was im Zusammenhang mit Beschäftigung oder wesentlichen Dienstleistungen schwierig sein kann) und nachweislich vor jeder Übermittlung eingeholt werden. Für systematische, fortlaufende Datenflüsse – wie Cloud-Dienste, HR-Systeme oder CRM-Systeme – sind Ausnahmeregelungen nicht angemessen. Verwenden Sie SCCs, BCRs oder Angemessenheitsmechanismen für routinemäßige Übertragungen.

Wie gehen wir mit der Datenübertragung durch Unterauftragsverarbeiter um?

Übermittlungen an Unterauftragsverarbeiter müssen durch geeignete Übertragungsmechanismen abgedeckt sein. Gemäß EU-SCCs Modul 2 (Controller-to-Processor) darf der Auftragsverarbeiter nur Unterauftragsverarbeiter beauftragen, die in geeigneten Ländern ansässig sind oder Standardvertragsklauseln unterliegen. Modul 3 (Verarbeiter-zu-Verarbeiter) behandelt die Unterauftragsverarbeiterbeziehung. Der Verantwortliche muss über Unterauftragsverarbeiter informiert werden und diese genehmigen (entweder speziell oder nach Kategorie mit Benachrichtigung). Unterauftragsverarbeiter müssen an die gleichen Datenschutzverpflichtungen gebunden sein wie der Auftragsverarbeiter – typischerweise durch eine Unterauftragsverarbeitungsvereinbarung, die Modul 3 Standardvertragsklauseln enthält. Viele Organisationen führen eine Liste der Unterauftragsverarbeiter und informieren betroffene Personen durch Datenschutzhinweise.

Nächste Schritte

Die Einhaltung grenzüberschreitender Datenübertragungen ist eine kontinuierliche Managementaktivität – kein einmaliges Projekt. Da neue Landesgesetze ausgehende Überweisungen einschränken, Angemessenheitsentscheidungen rechtlich in Frage gestellt werden und sich Ihre Anbieterlandschaft weiterentwickelt, muss Ihr Bestand an Übertragungsmechanismen Schritt halten.

ECOSIRE hilft Organisationen dabei, Rahmenwerke für Übertragungsmechanismen zu entwerfen, Übertragungsfolgenabschätzungen durchzuführen und technische Sicherheitsvorkehrungen für internationale Datenoperationen zu implementieren. Unsere Erfahrung umfasst EU-DSGVO, UK-DSGVO, PIPL, LGPD und neue nationale Rahmenwerke.

Erste Schritte: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Die Anforderungen an die grenzüberschreitende Datenübertragung sind komplex, länderspezifisch und unterliegen schnellen Änderungen durch Gerichtsentscheidungen und behördliche Vorgaben. Wenden Sie sich an einen qualifizierten Rechtsberater, um spezifische Ratschläge zu den Transferabläufen Ihrer Organisation zu erhalten.

Schlagworte:cross-border data-transfer sccs bcrs adequacy

E

Geschrieben von

ECOSIRE Research and Development Team

Entwicklung von Enterprise-Digitalprodukten bei ECOSIRE. Einblicke in Odoo-Integrationen, E-Commerce-Automatisierung und KI-gestützte Geschäftslösungen.

Alle Beiträge ansehen

Cross-Border Data Transfer: SCCs, BCRs, and Adequacy Decisions