KVKK Artikel 9 stellt strenge Bedingungen für die Übermittlung personenbezogener Daten ins Ausland. Cloud-Dienste (Microsoft, Google, AWS) machen dieses Problem kritisch.
Übertragungsbedingungen (KVKK Art. 9)
- Ausdrückliche Zustimmung der betreffenden Person, oder
- Das Land, in das die Daten übertragen werden, muss über angemessenen Schutz verfügen, oder
- Eine schriftliche Zusage der Datenverantwortlichen und KVKK erlauben
Länder mit angemessenem Schutz Schutz
Die KVKK-Institution hat die Länderliste noch nicht veröffentlicht. Daher muss für jede Übertragung eine ausdrückliche Zustimmung oder SCC + KVKK-Genehmigung eingeholt werden.
Standardvertragsklauseln (SCC)
Im Jahr 2024 veröffentlichte der KVKK-Vorstand SCC-Muster ähnlich der DSGVO. Unternehmen können Übertragungen durchführen, indem sie diese Vereinbarung unterzeichnen und die Behörde innerhalb von 5 Werktagen benachrichtigen.
Binding Corporate Rules (BCR)
Für die Datenübermittlung innerhalb der multinationalen Unternehmensgruppe können verbindliche Unternehmensregeln erstellt und eine Genehmigung bei der KVKK-Behörde eingeholt werden.
Sanktion
- Unerlaubte Übertragung ins Ausland: hohe Verwaltungsstrafe
- Entschädigung gegen die entsprechende Person. Verantwortung
Praktische Empfehlungen
- Erstellen Sie eine Transferinventur für alle Cloud-Anbieter
- Kommunikation mit Anbietern zur Unterzeichnung von SCC
- Datentransferklauseln in Verträgen
- Übertragungsbenachrichtigung an relevante Personen
KVKK-Compliance-Beratung wird empfohlen.