Die EU-Standardverträge sind auch im Juni 2019 noch immer ein probates Mittel, um die Übermittlung von personenbezogenen Daten in ein Drittland datenschutzkonform zu gestalten.

WICHTIG: Der EU-Standardvertrag selbst liefert keine Rechtsgrundlage für die Übermittlung an sich. Er liefert nur die Drittland-Garantie.

Siehe auch Kapitel 8.1.5 im TOM-Guide® ("Drittstaaten-Übermittlungen sind in Ausnahmen zulässig").

=== EIGENVERANTWORTLICH ===

Handelt der Empfänger später eigenverantwortlich mit den Daten, so handelt es sich ebenfalls
um einen „controller“. Die Weitergabe entspricht also dem, was das BDSG als „Übermittlung“
ansieht. Für diesen Fall gibt es die Standardvertragsklauseln gemäß den
Kommissionsentscheidungen 2001/497/EG oder 2004/915/EG. Die aktuellere Variante ist
vorzuziehen, wobei allerdings im Falle von Beschäftigtendaten noch bestimmte Ergänzungen vorgenommen werden müssen.

Siehe: 
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32001D0497
http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32004D0915

=== WEISUNGSGEBUNDEN ===

Handelt der Empfänger später weisungsgebunden mit den Daten, so handelt es sich um einen
„processor“. Die Weitergabe entspricht also dem, was das BDSG als „Auftragsdatenverarbeitung“
ansieht (siehe Seiten 141, 169). Für diesen Fall gibt es die Standardvertragsklauseln gemäß der
Kommissions-Entscheidung 2010/87/EU (durch den „ELI-Link“ auch auf Englisch) Da hier aber
nicht restlos alle Festlegungen des § 11 BDSG enthalten sind, müssen die offenen Punkte noch
hinzugefügt werden.
Beispielhaft seien die „Online Service Terms“ von Microsoft (für Office 365) genannt (hier kann
das Dokument heruntergeladen werden, wobei die Sprachversion „German“ gesucht werden
muss). Dem Vernehmen nach ist es nicht erforderlich, dass der Auftraggeber dies manuell
unterschreibt; die Akzeptanz der Online-Service-Terms solle ausreichen, um einen Vertrag zu
schließen. Wenn man sich den relevanten Anhang 3 des Dokuments durchliest, so kann man sich
schon wundern, dass derart allgemeine Formulierungen einen rechtlichen Bestand haben sollen:
Der Zweck der Verarbeitung wird beschrieben mit „Erbringung von Onlinediensten“… allgemeiner
geht es wohl nicht. 488 Weitere Details ab Seite 170 mit Informationen zu „Office 365
Deutschland“.
Ein sehr ausführlicher Artikel diskutiert die Version dieser Verträge im Mai 2017.
Diese Verträge müssen im Rahmen der DS-GVO ab dem 25.05.2018 auf den Vertrag gemäß
Artikel 28 umgestellt werden (siehe Pflicht [GVO_028b] im PrivazyPlan®)

Siehe:
http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm
http://ec.europa.eu/justice/data-protection/international-transfers/files/international_transfers_faq.pdf
https://www.datenschutz-notizen.de/abenteuer-ausflug-fuer-datenschuetzer-der-neue-microsoft-adv-vertrag-4118150/