Darüber hinaus steht es den Parteien frei, alle anderen Klauseln zu geschäftsbezogenen Fragen im Zusammenhang mit allen Versionen von Musterklauseln aufzunehmen, sofern sie nicht den echten Bestimmungen von SSC widersprechen. Beispiele für die Übermittlung personenbezogener Daten in ein Drittland: Gemäß der Datenschutz-Grundverordnung (DSGVO) können personenbezogene Daten in ein Drittland übertragen werden, wenn dieses Land ein angemessenes Schutzniveau für die personenbezogenen Daten bietet; die Bewertung des Schutzniveaus des Landes wird von der Europäischen Kommission (EG) vorgenommen und in einer förmlichen “Angemessenheitsentscheidung” konkretisiert. Die Europäische Kommission hat vier verschiedene Musterklauseln genehmigt, um einen Nachweis für einen angemessenen Datenschutz bei der Übermittlung personenbezogener Daten in ein Drittland zu liefern, das kein angemessenes Schutzniveau gemäß Artikel 26 Absatz 4[5] der Richtlinie 95/46/EG gewährleistet[6]. Da Set I Controller to Processor Model Clauses durch Set II Controller to Processor Model Clauses[7] ersetzt wurde und nicht mehr verwendet werden kann, gibt es derzeit drei Versionen von SCCs, die noch in Kraft sind und verwendet werden können, um angemessene Sicherheitsvorkehrungen gemäß Artikel 46 Absatz 5 dSGVO zu bieten, einschließlich einer Version für Controller zu Prozessor und zwei Versionen von Controller zu Controller. In diesem Hinweis werden Modellklauseln eingeführt und Grundlagen zu Modellklauseln behandelt. Der Gerichtshof hat anerkannt, dass nach Art. 58 Abs. 2 Buchstabe f und j) DSGVO die diesbezüglichen Verpflichtungen der Aufsichtsbehörden darin bestehen, diese Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn keine gültige Angemessenheitsentscheidung der Kommission vorliegt – und “sie sind unter Berücksichtigung aller Umstände dieser Übermittlung der Auffassung, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der durch das Unionsrecht vorgeschriebene Schutz der übermittelten Daten nicht auf andere Weise gewährleistet werden kann, wenn der in der Union niedergelassene Datenexporteur eine solche Übermittlung nicht selbst ausgesetzt oder beendet hat”. Um eine Rechtsgrundlage für eine eingeschränkte Übertragung zu ermöglichen, gibt es eine Version von Set II Controller to Processor Model Clauses[11][12], die verwendet werden kann, um ein angemessenes Datenschutzniveau zu gewährleisten.

Zur Gewährleistung eines angemessenen Datenschutzniveaus sieht Set II Controller to Processor Model Clauses den begünstigten Dritten ein Recht für betroffene Personen vor, das es ihnen ermöglicht, jede Verletzung der vertraglichen Verpflichtungen des Importeurs, Exporteurs oder sogar des Unterauftragsverarbeiters durchzusetzen. Die Übermittlung personenbezogener Daten in ein Drittland erfolgt, wenn personenbezogene Daten außerhalb der EU/des EWR zur Verfügung gestellt werden. N.B. Die Veröffentlichung von Daten im Internet stellt keine Übertragung von Daten in ein Drittland dar, wenn die Website bei einem in der EU niedergelassenen Internetanbieter gespeichert wird. Eine solche Lizenz kann erteilt werden, wenn die Übermittlung auf Vertragsklauseln zwischen dem Unternehmen, das die personenbezogenen Daten überträgt, und dem Empfänger der Daten beruht. Bei der Übermittlung personenbezogener Daten zwischen Behörden kann eine Lizenz auch erteilt werden, wenn die Übermittlung auf Vorschriften in Verwaltungsvereinbarungen beruht, die durchsetzbare und greifbare Rechte für die betroffenen Personen enthalten. Bevor die schwedische Datenschutzbehörde über eine Sondergenehmigung entscheidet, muss eine Stellungnahme beim Europäischen Datenschutzausschuss eingeholt werden, in dem alle Aufsichtsbehörden innerhalb der EU/des EWR vertreten sind.