+49 (0) 30 28047033

SCCs: Was Standardvertragsklauseln sind und wann Sie sie wirklich brauchen

Kategorie: Datenschutz

Wenn Sie personenbezogene Daten außerhalb der EU übertragen, kommen Sie an SCCs kaum vorbei. Standardvertragsklauseln sind der rechtliche „Werkzeugkasten“, um Drittstaatentransfers DSGVO-konform abzusichern – insbesondere, wenn kein Angemessenheitsbeschluss vorliegt. Entscheidend ist: Sie müssen die Klauseln richtig auswählen, ausfüllen und sinnvoll ergänzen.

weiterlesen
Laptops mit Weltkarte und Sicherheitssymbol

Was sind SCCs (Standardvertragsklauseln)?

SCCs sind von der EU-Kommission bereitgestellte Musterverträge, mit denen Sie Datentransfers in sogenannte Drittstaaten rechtlich absichern können. Die Idee dahinter: Wenn Daten außerhalb der EU verarbeitet werden, soll dort ein vergleichbares Schutzniveau gelten wie innerhalb der EU.

Weil individuell ausgehandelte Verträge aufwendig und teuer wären, stellt die EU diese standardisierten Klauseln zur Verfügung. Sie funktionieren wie ein Baukastensystem:

  • verschiedene Module für unterschiedliche Konstellationen (z. B. Verantwortlicher zu Auftragsverarbeiter)
  • vorgegebene Inhalte, die nicht verändert werden dürfen
  • Ergänzungen und konkrete Angaben zu Ihrer Verarbeitung

Richtig eingesetzt, sind SCCs ein starkes Indiz dafür, dass ein Drittlandtransfer zulässig ist.

Wichtig: SCCs sind kein „Plug-and-Play“-Tool – ohne grundlegendes Datenschutzverständnis sind sie für Laien schwer korrekt umzusetzen. In der Praxis werden sie häufig mit Unterstützung von Juristen, Datenschutzbeauftragten oder Generator-Tools eingesetzt.

Wann benötigen Sie SCCs?

SCCs kommen immer dann ins Spiel, wenn Sie personenbezogene Daten aus der EU in ein Land außerhalb des EWR übertragen und keine „einfachere“ Lösung greift.

Typische Konstellationen:

  • Nutzung von US-Cloud-Diensten
  • Einbindung externer Tools (z. B. CRM, Marketing, KI-Services)
  • Zusammenarbeit mit Dienstleistern in Indien oder anderen Drittstaaten

Vorab sollten Sie aber prüfen:

  • Gibt es einen Angemessenheitsbeschluss der EU‑Kommission? Beispiel: Für Länder wie die Schweiz wurde ein angemessenes Datenschutzniveau offiziell bestätigt – Datentransfers sind dann deutlich einfacher. 
  • Greift das EU-US Data Privacy Framework (bei US‑Anbietern)? Ob ein Anbieter zertifiziert ist, können Sie konkret über die offizielle Liste prüfen (z. B. über die DPF-Suche nach Unternehmen wie Google oder Microsoft).

Wenn beides nicht hilft oder Sie auf Nummer sicher gehen wollen, sind SCCs regelmäßig die richtige Wahl.

Wichtig zu verstehen: Auch innerhalb der EU dürfen Daten nicht „einfach so“ weitergegeben werden – Sie benötigen immer eine Rechtsgrundlage (z. B. Einwilligung oder Vertrag). SCCs kommen erst zusätzlich ins Spiel, wenn Daten in Drittstaaten gehen.

Warum sind SCCs so wichtig?

Der Hintergrund ist einfach: Innerhalb der EU gilt ein einheitlich hohes Datenschutzniveau. Außerhalb der EU kann dieses Niveau deutlich abweichen.

Gerade bei den USA zeigt sich das Problem: Der EuGH hat in der Vergangenheit mehrfach festgestellt, dass staatliche Zugriffsrechte (z. B. durch Geheimdienste) zu weit gehen und kein ausreichender Rechtsschutz für Betroffene besteht.

Die Folge: Frühere Abkommen wurden gekippt. Unternehmen mussten sich neue Lösungen überlegen – und genau hier kommen SCCs ins Spiel.

Wie funktionieren SCCs in der Praxis?

Vereinfacht gesagt verpflichten Sie Ihren Vertragspartner im Drittland dazu, sich datenschutzrechtlich „wie ein EU-Unternehmen“ zu verhalten.

Dazu gehören unter anderem:

  • technische Maßnahmen wie Verschlüsselung
  • organisatorische Maßnahmen und Schulungen
  • klare Regeln zum Zugriff auf Daten

Wichtig ist: Die SCCs allein sind oft nicht genug. In der Praxis hat sich ein „doppelter Boden“ etabliert:

  • SCCs als Grundlage
  • zusätzliche vertragliche Ergänzungen (z. B. Meldepflichten bei Behördenzugriffen)
  • laufende Überprüfung des Risikos

Häufig werden die SCCs deshalb durch individuelle Anhänge („Annexe“) ergänzt, in denen z. B. geregelt wird, dass der Datenimporteur Sie sofort informiert, wenn Behörden auf Daten zugreifen.

Gerade bei wichtigen Datenflüssen ist dieser Ansatz Best Practice.

Besonderheiten bei Datentransfers in die USA

Die USA sind datenschutzrechtlich ein Sonderfall. Mit dem Data Privacy Framework gibt es aktuell wieder eine Erleichterung – allerdings nur für zertifizierte Unternehmen.

Was viele übersehen: Auch wenn das Framework gilt, empfehlen sich zusätzlich SCCs. Warum? Weil nicht ausgeschlossen ist, dass das Framework erneut vom EuGH gekippt wird.

Mit SCCs schaffen Sie sich eine Absicherung für den Fall der Fälle.

Gleichzeitig gilt: Große US-Anbieter wie Microsoft, Google oder AWS sind in der Regel sehr gut vorbereitet. Sie kennen SCCs, stellen diese oft bereit und bieten umfangreiche Compliance-Dokumentationen an.

Wichtig: Dass „alle Unternehmen das so machen“ oder dass Märkte wirtschaftlich eng verflochten sind, ist kein rechtlich tragfähiges Argument – entscheidend bleibt immer die konkrete rechtliche Absicherung.

Externer DSB für Ihr Unternehmen

Sichern Sie sich zuverlässige Unterstützung im Datenschutz – individuell, skalierbar und rechtssicher.

+49 (0) 30 28047033

jacobsen@cloverlaw.de

Grenzen der SCCs: Was Sie realistisch erwarten können

SCCs lösen nicht alle Probleme. Insbesondere können sie staatliche Zugriffe im Drittland nicht verhindern.

Was sie leisten:

  • Risikoreduktion
  • Vertragliche Kontrollmechanismen
  • Nachweis Ihrer Compliance-Bemühungen

Am Ende geht es immer um eine informierte Risikoabwägung. Je sensibler die Daten, desto höher die Anforderungen. Je sensibler die Daten, desto höher die Anforderungen und desto sorgfältiger sollten zusätzliche Schutzmaßnahmen ausgestaltet sein.

Unterschiede zwischen Ländern: USA vs. andere Drittstaaten

Nicht alle Drittstaaten sind gleich gut handhabbar:

  • USA: meist gut lösbar, viele Anbieter sind vorbereitet
  • Indien / andere Länder: oft deutlich weniger strukturierte Compliance
  • China / asiatische Anbieter: teilweise sehr schwierig oder praktisch kaum rechtssicher umsetzbar

Das bedeutet: Der Aufwand und das Risiko hängen stark vom konkreten Zielland und Anbieter ab.

Praxis-Tipp: So gehen Sie strukturiert vor

Wenn Sie SCCs einsetzen möchten, empfiehlt sich ein klarer Ablauf:

  • Datenflüsse identifizieren
  • Zielland und Anbieter prüfen
  • passendes SCC-Modul auswählen
  • Zusatzmaßnahmen definieren
  • Dokumentation sauber führen

Wenn Sie unsicher sind, kann eine rechtliche Ersteinschätzung helfen. Nutzen Sie dafür gern den Datenschutz-Check für Ihr Unternehmen.

Unterstützung bei SCCs und internationalen Datentransfers

Die Erfahrung zeigt: Die größte Hürde ist nicht das „Ob“, sondern das „Wie“. Viele Unternehmen wissen, dass sie SCCs brauchen – setzen sie aber nicht sauber um.

Gerade bei komplexen Setups oder sensiblen Daten lohnt sich professionelle Begleitung, etwa durch einen externen Datenschutzbeauftragten oder einen Fachanwalt für IT-Recht.

Wenn Sie direkt mit passenden Dokumenten arbeiten möchten, können Sie hier SCC-Vorlagen anfordern.

Fazit: SCCs sind kein „Nice-to-have“, sondern Pflichtinstrument

SCCs gehören heute zum Standard, wenn Sie international mit Daten arbeiten. Sie sind kein perfektes Instrument, aber derzeit oft die beste verfügbare Lösung.

Wichtig ist, dass Sie die Klauseln nicht einfach „abhaken“, sondern bewusst einsetzen, ergänzen und regelmäßig überprüfen. Dann sind Sie rechtlich deutlich besser aufgestellt – auch wenn sich die Rahmenbedingungen wieder ändern.

Individuelle Fragen zum Thema oder sonstige Anliegen?

Jetzt kontaktieren
Beitragsautor
Dr. Jonas Jacobsenhttps://datenrecht-kompass.de/
Beitrag teilen:
Vorheriger Beitrag
Eigentum im Softwareentwicklungsvertrag: Wem gehört die entwickelte Software?
Nächster Beitrag
DSGVO-Abmahnung: Was tun, wenn Sie Post bekommen?