Magazin
EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer

EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer

Letztes Update:
31
.
07
.
2025
Lesezeit:
0
Min
Für die Übermittlung personenbezogener Daten in Drittländer - etwa in die USA – gelten seit Kurzem neue Standardvertragsklauseln, die von der EU in einer überarbeiteten Version verabschiedet wurden. Wir zeigen Ihnen, wie Sie die aktuellen SCC in der Praxis korrekt umsetzen.
EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer
Die wichtigsten Erkenntnisse
  • Die neuen EU-Standardvertragsklauseln (SCC) sind seit 27.09.2021 für neue und seit 27.12.2022 für alle bestehenden Verträge verpflichtend.
  • Der modulare Aufbau der SCC ermöglicht passgenaue Lösungen für verschiedene Datentransferszenarien.
  • Für jeden internationalen Datentransfer ist eine dokumentierte Risikoanalyse (Transfer Impact Assessment, TIA) Pflicht.
  • Behördenzugriffe auf Daten müssen vom Datenimporteur dem Datenexporteur gemeldet werden.
  • Für Datentransfers in die USA ist seit Juli 2023 das EU-US Data Privacy Framework (DPF) zu prüfen; andernfalls bleiben SCC und TIA erforderlich.

In Fachkreisen wurde die Einführung dieser neuen SCC lange erwartet: Sie bringen insbesondere nach dem Schrems II Urteil mehr Rechtssicherheit und erfüllen die Anforderungen der DSGVO. Für Unternehmen entsteht dadurch jedoch unmittelbarer Handlungsbedarf. Wir erläutern, was Sie jetzt wissen und beachten müssen.

Was sind EU-Standardvertragsklauseln?

Standardvertragsklauseln, kurz auch SCC genannt (aus dem Englischen für „Standard Contractual Clauses“) werden für Datentransfers personenbezogener Daten in Drittländer außerhalb der EU benötigt. In diesen Drittländern gilt die DSGVO nicht, also braucht es für einen Datentransfer andere Datenschutzgarantien für ein angemessenes Datenschutzniveau. Hier greifen die SCC: Für die Datenübermittlung personenbezogener Daten in Drittländer sollen sie ein Datenschutzniveau garantieren, welches dem der DSGVO gleich ist. Abgeschlossen werden die Standardvertragsklauseln zwischen Verantwortlichen und der Stelle im Ausland, an die die Daten fließen – dies ist meist auch ein Unternehmen oder ein Online-Dienst wie Mailchimp.

Datenschutzrechtlich immer auf dem neusten Stand 

In der Welt des Datenschutzes gibt es nahezu täglich Neuerungen oder Aktualisierungen der gesetzlichen Regelungen. Hierbei ist es wichtig, immer auf dem neusten Stand zu bleiben und entsprechend zu agieren. Mithilfe einer Datenschutzsoftware können Sie nicht nur zuverlässig arbeiten, sondern auch Zeit und Ressourcen sparen.

Wofür werden die DSGVO-Standardvertragsklauseln benötigt?

Für die Übermittlung personenbezogener Daten in ein Nicht-EU-Land bedarf es zwei Dinge:

Diese Garantie wird, wie eingangs bereits erwähnt, beispielsweise durch den Abschluss von Standardvertragsklauseln gewährleistet. Für manche Drittländer hat die EU-Kommission durch den sogenannten Angemessenheitsbeschluss für solche Garantien gesorgt. Für die Drittländer, für die es keine solchen Beschlüsse gibt, müssen SCC abgeschlossen werden.

In der Praxis werden DSGVO-Standardvertragsklauseln beispielsweise benötigt, wenn: 

  • Sie eine Software oder eine Dienstleistung verwenden, die personenbezogene Daten in ein Nicht-EU-Ausland übermittelt, wie bei Google Analytics oder YouTube.
  • Sie eine Software oder eine Dienstleistung anbieten und mit FreelancerInnen arbeiten, die im Nicht-EU-Ausland sitzen. Dies ist beispielsweise bei ProgrammiererInnen, die aus dem Ausland arbeiten oder bei nicht inländischen Callcentern der Fall.

Für Datentransfers in die USA ist seit Juli 2023 das EU-US Data Privacy Framework(DPF) relevant. Unternehmen sollten prüfen, ob ihr US-Dienstleister unter das DPF fällt. Ist dies nicht der Fall, sind weiterhin die neuen SCC sowie ein TIA erforderlich. Das DPF kann in bestimmten Fällen die rechtliche Grundlage für den Datentransfer vereinfachen, ersetzt jedoch nicht in allen Konstellationen die SCC.

Was hat sich bei den neuen EU-Standardvertragsklauseln geändert?

Die neuen EU-Standardvertragsklauseln sind hinsichtlich der Gestaltung der Datentransfers in Drittländer flexibler, allerdings auch umfangreicher. Im Wesentlichen haben sich folgende Punkte gegenüber den alten SCC geändert:

  • Modularer Aufbau: Dieser neue Aufbau bricht die bisherige lineare Konstellation zwischen Verantwortlichen und Verantwortlichen, beziehungsweise Verantwortlichen und Auftragsverarbeitern auf. Nun gibt es für verschiedene Anwendungsfälle Module, aus denen bei dem Abschluss einer SCC ausgewählt werden kann. Diese gestalten sich wie folgt:
    • Modul 1: Datenübermittlung zwischen zwei Verantwortlichen.
    • Modul 2: Datenübermittlung Verantwortlicher an Auftragsverarbeiter.
    • Modul 3: Datenübermittlung von einem Auftragsverarbeiter an einen (Unter-)Auftragsverarbeiter.
    • Modul 4: Datenübermittlung (Rückübermittlung) Auftragsverarbeiter innerhalb der EU an einen Verantwortlichen im Drittland.
  • Behördenzugang zu Daten: Wollen Behörden Zugang zu den übertragenen Daten, so muss sich der Datenimporteur darum kümmern, dass der Datenexporteur und eventuell betroffene Personen diesbezüglich informiert werden.
  • Kopplungsklausel: Standardvertragsklauseln können jetzt auch zwischen mehr als zwei Parteien geschlossen werden. Zudem können dritte Parteien unter bestimmten Umständen bereits geschlossenen SCCs beitreten.

Neben dem Abschluss der neuen Standardvertragsklauseln (SCC) ist für jeden Datentransfer in ein Drittland ein sogenanntes Transfer Impact Assessment (TIA) verpflichtend durchzuführen und zu dokumentieren. Unternehmen müssen im Rahmen des TIA prüfen und nachweisen, dass das Datenschutzniveau im Empfängerland dem der EU entspricht. Die Aufsichtsbehörden verlangen diese Risikoanalyse ausdrücklich. Ohne ein TIA drohen Bußgelder und aufsichtsbehördliche Maßnahmen.

Ab wann müssen die neuen Standardvertragsklauseln genutzt werden?

Für die Verwendung der neuen DSGVO-Standardvertragsklauseln gibt es zwei wichtige Fristen zu beachten:

  • Seit dem 27.09.2021 müssen alle neue  abgeschlossenen Verträge für internationale Datentransfers ausschließlich auf Basis der neuen SCC erfolgen. Die Verwendung der alten Standardvertragsklausel-Vorlagen ist nicht mehr zulässig.
  • Seit dem 27.12.2022 dürfen auch bestehende Verträge nur noch mit den neuen SCC fortgeführt werden. Die Übergangsfrist zur Umstellung ist abgelaufen – alte Standardvertragsklauseln sind seither ungültig. Unternehmen, die diese Frist versäumt haben, riskieren aufsichtsbehördliche Maßnahmen und Bußgelder.

Was bedeutet das und wie werden die neuen SCC umgesetzt?

Alle bereits bestehenden SCC müssen auf die neuen umgestellt sein. Wenn neue Standardvertragsklauseln abgeschlossen werden, gehen Sie wie folgt vor:

  • Wählen und verwenden Sie das passende der vier SC-Module entsprechend Ihrer Übertragungssituation.
  • Führen Sie vor dem Abschluss die bereits angesprochene Risikoanalyse (TIA) durch. Ziehen Sie hierfür unbedingt Ihren Datenschutzbeauftragten hinzu, um rechtliche Risiken zu minimieren.
  • Dokumentieren Sie alle Schritte und Entscheidungen ausführlich, da die neuen SCC eine umfassende Dokumentationspflicht vorsehen.
  • Überwachen Sie laufend die Rechtslage und passen Sie Ihre Verträge und Prozesse bei Bedarf an neue regulatorische Entwicklungen an.

Auch nach der erfolgreichen Umstellung auf die neuen Standardvertragsklauseln sollten Unternehmen ihre SCC und die damit verbundenen Prozesse regelmäßig überprüfen. Änderungen der Rechtslage, neue Dienstleister oder veränderte Datenflüsse können Anpassungen erforderlich machen. Eine kontinuierliche Überwachung und Aktualisierung ist unerlässlich, um dauerhaft rechtskonform zu bleiben.

Viele große Unternehmen stellen Ihre eigenen SCC zur Verfügung. Haben Sie ein solches nicht, dann finden Sie das Muster für die Standardvertragsklauseln hier:

Branchenspezifische Anforderungen und Sensibilitäten

In sensiblen Branchen wie dem Gesundheitswesen, der Finanzdienstleistung oder im öffentlichen Sektor gelten häufig zusätzliche Anforderungen an internationale Datentransfers. Unternehmen sollten prüfen, ob für ihre Datenverarbeitungen branchenspezifische Vorgaben oder erhöhte Risiken bestehen, und gegebenenfalls zusätzliche Schutzmaßnahmen implementieren.

Fazit: SCC essenziell – aber nicht im Alleingang

Die Standardvertragsklauseln (SCC) der EU stellen Unternehmen weiterhin vor erhebliche Herausforderungen, bieten aber auch einen klaren Rahmen für rechtskonforme internationale Datentransfers. Neben der reinen Vertragsumstellung ist insbesondere die Durchführung und Dokumentation eines Transfer Impact Assessments (TIA) für jeden Datentransfer in ein Drittland verpflichtend. Unternehmen müssen ihre Prozesse regelmäßig überprüfen und an neue rechtliche Entwicklungen anpassen – insbesondere im Hinblick auf das EU-US Data Privacy Framework und branchenspezifische Anforderungen.

Ein zentrales Element für nachhaltige Compliance ist die lückenlose Dokumentation und Nachweisführung: Sowohl die abgeschlossenen SCC als auch die TIAs müssen nachvollziehbar und prüfbar aufbewahrt werden. Nur so können Unternehmen im Falle einer behördlichen Prüfung oder eines Audits nachweisen, dass sie ihren datenschutzrechtlichen Verpflichtungen nachgekommen sind. Wer diese Anforderungen ernst nimmt und konsequent umsetzt, minimiert Risiken und schafft Vertrauen bei Kunden und Partnern.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
DSGVO
Datenschutz im Unternehmen
Technisch organisatorische Maßnahmen
Verstoß gegen Datenschutz
Redaktion
Ivona Simic
Content & Social Media Manager
Ivona Simic ist Content & Social Media Managerin bei Proliance. Sie verantwortet die redaktionellen Inhalte im CMS und unterstützt SEO & Content Marketing und steigert die Sichtbarkeit. Ihre operativen Stärken liegen in der Organisation und Umsetzung von Online- und Offline-Events, der Steuerung von Kooperationen sowie der Entwicklung und Optimierung von Content für verschiedene digitale Kanäle. Mit einem hands-on Ansatz sorgt sie für effiziente Prozesse und erfolgreiche Kampagnen.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Aktenvernichtung & DSGVO: Datenschutz bei Entsorgung von Dokumenten
27
.
03
.
2023
Aktenvernichtung & DSGVO: Datenschutz bei Entsorgung von Dokumenten
Trotz Festplatten und USB-Speichersticks werden personenbezogene Daten häufig noch auf dem Medium Papier festgehalten. Doch auch diese Daten sind schützenswert und müssen bei der Entsorgung so vernichtet werden, dass Dritte keinen Zugriff erhalten. Wir zeigen, was es hier zu beachten gilt.
First Party Data: Der Schlüssel für datenschutzkonformes Marketing
08
.
04
.
2025
First Party Data: Der Schlüssel für datenschutzkonformes Marketing
Damit Unternehmen zielgruppenspezifisch kommunizieren können, benötigen sie Informationen über potenzielle Kunden und ihre Bedürfnisse. Mit First Party Data erhalten Sie diese Kundendaten ohne den Umweg über Drittanbieter. Erfahren Sie in diesem Artikel alles, was Sie über First Party Data wissen müssen.
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
20
.
11
.
2024
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
Datenschutz und Informationssicherheit spielen eine zentrale Rolle, wenn es um den Schutz von analogen und digitalen Informationen im Unternehmen geht. Um beide Konzepte richtig umzusetzen, ist eine klare Trennung notwendig. Wir klären die Unterschiede und Gemeinsamkeiten und zeigen, wie Unternehmen sicher und rechtskonform arbeiten.
Pre-Employment-Screening & Datenschutz: Was ist erlaubt?
08
.
02
.
2022
Pre-Employment-Screening & Datenschutz: Was ist erlaubt?
Pre-Employment-Screening im Personalauswahlverfahren ist eine attraktive Methode für Unternehmen, den Bewerber Check effektiver durchzuführen. Als Personaler sollten Sie dabei wissen, welche Bestimmungen in Bezug auf den Datenschutz bestehen, um auch rechtlich auf der sicheren Seite zu sein. Unsere Tipps unterstützen Sie dabei.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Auskunftsersuchen von Behörden und Auskunftsrecht: DSGVO-Leitfaden für Unternehmen
12
.
08
.
2025
Auskunftsersuchen von Behörden und Auskunftsrecht: DSGVO-Leitfaden für Unternehmen
Auskunftsersuchen gehören zum Compliance-Alltag jedes Unternehmens – doch die rechtlichen Anforderungen sind komplex und die Konsequenzen bei Fehlern erheblich. Dieser Leitfaden erklärt, wie Sie sowohl auf behördliche Auskunftsersuchen (Doppeltürmodell) als auch auf Betroffenenanfragen nach Art. 15 DSGVO rechtssicher reagieren – mit praktischen Checklisten und Handlungsempfehlungen für Unternehmen.
Was ist NIS2 und welche Maßnahmen müssen Unternehmen jetzt ergreifen?
08
.
08
.
2025
Was ist NIS2 und welche Maßnahmen müssen Unternehmen jetzt ergreifen?
Die NIS2-Richtlinie ist eine EU-weite Regelung zur Verbesserung der Resilienz von Unternehmen gegenüber Cyberangriffen und zum Schutz kritischer Infrastrukturen. Sie erweitert die vorherige NIS-Richtlinie und deckt neue Bedrohungslagen und technologische Entwicklungen ab. Erfahren Sie, was das für Ihr Unternehmen bedeutet.
Google Analytics möglichst DSGVO-konform verwenden – oder Alternativen nutzen
07
.
08
.
2025
Google Analytics möglichst DSGVO-konform verwenden – oder Alternativen nutzen
Beim Thema Tracking ist Google Analytics für viele Unternehmen die erste Wahl. Allerdings gerät der Konzern regelmäßig ins Visier der Datenschutzbehörden. Erfahren Sie, wie Ihr Unternehmen Google Analytics 4 gegebenenfalls risikoarm einsetzen kann und welche DSGVO-freundlicheren Alternativen zu Google Analytics es gibt.
NIS2: Wer ist betroffen? Sektoren und Branchen im Überblick
06
.
08
.
2025
NIS2: Wer ist betroffen? Sektoren und Branchen im Überblick
Voraussichtlich ab Herbst 2025 müssen rund 29.500 Unternehmen in Deutschland zu mehr Cybersicherheit beitragen. Denn dann tritt das neue IT-Sicherheitsgesetz NIS2 auch hierzulande in Kraft. Wer Strafen vermeiden will, muss künftig zentrale Schutzmaßnahmen etablieren. Die Frage ist: Wer ist von NIS2 betroffen?
datenschutz-Muster

Kostenlose Materialien zum Thema

Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!