Magazin
EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer

EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer

Letztes Update:
31
.
07
.
2025
Lesezeit:
0
Min
Für die Übermittlung personenbezogener Daten in Drittländer - etwa in die USA – gelten seit Kurzem neue Standardvertragsklauseln, die von der EU in einer überarbeiteten Version verabschiedet wurden. Wir zeigen Ihnen, wie Sie die aktuellen SCC in der Praxis korrekt umsetzen.
EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer
Die wichtigsten Erkenntnisse
  • Die neuen EU-Standardvertragsklauseln (SCC) sind seit 27.09.2021 für neue und seit 27.12.2022 für alle bestehenden Verträge verpflichtend.
  • Der modulare Aufbau der SCC ermöglicht passgenaue Lösungen für verschiedene Datentransferszenarien.
  • Für jeden internationalen Datentransfer ist eine dokumentierte Risikoanalyse (Transfer Impact Assessment, TIA) Pflicht.
  • Behördenzugriffe auf Daten müssen vom Datenimporteur dem Datenexporteur gemeldet werden.
  • Für Datentransfers in die USA ist seit Juli 2023 das EU-US Data Privacy Framework (DPF) zu prüfen; andernfalls bleiben SCC und TIA erforderlich.

In Fachkreisen wurde die Einführung dieser neuen SCC lange erwartet: Sie bringen insbesondere nach dem Schrems II Urteil mehr Rechtssicherheit und erfüllen die Anforderungen der DSGVO. Für Unternehmen entsteht dadurch jedoch unmittelbarer Handlungsbedarf. Wir erläutern, was Sie jetzt wissen und beachten müssen.

Was sind EU-Standardvertragsklauseln?

Standardvertragsklauseln, kurz auch SCC genannt (aus dem Englischen für „Standard Contractual Clauses“) werden für Datentransfers personenbezogener Daten in Drittländer außerhalb der EU benötigt. In diesen Drittländern gilt die DSGVO nicht, also braucht es für einen Datentransfer andere Datenschutzgarantien für ein angemessenes Datenschutzniveau. Hier greifen die SCC: Für die Datenübermittlung personenbezogener Daten in Drittländer sollen sie ein Datenschutzniveau garantieren, welches dem der DSGVO gleich ist. Abgeschlossen werden die Standardvertragsklauseln zwischen Verantwortlichen und der Stelle im Ausland, an die die Daten fließen – dies ist meist auch ein Unternehmen oder ein Online-Dienst wie Mailchimp.

Datenschutzrechtlich immer auf dem neusten Stand 

In der Welt des Datenschutzes gibt es nahezu täglich Neuerungen oder Aktualisierungen der gesetzlichen Regelungen. Hierbei ist es wichtig, immer auf dem neusten Stand zu bleiben und entsprechend zu agieren. Mithilfe einer Datenschutzsoftware können Sie nicht nur zuverlässig arbeiten, sondern auch Zeit und Ressourcen sparen.

Wofür werden die DSGVO-Standardvertragsklauseln benötigt?

Für die Übermittlung personenbezogener Daten in ein Nicht-EU-Land bedarf es zwei Dinge:

Diese Garantie wird, wie eingangs bereits erwähnt, beispielsweise durch den Abschluss von Standardvertragsklauseln gewährleistet. Für manche Drittländer hat die EU-Kommission durch den sogenannten Angemessenheitsbeschluss für solche Garantien gesorgt. Für die Drittländer, für die es keine solchen Beschlüsse gibt, müssen SCC abgeschlossen werden.

In der Praxis werden DSGVO-Standardvertragsklauseln beispielsweise benötigt, wenn: 

  • Sie eine Software oder eine Dienstleistung verwenden, die personenbezogene Daten in ein Nicht-EU-Ausland übermittelt, wie bei Google Analytics oder YouTube.
  • Sie eine Software oder eine Dienstleistung anbieten und mit FreelancerInnen arbeiten, die im Nicht-EU-Ausland sitzen. Dies ist beispielsweise bei ProgrammiererInnen, die aus dem Ausland arbeiten oder bei nicht inländischen Callcentern der Fall.

Für Datentransfers in die USA ist seit Juli 2023 das EU-US Data Privacy Framework(DPF) relevant. Unternehmen sollten prüfen, ob ihr US-Dienstleister unter das DPF fällt. Ist dies nicht der Fall, sind weiterhin die neuen SCC sowie ein TIA erforderlich. Das DPF kann in bestimmten Fällen die rechtliche Grundlage für den Datentransfer vereinfachen, ersetzt jedoch nicht in allen Konstellationen die SCC.

Was hat sich bei den neuen EU-Standardvertragsklauseln geändert?

Die neuen EU-Standardvertragsklauseln sind hinsichtlich der Gestaltung der Datentransfers in Drittländer flexibler, allerdings auch umfangreicher. Im Wesentlichen haben sich folgende Punkte gegenüber den alten SCC geändert:

  • Modularer Aufbau: Dieser neue Aufbau bricht die bisherige lineare Konstellation zwischen Verantwortlichen und Verantwortlichen, beziehungsweise Verantwortlichen und Auftragsverarbeitern auf. Nun gibt es für verschiedene Anwendungsfälle Module, aus denen bei dem Abschluss einer SCC ausgewählt werden kann. Diese gestalten sich wie folgt:
    • Modul 1: Datenübermittlung zwischen zwei Verantwortlichen.
    • Modul 2: Datenübermittlung Verantwortlicher an Auftragsverarbeiter.
    • Modul 3: Datenübermittlung von einem Auftragsverarbeiter an einen (Unter-)Auftragsverarbeiter.
    • Modul 4: Datenübermittlung (Rückübermittlung) Auftragsverarbeiter innerhalb der EU an einen Verantwortlichen im Drittland.
  • Behördenzugang zu Daten: Wollen Behörden Zugang zu den übertragenen Daten, so muss sich der Datenimporteur darum kümmern, dass der Datenexporteur und eventuell betroffene Personen diesbezüglich informiert werden.
  • Kopplungsklausel: Standardvertragsklauseln können jetzt auch zwischen mehr als zwei Parteien geschlossen werden. Zudem können dritte Parteien unter bestimmten Umständen bereits geschlossenen SCCs beitreten.

Neben dem Abschluss der neuen Standardvertragsklauseln (SCC) ist für jeden Datentransfer in ein Drittland ein sogenanntes Transfer Impact Assessment (TIA) verpflichtend durchzuführen und zu dokumentieren. Unternehmen müssen im Rahmen des TIA prüfen und nachweisen, dass das Datenschutzniveau im Empfängerland dem der EU entspricht. Die Aufsichtsbehörden verlangen diese Risikoanalyse ausdrücklich. Ohne ein TIA drohen Bußgelder und aufsichtsbehördliche Maßnahmen.

Ab wann müssen die neuen Standardvertragsklauseln genutzt werden?

Für die Verwendung der neuen DSGVO-Standardvertragsklauseln gibt es zwei wichtige Fristen zu beachten:

  • Seit dem 27.09.2021 müssen alle neue  abgeschlossenen Verträge für internationale Datentransfers ausschließlich auf Basis der neuen SCC erfolgen. Die Verwendung der alten Standardvertragsklausel-Vorlagen ist nicht mehr zulässig.
  • Seit dem 27.12.2022 dürfen auch bestehende Verträge nur noch mit den neuen SCC fortgeführt werden. Die Übergangsfrist zur Umstellung ist abgelaufen – alte Standardvertragsklauseln sind seither ungültig. Unternehmen, die diese Frist versäumt haben, riskieren aufsichtsbehördliche Maßnahmen und Bußgelder.

Was bedeutet das und wie werden die neuen SCC umgesetzt?

Alle bereits bestehenden SCC müssen auf die neuen umgestellt sein. Wenn neue Standardvertragsklauseln abgeschlossen werden, gehen Sie wie folgt vor:

  • Wählen und verwenden Sie das passende der vier SC-Module entsprechend Ihrer Übertragungssituation.
  • Führen Sie vor dem Abschluss die bereits angesprochene Risikoanalyse (TIA) durch. Ziehen Sie hierfür unbedingt Ihren Datenschutzbeauftragten hinzu, um rechtliche Risiken zu minimieren.
  • Dokumentieren Sie alle Schritte und Entscheidungen ausführlich, da die neuen SCC eine umfassende Dokumentationspflicht vorsehen.
  • Überwachen Sie laufend die Rechtslage und passen Sie Ihre Verträge und Prozesse bei Bedarf an neue regulatorische Entwicklungen an.

Auch nach der erfolgreichen Umstellung auf die neuen Standardvertragsklauseln sollten Unternehmen ihre SCC und die damit verbundenen Prozesse regelmäßig überprüfen. Änderungen der Rechtslage, neue Dienstleister oder veränderte Datenflüsse können Anpassungen erforderlich machen. Eine kontinuierliche Überwachung und Aktualisierung ist unerlässlich, um dauerhaft rechtskonform zu bleiben.

Viele große Unternehmen stellen Ihre eigenen SCC zur Verfügung. Haben Sie ein solches nicht, dann finden Sie das Muster für die Standardvertragsklauseln hier:

Branchenspezifische Anforderungen und Sensibilitäten

In sensiblen Branchen wie dem Gesundheitswesen, der Finanzdienstleistung oder im öffentlichen Sektor gelten häufig zusätzliche Anforderungen an internationale Datentransfers. Unternehmen sollten prüfen, ob für ihre Datenverarbeitungen branchenspezifische Vorgaben oder erhöhte Risiken bestehen, und gegebenenfalls zusätzliche Schutzmaßnahmen implementieren.

Fazit: SCC essenziell – aber nicht im Alleingang

Die Standardvertragsklauseln (SCC) der EU stellen Unternehmen weiterhin vor erhebliche Herausforderungen, bieten aber auch einen klaren Rahmen für rechtskonforme internationale Datentransfers. Neben der reinen Vertragsumstellung ist insbesondere die Durchführung und Dokumentation eines Transfer Impact Assessments (TIA) für jeden Datentransfer in ein Drittland verpflichtend. Unternehmen müssen ihre Prozesse regelmäßig überprüfen und an neue rechtliche Entwicklungen anpassen – insbesondere im Hinblick auf das EU-US Data Privacy Framework und branchenspezifische Anforderungen.

Ein zentrales Element für nachhaltige Compliance ist die lückenlose Dokumentation und Nachweisführung: Sowohl die abgeschlossenen SCC als auch die TIAs müssen nachvollziehbar und prüfbar aufbewahrt werden. Nur so können Unternehmen im Falle einer behördlichen Prüfung oder eines Audits nachweisen, dass sie ihren datenschutzrechtlichen Verpflichtungen nachgekommen sind. Wer diese Anforderungen ernst nimmt und konsequent umsetzt, minimiert Risiken und schafft Vertrauen bei Kunden und Partnern.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
DSGVO
Datenschutz im Unternehmen
Technisch organisatorische Maßnahmen
Verstoß gegen Datenschutz
Redaktion
Ivona Simic
Content & Social Media Manager
Ivona Simic ist Content & Social Media Managerin bei datenschutzexperte.de. Sie verantwortet die redaktionellen Inhalte im CMS und unterstützt SEO & Content Marketing und steigert die Sichtbarkeit. Ihre operativen Stärken liegen in der Organisation und Umsetzung von Online- und Offline-Events, der Steuerung von Kooperationen sowie der Entwicklung und Optimierung von Content für verschiedene digitale Kanäle. Mit einem hands-on Ansatz sorgt sie für effiziente Prozesse und erfolgreiche Kampagnen.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Kündigungsschutz bei Datenschutzbeauftragten
08
.
03
.
2023
Kündigungsschutz bei Datenschutzbeauftragten
Ein interner Datenschutzbeauftragter genießt einen besonderen Kündigungsschutz. Dies hat der EuGH in einem Urteil jüngst bestätigt. Lesen Sie, auf welche gesetzlichen Regelungen es ankommt und was Sie als Arbeitgeber beachten müssen.
Datenschutzgesetze: Rechtliche Grundlagen im Datenschutz
14
.
10
.
2024
Datenschutzgesetze: Rechtliche Grundlagen im Datenschutz
Datenschutzgesetze stehen nicht erst seit der Einführung der Datenschutzgrundverordnung im Fokus des öffentlichen Interesses. Wir erklären Ihnen alles, was es zu den aktuellen Datenschutzgesetzen zu wissen gibt.
Was sind die wichtigsten Fähigkeiten eines Datenschutzbeauftragten?
14
.
10
.
2024
Was sind die wichtigsten Fähigkeiten eines Datenschutzbeauftragten?
Sie wollen im Datenschutz immer auf dem neuesten Stand sein? Wir sind mit topaktuellen Themen zum Datenschutz immer für Sie da!
BSI Standard 200-3 – Die Risikoanalyse als Schlüssel zur IT-Sicherheit für Unternehmen
27
.
03
.
2025
BSI Standard 200-3 – Die Risikoanalyse als Schlüssel zur IT-Sicherheit für Unternehmen
In einer Zeit, in der Cyberangriffe und Datenschutzverletzungen nahezu zur Tagesordnung gehören, ist eine fundierte Risikoanalyse ein entscheidender Baustein für den nachhaltigen Erfolg und die Resilienz von Unternehmen. Der BSI Standard 200-3 liefert hierfür einen systematischen Leitfaden, der nicht nur den aktuellen Herausforderungen gerecht wird, sondern auch eine strategische Perspektive für die Zukunft bietet. Unternehmen, die diesen Standard umsetzen, schaffen die Grundlage für eine ganzheitliche IT-Sicherheit, die sowohl technische als auch organisatorische Aspekte umfasst.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?
30
.
07
.
2025
WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?
Dateiübertragungen sind mehr als nur Cloud–Upload – sie sind ein Datenschutzrisiko. WeTransfer ist ein beliebter Online-Dienst für das Versenden großer Dateianhänge. Mit der kostenlosen Version können Dateien mit einer Größe von bis zu 2 Gigabyte versendet werden. Das ist für AnwenderInnen besonders komfortabel, wenn beispielsweise Fotos oder Videos zu groß für den Versand per E-Mail sind, aber gebündelt und mit hoher Qualität versandt werden sollen. Doch kürzlich hat WeTransfer seine AGBs geändert, was die Frage aufwirft, wie sicher ist diese praktische Möglichkeit der Datenübertragung in Hinblick auf den Datenschutz noch ist. Der folgende Artikel liefert einen Überblick, welche Aspekte aus Sicht der DSGVO als kritisch zu betrachten sind und wie gut SwissTransfer als Alternative abschneidet.
NIS2-Umsetzung in Deutschland: Wie ist der aktuelle Stand beim NIS2UmsuCG?
29
.
07
.
2025
NIS2-Umsetzung in Deutschland: Wie ist der aktuelle Stand beim NIS2UmsuCG?
Während Länder wie Italien und Belgien die NIS2-Richtlinie bereits in nationales Recht umgesetzt haben, hinkt Deutschland bei der NIS2-Umsetzung hinterher. Wann tritt das „NIS2UmsuCG“ für Deutschland in Kraft und was müssen die über 30.000 betroffenen Unternehmen jetzt schon wissen?
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
25
.
07
.
2025
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
Schon heute sind Geschäftsführer verpflichtet, für IT-Sicherheit zu sorgen. Doch mit der neuen NIS2-Richtlinie wird klar: Die Verantwortung liegt unmissverständlich beim Management. Wer Pflichten ignoriert, Maßnahmen nicht überwacht oder auf Schulungen verzichtet, haftet unter Umständen persönlich. Erfahren Sie in diesem Artikel alles über die NIS2-Haftung und warum IT-Sicherheit Chefsache ist.
Interview mit Dr. Herrmann: Alles rund um Digitalisierung, Datenschutz und KI
24
.
07
.
2025
Interview mit Dr. Herrmann: Alles rund um Digitalisierung, Datenschutz und KI
Im Zentrum eines erkenntnisreichen Gesprächs mit Dr. Herrmann, Leiter der Bayerischen Staatskanzlei, standen die Themenschwerpunkte Datenschutz, Bürokratieabbau, Künstliche Intelligenz (KI) und Cybersicherheit. Die folgenden Fragen und Antworten unterstreichen Dr. Herrmanns optimistische Einschätzungen und zeigen Lösungen und Chancen für die digitale Zukunft auf.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!