EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer

- Die neuen EU-Standardvertragsklauseln (SCC) sind seit 27.09.2021 für neue und seit 27.12.2022 für alle bestehenden Verträge verpflichtend.
- Der modulare Aufbau der SCC ermöglicht passgenaue Lösungen für verschiedene Datentransferszenarien.
- Für jeden internationalen Datentransfer ist eine dokumentierte Risikoanalyse (Transfer Impact Assessment, TIA) Pflicht.
- Behördenzugriffe auf Daten müssen vom Datenimporteur dem Datenexporteur gemeldet werden.
- Für Datentransfers in die USA ist seit Juli 2023 das EU-US Data Privacy Framework (DPF) zu prüfen; andernfalls bleiben SCC und TIA erforderlich.
- Item A
- Item B
- Item C
In Fachkreisen wurde die Einführung dieser neuen SCC lange erwartet: Sie bringen insbesondere nach dem Schrems II Urteil mehr Rechtssicherheit und erfüllen die Anforderungen der DSGVO. Für Unternehmen entsteht dadurch jedoch unmittelbarer Handlungsbedarf. Wir erläutern, was Sie jetzt wissen und beachten müssen.
Was sind EU-Standardvertragsklauseln?
Standardvertragsklauseln, kurz auch SCC genannt (aus dem Englischen für „Standard Contractual Clauses“) werden für Datentransfers personenbezogener Daten in Drittländer außerhalb der EU benötigt. In diesen Drittländern gilt die DSGVO nicht, also braucht es für einen Datentransfer andere Datenschutzgarantien für ein angemessenes Datenschutzniveau. Hier greifen die SCC: Für die Datenübermittlung personenbezogener Daten in Drittländer sollen sie ein Datenschutzniveau garantieren, welches dem der DSGVO gleich ist. Abgeschlossen werden die Standardvertragsklauseln zwischen Verantwortlichen und der Stelle im Ausland, an die die Daten fließen – dies ist meist auch ein Unternehmen oder ein Online-Dienst wie Mailchimp.
Datenschutzrechtlich immer auf dem neusten Stand
In der Welt des Datenschutzes gibt es nahezu täglich Neuerungen oder Aktualisierungen der gesetzlichen Regelungen. Hierbei ist es wichtig, immer auf dem neusten Stand zu bleiben und entsprechend zu agieren. Mithilfe einer Datenschutzsoftware können Sie nicht nur zuverlässig arbeiten, sondern auch Zeit und Ressourcen sparen.
Wofür werden die DSGVO-Standardvertragsklauseln benötigt?
Für die Übermittlung personenbezogener Daten in ein Nicht-EU-Land bedarf es zwei Dinge:
- Eine gültige Rechtsgrundlage
- Eine geeignete Garantie im Sinne des Art. 44 ff. DSGVO.
Diese Garantie wird, wie eingangs bereits erwähnt, beispielsweise durch den Abschluss von Standardvertragsklauseln gewährleistet. Für manche Drittländer hat die EU-Kommission durch den sogenannten Angemessenheitsbeschluss für solche Garantien gesorgt. Für die Drittländer, für die es keine solchen Beschlüsse gibt, müssen SCC abgeschlossen werden.
In der Praxis werden DSGVO-Standardvertragsklauseln beispielsweise benötigt, wenn:
- Sie eine Software oder eine Dienstleistung verwenden, die personenbezogene Daten in ein Nicht-EU-Ausland übermittelt, wie bei Google Analytics oder YouTube.
- Sie eine Software oder eine Dienstleistung anbieten und mit FreelancerInnen arbeiten, die im Nicht-EU-Ausland sitzen. Dies ist beispielsweise bei ProgrammiererInnen, die aus dem Ausland arbeiten oder bei nicht inländischen Callcentern der Fall.
Für Datentransfers in die USA ist seit Juli 2023 das EU-US Data Privacy Framework(DPF) relevant. Unternehmen sollten prüfen, ob ihr US-Dienstleister unter das DPF fällt. Ist dies nicht der Fall, sind weiterhin die neuen SCC sowie ein TIA erforderlich. Das DPF kann in bestimmten Fällen die rechtliche Grundlage für den Datentransfer vereinfachen, ersetzt jedoch nicht in allen Konstellationen die SCC.
Was hat sich bei den neuen EU-Standardvertragsklauseln geändert?
Die neuen EU-Standardvertragsklauseln sind hinsichtlich der Gestaltung der Datentransfers in Drittländer flexibler, allerdings auch umfangreicher. Im Wesentlichen haben sich folgende Punkte gegenüber den alten SCC geändert:
- Modularer Aufbau: Dieser neue Aufbau bricht die bisherige lineare Konstellation zwischen Verantwortlichen und Verantwortlichen, beziehungsweise Verantwortlichen und Auftragsverarbeitern auf. Nun gibt es für verschiedene Anwendungsfälle Module, aus denen bei dem Abschluss einer SCC ausgewählt werden kann. Diese gestalten sich wie folgt:
- Modul 1: Datenübermittlung zwischen zwei Verantwortlichen.
- Modul 2: Datenübermittlung Verantwortlicher an Auftragsverarbeiter.
- Modul 3: Datenübermittlung von einem Auftragsverarbeiter an einen (Unter-)Auftragsverarbeiter.
- Modul 4: Datenübermittlung (Rückübermittlung) Auftragsverarbeiter innerhalb der EU an einen Verantwortlichen im Drittland.
- Behördenzugang zu Daten: Wollen Behörden Zugang zu den übertragenen Daten, so muss sich der Datenimporteur darum kümmern, dass der Datenexporteur und eventuell betroffene Personen diesbezüglich informiert werden.
- Kopplungsklausel: Standardvertragsklauseln können jetzt auch zwischen mehr als zwei Parteien geschlossen werden. Zudem können dritte Parteien unter bestimmten Umständen bereits geschlossenen SCCs beitreten.
Neben dem Abschluss der neuen Standardvertragsklauseln (SCC) ist für jeden Datentransfer in ein Drittland ein sogenanntes Transfer Impact Assessment (TIA) verpflichtend durchzuführen und zu dokumentieren. Unternehmen müssen im Rahmen des TIA prüfen und nachweisen, dass das Datenschutzniveau im Empfängerland dem der EU entspricht. Die Aufsichtsbehörden verlangen diese Risikoanalyse ausdrücklich. Ohne ein TIA drohen Bußgelder und aufsichtsbehördliche Maßnahmen.
Ab wann müssen die neuen Standardvertragsklauseln genutzt werden?
Für die Verwendung der neuen DSGVO-Standardvertragsklauseln gibt es zwei wichtige Fristen zu beachten:
- Seit dem 27.09.2021 müssen alle neue abgeschlossenen Verträge für internationale Datentransfers ausschließlich auf Basis der neuen SCC erfolgen. Die Verwendung der alten Standardvertragsklausel-Vorlagen ist nicht mehr zulässig.
- Seit dem 27.12.2022 dürfen auch bestehende Verträge nur noch mit den neuen SCC fortgeführt werden. Die Übergangsfrist zur Umstellung ist abgelaufen – alte Standardvertragsklauseln sind seither ungültig. Unternehmen, die diese Frist versäumt haben, riskieren aufsichtsbehördliche Maßnahmen und Bußgelder.
Was bedeutet das und wie werden die neuen SCC umgesetzt?
Alle bereits bestehenden SCC müssen auf die neuen umgestellt sein. Wenn neue Standardvertragsklauseln abgeschlossen werden, gehen Sie wie folgt vor:
- Wählen und verwenden Sie das passende der vier SC-Module entsprechend Ihrer Übertragungssituation.
- Führen Sie vor dem Abschluss die bereits angesprochene Risikoanalyse (TIA) durch. Ziehen Sie hierfür unbedingt Ihren Datenschutzbeauftragten hinzu, um rechtliche Risiken zu minimieren.
- Dokumentieren Sie alle Schritte und Entscheidungen ausführlich, da die neuen SCC eine umfassende Dokumentationspflicht vorsehen.
- Überwachen Sie laufend die Rechtslage und passen Sie Ihre Verträge und Prozesse bei Bedarf an neue regulatorische Entwicklungen an.
Auch nach der erfolgreichen Umstellung auf die neuen Standardvertragsklauseln sollten Unternehmen ihre SCC und die damit verbundenen Prozesse regelmäßig überprüfen. Änderungen der Rechtslage, neue Dienstleister oder veränderte Datenflüsse können Anpassungen erforderlich machen. Eine kontinuierliche Überwachung und Aktualisierung ist unerlässlich, um dauerhaft rechtskonform zu bleiben.
Viele große Unternehmen stellen Ihre eigenen SCC zur Verfügung. Haben Sie ein solches nicht, dann finden Sie das Muster für die Standardvertragsklauseln hier:
- Standardvertragsklausel Muster zur Verwendung zwischen Verantwortlichen und Auftragsverarbeitern
- Standardvertragsklauseln für internationale Datentransfers
Branchenspezifische Anforderungen und Sensibilitäten
In sensiblen Branchen wie dem Gesundheitswesen, der Finanzdienstleistung oder im öffentlichen Sektor gelten häufig zusätzliche Anforderungen an internationale Datentransfers. Unternehmen sollten prüfen, ob für ihre Datenverarbeitungen branchenspezifische Vorgaben oder erhöhte Risiken bestehen, und gegebenenfalls zusätzliche Schutzmaßnahmen implementieren.
Fazit: SCC essenziell – aber nicht im Alleingang
Die Standardvertragsklauseln (SCC) der EU stellen Unternehmen weiterhin vor erhebliche Herausforderungen, bieten aber auch einen klaren Rahmen für rechtskonforme internationale Datentransfers. Neben der reinen Vertragsumstellung ist insbesondere die Durchführung und Dokumentation eines Transfer Impact Assessments (TIA) für jeden Datentransfer in ein Drittland verpflichtend. Unternehmen müssen ihre Prozesse regelmäßig überprüfen und an neue rechtliche Entwicklungen anpassen – insbesondere im Hinblick auf das EU-US Data Privacy Framework und branchenspezifische Anforderungen.
Ein zentrales Element für nachhaltige Compliance ist die lückenlose Dokumentation und Nachweisführung: Sowohl die abgeschlossenen SCC als auch die TIAs müssen nachvollziehbar und prüfbar aufbewahrt werden. Nur so können Unternehmen im Falle einer behördlichen Prüfung oder eines Audits nachweisen, dass sie ihren datenschutzrechtlichen Verpflichtungen nachgekommen sind. Wer diese Anforderungen ernst nimmt und konsequent umsetzt, minimiert Risiken und schafft Vertrauen bei Kunden und Partnern.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.





Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.