Richtiger Umgang mit EU-Standarddatenschutzklauseln (SCC)

Einleitung

Die Übermittlung personenbezogener Daten in unsichere Drittstaaten außerhalb der EU erfordert besondere Maßnahmen, um den Schutz der Daten sicherzustellen. Ein bewährtes Instrument hierfür sind die EU-Standarddatenschutzklauseln oder auch EU-Standardvertragsklauseln genannt (SCC), ergänzt durch das verpflichtende Transfer Impact Assessment (TIA).

Was sind EU-Standarddatenschutzklauseln (SCC)?

SCC sind von der Europäischen Kommission verabschiedete Vertragsmuster, die einen angemessenen Datenschutz bei der Übermittlung personenbezogener Daten in Drittländer gewährleisten sollen. Sie bieten Rechtssicherheit und gewährleisten, dass Unternehmen DSGVO-konform handeln. Zuletzt wurden die SCC in aktualisierter Form am 04. Juni 2021 von der Europäischen Kommission veröffentlicht.

Wann sind SCC verpflichtend?

Unternehmen, die personenbezogene Daten aus der EU in unsichere Drittländer übertragen (z. B. Nutzung von Cloud-Diensten in den USA), müssen grundsätzlich SCC abschließen, sofern keine Angemessenheitsentscheidung der EU-Kommission gem. Art. 45 DSGVO vorliegt. Es gibt noch weitere mögliche Ausnahmen, wenn keine SCC erforderlich sind, welche später im Beitrag behandelt werden.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Wie werden SCC richtig angewendet?

Die Anwendung von Standarddatenschutzklauseln (SCC) ist ein zentraler Bestandteil des Datenschutzes bei internationalen Datentransfers. Seit dem Inkrafttreten der DSGVO und insbesondere nach dem Schrems II-Urteil des EuGH sind Unternehmen verpflichtet, bei der Übermittlung personenbezogener Daten in Drittländer ein angemessenes Schutzniveau sicherzustellen – genau hier kommen SCC ins Spiel.

Damit Standarddatenschutzklauseln rechtswirksam und DSGVO-konform eingesetzt werden können, müssen folgende Punkte beachtet werden:

1. Auswahl der richtigen Modulvariante

Die Standarddatenschutzklauseln bestehen aus mehreren Modulen, die je nach Beziehung zwischen den beteiligten Parteien ausgewählt werden müssen. Folgende Modulvarianten stehen zur Verfügung:

Controller zu Controller (C2C) – z. B. bei der Übertragung von Kundendaten zwischen zwei eigenständigen Unternehmen (Intercompany).
Controller zu Processor (C2P) – z. B. wenn ein Unternehmen Daten an einen externen Auftragsverarbeiter zur Verarbeitung weitergibt.
Processor zu Processor (P2P) – z. B. wenn ein Auftragsverarbeiter Unteraufträge an weitere Unterauftragsverarbeiter vergibt.
Processor zu Controller (P2C) – z. B. wenn ein Auftragsverarbeiter Daten an einen Verantwortlichen in einem Drittland zurückgibt.

Die Wahl des falschen Moduls kann zur Unwirksamkeit der Standarddatenschutzklauseln führen – daher ist hier besondere Sorgfalt gefragt.

2. Integration der SCC in Verträge

Die SCC müssen korrekt in bestehende oder neue Verträge integriert werden. Dies kann entweder direkt im Vertragstext erfolgen oder durch einen separaten Anhang, der klar als Bestandteil des Vertrags gekennzeichnet ist. Wichtig ist, dass keine Änderungen an den Standardklauseln vorgenommen werden – dies würde ihre Gültigkeit gefährden.

3. Klare Definition der datenschutzrechtlichen Verantwortlichkeiten

Im Vertrag selbst sollten die Verantwortlichkeiten in Bezug auf Datenschutz klar geregelt sein: Wer ist für welche Verarbeitung zuständig? Wer trägt welche Pflichten? Diese Transparenz ist nicht nur im Sinne der DSGVO, sondern schützt auch beide Vertragsparteien vor Missverständnissen und Haftungsrisiken.

4. Sicherstellung der Umsetzung und Einhaltung

Die Empfänger der Daten – insbesondere in Drittländern – müssen tatsächlich in der Lage sein, die Anforderungen der SCC einzuhalten. Unternehmen müssen daher prüfen und dokumentieren, ob:

die technischen und organisatorischen Maßnahmen ausreichen,
die lokale Gesetzgebung verhindert die Einhaltung der Klauseln nicht,
und bei Bedarf zusätzliche Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung) ergriffen werden.

Was ist das Transfer Impact Assessment (TIA)?

Ein TIA ist eine datenschutzrechtliche Risikobewertung, die begleitend zu den SCC verpflichtend durchzuführen ist. Ziel ist es, sicherzustellen, dass die Gesetze und Praktiken im Drittland das Datenschutzniveau der EU nicht untergraben. Die Durchführung des TIA gelingt am einfachsten, wenn Unternehmen eine Datenschutzmanagement-Software einsetzen. Dort kann oftmals vorlagenbasiert ein TIA in wenigen Schritten erstellt werden.

Zugriff auf mehr als 300 Vorlagen.

Unsere Software beinhaltet Vorlagen von Juristen für alle Aufgaben (VVT, DSFA, AVV, TOMs etc.).

Welche Alternativen gibt es zu Standarddatenschutzklauseln?

Die Standarddatenschutzklauseln (SCC) sind das am häufigsten genutzte Instrument zur rechtssicheren Übermittlung personenbezogener Daten in sogenannte Drittländer – also Länder außerhalb der EU bzw. des EWR. Doch sie sind nicht die einzige Möglichkeit. Die Datenschutz-Grundverordnung (DSGVO) sieht auch Alternativen zu Standarddatenschutzklauseln vor. Diese können – je nach Anwendungsfall – sinnvoll oder sogar notwendig sein.
Hier ein Überblick über die wichtigsten Alternativen:

1. Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)

Wenn die EU-Kommission feststellt, dass ein Drittland ein angemessenes Datenschutzniveau bietet, darf eine Datenübertragung dorthin ohne weitere Maßnahmen erfolgen. Dies wird in einem sogenannten Angemessenheitsbeschluss festgehalten.
Beispiele für Länder mit Angemessenheitsbeschluss: Schweiz, Japan, Kanada (teilweise), Südkorea, Vereinigtes Königreich, Israel u. a.

Vorteil: Keine zusätzlichen Vertragsklauseln oder Prüfpflichten erforderlich.
Nachteil: Nur wenige Länder weltweit erfüllen diese Anforderungen. Für die USA gilt dies z. B. nur eingeschränkt (aktuell über das Data Privacy Framework).

2. Verbindliche interne Datenschutzvorschriften – Binding Corporate Rules (BCR) (Art. 47 DSGVO)

Binding Corporate Rules (BCR) sind unternehmensinterne Datenschutzrichtlinien für internationale Konzerne. Sie ermöglichen konzerninterne Datentransfers – etwa von der EU-Zentrale an Niederlassungen außerhalb Europas.

Vorteil: Maßgeschneidert und flexibel einsetzbar für komplexe Konzernstrukturen.
Nachteil: Müssen von den zuständigen Datenschutzbehörden genehmigt werden – das Verfahren ist langwierig und aufwändig.

3. Ausdrückliche Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a DSGVO)

Eine Übermittlung personenbezogener Daten kann erfolgen, wenn die betroffene Person ausdrücklich und informiert eingewilligt hat.

Vorteil: Einfach umzusetzen, wenn Einwilligungen klar formuliert und leicht einzuholen sind.
Nachteil: Hohe Anforderungen an Transparenz. Die Einwilligung muss freiwillig, spezifisch und widerrufbar sein – in der Praxis oft unpraktikabel bei regelmäßigen oder großvolumigen Transfers.

4. Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 49 Abs. 1 lit. b DSGVO)

Ist die Datenübertragung notwendig, um einen Vertrag mit der betroffenen Person zu erfüllen – z. B. bei einer Hotelbuchung im Ausland – kann dies eine zulässige Grundlage sein.

Vorteil: Praktikabel für Einzelfälle mit direktem Bezug zur betroffenen Person.
Nachteil: Nicht geeignet für dauerhafte oder automatisierte Übermittlungen (z. B. Cloud-Dienste).

5. Wichtiges öffentliches Interesse oder Rechtsansprüche (Art. 49 Abs. 1 lit. d/e DSGVO)

Auch in besonderen Fällen wie der Verteidigung von Rechtsansprüchen oder bei wichtigen öffentlichen Interessen kann eine Übermittlung zulässig sein.

Vorteil: Hilfreich bei rechtlichen Auseinandersetzungen oder im behördlichen Kontext.
Nachteil: Sehr eng gefasst, nicht anwendbar für standardmäßige, kommerzielle Datentransfers.

Fazit

Die Wahl der Alternative hängt vom Umfang, Zweck und regelmäßigen Charakter des Transfers ab. In der Praxis sind Standarddatenschutzklauseln (SCC) aufgrund ihrer Flexibilität und Einfachheit das bevorzugte Mittel. Alternativen eignen sich jedoch vor allem, wenn SCC nicht praktikabel oder genehmigungsfähige interne Regelungen (BCR) möglich sind.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy