Standardvertragsklauseln (SCC) – Drittlandtransfer

Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind von der EU vorgegebene Vertragsmuster, mit denen Unternehmen personenbezogene Daten rechtmäßig in ein „Drittland“ außerhalb der EU/des EWR übermitteln können (z. B. in die USA), wenn dort kein angemessenes Datenschutzniveau garantiert ist. SCC sind ein wichtiges Instrument nach DSGVO, ersetzen aber nicht die Pflicht, das tatsächliche Schutzniveau im Empfängerland zu prüfen.

Was bedeutet „Drittlandtransfer“ bei SCC?

Ein Drittlandtransfer liegt vor, wenn personenbezogene Daten (z. B. Kundendaten, Mitarbeiterdaten, Support-Tickets, IP-Adressen) an einen Empfänger außerhalb EU/EWR übermittelt werden – etwa an einen Cloud-Provider, einen IT-Dienstleister oder einen Konzernstandort. Typische KMU-Fälle sind Hosting, E-Mail-Marketing, CRM, Support-Tools oder der Einsatz von KI-Diensten wie ChatGPT bzw. Generative KI (Generative AI), wenn dabei Daten in Drittländer gelangen.

Wie funktionieren Standardvertragsklauseln (SCC)? (Praxis-Check in 5 Schritten)

• 1) Transfer identifizieren: Welche Daten gehen wohin, zu welchem Zweck, an welchen Anbieter/Unterauftragnehmer?
• 2) Passende SCC wählen: Es gibt Module je nach Rollen (Verantwortlicher↔Verantwortlicher, Verantwortlicher↔Auftragsverarbeiter usw.).
• 3) SCC abschließen und Anhänge ausfüllen: Besonders wichtig: Beschreibung der Verarbeitung, Kategorien der Daten, Betroffenen, technische und organisatorische Maßnahmen (TOM).
• 4) Transfer Impact Assessment (TIA) durchführen: Prüfen, ob im Empfängerland Gesetze/Behördenzugriffe die SCC unterlaufen könnten (Schrems-II-Kontext). Ergebnis dokumentieren.
• 5) Zusatzmaßnahmen umsetzen: Falls nötig z. B. starke Verschlüsselung (kundenseitig), Pseudonymisierung, strikte Zugriffsrechte, Datenminimierung, Audit-/Transparenzpflichten, klare Löschkonzepte.

Warum sind SCC für KMU wichtig?

Viele Standard-Tools haben Server, Support oder Unterauftragnehmer außerhalb der EU. Ohne geeignete Garantien riskieren KMU Datenschutzverstöße, Bußgelder, Abmahnungen und Vertrauensverlust. SCC sind oft der pragmatischste Weg, Drittlandtransfers abzusichern – insbesondere, wenn keine Angemessenheitsentscheidung greift oder wenn Anbieter nicht unter einem alternativen Mechanismus nutzbar sind.

Beispiele aus dem Alltag

• US-Cloud für E-Mail/Dateien: SCC im Vertrag + TIA + Verschlüsselung/Key-Management, Rollen- und Rechtekonzept.
• Support-Tool mit globalem Zugriff: SCC + Einschränkung von Support-Zugriffen (Just-in-time, Protokollierung), Datenmaskierung in Tickets.
• KI-Tool für Textentwürfe: Vor dem Einsatz klären, ob personenbezogene Daten übertragen werden; wenn ja: SCC/TIA, Data Minimization (Datenminimierung), ggf. PII-Redaktion und interne Nutzungsregeln.

Wichtige Hinweise (häufige Stolperfallen)

• SCC sind nicht „set and forget“: Änderungen bei Subprozessoren, Speicherorten oder Rechtslage können eine Aktualisierung von TIA und Maßnahmen erfordern.
• SCC ersetzen keine AVV: Bei Auftragsverarbeitung brauchen Sie zusätzlich eine Data Processing Agreement (DPA/AVV).
• Dokumentation zählt: Halten Sie TIA, TOM, Anbieterangaben und Entscheidungsgründe nachvollziehbar fest (Rechenschaftspflicht).

Merksatz: SCC sind der vertragliche „Rahmen“ für Drittlandtransfers – rechtssicher wird es erst durch die Kombination aus passenden SCC-Modulen, sauber ausgefüllten Anhängen, dokumentiertem TIA und wirksamen technischen/organisatorischen Zusatzmaßnahmen.