Kowoll Protects Logo +49 7071 770371

Glossar

Standardvertragsklauseln (SCCs)

Von der EU-Kommission genehmigte Mustervertragstexte für die Übermittlung personenbezogener Daten in Drittländer.

Definition

Standardvertragsklauseln (Standard Contractual Clauses, SCCs) sind von der EU-Kommission durchgeführte Mustervertragstexte, mit denen Unternehmen die Übermittlung personenbezogener Daten in Drittländer absichern können. Sie sind eine der wichtigsten “geeigneten Garantien” nach Art. 46 Abs. 2 lit. c DSGVO.

Die aktuellen SCCs wurden im Juni 2021 von der EU-Kommission verabschiedet (Durchführungsbeschluss 2021/914). Sie ersetzen die alten SCCs aus 2001/2004/2010 — alte Verträge mussten bis Ende 2022 umgestellt werden.

In der Praxis

Die SCCs 2021 sind modular aufgebaut. Es gibt vier Module:

  • Modul 1: Verantwortlicher → Verantwortlicher (Controller-to-Controller)
  • Modul 2: Verantwortlicher → Auftragsverarbeiter (Controller-to-Processor) — am häufigsten
  • Modul 3: Auftragsverarbeiter → Auftragsverarbeiter (Processor-to-Processor)
  • Modul 4: Auftragsverarbeiter → Verantwortlicher (Processor-to-Controller, z.B. Daten zurück an Auftraggeber im Drittland)

Je nach Konstellation wird ein anderes Modul gewählt. In den meisten KMU-Fällen ist Modul 2 relevant — etwa bei der Nutzung von US-Cloud-Diensten als Auftragsverarbeiter.

Seit Schrems II reichen die SCCs allein nicht — zusätzlich muss eine “Transfer Impact Assessment” (TIA) durchgeführt werden, die das tatsächliche Schutzniveau im Drittland bewertet und ggf. ergänzende Maßnahmen ableitet.

Was Sie tun müssen

Praktische Umsetzung mit US-Cloud-Anbietern:

  • Prüfen, ob der Anbieter im “EU-US Data Privacy Framework” zertifiziert ist (Liste online): wenn ja, sind SCCs nicht zwingend nötig
  • Wenn nein: SCCs Modul 2 als Anhang zum AVV abschließen — fast alle US-Anbieter haben das standardmäßig
  • TIA durchführen: Welche Behörden-Zugriffe sind in den USA möglich? Sind unsere Daten besonders sensibel? Welche TOMs schützen ergänzend?
  • Ergänzende Maßnahmen prüfen — End-to-End-Verschlüsselung, Pseudonymisierung, EU-Datenregion beim Cloud-Anbieter
  • Im Verarbeitungsverzeichnis als Drittland-Übermittlung kennzeichnen mit Verweis auf SCCs
  • Datenschutzerklärung anpassen

Wer mit Microsoft 365, Google Workspace, AWS, OpenAI und Co. arbeitet, hat fast immer die SCC-Konstellation. Bei Kowoll-Mandanten ist die Drittland-Doku Bestandteil des Festpreis-Pakets — siehe Leistungen.

Verwandte Begriffe und Seiten