Glossar · EU-US-Datentransfer Standardvertragsklauseln (SCCs)
Von der EU genehmigte Vertragsvorlagen, die eine Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU in Drittländer ohne Angemessenheitsbeschluss schaffen.
## Was SCCs tatsächlich sind
Standardvertragsklauseln (SCCs) sind vorab genehmigte Vertragsvorlagen der Europäischen Kommission, die eine Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU in Drittländer ohne Angemessenheitsbeschluss schaffen. SCCs sind einer von mehreren Mechanismen (neben Angemessenheitsbeschlüssen, BCRs und Ausnahmen), die DSGVO-Artikel 46 für internationale Datentransfers erlaubt.
Die aktuellen SCCs wurden im Juni 2021 angenommen und ersetzten frühere Versionen von 2010 und 2004. Die Aktualisierung 2021 wurde speziell entwickelt, um Schrems-II-Bedenken zu adressieren, indem sie Anforderungen an Transfer Impact Assessments einbezog und klarere Pflichten für beide Parteien bereitstellte.
## Wie SCCs funktionieren
SCCs sind Vorlagen, die Organisationen, die Daten übermitteln, mit ihren Datenverarbeitern oder -verantwortlichen in Nicht-EU-Ländern unterzeichnen. Die unterzeichneten SCCs werden zu rechtlich verbindlichen vertraglichen Pflichten, die:
1. Den Datenimporteur (Nicht-EU-Empfänger) verpflichten, EU-äquivalenten Datenschutz anzuwenden
2. Betroffenen Rechte einräumen, die gegenüber dem Importeur durchsetzbar sind
3. Pflichten zur Bewertung und Adressierung rechtlicher Unterschiede im Zielland schaffen
4. Haftung und Rechtsbehelfe bei Verstößen festlegen
## Die vier SCC-Module
Die SCCs von 2021 enthalten vier Module, die unterschiedliche Transferszenarien abdecken:
### Modul 1: Verantwortlicher zu Verantwortlichem
Wo sowohl der EU-Exporteur als auch der Nicht-EU-Importeur Verantwortliche sind — zum Beispiel ein europäisches Unternehmen, das Kundendaten mit einem US-Partner teilt, der sie für eigene Zwecke verarbeitet.
### Modul 2: Verantwortlicher zu Auftragsverarbeiter
Wo der EU-Exporteur Verantwortlicher und der Nicht-EU-Importeur Auftragsverarbeiter ist — das häufigste Szenario. Wird verwendet, wenn ein europäisches Unternehmen einen US-basierten SaaS-Anbieter als Verarbeiter einsetzt (Cloud-Speicher, Analytik, CRM usw.).
### Modul 3: Auftragsverarbeiter zu Auftragsverarbeiter
Wo sowohl EU-Exporteur als auch Nicht-EU-Importeur Auftragsverarbeiter sind — zum Beispiel, wenn ein europäischer Cloud-Anbieter einen US-basierten Unterauftragsverarbeiter einsetzt.
### Modul 4: Auftragsverarbeiter zu Verantwortlichem
Wo der EU-Exporteur Auftragsverarbeiter und der Nicht-EU-Importeur Verantwortlicher ist — weniger häufig; verwendet, wenn ein europäischer Verarbeiter Daten an einen Nicht-EU-Verantwortlichen zurückgibt.
Für die meisten europäischen Unternehmen ist Modul 2 das relevanteste — es wird verwendet, wenn US-basierte SaaS-Anbieter als Verarbeiter beauftragt werden.
## Was SCCs erfordern
Unterzeichnete SCCs verhängen erhebliche Pflichten gegenüber beiden Parteien:
### Auf den Datenexporteur (EU-Seite)
- Transfer Impact Assessment vor dem Transfer durchführen
- Ergänzende Maßnahmen dokumentieren, wo der Rechtsrahmen unzureichend ist
- Sicherstellen, dass der Empfänger vertraglichen Pflichten nachkommt
- Betroffene über den Transfer in Datenschutzhinweisen informieren
- Verarbeitungsverzeichnisse einschließlich Transferdetails führen
### Auf den Datenimporteur (Nicht-EU-Seite)
- EU-äquivalente Datenschutzgrundsätze anwenden
- Rechte Betroffener wie ein EU-Verantwortlicher respektieren
- Den Exporteur über behördliche Datenzugangsanfragen benachrichtigen (wo rechtlich zulässig)
- Rechtswidrige Überwachungsanfragen wo möglich anfechten
- Umfassende Informationen über den lokalen Rechtsrahmen bereitstellen
- Sich der Durchsetzung durch EU-Datenschutzbehörden unterwerfen
### Auf beide Parteien
- Alle Transfers und ergänzenden Maßnahmen dokumentieren
- Mit Datenschutzbehörden kooperieren
- Haftung für Verstöße einschließlich finanzieller Entschädigung aufrechterhalten
## Warum SCCs allein nicht ausreichen
Das Schrems-II-Urteil stellte klar, dass SCCs allein nicht ausreichen, wo rechtliche Rahmen der Zielländer unter dem Standard der DSGVO „im Wesentlichen gleichwertige" Garantien fallen. Das Gericht entschied:
1. SCCs bleiben als rechtliche Instrumente gültig
2. Aber Datenexporteure müssen überprüfen, ob vertragliche Schutzmaßnahmen rechtliche Unterschiede ausgleichen können
3. Diese Überprüfung ist das [Transfer Impact Assessment](/de/glossary/transfer-impact-assessment/) (TIA)
4. Wenn das TIA zeigt, dass vertragliche Schutzmaßnahmen unzureichend sind, sind ergänzende Maßnahmen erforderlich
5. Wenn keine Kombination von Maßnahmen angemessenen Schutz erreicht, darf der Transfer nicht stattfinden
Speziell für US-Transfers bedeutet dies SCCs + TIA + angemessene ergänzende Maßnahmen (typischerweise Verschlüsselung mit EU-kontrollierten Schlüsseln, robuste Zugriffskontrollen, Transparenzmechanismen) — nicht SCCs allein.
## SCCs und das Data Privacy Framework
Das EU-US Data Privacy Framework (DPF), 2023 angenommen, vereinfachte einige US-Transfers. Für Transfers an DPF-zertifizierte US-Unternehmen bietet der Angemessenheitsbeschluss eine Rechtsgrundlage ohne SCCs.
SCCs bleiben jedoch wichtig:
- Für US-Empfänger, die nicht DPF-zertifiziert sind
- Als Fallback, falls das DPF für ungültig erklärt wird (Schrems-III-Szenario)
- Für Transfers in Nicht-US-Länder ohne Angemessenheitsbeschluss
- Für spezifische Szenarien, die das DPF nicht abdeckt
Die meisten europäischen Unternehmen halten SCCs für US-Transfers auch dann bereit, wenn DPF-Abdeckung verfügbar ist — als rechtliche Redundanz.
## Häufige SCC-Umsetzungsprobleme
Mehrere Muster führen zu unzureichender SCC-Umsetzung:
### 1. Generische Vorlagen ohne Anpassung
SCCs sind Vorlagen, erfordern aber Anpassung (Anhang mit spezifischen Transferdetails, technische und organisatorische Maßnahmen usw.). Generische Ausführung ohne Anpassung erfüllt die Anforderungen nicht.
### 2. Fehlende TIAs
Das Unterzeichnen von SCCs ohne Durchführung von TIAs ist die häufigste Compliance-Lücke. Schrems II machte TIAs verpflichtend, aber viele Organisationen haben den Workflow nicht umgesetzt.
### 3. Unzureichende ergänzende Maßnahmen
Identifizierung ergänzender Maßnahmen ohne tatsächliche Umsetzung. Die Dokumentation sollte die tatsächliche Umsetzung widerspiegeln.
### 4. Keine periodische Überprüfung
SCCs benötigen periodische Überprüfung, wenn sich das Recht des Ziellandes ändert. Die EO 14086 von 2022 änderte den US-Rahmen — SCC-basierte Transfers hätten überprüft werden müssen.
### 5. Dokumentation der Unterauftragsverarbeiterkette
Wenn Importeure Unterauftragsverarbeiter einsetzen, müssen diese Beziehungen dokumentiert werden. SCCs erfordern Weitergabe an Unterauftragsverarbeiter, aber die Ausführung ist oft lückenhaft.
## SCCs vs. andere Transfermechanismen
Für europäische Unternehmen, die zwischen Transfermechanismen wählen:
| Mechanismus | Am besten für | Operative Komplexität |
|---|---|---|
| **Angemessenheitsbeschluss** | Transfers in Angemessenheitsländer (Vereinigtes Königreich, Schweiz usw.) | Am niedrigsten |
| **DPF (sofern anwendbar)** | Transfers an zertifizierte US-Unternehmen | Niedrig |
| **SCCs + TIA** | Transfers in Nicht-Angemessenheitsländer | Mittel |
| **BCRs** | Konzerninterne Transfers innerhalb von Multinationals | Hohe Einrichtung, niedrig laufend |
| **Ausnahmen** | Bestimmte enge Situationen | Begrenzte Anwendbarkeit |
Für die meisten europäischen Unternehmen mit US-Anbietern sind SCCs (möglicherweise zusätzlich zum DPF) plus TIAs das praktische Muster.
## Was 2026-2027 bringt
Mehrere Faktoren beeinflussen die SCC-Praxis:
### Mögliches Schrems III
Wenn das DPF für ungültig erklärt wird, kehrt SCC + TIA als primärer US-Transfermechanismus zurück. Das Volumen SCC-basierter Transfers würde erheblich zunehmen.
### Aktualisierte SCCs möglich
Die Kommission könnte aktualisierte SCCs veröffentlichen, die Lehren aus der aktuellen Umsetzung widerspiegeln. Zeitrahmen unsicher, aber möglich 2026-2027.
### Sektorspezifische Ansätze
Einige Branchen entwickeln standardisierte Ansätze zur SCC-Umsetzung und reduzieren so Compliance-Aufwand pro Transfer.
### Reife der Werkzeuge
Legal-Tech-Tools (Palqee, Keepabl, andere) unterstützen zunehmend den SCC-Management-Workflow.
## Praktische Auswirkungen
Für europäische Unternehmen, die 2026 Transfers managen:
1. **SCCs für alle Nicht-Angemessenheits-Transfers aufrechterhalten** — auch für solche, die unter das DPF fallen, als rechtliche Redundanz
2. **SCC-Anhänge anpassen** — generische Vorlagen sind nicht angemessen
3. **TIAs neben SCC-Ausführung durchführen und dokumentieren**
4. **Ergänzende Maßnahmen tatsächlich umsetzen** — nicht nur auf dem Papier identifizieren
5. **Periodische SCC-Überprüfung** — jährliches Minimum, mehr, falls sich das Recht des Ziellandes ändert
6. **Weitergabe an Unterauftragsverarbeiter abbilden** — Kette SCC-äquivalenter Pflichten überprüfen
Für die meisten europäischen Unternehmen bleibt die operative Antwort: Wo möglich, [EU-Verarbeitung](/de/compliance/eu-data-residency/) wählen, um SCC-Anforderungen ganz zu vermeiden. Wo US- oder andere Nicht-EU-Anbieter notwendig sind, rigorose SCC-Umsetzung als laufende Compliance-Praxis aufrechterhalten.
War das hilfreich?
Danke für Ihr Feedback!