Die Verarbeitung personenbezogener Daten über Ländergrenzen hinweg ist für viele Unternehmen längst Alltag – sei es beim Einsatz internationaler Cloud-Dienste, globaler Zusammenarbeit oder Outsourcing. Doch sobald Daten die Europäische Union verlassen, gelten strenge Anforderungen. Ein zentrales Instrument, um diese Anforderungen zu erfüllen, sind die sogenannten Standardvertragsklauseln, kurz SCC (Standard Contractual Clauses).
Warum sind Standardvertragsklauseln wichtig?
Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass personenbezogene Daten nur dann in ein Drittland übermittelt werden dürfen, wenn dort ein „angemessenes Datenschutzniveau“ gewährleistet ist. Viele Länder – darunter die USA – verfügen jedoch über kein von der EU anerkanntes Datenschutzniveau. Unternehmen benötigen daher eine zusätzliche rechtliche Grundlage, um solche Übermittlungen rechtssicher durchzuführen.
Genau hier kommen die Standardvertragsklauseln ins Spiel.
Was sind Standardvertragsklauseln?
Standardvertragsklauseln sind von der Europäischen Kommission vorformulierte Vertragsmuster, die Verantwortliche und Auftragsverarbeiter nutzen können, um die Übermittlung personenbezogener Daten in Drittländer abzusichern.
Sie enthalten verbindliche Datenschutzpflichten sowohl für den Datenexporteur (das Unternehmen in der EU) als auch für den Datenimporteur (das Unternehmen im Drittland).
Ziel der Klauseln ist es, sicherzustellen, dass personenbezogene Daten auch außerhalb der EU mit einem ähnlich hohen Schutzniveau verarbeitet werden.
Welche Inhalte regeln SCC?
Standardvertragsklauseln definieren u. a.:
- Zweck und Umfang der Verarbeitung
- Verpflichtungen zur Datensicherheit
- Rechte der betroffenen Personen
- Transparenzpflichten des Datenimporteurs
- Meldepflichten bei Datenschutzverstößen
- Unterauftragsverarbeitungen
- Möglichkeiten der Aufsichtsbehörden, Kontrollen durchzuführen
Sie sind nicht verhandelbar – Unternehmen dürfen sie nicht einfach verändern. Zusätzliche Regelungen sind erlaubt, solange sie nicht im Widerspruch zu den SCC stehen.
Moderne SCC seit 2021
Die EU-Kommission hat 2021 neue, modular aufgebaute Standardvertragsklauseln eingeführt. Sie decken verschiedene Konstellationen ab, etwa:
- Übermittlung zwischen Verantwortlichen
- Übermittlung von Verantwortlichen an Auftragsverarbeiter
- Übermittlung zwischen Auftragsverarbeitern
- Übermittlung von Auftragsverarbeitern an Verantwortliche
Unternehmen können so flexibel jene Module wählen, die ihrem konkreten Datentransfer entsprechen.
Reicht der Einsatz von SCC alleine aus?
Nicht immer. Seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs müssen Unternehmen zusätzlich prüfen, ob im Empfängerland Risiken für die Daten bestehen – etwa durch staatliche Zugriffe. Falls ja, müssen ergänzende Schutzmaßnahmen ergriffen werden, sogenannte zusätzliche technische oder organisatorische Maßnahmen (z. B. Verschlüsselung).
Für wen sind Standardvertragsklauseln relevant?
SCC betreffen praktisch alle Organisationen, die personenbezogene Daten an Dienstleister oder Partner außerhalb der EU übermitteln, darunter:
- Unternehmen, die US-Cloudanbieter nutzen
- Firmen mit internationalem Kundenservice oder Outsourcing
- SaaS-Anbieter mit globaler Infrastruktur
- Konzernverbünde mit Sitz in verschiedenen Ländern
Für viele ist der Einsatz von SCC heute ein unverzichtbarer Bestandteil ihrer Datenschutz-Compliance.
Fazit
Standardvertragsklauseln sind ein wichtiges und häufig genutztes Instrument, um internationale Datenübermittlungen rechtssicher zu gestalten. Sie bieten ein standardisiertes, EU-weit anerkanntes Regelwerk, das Unternehmen hilft, das hohe Schutzniveau der DSGVO auch über die europäischen Grenzen hinweg zu wahren. Dennoch sind SCC kein Selbstläufer – eine sorgfältige Prüfung der Rahmenbedingungen und ggf. ergänzende Schutzmaßnahmen bleiben unverzichtbar.
