Standardvertragsklauseln (SCCs) zur Einhaltung der DSGVO verstehen

Standardvertragsklauseln (SCCs) sind von der Europäischen Kommission ausgearbeitete Klauseln, die dazu beitragen sollen, die Einhaltung der DSGVO bei der Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) zu gewährleisten.

In diesem Artikel wird erläutert, wie SCCs funktionieren , wann und wie sie verwendet werden und wie Sie die SCCs Ihres Unternehmens DSGVO-konform implementieren und überwachen.

Was sind Standardvertragsklauseln (SCCs)?

Die Datenschutzstandards der DSGVO gehören zu den strengsten der Welt. Allerdings sind Daten fließend und das Internet überschreitet nationale Grenzen und Rechtsräume.

Die DSGVO verlangt nicht, dass personenbezogene Daten ausschließlich in der EU gespeichert werden. „ Internationale Datenübertragungen“ sind weit verbreitet . Sie müssen jedoch Kapitel V der DSGVO entsprechen.

Kapitel V der DSGVO bietet mehrere Möglichkeiten, einen internationalen Datentransfer durchzuführen:

1. Wenn für das Zielland ein „ Angemessenheitsbeschluss “ der Europäischen Kommission vorliegt (Artikel 45). Die Europäische Kommission führt eine Liste der Länder mit „angemessenen“ Datenschutzstandards. Sie müssen keine Standardvertragsklauseln oder andere Schutzmaßnahmen verwenden, wenn Sie personenbezogene Daten in ein „angemessenes Land“ übermitteln.
2. Wenn Sie einen der „ Übertragungsmechanismen “ (Artikel 46) der DSGVO verwenden, einschließlich SCCs.
3. Wenn eine „ Ausnahmeregelung “ (Artikel 49) gilt, z. B. wenn die betroffene Person der Übermittlung ausdrücklich zugestimmt hat oder wenn die Übermittlung zum Schutz des Lebens oder der Gesundheit einer Person erforderlich ist. Die Ausnahmeregelungen dürfen nur in Ausnahmesituationen angewendet werden.

SCCs sind einer der in Artikel 46 der DSGVO (Punkt 2 oben) festgelegten „Übertragungsmechanismen“ und die gängigste Methode für internationale Datenübermittlungen an Organisationen in Ländern ohne Angemessenheitsbeschluss.

Ein Vertrag mit Standardvertragsklauseln verpflichtet den „Datenimporteur“ (mit Sitz außerhalb des EWR) zu den Grundsätzen, Rechten und Pflichten der DSGVO. Mit anderen Worten: Der Importeur ist gesetzlich verpflichtet, bei der Verarbeitung der aus dem EWR importierten personenbezogenen Daten die EU-Standards einzuhalten .

Schlüsselkomponenten der modernisierten SCCs

Die neuesten Standardvertragsklauseln der EU sind im Durchführungsbeschluss (EU) 2021/914 der Kommission enthalten. Hier finden Sie einen kurzen Überblick über die Gesetzgebung , damit Sie wissen, was Sie unterzeichnen, bevor Sie die Standardvertragsklauseln umsetzen.

Abschnitt I: Allgemeine Einführungsbestimmungen

Die Klauseln in Abschnitt 1 führen in die SCCs ein und erläutern wichtige Aspekte wie:

• Ihr Zweck (Gewährleistung der Einhaltung der DSGVO)
• Die an der Übermittlung beteiligten Parteien (Datenexporteur und -importeur)
• Drittbegünstigte des Vertrags (betroffene Personen, die die SCCs gegenüber den Parteien durchsetzen können)

Abschnitt 1 enthält auch eine optionale „ Docking-Klausel “ (Klausel 7), die es neuen Parteien ermöglicht, dem Vertrag auch nach dessen Unterzeichnung beizutreten.

Abschnitt II: Pflichten der Parteien

Abschnitt II legt die Anforderungen fest, die an den Exporteur und (noch wichtiger) den Importeur in Bezug auf die übermittelten personenbezogenen Daten gestellt werden.

Aus den SCCs ergeben sich unter anderem folgende Pflichten:

• Datenminimierung : Beide Parteien müssen sicherstellen, dass die verarbeiteten personenbezogenen Daten angemessen und relevant sind und sich auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränken.
• Transparenz : Datenexporteure müssen klare und umfassende Informationen über die Übermittlung bereitstellen, einschließlich ihres Zwecks, der betroffenen Kategorien personenbezogener Daten und darüber, wie die betroffenen Personen ihre Rechte ausüben können.
• Datensicherheit : Beide Parteien müssen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unberechtigter Offenlegung oder Zugriff zu schützen.
• Unterauftragsverarbeiter : Datenimporteure müssen vor der Beauftragung eines Unterauftragsverarbeiters eine spezielle oder allgemeine schriftliche Genehmigung des Datenexporteurs einholen. Darüber hinaus müssen Unterauftragsverarbeiter an dieselben Datenschutzverpflichtungen gebunden sein, die in den SCCs festgelegt sind.
• Rechte der betroffenen Person : Die Parteien müssen zusammenarbeiten, um die Rechte der betroffenen Personen zu wahren.

Dieser Abschnitt der SCCs ist „ modular “: Nicht alle Klauseln sind für jedes Übertragungsszenario relevant, und nur die relevanten Klauseln werden Bestandteil des Vertrags. Wir werden uns weiter unten mit der modularen Natur der SCCs befassen.

Abschnitt III: Lokale Gesetze und Zugang durch öffentliche Behörden

Ein wichtiger Grund für SCCs ist der Schutz personenbezogener Daten vor dem Zugriff durch Behörden außerhalb des EWR (wie etwa Strafverfolgungsbehörden und Geheimdienste).

Mit der Unterzeichnung der SCCs garantieren die Parteien, dass sie keinen Grund zu der Annahme haben, dass die Behörden im Land des Importeurs sie zur Verletzung der SCCs zwingen werden.

Beispielsweise können die SCCs dem Importeur verbieten, der örtlichen Polizei ohne Haftbefehl Zugriff auf personenbezogene Daten zu gewähren. In einigen Ländern kann der Importeur eine solche Anordnung ablehnen. In anderen Ländern kann die Ablehnung einer solchen Anordnung rechtlich oder praktisch unmöglich sein.

Bevor die Parteien die SCCs unterzeichnen und zusichern, dass ein solches Szenario nicht eintritt, müssen sie Folgendes bedenken:

• Die konkreten Umstände der Übertragung (z. B. um welche Arten von Daten es sich handelt und welche Technologien zum Teilen der Daten verwendet werden).
• Die Gesetze und Praktiken des Drittlandes (z. B. Gesetze, die es öffentlichen Behörden erlauben, Daten abzufangen, und ob die öffentlichen Behörden solche Gesetze in der Realität befolgen).
• Die „vertraglichen, technischen und organisatorischen Sicherheitsvorkehrungen“, die getroffen wurden, um den Zugriff staatlicher Behörden auf die Daten zu verhindern.

Der Prozess zur Berücksichtigung dieser Faktoren wird als „ Transfer Impact Assessment “ (TIA) bezeichnet. Laut dem Europäischen Datenschutzausschuss (EDPB) sollten Exporteure und Importeure eine TIA durchführen, bevor sie sich auf SCCs verlassen, um sicherzustellen, dass sie die betreffenden personenbezogenen Daten wirksam schützen. 

Gegen Ende dieses Artikels stellen wir einige Ressourcen zu TIAs bereit.

Abschnitt III der SCCs verpflichtet den Datenimporteur zudem dazu, den Datenexporteur zu benachrichtigen, wenn eine öffentliche Behörde Zugriff auf die Daten anfordert, und gegebenenfalls jede Anfrage anzufechten, die gegen die SCCs verstößt.

Abschnitt IV: Nichteinhaltung, Kündigung und geltendes Recht

Abschnitt IV der SCCs erläutert, was passiert, wenn eine der Parteien die SCCs verletzt oder wenn der Importeur feststellt, dass er seinen Verpflichtungen aus den SCCs nicht nachkommen kann. Der Datenexporteur kann den Vertrag vorzeitig kündigen, wenn der Importeur einer Anordnung einer im EWR ansässigen Regulierungsbehörde nicht nachkommt.

In diesem Abschnitt können die Parteien außerdem vereinbaren, welches Land für die Auslegung der SCCs und für die Behandlung etwaiger Rechtsstreitigkeiten, die sich aus der Übertragung ergeben, maßgebend ist.

Die vier Module von SCCs verstehen

Wie bereits erwähnt, sind die SCCs „modular“ . Dies bedeutet, dass einige Übertragungen von einigen Teilen der SCCs abgedeckt werden, andere jedoch nicht.

Es gibt vier SCC-Module, die vier unterschiedliche Szenarien abdecken , je nachdem, welche Partei Verantwortlicher und welche Auftragsverarbeiter ist. Hier sind einige Beispiele, wann welches Modul geeignet ist.

Modul 1: Controller zu Controller (C2C)

Modul 1 dient zur Übertragung von einem Controller zu einem anderen Controller . Beispiel:

• Exporteur : Deutsches Beratungsunternehmen
• Importeur : US-Marktforschungsunternehmen

Ein deutsches Beratungsunternehmen sammelt durch Befragungen das Feedback seiner Kunden und wertet die Daten für eigene Zwecke aus. 

Mit der Einwilligung seiner Nutzer gibt das deutsche Unternehmen Daten an ein US-amerikanisches Marktforschungsunternehmen weiter, das die Daten für eigene Zwecke nutzt.

Beide Unternehmen sind Verantwortliche und verwenden Standardvertragsklauseln nach Modul 1, um den Datentransfer zu erleichtern.

Modul 2: Controller zu Prozessor (C2P)

Modul 2 gilt, wenn ein Controller Daten an einen Prozessor überträgt . Beispiel:

• Exporteur : Polnischer Einzelhändler
• Importeur : Brasilianisches Analyseunternehmen

Ein polnischer Einzelhändler möchte die Benutzeraktivität auf seiner Website analysieren. Der Einzelhändler beauftragt einen brasilianischen Analyseanbieter mit der Datenanalyse in seinem Namen.

Der polnische Einzelhändler ist Verantwortlicher und das brasilianische Analyseunternehmen Auftragsverarbeiter. Die Unternehmen nutzen Modul 2 SCCs, um den Datentransfer zu erleichtern.

Modul 3: Prozessor zu Prozessor (P2P)

Modul 3 gilt, wenn ein Auftragsverarbeiter Daten an einen anderen Auftragsverarbeiter (oder einen Unterauftragsverarbeiter) überträgt . Beispiel:

• Exporteur : Spanisches E-Mail-Marketing-Unternehmen
• Importeur : Südafrikanischer Datensicherheitsanbieter

Ein spanisches E-Mail-Marketing-Unternehmen verwaltet E-Mail-Listen im Auftrag seiner Kunden. Das spanische Unternehmen beauftragt einen südafrikanischen Datensicherheitsanbieter, um die E-Mail-Listen vor Cybersicherheitsvorfällen zu schützen.

Das spanische E-Mail-Marketing-Unternehmen ist ein Auftragsverarbeiter und der südafrikanische Datensicherheitsanbieter ist sein Unterauftragsverarbeiter. Die Unternehmen verwenden Modul 3 SCCs, um den Datentransfer zu erleichtern.

Modul 4: Vom Prozessor zum Controller (P2C)

Modul 4 behandelt ein etwas obskures Szenario: Ein im EWR ansässiger Auftragsverarbeiter erhält personenbezogene Daten von einem nicht im EWR ansässigen Verantwortlichen und gibt die personenbezogenen Daten an den Verantwortlichen zurück . Beispiel:

• Exporteur : Italienischer Datenanalyseanbieter
• Importeur : Ägyptischer Einzelhändler

Ein italienischer Datenanalyseanbieter wird von einem ägyptischen Einzelhändler beauftragt, das Verhalten der Käufer in seinem Online-Shop zu analysieren. Der ägyptische Einzelhändler exportiert personenbezogene Daten zur Analyse an das italienische Unternehmen. 

Der ägyptische Einzelhändler ist Verantwortlicher. Der italienische Analyseanbieter ist Auftragsverarbeiter, unterliegt aber dennoch der DSGVO und muss daher Kapitel V der DSGVO einhalten, wenn er die analysierten personenbezogenen Daten an den ägyptischen Einzelhändler zurücküberträgt. Die Unternehmen nutzen Modul 4 SCCs, um die Übertragung zu erleichtern.

Hinweis: Obwohl die britische Version der DSGVO praktisch identisch mit der der EU ist, erkennt die britische Regulierungsbehörde dieses Szenario nicht als internationale Datenübertragung an. Nur wer der EU-DSGVO unterliegt, muss in diesem Szenario SCCs verwenden. Lesen Sie mehr in unserem Artikel über britische internationale Datenübertragungsvereinbarungen (IDTAs) .

So implementieren Sie Standardvertragsklauseln (SCCs)

Wir haben uns angesehen, was SCCs sind und wie sie funktionieren. Als Nächstes finden Sie hier einige Tipps, die Ihnen bei der Einrichtung der SCCs helfen.

Identifizieren und kartieren Sie Ihre Datenübertragungen

Vor der Implementierung von SCCs müssen Sie feststellen , ob Sie eine internationale Datenübertragung durchführen , und die Zielorte der personenbezogenen Daten abbilden (einschließlich der Frage, ob der Importeur „Weiterübermittlungen“ in ein anderes Drittland durchführen wird).

Wie erwähnt, sind für eine internationale Datenübertragung zwei Parteien erforderlich : ein Importeur (mit Sitz im EWR und der DSGVO unterliegend) und ein Importeur (außerhalb des EWR). 

Sie sollten eine umfassende Übersicht über alle für Ihr Unternehmen relevanten internationalen Datenübertragungen führen.

Bewerten Sie, ob SCCs wirksam sind

Dieser Teil des internationalen Datentransferprozesses ist vermutlich der anspruchsvollste und wird als „Transfer Impact Assessment“ (TIA) bezeichnet.

Vor der Durchführung einer internationalen Datenübertragung ist eine TIA erforderlich, da es sich bei den SCCs lediglich um einen Vertrag handelt . Sie verhindern nicht immer, dass Behörden außerhalb des EWR personenbezogene Daten anfordern oder erhalten und die Datenschutzrechte der Personen verletzen.

Daher muss der Exporteur (idealerweise mit Unterstützung des Importeurs) die Gesetze und Praktiken in der Gerichtsbarkeit des Importeurs prüfen, um sicherzustellen, dass dies nicht auf eine Weise geschieht, die die Datenschutzrechte der Menschen untergräbt.

Zum Beispiel: Erlaubt das Gesetz des Importlandes den Geheimdiensten, Daten von Unterseekabeln abzufangen? Wenn nicht, fangen die Geheimdienste trotzdem Daten ab? Oder dürfen Strafverfolgungsbehörden ohne angemessene gerichtliche Kontrolle personenbezogene Daten von Unternehmen verlangen?

Ergänzende Maßnahmen ergreifen

Als nächstes sollte der Exporteur die Einführung „ technischer oder organisatorischer Maßnahmen “ in Erwägung ziehen, um einen wirksamen Schutz der übermittelten personenbezogenen Daten zu gewährleisten.

• Eine technische Maßnahme könnte darin bestehen, die personenbezogenen Daten zu verschlüsseln, um sicherzustellen, dass der Importeur sie nicht den Strafverfolgungsbehörden offenlegen kann. 
• Zu den organisatorischen Maßnahmen könnte beispielsweise gehören, sicherzustellen, dass der Importeur über angemessene Schulungen, Richtlinien oder Zertifizierungen im Bereich Datenschutz verfügt.

Wenn keine wirksamen technischen oder organisatorischen Maßnahmen möglich sind, müssen Sie ggf. prüfen, ob der internationale Datentransfer für Sie rechtmäßig ist.

Verhandeln und unterzeichnen Sie die SCCs

Die SCCs sind Bestandteil eines Vertrags zwischen Exporteur und Importeur ; der Vertrag muss vor der Übertragung vereinbart und unterzeichnet werden.

Die Parteien können keine der obligatorischen Klauseln der SCC ändern oder ausschließen . Einige Elemente der SCC sind jedoch optional (wie etwa die „Docking-Klausel“), und Importeur und Exporteur können die Sicherheitskontrollen oder kommerziellen Aspekte der Übertragung aushandeln.

In angemessenen Abständen neu bewerten

Wie bei den meisten Aktivitäten zur Einhaltung des Datenschutzes handelt es sich bei der Implementierung von SCCs nicht um eine einmalige Angelegenheit – Sie müssen die Vereinbarung zum internationalen Datentransfer in „angemessenen Abständen“ überprüfen und sicherstellen, dass die SCCs weiterhin ein wirksames Datenschutzinstrument darstellen.

Wenn sich die Gesetze im Land des Importeurs ändern, eine autoritäre Regierung die Macht übernimmt oder eine neue Technologie die vereinbarten technischen Schutzmaßnahmen untergräbt, sind SCCs möglicherweise nicht mehr wirksam oder angemessen. Eine regelmäßige Überprüfung der SCCs hilft, solche Eventualitäten zu vermeiden.

Die Parteien können sich formal auf einen Überprüfungszeitraum einigen , oder der Exporteur kann beschließen, seine Standardvertragsklauseln regelmäßig (z. B. einmal jährlich) zu überprüfen . Bei riskanteren Datenübertragungen ist eine häufigere Neubewertung erforderlich.

Häufig gestellte Fragen zu Standardvertragsklauseln

Welche Strafen drohen, wenn bei internationalen Datenübertragungen keine SCCs verwendet werden?

Die Nichteinhaltung von SCCs kann einen Verstoß gegen die internationalen Datenübertragungsregeln der DSGVO darstellen und die höchsten Strafen nach sich ziehen: Bis zu 4 % des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro (je nachdem, welcher Betrag höher ist).

Im August 2024 verhängte die niederländische Datenschutzbehörde (DPA) eine Geldstrafe in Höhe von 290 Millionen Euro gegen Uber, nachdem das Unternehmen personenbezogene Daten zwischen seinen EU- und US-amerikanischen Niederlassungen ohne Standardvertragsklauseln (oder andere Übertragungsmechanismen) übertragen hatte.

Können SCCs für Datenübertragungen innerhalb desselben Landes verwendet werden?

Ja, unter bestimmten Umständen. Erwägungsgrund 111 weist auf die Möglichkeit einer „ Weiterübermittlung personenbezogener Daten aus dem Drittland … an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland “ hin.

Zum Beispiel:

• Ein französischer Einzelhändler überträgt personenbezogene Daten unter Verwendung von SCCs an einen brasilianischen Analyseanbieter.
• Der brasilianische Analyseanbieter möchte die Daten mit einem brasilianischen E-Mail-Marketingunternehmen teilen.

Bei dieser Vereinbarung könnte es sich um eine „Weiterübermittlung“ handeln, für die SCCs einen geeigneten Schutz bieten könnten – trotz der Tatsache, dass sich beide Unternehmen in Brasilien befinden.

Wie oft sollten SCCs überprüft und aktualisiert werden?

Die DSGVO und die dazugehörigen regulatorischen Leitlinien geben keinen definitiven Zeitrahmen für die Überprüfung der SCCs vor. Wie bereits erwähnt, können die Parteien bei der Aushandlung der SCCs einen regelmäßigen Überprüfungszeitraum vereinbaren. Im Allgemeinen erfordern riskantere Datenübertragungen mit sensiblen Daten häufigere Überprüfungen.

Was ist der Unterschied zwischen SCCs und verbindlichen internen Datenschutzregeln (Binding Corporate Rules, BCRs)?

Während jede Organisation, die der DSGVO unterliegt, die Verwendung von SCCs in Betracht ziehen kann, um einen internationalen Datentransfer zu erleichtern, werden verbindliche unternehmensinterne Datenschutzregeln (Binding Corporate Rules, BCRs) ausschließlich von internationalen Unternehmen verwendet, die personenbezogene Daten zwischen juristischen Personen innerhalb einer Unternehmensgruppe übertragen.

BCRs erfordern außerdem die Genehmigung einer Datenschutzbehörde (DPA) – ein Prozess, der teuer und zeitaufwändig sein kann.

Daher eignen sich BCRs normalerweise nur für große, gut ausgestattete Unternehmen, während sich Unternehmen jeder Größe auf SCCs verlassen können.

Best Practices für die effektive Nutzung von SCCs

Führen Sie die folgenden Schritte aus, um die effektive Nutzung von SCCs sicherzustellen:

• Kennen Sie Ihre Übertragungen : Stellen Sie sicher, dass jede relevante Person in Ihrem Team eine internationale Datenübertragung erkennen kann, die die Implementierung von SCCs erfordert.
• Beurteilen Sie, ob SCCs „funktionieren“ : Stellen Sie vor der Implementierung von SCCs sicher, dass sie die zu übertragenden Daten ausreichend schützen können. Wenn nicht, ziehen Sie andere Optionen in Betracht – einschließlich der Nichtdurchführung der Übertragung.
• Implementieren Sie ergänzende Maßnahmen : Ergreifen Sie über den vertraglichen Schutz durch die SCCs hinaus „technische und organisatorische Maßnahmen“ zum Schutz der personenbezogenen Daten.
• Verwenden Sie die richtigen Module : Überlegen Sie, welches SCC-Modul im jeweiligen Fall geeignet ist, und stellen Sie sicher, dass der Vertrag alle erforderlichen Klauseln enthält.
• Überprüfen Sie die SCCs : Legen Sie einen regelmäßigen Überprüfungszeitraum fest, um sicherzustellen, dass Ihre SCCs angesichts sich ändernder Umstände und rechtlicher Anforderungen wirksam und aktuell bleiben.

Weitere Lektüre und Ressourcen zu Standardvertragsklauseln

• Standardvertragsklauseln für internationale Datenübermittlungen : Suchen Sie nach den tatsächlichen Klauseln, die Sie in Ihren Vertrag übernehmen können? Auf dieser Seite der Website der Europäischen Kommission finden Sie die Standardvertragsklauseln in verschiedenen Formaten.
• Angemessenheitsbeschlüsse : Bevor Sie SCCs oder andere Datenübertragungsmechanismen in Betracht ziehen, prüfen Sie die Liste der „Angemessenheitsbeschlüsse“ der Europäischen Kommission – möglicherweise müssen Sie SCCs überhaupt nicht verwenden.
• Empfehlungen des EDSA 01/2020 : Die Empfehlungen des EDSA wurden angenommen, nachdem der Fall Schrems II den Datenverkehr von Europa in die USA unterbrochen hatte. Sie unterteilen den Datenübertragungsprozess in sechs wesentliche Schritte.
• Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen : Dieser Artikel der irischen Datenschutzkommission (DPC) bietet einige relativ benutzerfreundliche offizielle Leitlinien zur Verwendung von SCCs und anderen Übertragungsmechanismen.