Steuer- und Rechtsglosssar

Standardvertragsklauseln (SCC)

Von der Europäischen Kommission verabschiedete Musterverträge, die ausreichende Garantien für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder ohne Angemessenheitsbeschluss bieten und die DSGVO-Anforderungen erfüllen.

digital

Was sind SCC?

Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind vorab genehmigte Vertragsklauseln, die die Europäische Kommission durch den Durchführungsbeschluss 2021/914 erlassen hat. Sie sind der am weitesten verbreitete Mechanismus zur Legitimierung der Übermittlung personenbezogener Daten in Länder außerhalb des EWR, die keinen Angemessenheitsbeschluss der Kommission besitzen.

Die vier Module

Die SCC von 2021 sind in vier Module gegliedert, die unterschiedliche Parteienkonstellationen abbilden:

  • Modul 1: Verantwortlicher an Verantwortlichen
  • Modul 2: Verantwortlicher an Auftragsverarbeiter (das häufigste Szenario bei Cloud-Diensten)
  • Modul 3: Auftragsverarbeiter an Auftragsverarbeiter (Unterauftragsverarbeitungsketten)
  • Modul 4: Auftragsverarbeiter an Verantwortlichen (Daten fließen an einen Verantwortlichen außerhalb des EWR zurück)

Jedes Modul enthält auf die Art des Datenflusses und die Rollen der Parteien zugeschnittene Pflichten.

Schrems II und Transfer Impact Assessments

Das Urteil des EuGH in der Rechtssache Schrems II (2020) hat festgestellt, dass SCC allein möglicherweise keinen ausreichenden Schutz bieten, wenn die Gesetze des Bestimmungslandes die vertraglichen Garantien untergraben — insbesondere in Bezug auf staatliche Überwachung. Datenexporteure müssen nun vor der Nutzung von SCC eine Transfer Impact Assessment (TIA) durchführen und dabei den Rechtsrahmen des Empfängerlands bewerten sowie bei Bedarf ergänzende Maßnahmen ergreifen (Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen).

Der EU-US-Datenschutzrahmen

Der EU-US-Datenschutzrahmen (Data Privacy Framework, 2023) bietet einen Angemessenheitsmechanismus für Übermittlungen an US-Unternehmen, die sich unter dem Rahmen selbst zertifiziert haben, und reduziert (aber beseitigt nicht vollständig) den Bedarf an SCC im EU-US-Datenverkehr. Für alle anderen Länder ohne Angemessenheitsbeschluss bleiben SCC der primäre Übermittlungsmechanismus.

Praktische Umsetzung

Unternehmen müssen SCC in alle Verträge mit Auftragsverarbeitern und Empfängern außerhalb des EWR integrieren, dokumentierte TIAs durchführen, technische ergänzende Maßnahmen umsetzen, soweit erforderlich, und die Angemessenheit der Schutzmaßnahmen regelmäßig überprüfen, da sich Rechtslagen verändern.

Zurück zum Glossar

bm.consulting

¿Necesitas aplicar esto a tu caso concreto?

La teoría está clara. El paso a seguir también puede estarlo. Hablemos.

Kostenlose Beratung Alle Dienste ansehen
AEAT Colaborador Social 4.9/5 bei Google · 47 Bewertungen 30+ Nationalitäten betreut
E-Mail
Kontakt

Häufig gestellte Fragen

Wann müssen spanische Unternehmen Standardvertragsklauseln (SCC) verwenden?
SCC sind erforderlich, wenn personenbezogene Daten aus Spanien (als Teil des EWR) in ein Land übermittelt werden, das keinen Angemessenheitsbeschluss der Europäischen Kommission besitzt und kein anderer gültiger Übermittlungsmechanismus greift. Typische Szenarien sind die Nutzung US-amerikanischer Cloud-Dienste, Softwareanbieter oder Auftragsverarbeiter in Ländern wie Indien, Brasilien oder Südafrika, die keinen Angemessenheitsbeschluss haben.
Welche vier SCC-Module gibt es und welches gilt für meine Situation?
Die SCC von 2021 umfassen vier Module: Modul 1 (Verantwortlicher an Verantwortlichen), Modul 2 (Verantwortlicher an Auftragsverarbeiter — am häufigsten bei Cloud-Dienstverhältnissen), Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter, für Unterauftragsverarbeitungsketten) und Modul 4 (Auftragsverarbeiter an Verantwortlichen, wenn Daten an einen Verantwortlichen außerhalb des EWR zurückfließen). Das richtige Modul hängt von den Rollen des Datenexporteurs und -importeurs im jeweiligen Datenfluss ab.
Was ist eine Transfer Impact Assessment (TIA) und ist sie in Spanien erforderlich?
Nach dem Schrems-II-Urteil müssen Datenexporteure vor der Nutzung von SCC eine Transfer Impact Assessment (TIA) durchführen und dabei beurteilen, ob die Gesetze des Empfängerlands — insbesondere staatliche Überwachungsbefugnisse — die SCC-Garantien untergraben. Spanische Unternehmen müssen TIAs für alle SCC-basierten Übermittlungen dokumentieren. Die AEPD erwartet Nachweise über abgeschlossene TIAs als Teil der DSGVO-Rechenschaftspflicht.
Entfällt durch den EU-US-Datenschutzrahmen die Notwendigkeit von SCC gegenüber US-Unternehmen?
Für Übermittlungen an US-Unternehmen, die sich unter dem EU-US-Datenschutzrahmen (Data Privacy Framework, verabschiedet 2023) selbst zertifiziert haben, sind SCC nicht mehr erforderlich, da dieser Rahmen einen Angemessenheitsmechanismus bietet. Allerdings haben sich nicht alle US-Unternehmen selbst zertifiziert, und die langfristige Rechtsstabilität des Rahmens bleibt einer potenziellen gerichtlichen Anfechtung ausgesetzt. SCC bleiben der primäre Mechanismus für Übermittlungen an nicht zertifizierte US-Einheiten und an alle anderen Länder ohne Angemessenheitsbeschluss.

Verwandte Branchen

Technologie & Startups Finanzdienstleistungen

Verwandte Artikel

Juli 2025

37,5-Stunden-Woche: Praktische Auswirkungen

März 2026

KI-Gesetz: Pflichten für Hochrisikosysteme