Datenschutz

Standardvertragsklauseln (SCC) DSGVO: Leitfaden 2026

DSGVO Standardvertragsklauseln (SCC): Modulauswahl, Datenübermittlungsfolgenabschätzung (TIA), SCC-Implementierung für US-Datenübermittlungen, Updates 2024-2026.

Auch verfügbar in:English
TD
Dr. Thiébaut Devergranne
17. Mai 20266 min read

In einem Satz. Standardvertragsklauseln (SCC) sind der am häufigsten verwendete Mechanismus für die Übermittlung personenbezogener Daten aus der EU/EWR in Drittländer ohne Angemessenheitsbeschluss. Die Europäische Kommission hat die modernisierten SCC am 4. Juni 2021 als Beschluss (EU) 2021/914 veröffentlicht und damit die alten 2001-2010 Vorlagen ersetzt. Nach Schrems II (EuGH C-311/18) reichen SCC allein nicht aus — Exporteure müssen auch eine Datenübermittlungs-Folgenabschätzung (TIA) durchführen, die belegt, dass das Empfängerland einen Schutz bietet, der dem der DSGVO im Wesentlichen gleichwertig ist.

Dieser Leitfaden erklärt die vier SCC-Module, wann jedes gilt, wie die TIA strukturiert wird und was sich 2024-2026 mit dem EU-U.S. Data Privacy Framework (DPF), dem Schweizer Angemessenheitsbeschluss und dem UK-Zusatz geändert hat.

Für den breiteren grenzüberschreitenden Rahmen siehe Internationale Datenübermittlung DSGVO.

Wichtige Punkte

  • SCC sind Garantien nach Artikel 46 Absatz 2 Buchstabe c DSGVO, die Übermittlungen in nicht-angemessene Drittländer ermöglichen.
  • Die SCC 2021 verwenden eine modulare Architektur: Modul 1 (Verantwortlicher-Verantwortlicher), Modul 2 (Verantwortlicher-Auftragsverarbeiter), Modul 3 (Auftragsverarbeiter-Auftragsverarbeiter), Modul 4 (Auftragsverarbeiter-Verantwortlicher).
  • Eine Datenübermittlungs-Folgenabschätzung (TIA) ist nach Schrems II und EDPB-Empfehlungen 01/2020 obligatorisch.
  • Für US-Übermittlungen ersetzt das EU-U.S. Data Privacy Framework (in Kraft seit 10. Juli 2023) SCC für selbstzertifizierte US-Organisationen — keine SCC erforderlich.
  • Alte SCC (2001/2010) sind seit Dezember 2022 nicht mehr gültig.

1. Die vier SCC-Module

Die SCC 2021 decken vier Übermittlungsszenarien ab. Die Wahl des falschen Moduls macht die Garantie unwirksam.

Modul Szenario Typischer Anwendungsfall
Modul 1 Verantwortlicher → Verantwortlicher Zwei unabhängige Unternehmen teilen Kundendaten
Modul 2 Verantwortlicher → Auftragsverarbeiter EU-Kunde nutzt Nicht-EU-SaaS ohne DPF
Modul 3 Auftragsverarbeiter → Auftragsverarbeiter Sub-Auftragsverarbeiter-Kette grenzüberschreitend
Modul 4 Auftragsverarbeiter → Verantwortlicher Nicht-EU-Anbieter gibt verarbeitete Daten an EU-Verantwortlichen zurück (selten)

2. Die obligatorischen Anhänge

Die SCC selbst sind nicht verhandelbarer Boilerplate. Die Anhänge sind dort, wo die Arbeit geschieht:

Anhang I.A — Liste der Parteien

Exporteur und Importeur mit vollständigen rechtlichen Namen, Adressen, Unterzeichnern und Kontaktdaten des DSB identifizieren.

Anhang I.B — Beschreibung der Übermittlung

  • Kategorien betroffener Personen
  • Kategorien personenbezogener Daten
  • Sensible Daten (Artikel 9-Kategorien) — explizit kennzeichnen
  • Häufigkeit der Übermittlung
  • Art der Verarbeitung
  • Zweck der Übermittlung
  • Aufbewahrungsdauer

Anhang I.C — Zuständige Aufsichtsbehörde

Die federführende Aufsichtsbehörde der EU-Niederlassung des Verantwortlichen. Darf nicht leer bleiben.

Anhang II — Technische und organisatorische Maßnahmen

Spezifisch für die Übermittlung. Generischer Copy-Paste schlägt fehl. Muss abdecken:

  • Pseudonymisierung und Verschlüsselung
  • Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit
  • Backup und Disaster Recovery
  • Tests der Sicherheitsmaßnahmen
  • Benutzeridentifikation und -autorisierung
  • Physische Sicherheit
  • Datenminimierung, Qualität, Aufbewahrung
  • Vorfallsreaktion

Für US-Übermittlungen unter SCC ist dieser Anhang kritisch: Er dokumentiert die technischen Maßnahmen (z. B. Ende-zu-Ende-Verschlüsselung mit EU-gehaltenen Schlüsseln), die die SCC ergänzen.

Anhang III — Liste der Sub-Auftragsverarbeiter (Modul 2 und 3)

3. Die Datenübermittlungs-Folgenabschätzung (TIA)

Schrems II verlangt, dass der Exporteur bewertet, ob das Recht des Bestimmungslands einen im Wesentlichen gleichwertigen Schutz bietet. Die EDPB-Empfehlungen 01/2020 enthalten eine sechsstufige Methodik:

  1. Übermittlung kennen — Datenfluss-Kartierung
  2. Übermittlungsinstrument identifizieren — SCC, BCR, DPF, etc.
  3. Drittland-Recht bewerten — kritischer Schritt (FISA 702, EO 12333 für USA)
  4. Zusätzliche Maßnahmen identifizieren — technisch, vertraglich, organisatorisch
  5. Verfahrensschritte — Implementation und Dokumentation
  6. Neubewertung — mindestens jährlich

4. SCC und das EU-U.S. Data Privacy Framework

Das EU-U.S. Data Privacy Framework ist am 10. Juli 2023 in Kraft getreten und hat Privacy Shield ersetzt. Für US-Organisationen, die unter DPF selbstzertifiziert sind:

  • Übermittlungen von EU an zertifizierte US-Empfänger werden als Übermittlungen in ein angemessenes Land behandelt
  • Keine SCC erforderlich, keine TIA erforderlich
  • Überprüfung: Status auf dataprivacyframework.gov prüfen

Für nicht zertifizierte US-Organisationen bleiben SCC + TIA + zusätzliche Maßnahmen obligatorisch.

Risiko: Eine “Schrems III”-Anfechtung des DPF könnte ihn ungültig machen. Beste Praxis 2026: SCC und TIA-Dokumentation parallel als Fallback halten.

5. SCC und die UK GDPR

Das UK hat die EU 2020 verlassen und operiert unter UK GDPR. Das ICO hat das International Data Transfer Agreement (IDTA) und den UK-Zusatz zu EU-SCC im März 2022 herausgegeben.

Zwei Optionen für UK-Exporteure:

  1. IDTA eigenständig für reine UK-Übermittlungen
  2. EU SCC + UK-Zusatz für gemeinsame EU-UK-Exporteure (am häufigsten)

6. SCC und die Schweiz

Der Schweizer Bundesrat hat Schweizer SCC herausgegeben, die die EU SCC 2021 mit Anpassungen widerspiegeln, die auf nLPD und PFPDT verweisen.

7. Häufige SCC-Implementierungsfehler

  1. Verwendung alter 2001/2010 SCC — seit 27. Dezember 2022 ungültig
  2. Fehlende TIA — Schrems II verlangt sie
  3. Generischer Anhang II — Copy-Paste von “Industriestandard-Sicherheit” reicht nicht
  4. Falsches Modul — Verwendung von Modul 2 (Verantwortlicher-Auftragsverarbeiter), wenn der Empfänger tatsächlich Verantwortlicher ist
  5. Sub-Auftragsverarbeiter-Kette fehlt — alle Sub-Auftragsverarbeiter müssen mit ihren eigenen SCC in Anhang III sein
  6. Transparenz-Verpflichtungen übersprungen — Artikel 13/14 DSGVO erfordert die Information der betroffenen Personen
  7. Veraltete DPF-Überprüfung — Zertifizierungen jährlich überprüfen

8. Praktischer Fall: EU-SaaS mit US-Sub-Auftragsverarbeiter (ohne DPF)

EU-SaaS-Unternehmen verwendet einen US-basierten KI-Anbieter für Inhaltsmoderation. Anbieter ist nicht DPF-zertifiziert.

SCC-Architektur:

  • EU-SaaS = Verantwortlicher, US-Anbieter = Auftragsverarbeiter → Modul 2
  • Anhang I.B: betroffene Personen = Endnutzer, Daten = hochgeladener Inhalt, Häufigkeit = kontinuierlich, Aufbewahrung = 90 Tage
  • Anhang II: Ende-zu-Ende-Verschlüsselung mit EU-gehaltenen Schlüsseln, Inhalt in tokenisierter Form gespeichert

TIA:

  • Schritt 3: USA hat FISA 702 und EO 12333 Zugang — problematisch
  • Schritt 4: technische Maßnahme = Verschlüsselung mit EU-Schlüsseln bedeutet, dass der tatsächliche Inhalt für US-Behörden unlesbar ist
  • Schritt 5: dokumentiert, unterzeichnet, aufbewahrt

9. Werkzeuge

Legiscope bildet internationale Datenflüsse automatisch ab, indem es DPA parst, fehlende oder abgelaufene SCC markiert, TIA-Vorlagen pro Bestimmungsland generiert und Alarm gibt, wenn DPF-Zertifizierungen ablaufen.

Für verwandte Vertiefungen: Internationale Datenübermittlung DSGVO, Datenschutz-Folgenabschätzung, Auftragsverarbeitung DSGVO.

Fazit

Standardvertragsklauseln sind kein Ersatz für Sorgfalt — sie sind die vertragliche Grundlage, auf der die TIA, zusätzliche Maßnahmen und laufende Überwachung sitzen. Die 2021 SCC sind robust; die Ausfallweise ist fast immer die Implementierung: falsches Modul, leere Anhänge, fehlende TIA oder generische Sicherheitsaussagen.

FAQ

Sind SCC nach Schrems II noch gültig?

Ja, aber mit Bedingungen. Der EuGH entschied, dass SCC nur gültig sind, wenn der Exporteur sicherstellen kann, dass das Bestimmungsland einen im Wesentlichen gleichwertigen Schutz bietet. Dies erfordert eine Datenübermittlungs-Folgenabschätzung und gegebenenfalls zusätzliche Maßnahmen.

Brauche ich SCC für Übermittlungen in die USA?

Es hängt vom Empfänger ab. Wenn der US-Empfänger unter dem EU-U.S. Data Privacy Framework selbstzertifiziert ist, sind keine SCC erforderlich. Für alle anderen US-Empfänger sind SCC + TIA + zusätzliche Maßnahmen obligatorisch.

Wie oft sollte ich die TIA aktualisieren?

Mindestens jährlich und sofort, wenn: (1) sich das Recht des Bestimmungslands ändert, (2) neue öffentliche Informationen (Transparenzberichte, Gerichtsentscheidungen) auftauchen, (3) sich der Verarbeitungsumfang oder Anbieter ändert.

Kann ich dieselben SCC für mehrere Datenübermittlungen verwenden?

Ja, wenn die Daten, Zwecke und Empfänger im Rahmen der in den Anhängen beschriebenen liegen. Neue Übermittlungen, die andere Datenkategorien oder andere Empfänger erfordern, benötigen aktualisierte SCC oder einen neuen Vertrag.

Was passiert, wenn mein SCC-Gegenüber sich weigert, die 2021 SCC zu unterzeichnen?

Die Übermittlung kann sich nicht auf SCC stützen. Alternative Wege: Prüfen Sie, ob der Empfänger sich für einen Angemessenheitsbeschluss qualifiziert (UK, Schweiz usw.), prüfen Sie die DPF-Zertifizierung (USA) oder verwenden Sie Ausnahmen nach Artikel 49 DSGVO.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →