Standardvertragsklauseln

Standardvertragsklauseln (SCC — Standard Contractual Clauses) sind von der Europäischen Kommission veröffentlichte Mustervertragstexte, mit denen Verantwortliche und Auftragsverarbeiter Datenübermittlungen in Drittländer absichern, für die kein Angemessenheitsbeschluss vorliegt. Rechtsgrundlage ist Art. 46 Abs. 2 lit. c DSGVO. In der Praxis sind SCC das mit Abstand häufigste Instrument für Drittlandübermittlungen — insbesondere bei US-Cloud-Diensten ohne DPF-Zertifizierung.

Aktuelle Fassung von 2021

Die heute maßgebliche Fassung beruht auf dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021. Sie ersetzte die älteren Klauseln aus den Jahren 2001, 2004 und 2010 und ist modular aufgebaut. Welches Modul gewählt wird, hängt von den Rollen der beteiligten Parteien ab.

Übergangsfristen und Altverträge

Seit dem 27. September 2021 dürfen für neue Übermittlungen ausschließlich die SCC der Fassung 2021 abgeschlossen werden. Bestehende Verträge auf Basis der alten Klauseln mussten bis zum 27. Dezember 2022 auf die neue Fassung migriert werden. Verträge, die diese Frist versäumt haben, sind seither ohne tragfähige Übermittlungsgrundlage — ein Befund, der in Aufsichtsprüfungen regelmäßig adressiert wird.

Pflicht-Anhänge

Die SCC sind ohne ausgefüllte Anhänge wertlos. Drei Anhänge sind verpflichtend zu vervollständigen. Anhang I beschreibt die Parteien, die Verarbeitungstätigkeit (Datenkategorien, Betroffenenkreise, Zweck, Speicherdauer, Übermittlungshäufigkeit) und benennt die zuständige Aufsichtsbehörde. Anhang II listet die technisch-organisatorischen Maßnahmen (TOMs) — und zwar konkret und prüffähig, nicht als allgemeine Floskeln. Aufsichtsbehörden bemängeln in der Praxis am häufigsten oberflächlich ausgefüllte Anhänge II. Anhang III nennt — bei Modulen 2 und 3 — die zugelassenen Subprozessoren, entweder als konkrete Liste oder über eine allgemeine schriftliche Ermächtigung mit Informationspflicht bei Änderungen.

Zusammenspiel mit Schrems II

SCC sind seit dem Urteil Schrems II allein nicht mehr ausreichend. Verantwortliche müssen zusätzlich ein Transfer Impact Assessment (TIA) durchführen und — sofern die Rechtslage im Empfängerstaat hinter dem EU-Niveau zurückbleibt — ergänzende technische und organisatorische Maßnahmen ergreifen. Die SCC selbst greifen diese Pflicht in Klausel 14 auf: Die Parteien versichern, geprüft zu haben, dass die Rechtslage des Empfängerstaats die Einhaltung der Klauseln nicht hindert.

Alternativen zu SCC

SCC sind nicht der einzige Weg nach Art. 46. Für Konzerne kommen Binding Corporate Rules (BCR) in Betracht — interne, von einer EU-Aufsichtsbehörde genehmigte Konzernregelwerke. Für bestimmte Empfängerländer entfällt die Notwendigkeit von SCC durch Angemessenheitsbeschlüsse — etwa für das Vereinigte Königreich, die Schweiz, Japan, Südkorea oder, für zertifizierte Empfänger, das EU-U.S. Data Privacy Framework. Codes of Conduct nach Art. 40 DSGVO und Zertifizierungen nach Art. 42 sind theoretisch ebenfalls geeignet, in der Praxis aber selten zertifiziert.

Vertragliche Einbettung

In B2B-Beziehungen werden SCC üblicherweise als Anhang zum AVV ausgestaltet. Damit liegen Auftragsverarbeitungsvereinbarung und Drittlandabsicherung in einem konsistenten Vertragswerk. Bei großen Cloud-Anbietern sind die SCC bereits in deren Data Processing Addenda integriert — Kunden sollten dennoch prüfen, welches Modul aktiviert ist und ob die TOMs in Anhang II zur eigenen Verarbeitung passen. Wie SCC, DPF und Microsoft-spezifische Drittland-Mechanismen in einer Windows-/M365-Flotte zusammenspielen, beschreibt Kapitel 8 unseres Leitfadens zur datenschutzkonformen Windows-11-Konfiguration.