Standardvertragsklauseln
Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind von der EU-Kommission vorgegebene Vertragsmuster, die es Unternehmen ermöglichen, personenbezogene Daten rechtmäßig in Drittländer außerhalb der EU bzw. des EWR zu übermitteln, wenn dort kein angemessenes Datenschutzniveau besteht.
Ausführliche Erklärung
Standardvertragsklauseln dienen als wichtiges Instrument zur Absicherung internationaler Datentransfers gemäß Artikel 46 Absatz 2 Buchstabe c DSGVO. Sie werden zwischen dem Datenexporteur im Europäischen Wirtschaftsraum und dem Datenimporteur im Drittland vertraglich vereinbart und verpflichten beide Parteien, ein Schutzniveau einzuhalten, das dem in der EU garantierten Niveau gleichwertig ist. Die EU-Kommission hat im Juni 2021 modernisierte Standardvertragsklauseln veröffentlicht (Durchführungsbeschluss 2021/914), die seit 27. September 2021 für Neuverträge verpflichtend sind. Bis 27. Dezember 2022 mussten alle Altverträge auf die neuen Klauseln umgestellt werden.
Für KMU sind Standardvertragsklauseln insbesondere relevant, wenn sie Cloud-Dienste, CRM-Systeme, E-Mail-Marketing-Tools oder Support-Software einsetzen, deren Anbieter Daten in Drittländern wie den USA verarbeiten. Typische Anwendungsfälle sind Hosting-Dienstleister, IT-Support-Tools oder der Einsatz von KI-Diensten, bei denen Daten außerhalb der EU gelangen. Die Klauseln sind modular aufgebaut und decken vier verschiedene Konstellationen ab: Verantwortlicher an Verantwortlichen, Verantwortlicher an Auftragsverarbeiter, Auftragsverarbeiter an Unterauftragsverarbeiter sowie Auftragsverarbeiter an Verantwortlichen.
Ein entscheidender Aspekt ist, dass der bloße Abschluss von Standardvertragsklauseln nicht ausreicht. Gemäß der "Schrems II"-Rechtsprechung des Europäischen Gerichtshofs müssen Unternehmen zusätzlich eine Risikoeinschätzung (Transfer Impact Assessment, TIA) durchführen. Dabei ist zu prüfen, ob die Rechtsvorschriften und Gepflogenheiten im Zielland den Datenimporteur an der Erfüllung seiner Pflichten hindern könnten. Falls erforderlich, müssen zusätzliche technische und organisatorische Maßnahmen wie Verschlüsselung oder Pseudonymisierung ergriffen werden. Die Standardvertragsklauseln dürfen nicht verändert werden – Anpassungen führen zur Genehmigungspflicht durch die Aufsichtsbehörde. Die Dokumentation des TIA ist verpflichtend und muss den Datenschutzbehörden auf Verlangen vorgelegt werden können.
Praxisbeispiel
Ein österreichisches Steuerberatungsbüro mit 12 Mitarbeitenden nutzt einen CRM-Anbieter aus den USA, der nicht unter dem EU-US Data Privacy Framework zertifiziert ist. Die Kanzlei schließt mit dem Anbieter Standardvertragsklauseln ab (Modul 2: Verantwortlicher an Auftragsverarbeiter), führt ein Transfer Impact Assessment durch und dokumentiert zusätzliche Schutzmaßnahmen wie eine Verschlüsselung sensibler Mandantendaten und Zugriffsbeschränkungen für US-Support-Mitarbeiter.