Immer wenn ein deutsches Unternehmen personenbezogene Daten an einen Anbieter außerhalb der EU schickt — etwa an einen US-amerikanischen KI-Dienst — braucht es dafür eine Rechtsgrundlage. Standardvertragsklauseln, kurz SCCs, sind der verbreitetste Weg, diese Grundlage herzustellen. Was das konkret bedeutet und wann KMU sie benötigen, erklärt dieser Artikel.
Kurze Antwort
Standardvertragsklauseln (SCCs) sind von der EU-Kommission genehmigte Musterverträge, die Unternehmen abschließen, wenn sie personenbezogene Daten in Länder außerhalb der EU übertragen. Sie sollen sicherstellen, dass das Datenschutzniveau der DSGVO auch außerhalb der EU gewahrt bleibt. Für KMU sind sie vor allem relevant bei US-amerikanischen KI-Tools, deren Anbieter nicht nach dem EU-US Data Privacy Framework (DPF) zertifiziert sind.
| Merkmal | SCCs | DPF |
|---|---|---|
| Für wen | Alle Drittlandtransfers | Nur zertifizierte US-Unternehmen |
| Aufwand | Vertrag + TIA nötig | Nur AVV nötig |
| Rechtssicherheit | Gut, wenn korrekt umgesetzt | Aktuell gegeben |
| Flexibilität | Hoch (weltweit einsetzbar) | Nur USA |
Brauche ich SCCs?
Anbieter sitzt in der EU oder hat einen EU-Angemessenheitsbeschluss? → Kein SCCs nötig ↓ US-Anbieter mit aktueller DPF-Zertifizierung? → SCCs meist nicht nötig — AVV reicht ↓ US-Anbieter ohne DPF? → SCCs erforderlich + TIA dokumentieren ↓ Anbieter in anderem Drittland (kein Angemessenheitsbeschluss)? → SCCs erforderlich + TIA dokumentieren
Konkrete Beispiele bekannter KI-Tools (Stand: Juni 2026 — DPF-Status kann sich ändern, aktuellen Stand im offiziellen DPF-Register prüfen):
| Tool | DPF-Status | SCCs |
|---|---|---|
| ChatGPT Plus (OpenAI) | Ja, zertifiziert | optional |
| Claude (Anthropic) | Ja, zertifiziert | optional |
| Jasper | Trust Center prüfen | verfügbar |
| Copy.ai | Trust Center prüfen | verfügbar |
Definition
Standardvertragsklauseln (Standard Contractual Clauses, SCCs) sind standardisierte Vertragsmodule, die die EU-Kommission nach Art. 46 Abs. 2 lit. c DSGVO erlässt. Sie werden zwischen dem Datenexporteur (das EU-Unternehmen) und dem Datenimporteur (der Anbieter im Drittland) abgeschlossen.
Die aktuellen SCCs stammen aus dem Jahr 2021 (Durchführungsbeschluss 2021/914). Sie bestehen aus modularen Klauseln, je nach Konstellation: Verantwortlicher zu Auftragsverarbeiter (Modul 2), Verantwortlicher zu Verantwortlichem (Modul 1), Auftragsverarbeiter zu Auftragsverarbeiter (Modul 3) oder Auftragsverarbeiter zu Verantwortlichem (Modul 4).
Für KMU ist Modul 2 am häufigsten relevant: das EU-Unternehmen (Verantwortlicher) schickt Daten an einen US-Dienstleister (Auftragsverarbeiter), z. B. einen KI-Tool-Anbieter.
SCCs allein reichen nicht immer. Zusätzlich ist ein Transfer Impact Assessment (TIA) erforderlich: eine Risikoabwägung, ob der Datenimporteur die Klauseln im Zielland tatsächlich einhalten kann — zum Beispiel ob US-Behörden Zugang zu den Daten verlangen könnten.
Beispiel aus der Praxis
Eine Marketingagentur mit 12 Mitarbeitern nutzt ein US-amerikanisches KI-Tool zur Erstellung von Werbetexten. Der Anbieter ist nicht DPF-zertifiziert, bietet aber SCCs an.
Ohne SCCs: Die Datenübertragung an den US-Anbieter ist nach Art. 44 DSGVO unzulässig. Jede Nutzung des Tools wäre ein Datenschutzverstoß — auch wenn die Texte selbst keine sensiblen Daten enthalten, sobald Kundennamen oder E-Mail-Adressen im Prompt auftauchen.
Mit SCCs: Die Agentur schließt die bereitgestellten SCC-Module des Anbieters ab (oft im Nutzerkonto unter “Data Processing Agreement” oder “DPA”) und erstellt ein kurzes Transfer Impact Assessment. Das TIA dokumentiert, warum die Übertragung trotz US-Rechtsrisiken vertretbar ist — z. B. weil der Anbieter verschlüsselt und keine Behördenanfragen erhält. Damit ist die rechtliche Grundlage hergestellt.
Typische Anwendungsfälle
- Nicht-DPF-zertifizierte KI-Tools aus den USA: Wenn ein Anbieter kein DPF hat, sind SCCs die Standardlösung.
- KI-Tools aus anderen Drittländern: Anbieter aus Kanada, UK (eigener Angemessenheitsbeschluss), Japan, Südkorea — je nach Land SCCs oder eigene Beschlüsse.
- Cloud-Speicher außerhalb der EU: Wenn Server in den USA oder Asien stehen.
- CRM-Systeme: US-amerikanische Plattformen ohne DPF-Zertifizierung.
- Analytics-Tools: US-Anbieter für Website-Analyse, die IP-Adressen oder ähnliche Daten verarbeiten.
- Subunternehmer des Anbieters: Wenn der KI-Tool-Anbieter selbst Subdienstleister in Drittländern nutzt, braucht er SCCs mit diesen.
- Unternehmensgruppen: Konzerninterne Datenübermittlungen in Drittländer können ebenfalls SCCs nutzen.
DSGVO-Relevanz
SCCs sind das meistgenutzte Instrument für internationale Datentransfers in der DSGVO. Für KMU sind drei Punkte besonders wichtig:
1. Wann sind SCCs nötig? Immer wenn personenbezogene Daten in ein Land ohne Angemessenheitsbeschluss übertragen werden und der Empfänger auch nicht DPF-zertifiziert ist. Das betrifft viele US-KI-Tools — und faktisch alle Anbieter aus Ländern wie China, Indien oder Russland.
2. Transfer Impact Assessment (TIA). Seit dem Schrems-II-Urteil (2020) reichen SCCs allein nicht mehr. Unternehmen müssen zusätzlich einschätzen, ob das Zielland die Garantien der SCCs untergräbt — etwa durch Massenüberwachungsgesetze (FISA 702 in den USA). Das TIA muss dokumentiert werden, muss aber kein juristisches Gutachten sein. Eine strukturierte, begründete Einschätzung genügt für KMU.
3. Was passiert bei falscher Anwendung? Werden SCCs formal abgeschlossen, aber inhaltlich nicht gelebt (z. B. keine TOMs beim Empfänger), schützen sie nicht. Die Datenschutzbehörde kann trotzdem Bußgelder verhängen.
Besondere Vorsicht: Manche Anbieter bieten “SCCs” an, die veraltet sind (vor 2021-Version) oder inhaltlich unvollständig. Vor dem Abschluss prüfen, ob es sich um die aktuellen EU-Kommissions-Klauseln handelt.
Empfehlung für KMU: Wer US-Tools mit personenbezogenen Daten nutzt, sollte DPF-Status des Anbieters zuerst prüfen. Wenn kein DPF: SCCs anfordern, kurzes TIA dokumentieren, beides im Verarbeitungsverzeichnis festhalten. Viele Anbieter (z. B. Jasper, Copy.ai) stellen fertige DPA-Dokumente bereit, die SCCs enthalten.
Verwandte Begriffe
- DPF (EU-US Data Privacy Framework): Angemessenheitsbeschluss für zertifizierte US-Anbieter — wenn vorhanden, sind SCCs nicht nötig.
- AVV (Auftragsverarbeitungsvertrag): Pflichtvertrag nach Art. 28 DSGVO für Auftragsverarbeiter — ergänzt SCCs, ersetzt sie nicht.
- TIA (Transfer Impact Assessment): Risikoabwägung vor Drittlandtransfer — seit Schrems II verpflichtend bei SCCs.
- Angemessenheitsbeschluss: EU-Entscheidung, die ein Drittland als “sicher” einstuft — macht SCCs überflüssig.
- Privacy Shield: Vorgänger des DPF, 2020 gekippt — war ebenfalls ein Ersatz für SCCs.
- Drittlandübermittlung: Jede Datenübertragung in ein Land außerhalb der EU/EWR.
- TOMs: Technisch-organisatorische Maßnahmen, die der Datenimporteur laut SCCs einhalten muss.
Häufige Missverständnisse
-
“SCCs sind zu kompliziert für kleine Unternehmen.” Die Klauseln selbst werden von der EU-Kommission vorgegeben — KMU müssen sie nicht selbst formulieren. Viele Anbieter stellen fertige DPA-Dokumente bereit, die SCCs enthalten. Der Aufwand für ein einfaches TIA ist überschaubar.
-
“Wenn der Anbieter SCCs anbietet, bin ich automatisch geschützt.” Nur wenn SCCs auch korrekt abgeschlossen und dokumentiert werden — und ein TIA vorhanden ist. Das bloße Vorhandensein von SCCs beim Anbieter reicht nicht.
-
“SCCs gelten für alle Länder gleich.” Die Klauseln sind universell nutzbar, aber das TIA fällt je nach Zielland unterschiedlich aus. Ein Transfer in die USA wird anders bewertet als einer in die Schweiz (die einen eigenen Angemessenheitsbeschluss hat).
-
“Mit SCCs muss ich keine Datenschutzerklärung anpassen.” Doch. Wenn Daten in Drittländer übertragen werden, muss die Datenschutzerklärung die Grundlage (SCCs) benennen und über das Drittland informieren.
Häufig gestellte Fragen
Wo finde ich die aktuellen SCCs der EU-Kommission? Auf der Website der EU-Kommission unter “Standard Contractual Clauses for international transfers” — kostenlos als PDF und Word-Dokument. Viele Anbieter integrieren sie in ihre DPA-Dokumente.
Wo finde ich SCCs beim jeweiligen Anbieter? In der Regel unter einem dieser Begriffe auf der Anbieter-Website: “Trust Center”, “Privacy Center”, “Data Processing Agreement (DPA)” oder “Legal Docs”. Bei OpenAI etwa unter privacy.openai.com, bei Anthropic unter anthropic.com/legal. Wer keinen dieser Bereiche findet, kann beim Anbieter-Support direkt nach dem “DPA” oder “Data Processing Agreement” fragen — seriöse Anbieter stellen das auf Anfrage bereit.
Muss ich das TIA selbst schreiben oder gibt es Vorlagen? Es gibt Vorlagen von Datenschutzbehörden (z. B. BayLfD) und Verbänden. Für KMU mit einfachen Verarbeitungen reicht eine strukturierte Checkliste. Der EDSA (Europäischer Datenschutzausschuss) hat Empfehlungen veröffentlicht.
Was kostet es, SCCs abzuschließen? Die Klauseln selbst sind kostenlos. Aufwand entsteht durch das TIA und ggf. Rechtsberatung. Für Standardfälle (bekannte US-Anbieter mit transparenter Datenpolitik) ist das TIA in 1-2 Stunden dokumentierbar.
Gelten SCCs auch, wenn der Anbieter DPF-zertifiziert ist? Technisch ja — SCCs können parallel zu DPF genutzt werden und bieten dann Doppelabsicherung. Pflicht sind sie bei DPF-zertifizierten Anbietern jedoch nicht.
Muss ich bei jedem KI-Tool neue SCCs abschließen? Ja, pro Anbieter. SCCs sind ein bilateraler Vertrag zwischen Ihnen und dem jeweiligen Datenimporteur. Es gibt keine universelle “Einmal-SCC” für alle Anbieter.
Fazit
Standardvertragsklauseln sind für KMU das wichtigste Werkzeug, wenn ein KI-Tool aus einem Drittland (vor allem den USA) kein DPF hat. Der Aufwand ist überschaubar — der Anbieter stellt meist fertige Dokumente bereit. Das Transfer Impact Assessment ist der kritische Schritt, den viele KMU übersehen. Wer DPF-zertifizierte Tools wie ChatGPT Plus oder Claude einsetzt, spart den SCC-Aufwand — muss aber trotzdem einen AVV abschließen.
Passende Tooltests
Weiterführende Begriffe
- Was ist ein AVV?
- Was ist das EU-US Data Privacy Framework (DPF)?
- Drittlandübermittlung: Jede Datenübertragung in ein Land außerhalb der EU/EWR