Standardvertragsklauseln
Auch: SCC · EU-Standardvertragsklauseln · Standard Contractual Clauses
Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind von der Europäischen Kommission vorformulierte Vertragstexte, die ein angemessenes Datenschutzniveau garantieren, wenn personenbezogene Daten an Empfänger in Drittländern außerhalb der EU/des EWR übermittelt werden. Sie sind eine der wichtigsten rechtlichen Grundlagen für solche Datentransfers, wenn kein Angemessenheitsbeschluss für das Zielland vorliegt.
Ausführliche Erklärung
Für Makler werden SCC relevant, sobald Dienstleister außerhalb der EU eingesetzt werden – etwa Cloud-Anbieter, CRM-Systeme, E-Mail-Marketing-Tools oder virtuelle Besichtigungssoftware mit Servern in den USA oder anderen Drittländern.
Wichtige Praxispunkte:
- Wann nötig: Ohne Angemessenheitsbeschluss der EU-Kommission für das Empfängerland (z. B. besteht ein solcher für die Schweiz, Großbritannien oder Japan) benötigt jede Datenübermittlung ins Ausland eine geeignete Garantie – SCC sind die in der Praxis am häufigsten genutzte Variante.
- Aktuelle Fassung: Seit Juni 2021 gelten die modularen SCC der EU-Kommission (Durchführungsbeschluss 2021/914), die je nach Konstellation (Verantwortlicher-Verantwortlicher, Verantwortlicher-Auftragsverarbeiter etc.) unterschiedliche Module vorsehen. Ältere Fassungen aus 2001/2004/2010 sind seit 2022 nicht mehr neu verwendbar.
- Transfer Impact Assessment (TIA): Seit dem "Schrems II"-Urteil des EuGH (2020) reicht der bloße Abschluss von SCC nicht mehr aus – der Verantwortliche muss zusätzlich prüfen und dokumentieren, ob im Zielland (insbesondere USA) faktisch ein mit der DSGVO vergleichbares Schutzniveau besteht (z. B. Zugriffsmöglichkeiten von Nachrichtendiensten).
- USA-Sonderfall: Für Übermittlungen an US-Unternehmen, die dem EU-US Data Privacy Framework beigetreten sind, ist seit 2023 wieder ein Angemessenheitsbeschluss die einfachere Lösung – SCC sind dann nicht zwingend erforderlich.
- Praxisrelevanz für Makler: Bei der Auswahl von Software-Dienstleistern (CRM, Portale, Buchhaltungstools) sollte geprüft werden, ob der Anbieter SCC anbietet oder unter einem Angemessenheitsbeschluss operiert – idealerweise als Bestandteil des Auftragsverarbeitungsvertrags.
Beispiel aus der Praxis
Ein Maklerbüro nutzt ein CRM-System eines US-Anbieters, der nicht dem Data Privacy Framework beigetreten ist. Um die Übermittlung der Interessenten- und Eigentümerdaten datenschutzkonform zu gestalten, schließt das Büro mit dem Anbieter die EU-Standardvertragsklauseln (Modul 2: Verantwortlicher an Auftragsverarbeiter) ab und führt zusätzlich eine kurze Prüfung durch, ob zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung) nötig sind.
Rechtsgrundlage
- Art. 46 Abs. 2 lit. c DSGVO – Standardvertragsklauseln als geeignete Garantie für Drittlandübermittlungen.
- Durchführungsbeschluss (EU) 2021/914 – aktuelle Fassung der SCC-Module.
- EuGH, Urteil vom 16.07.2020, Rs. C-311/18 ("Schrems II") – Pflicht zur zusätzlichen Prüfung des Schutzniveaus im Zielland.