Standardvertragsklauseln (SCC) erklärt (2026)
Standardvertragsklauseln (SCC) sind von der Europäischen Kommission genehmigte Standardvertragsbedingungen, mit denen Organisationen personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder ohne EU-Angemessenheitsbeschluss übermitteln. Sie sind der am weitesten verbreitete Rechtsmechanismus für internationale Datenübermittlungen nach der DSGVO und werden von Zehntausenden Organisationen weltweit genutzt.
Informationen zuletzt geprüft am 19.05.2026. Dieser Artikel wurde noch nicht von einem zugelassenen Rechtsanwalt überprüft.
Die aktuellen SCC, erlassen am 4. Juni 2021, ersetzten frühere Fassungen, die vor der DSGVO datierten und die vom EuGH im Schrems-II-Urteil geäußerten Bedenken nicht berücksichtigten. Die Klauseln von 2021 führten ein flexibles modulares System, eingebaute Anforderungen an ergänzende Maßnahmen und Regelungen ein, die den behördlichen Überwachungszugriff unmittelbar adressieren.
Dieser Leitfaden behandelt die vier SCC-Module, wann welches zu verwenden ist, wie ein Transfer Impact Assessment durchzuführen ist, die geplanten neuen SCC für DSGVO-unterworfene Importeure, wie SCC im Vergleich zu Angemessenheitsbeschlüssen und verbindlichen internen Datenschutzvorschriften stehen, die eigenen britischen Übermittlungsinstrumente, aktuelle Entwicklungen bei der Durchsetzung sowie häufige Umsetzungsfehler.
Umfang der Rechtsordnungen: Dieser Artikel behandelt Standardvertragsklauseln nach der EU-Verordnung 2016/679 (DSGVO) und der UK-DSGVO, einschließlich des britischen Data (Use and Access) Act 2025. Er behandelt die vier SCC-Module (Durchführungsbeschluss von 2021), die Leitlinien des EDSA zu ergänzenden Maßnahmen sowie das britische IDTA und Addendum. Für die Liste der Länder mit EU-Angemessenheitsbeschluss siehe unseren Leitfaden zu EU-Angemessenheitsbeschlüssen. Speziell zum EU-US Data Privacy Framework siehe unseren DPF-Leitfaden.
Kurzantwort: Was sind SCC und wann werden sie benötigt?
Standardvertragsklauseln sind von der Europäischen Kommission genehmigte Standardvertragsbedingungen nach Artikel 46 Absatz 2 Buchstabe c DSGVO, die verbindliche Datenschutzpflichten zwischen einem Datenexporteur im EWR und einem Datenimporteur außerhalb des EWR schaffen. Organisationen benötigen SCC immer dann, wenn sie personenbezogene Daten aus dem EWR in ein Land ohne EU-Angemessenheitsbeschluss übermitteln und kein anderer Übermittlungsmechanismus nach Artikel 46 anwendbar ist. Häufige Szenarien sind EU-Unternehmen, die Cloud-Dienstleister mit Sitz in den Vereinigten Staaten, Indien oder anderen nicht angemessenen Ländern nutzen, EU-Verantwortliche, die Auftragsverarbeiter im asiatisch-pazifischen Raum oder in Lateinamerika beauftragen, sowie EU-Auftragsverarbeiter, die Daten an Unterauftragsverarbeiter außerhalb des EWR weiterleiten. Die Pflicht zur Nutzung von SCC (oder eines alternativen Übermittlungsmechanismus) ist strikt: Die Übermittlung personenbezogener Daten in ein nicht angemessenes Land ohne gültige Rechtsgrundlage nach Kapitel V DSGVO stellt einen potenziellen Verstoß dar, der mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden kann.
Warum die alten SCC ersetzt wurden
Die Europäische Kommission erließ ursprünglich zwei Sätze von Standardvertragsklauseln für Datenübermittlungen. Der Satz von 2001 (aktualisiert 2004) erfasste Übermittlungen zwischen Verantwortlichen. Der Satz von 2010 erfasste Übermittlungen von einem Verantwortlichen an einen Auftragsverarbeiter. Beide wurden nach der Datenschutzrichtlinie von 1995 (95/46/EG) erlassen und blieben auch nach Inkrafttreten der DSGVO im Mai 2018 in Gebrauch.
Mehrere Probleme machten eine Ablösung notwendig. Die alten SCC waren unter der Richtlinie und nicht unter der DSGVO formuliert worden und spiegelten die erweiterten Anforderungen der Verordnung zu Rechenschaftspflicht, Meldung von Datenschutzverletzungen und Datenschutz durch Technikgestaltung nicht wider. Sie gingen von nur zwei Parteien aus (einem EU-Datenexporteur und einem Nicht-EU-Datenimporteur) und berücksichtigten keine Übermittlungsszenarien zwischen zwei Auftragsverarbeitern oder von einem Auftragsverarbeiter an einen Verantwortlichen, die im Cloud-Computing und bei mehrschichtigen Dienstleisterbeziehungen üblich sind.
Das Urteil des EuGH in der Rechtssache Datenschutzbeauftragte gegen Facebook Ireland Limited und Maximillian Schrems, Rechtssache C-311/18, ECLI:EU:C:2020:559 (16. Juli 2020) (allgemein als Schrems II bezeichnet) verstärkte die Dringlichkeit. Der Gerichtshof bestätigte zwar grundsätzlich die Gültigkeit der SCC als Übermittlungsmechanismus, verlangte jedoch von Datenexporteuren zu prüfen, ob der Rechtsrahmen im Bestimmungsland die durch die SCC gebotenen Schutzmaßnahmen nicht untergräbt. Stehen die Gesetze des Importlands (etwa US-Überwachungsgesetze) im Widerspruch zu den SCC-Pflichten, muss der Exporteur "ergänzende Maßnahmen" umsetzen, um diese Lücke zu schließen, oder die Übermittlung einstellen.
Der Europäische Datenschutzausschuss (EDSA) veröffentlichte die Empfehlungen 01/2020 (endgültige Fassung Juni 2021), die im Detail beschreiben, welche ergänzenden Maßnahmen Organisationen in Betracht ziehen sollten. Die neuen SCC übernehmen mehrere dieser Anforderungen unmittelbar in den Vertragstext.
Die vier SCC-Module
Die SCC von 2021 verfolgen einen modularen Ansatz. Statt getrennter Klauselsätze für unterschiedliche Szenarien enthält ein einziges Rahmenwerk vier Module, die die Parteien je nach ihrer Rolle und der Richtung des Datenflusses auswählen.
Modul 1: Verantwortlicher an Verantwortlichen (C2C)
Modul 1 gilt, wenn ein in der EU ansässiger Verantwortlicher personenbezogene Daten an einen Verantwortlichen außerhalb des EWR übermittelt. Beide Parteien bestimmen die Zwecke und Mittel der Verarbeitung unabhängig voneinander.
Häufige Szenarien sind ein europäisches Unternehmen, das Kundendaten für eigene Geschäftszwecke mit einer US-Muttergesellschaft teilt, oder zwei Unternehmen in einer gemeinsamen Marketingvereinbarung, bei der jedes die Daten unabhängig kontrolliert.
Zu den wesentlichen Pflichten nach Modul 1 zählen die Bereitstellung einer Kopie der SCC an betroffene Personen auf Anfrage, die Anwendung der Zweckbindungsanforderungen des Datenexporteurs sowie die Ermöglichung, dass betroffene Personen die Klauseln als begünstigte Dritte durchsetzen können.
Modul 2: Verantwortlicher an Auftragsverarbeiter (C2P)
Modul 2 erfasst das häufigste Übermittlungsszenario: einen EU-Verantwortlichen, der einen außerhalb des EWR ansässigen Auftragsverarbeiter (etwa einen Cloud-Anbieter, Lohnabrechnungsdienstleister oder Analysedienst) beauftragt. Dieses Modul orientiert sich an den Anforderungen des Artikels 28 DSGVO für Auftragsverarbeitungsverträge.
Der Datenimporteur (Auftragsverarbeiter) darf Daten nur auf dokumentierte Anweisung des Exporteurs verarbeiten. Er muss angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen, den Verantwortlichen bei Anfragen zu Betroffenenrechten unterstützen, alle Daten am Ende der Dienstleistungsbeziehung löschen oder zurückgeben und den Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten informieren.
Die Unterauftragsverarbeitung ist nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen zulässig. Der Auftragsverarbeiter muss jedem Unterauftragsverarbeiter durch einen Vertrag dieselben Datenschutzpflichten auferlegen.
Modul 3: Auftragsverarbeiter an Auftragsverarbeiter (P2P)
Modul 3 behandelt Situationen, in denen ein in der EU ansässiger Auftragsverarbeiter einen Unterauftragsverarbeiter außerhalb des EWR beauftragt. Dieses Szenario ist in Cloud-Infrastrukturketten äußerst häufig. Ein Beispiel: Ein EU-Unternehmen nutzt einen deutschen Cloud-Anbieter (Auftragsverarbeiter), der wiederum einen in den USA ansässigen Infrastrukturanbieter (Unterauftragsverarbeiter) nutzt.
Der Datenfluss verläuft von einem Auftragsverarbeiter zum nächsten, doch der letztlich Verantwortliche bleibt die EU-Stelle, die ursprünglich den ersten Auftragsverarbeiter beauftragt hat. Modul 3 verlangt, dass der Unterauftragsverarbeiter Daten nur gemäß den Anweisungen des ursprünglichen Verantwortlichen verarbeitet, wie sie über den ersten Auftragsverarbeiter übermittelt werden.
Modul 4: Auftragsverarbeiter an Verantwortlichen (P2C)
Modul 4 erfasst den umgekehrten Fluss: wenn ein in der EU ansässiger Auftragsverarbeiter Daten an seinen außerhalb des EWR ansässigen Verantwortlichen zurückgibt oder übermittelt. Dieses Szenario entsteht etwa, wenn ein europäischer Datenverarbeitungsdienstleister Ergebnisse an seinen nicht im EWR ansässigen Kunden zurücksendet, der als Verantwortlicher fungiert.
Dieses Modul wird seltener genutzt als die anderen, schließt jedoch eine echte Lücke. Unter den alten SCC gab es für diese Übermittlungsrichtung keine Standardklauseln, sodass Organisationen auf alternative Rechtsgrundlagen oder Ad-hoc-Vertragsvereinbarungen zurückgreifen mussten.
Wie die modularen SCC angewendet werden
Organisationen, die SCC umsetzen, sollten einem strukturierten Prozess folgen, um die Compliance sicherzustellen.
Schritt 1: Anwendbare Module bestimmen
Erfassen Sie alle internationalen Datenübermittlungen und bestimmen Sie die Rolle jeder Partei. Wählen Sie für jede Übermittlung das oder die passenden Module aus. Eine einzige SCC-Vereinbarung kann mehrere Module enthalten, wenn die Parteien für unterschiedliche Verarbeitungstätigkeiten unterschiedliche Rollen haben.
Schritt 2: Anhänge vervollständigen
Die SCC enthalten mehrere Anhänge, die mit übermittlungsspezifischen Details zu befüllen sind:
- Anhang I: Beschreibt die Parteien, die Datenübermittlung (Kategorien betroffener Personen, Arten personenbezogener Daten, Häufigkeit der Übermittlung, Zweck) und benennt die zuständige Aufsichtsbehörde
- Anhang II: Listet die technischen und organisatorischen Sicherheitsmaßnahmen auf, die der Datenimporteur umsetzt
- Anhang III: Listet autorisierte Unterauftragsverarbeiter auf (bei den Modulen 2 und 3, sofern der Verantwortliche eine allgemeine Genehmigung erteilt)
Schritt 3: Das Transfer Impact Assessment durchführen
Vervollständigen Sie das TIA, bevor Übermittlungen beginnen. Dokumentieren Sie die Bewertung und bewahren Sie sie als Teil Ihrer Rechenschaftsdokumentation nach Artikel 5 Absatz 2 DSGVO auf.
Schritt 4: Ergänzende Maßnahmen umsetzen
Ergreifen und dokumentieren Sie auf Grundlage der TIA-Ergebnisse alle erforderlichen ergänzenden Maßnahmen. Integrieren Sie technische Maßnahmen in Ihre Datenverarbeitungsarchitektur.
Schritt 5: Ausführen und einbinden
Die SCC können in einen umfassenderen kommerziellen Vertrag eingebunden oder als eigenständige Vereinbarung ausgeführt werden. Dritte können den SCC jederzeit mit Zustimmung aller bestehenden Parteien beitreten; dieses Merkmal wird als "Docking-Klausel" bezeichnet und war in der Fassung von 2021 neu.
Schritt 6: Überwachen und neu bewerten
Die Pflicht, einen angemessenen Schutz sicherzustellen, ist fortlaufend. Organisationen müssen ihre TIAs neu bewerten, wenn sich Umstände ändern, etwa durch neue Gesetzgebung im Bestimmungsland, Änderungen bei den Unterauftragsverarbeitungsvereinbarungen des Datenimporteurs oder das Bekanntwerden neuer staatlicher Überwachungsprogramme.
Transfer Impact Assessments und ergänzende Maßnahmen
Die SCC von 2021 verlangen von den Parteien, vor der Nutzung der Klauseln für Datenübermittlungen ein Transfer Impact Assessment (TIA) durchzuführen. Diese Anforderung ist unmittelbar in Klausel 14 der SCC verankert.
Was ein TIA umfasst
Ein TIA bewertet, ob die Gesetze und Praktiken des Bestimmungslands ein Schutzniveau bieten, das dem nach EU-Recht garantierten "im Wesentlichen gleichwertig" ist. Die Bewertung muss Folgendes berücksichtigen:
- Die konkreten Umstände der Übermittlung, einschließlich der Art der Daten, des Zwecks, der Länge der Verarbeitungskette und der Kategorien der Empfänger
- Die für die Übermittlung relevanten Gesetze des Bestimmungslands, insbesondere solche, die den behördlichen Zugriff auf personenbezogene Daten zu Überwachungs- oder Strafverfolgungszwecken regeln
- Alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die die SCC ergänzen
Die Empfehlungen 01/2020 des EDSA beschreiben einen sechsstufigen Prozess für die Durchführung von TIAs:
- Erfassen Sie Ihre Datenübermittlungen
- Bestimmen Sie den Übermittlungsmechanismus (in diesem Fall SCC)
- Bewerten Sie, ob der Rechtsrahmen des Bestimmungslands die Wirksamkeit des Übermittlungsmechanismus beeinträchtigt
- Bestimmen und ergreifen Sie bei Bedarf ergänzende Maßnahmen
- Ergreifen Sie alle durch die ergänzenden Maßnahmen erforderlichen verfahrensrechtlichen Schritte
- Bewerten Sie in angemessenen Abständen erneut
Ergänzende Maßnahmen
Stellt ein TIA Risiken fest, müssen Organisationen ergänzende Maßnahmen umsetzen, um das Schutzniveau auf den Standard der "im Wesentlichen gleichwertigen" Angemessenheit anzuheben. Diese fallen in drei Kategorien:
Technische Maßnahmen umfassen Ende-zu-Ende-Verschlüsselung (bei der nur der Datenexporteur den Entschlüsselungsschlüssel besitzt), Pseudonymisierung (bei der die Zuordnungstabelle im EWR verbleibt) sowie geteilte oder mehrparteiliche Verarbeitung, die verhindert, dass der Importeur auf Klardaten zugreifen kann.
Vertragliche Maßnahmen stärken Pflichten über den SCC-Grundstandard hinaus. Beispiele sind die Verpflichtung des Datenimporteurs, behördliche Zugriffsanfragen über alle verfügbaren Rechtsmittel anzufechten, den Exporteur über jede rechtlich bindende Aufforderung zur Offenlegung von Daten zu informieren (soweit gesetzlich zulässig) und regelmäßige Transparenzberichte vorzulegen.
Organisatorische Maßnahmen umfassen interne Daten-Governance-Richtlinien, die Minimierung übermittelter Daten auf das unbedingt Erforderliche, strenge Zugriffskontrollen auf Seiten des Importeurs sowie regelmäßige Audits.
Der EDSA hat betont, dass vertragliche und organisatorische Maßnahmen allein Mängel im Rechtsrahmen des Bestimmungslands nicht ausgleichen können, wenn die Regierung einen Zugriff auf Klardaten erzwingen kann. Technische Maßnahmen, die den Zugriff auf lesbare Daten verhindern, sind in Hochrisikojurisdiktionen die wirksamste Schutzmaßnahme.
Achtung: Durchsetzungsmaßnahmen zeigen, dass ohne sorgfältige TIAs abgeschlossene SCC ein erhebliches Compliance-Risiko darstellen. Die irische Datenschutzbehörde verhängte im Mai 2023 im Anschluss an die verbindliche EDSA-Entscheidung 1/2023 ein Bußgeld von 1,2 Milliarden Euro gegen Meta, weil Nutzerdaten von Facebook über SCC ohne ausreichende ergänzende Maßnahmen zum Ausgleich des unzureichenden Schutzes durch US-Recht in die USA übermittelt wurden. Die niederländische Datenschutzbehörde verhängte 2024 ein Bußgeld von 290 Millionen Euro gegen Uber, weil Fahrerdaten ohne gültigen Übermittlungsmechanismus in die USA übermittelt wurden. Aufsichtsbehörden behandeln unzureichende TIAs und fehlende ergänzende Maßnahmen als materielle Verstöße, nicht als formale Mängel.
Die geplanten SCC für DSGVO-unterworfene Importeure
Die SCC von 2021 haben eine bedeutende Einschränkung: Sie gelten nur für Übermittlungen, bei denen die Verarbeitung des Datenimporteurs NICHT der DSGVO unterliegt. Nach ihrem eigenen Wortlaut regeln die Klauseln Übermittlungen von einem EU-/EWR-Datenexporteur an einen Datenimporteur, "dessen Verarbeitung der Daten nicht [der DSGVO] unterliegt".
Dies schafft eine Lücke. Ein Unternehmen mit Sitz in Kanada, Japan oder Brasilien kann Verarbeitungstätigkeiten haben, die nach Artikel 3 Absatz 2 in den räumlichen Anwendungsbereich der DSGVO fallen, weil es Waren oder Dienstleistungen für EU-Einwohner anbietet oder deren Verhalten beobachtet. Übermittelt eine EU-Stelle personenbezogene Daten an ein solches Unternehmen, ist weiterhin ein Übermittlungsmechanismus nach Kapitel V DSGVO erforderlich. Die grenzüberschreitende Übermittlung schafft Risiken, selbst wenn der Importeur bei seinen Verarbeitungstätigkeiten unmittelbar an die DSGVO gebunden ist. Doch die SCC von 2021 sind für dieses Szenario strukturell ungeeignet, da sie Pflichten, die der Importeur bereits unmittelbar nach der DSGVO trägt, teils duplizieren und teils davon abweichen würden.
Der EDSA forderte die Europäische Kommission auf, neue SCC zu entwickeln, die genau dieses Szenario abdecken. Die Kommission erkannte die Lücke an und kündigte die Entwicklung eines neuen SCC-Satzes an. Eine öffentliche Konsultation war für das 4. Quartal 2024 geplant, mit einem Entwurf zur Verabschiedung im 2. Quartal 2025.
Stand Mai 2026 führt die offizielle SCC-Veröffentlichungsseite der Kommission keinen förmlich erlassenen Durchführungsbeschluss für diese Artikel-3(2)-SCC auf. Organisationen, die mit diesem Szenario konfrontiert sind, haben derzeit begrenzte Optionen: verbindliche interne Datenschutzvorschriften (innerhalb von Unternehmensgruppen), von einer Aufsichtsbehörde genehmigte Ad-hoc-Vertragsklauseln nach Artikel 46 Absatz 3 Buchstabe a oder die Berufung auf die Ausnahmen nach Artikel 49, soweit anwendbar. Das Bußgeld der niederländischen Datenschutzbehörde gegen Uber verdeutlichte das reale Durchsetzungsrisiko, wenn Übermittlungen an DSGVO-unterworfene Importeure ohne anerkannten Mechanismus fortgesetzt werden.
Organisationen sollten die SCC-Seite der Kommission auf den förmlichen Erlass dieser Klauseln beobachten.
SCC, Angemessenheitsbeschlüsse und verbindliche interne Datenschutzvorschriften im Vergleich
Kapitel V DSGVO sieht mehrere Mechanismen für rechtmäßige internationale Datenübermittlungen vor. Die drei am häufigsten genutzten sind Angemessenheitsbeschlüsse (Art. 45), Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) und verbindliche interne Datenschutzvorschriften (Art. 47).
| Mechanismus | Rechtsgrundlage | Wer ihn nutzen kann | Wesentliche Merkmale |
|---|---|---|---|
| Angemessenheitsbeschluss | Art. 45 DSGVO | Jede Organisation, die in ein angemessenes Land übermittelt | Keine weiteren Schritte erforderlich. Die Kommission stellt fest, dass das Land ein im Wesentlichen gleichwertiges Schutzniveau bietet. Beispiele: UK (gültig bis 2031), Kanada (PIPEDA), Japan, Schweiz. Siehe vollständige Liste. |
| Standardvertragsklauseln | Art. 46 Abs. 2 lit. c DSGVO | Jede Organisation; am weitesten verbreiteter Mechanismus | Erfordert das Ausfüllen der SCC, das Befüllen der Anhänge, die Durchführung eines TIA sowie bei Bedarf die Umsetzung ergänzender Maßnahmen. Funktioniert für jedes Land. |
| Verbindliche interne Datenschutzvorschriften | Art. 47 DSGVO | Multinationale Unternehmensgruppen (nur konzerninterne Übermittlungen) | Erfordert die Genehmigung einer Datenschutzbehörde. Hoher Anfangsaufwand (in der Regel 1 bis 3 Jahre bis zur Genehmigung). Nach der Genehmigung deckt sie alle konzerninternen Übermittlungen im genehmigten Umfang ohne einzelfallbezogene SCC ab. |
Für die meisten Organisationen sind SCC der Standardmechanismus für Übermittlungen in nicht angemessene Länder. Angemessenheitsbeschlüsse sind dort, wo verfügbar, einfacher, jedoch geografisch begrenzt. Verbindliche interne Datenschutzvorschriften eignen sich hervorragend für große multinationale Konzerne mit erheblichen konzerninternen Übermittlungsvolumina, sind jedoch für kleine Organisationen oder externe Übermittlungen unpraktisch.
Verhältnis zwischen SCC und dem EU-US Data Privacy Framework
SCC und das EU-US Data Privacy Framework (DPF) dienen demselben grundlegenden Zweck (der Ermöglichung rechtmäßiger Datenübermittlungen aus der EU), funktionieren jedoch über unterschiedliche Rechtsmechanismen.
Das DPF bietet einen angemessenheitsbasierten Übermittlungsweg für Daten, die an zertifizierte US-Organisationen gesendet werden. Hält ein US-Unternehmen eine aktive DPF-Zertifizierung, können EU-Organisationen Daten ohne SCC an dieses Unternehmen übermitteln, ebenso wie sie an ein Unternehmen in einem angemessenen Land übermitteln würden. Die vollständige Länderliste finden Sie in unserem Leitfaden zu den EU-Angemessenheitsbeschlüssen.
SCC bieten einen vertragsbasierten Übermittlungsweg, der für jedes Land funktioniert, unabhängig vom Angemessenheitsstatus. Sie sind der wichtigste Mechanismus für Übermittlungen in Länder ohne Angemessenheitsbeschluss, darunter die meisten Länder Asiens, Afrikas, Lateinamerikas und des Nahen Ostens.
Viele Organisationen nutzen beide Mechanismen gleichzeitig. Ein Unternehmen kann sich für Übermittlungen an seine zertifizierten US-Dienstleister auf das DPF stützen, während es für Übermittlungen an Auftragsverarbeiter in Indien, auf den Philippinen oder in Brasilien SCC nutzt. Manche Organisationen halten SCC mit DPF-zertifizierten US-Partnern als Absicherung vor, angesichts der Geschichte für ungültig erklärter transatlantischer Rahmenwerke.
Rechtlicher Status des DPF Stand Mai 2026
Das DPF war rechtlichen Anfechtungen ausgesetzt. Am 3. September 2025 wies das Gericht der EU eine Nichtigkeitsklage des französischen Abgeordneten Philippe Latombe ab und bestätigte damit die Gültigkeit des DPF auf Grundlage des Sachverhalts zum Zeitpunkt der Angemessenheitsfeststellung der Kommission von 2023. Das Gericht wies Latombes Argumente zurück, wonach der US Data Protection Review Court nicht unabhängig sei und die massenhafte Überwachung keiner ausreichenden nachträglichen gerichtlichen Kontrolle unterliege. Latombe legte am 31. Oktober 2025 Berufung beim EuGH ein; diese Berufung ist derzeit anhängig.
Eine gesonderte Frage betrifft Maßnahmen der Exekutive der US-Regierung. Für das Verfahren Trump v. Slaughter wurde eine Entscheidung bis Juni oder Juli 2026 erwartet, mit möglichen Auswirkungen auf das US-Datenschutzrahmenwerk, das dem DPF zugrunde liegt.
Organisationen, die sich für US-Übermittlungen ausschließlich auf das DPF stützen, sollten diese Verfahren beobachten. Der Ansatz "SCC plus ergänzende Maßnahmen" bietet eine Absicherung, die auch bei einer Ungültigerklärung des DPF gültig bliebe, wie es 2020 beim Privacy Shield der Fall war.
Britische Mechanismen für internationale Datenübermittlungen
Nach dem Brexit richtete das UK ein eigenes Rahmenwerk für internationale Datenübermittlungen nach der UK-DSGVO und dem Data Protection Act 2018 ein. EU-SCC können nicht für Übermittlungen genutzt werden, die dem britischen Recht unterliegen.
Das International Data Transfer Agreement (IDTA)
Das britische Information Commissioner's Office (ICO) genehmigte im März 2022 das International Data Transfer Agreement (IDTA). Das IDTA ist ein eigenständiger Vertrag, der in seiner Funktion den EU-SCC ähnelt, jedoch auf das britische Recht zugeschnitten ist. Es nutzt ein einziges Dokument mit einem detaillierten Tabellenformat statt eines modularen Ansatzes.
Das UK Addendum
Als Alternative zum IDTA können Organisationen das UK Addendum zu den EU-SCC nutzen. Dieses Addendum wird an einen Satz von EU-SCC angehängt und passt diese an britisches Recht an. Dieser Ansatz ist bei Organisationen beliebt, die bereits über EU-SCC verfügen, da er einen separaten Vertrag überflüssig macht.
Transfer Risk Assessments
Das ICO verlangt von Organisationen, vor der Nutzung des IDTA oder des UK Addendum ein Transfer Risk Assessment (TRA) durchzuführen. Das TRA ähnelt grundsätzlich dem EU-TIA, folgt jedoch ICO-spezifischen Leitlinien. Das ICO hat ein detailliertes TRA-Tool veröffentlicht, das Organisationen bei der Durchführung der Bewertung unterstützt.
Der Data (Use and Access) Act 2025 und aktualisierte ICO-Leitlinien
Der britische Data (Use and Access) Act (DUAA) erhielt am 19. Juni 2025 Royal Assent. Schedule 7 des DUAA änderte den Standard für internationale Übermittlungen. Der erforderliche Schutz wird nun als "nicht wesentlich niedriger" als der Standard nach der UK-DSGVO und dem DPA 2018 beschrieben, bezeichnet als "Datenschutztest". Dies ersetzte den früheren Standard "nicht untergraben".
Das ICO veröffentlichte am 15. Januar 2026 aktualisierte Leitlinien zu internationalen Übermittlungen, mit denen es seine bestehenden Leitfäden neu strukturierte und die neue Formulierung des DUAA einband. Das ICO hat angekündigt, im Laufe von 2026 das IDTA und das Addendum zu aktualisieren, um die DUAA-Änderungen zu berücksichtigen. Organisationen sollten bis zur Veröffentlichung dieser Aktualisierungen weiterhin die aktuellen Fassungen des IDTA und des Addendum nutzen.
UK-US Data Bridge
Speziell für Übermittlungen in die Vereinigten Staaten richtete das UK im Oktober 2023 die UK-US Data Bridge ein, die einen angemessenheitsbasierten Weg parallel zum EU-US-DPF bietet. Die britischen Angemessenheitsbeschlüsse für Übermittlungen vom EWR ins UK wurden von der Europäischen Kommission am 19. Dezember 2025 verlängert und gelten bis zum 27. Dezember 2031.
Hinweis für Übermittlungen vom EWR ins UK: Organisationen in der EU, die personenbezogene Daten an Empfänger im UK übermitteln, benötigen für diese Übermittlungen keine SCC. Der Angemessenheitsbeschluss der Europäischen Kommission für das UK deckt Übermittlungen vom EWR ins UK ab. SCC sind für die umgekehrte Richtung (Übermittlungen vom UK in die EU) und für Übermittlungen vom UK in nicht angemessene Länder nach britischem Recht erforderlich.
Häufige Fehler bei SCC
Organisationen stoßen bei der Umsetzung von SCC häufig auf praktische Schwierigkeiten. Das Verständnis dieser Herausforderungen hilft, Compliance-Lücken zu vermeiden.
Mehrschichtige Verarbeitungsketten
Moderne Datenverarbeitung umfasst häufig mehrere Schichten von Auftragsverarbeitern und Unterauftragsverarbeitern in mehreren Ländern. Eine einzige SCC-Vereinbarung muss möglicherweise mehrere Module enthalten, und an unterschiedlichen Stellen der Kette können separate SCC erforderlich sein. Diese Beziehungen vor der Auswahl der Module genau zu erfassen, ist entscheidend.
TIAs aktuell halten
Der Rechtsrahmen in Bestimmungsländern verändert sich. Neue Überwachungsgesetze, Gerichtsurteile oder staatliche Praktiken können das Risikoprofil einer Übermittlung verändern. Organisationen müssen über einen Prozess verfügen, um relevante rechtliche Entwicklungen zu beobachten und ihre TIAs entsprechend zu aktualisieren. Die Leitlinien 02/2024 des EDSA zu Artikel 48 DSGVO vom Juni 2025 ergänzten Hinweise dazu, wie Organisationen reagieren sollten, wenn Behörden aus Drittländern Zugriff auf beim Importeur gespeicherte Daten verlangen, ein für das TIA relevanter Risikofaktor, der nun ausdrücklich zu bewerten ist.
Verwaltung von Unterauftragsverarbeitern
Die Module 2 und 3 verlangen eine sorgfältige Verwaltung der Beziehungen zu Unterauftragsverarbeitern. Bei Nutzung einer allgemeinen Genehmigung (statt einer spezifischen Genehmigung für jeden Unterauftragsverarbeiter) muss der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern informieren und ihm die Möglichkeit geben, Einspruch zu erheben.
Bedenken zur Durchsetzbarkeit
SCC sind vertraglicher Natur. Verstößt ein Datenimporteur in einem Land mit schwacher Rechtsstaatlichkeit gegen die Klauseln, kann die Durchsetzung in der Praxis schwierig sein. Organisationen sollten das Rechtssystem des Importeurs und die praktische Durchsetzbarkeit vertraglicher Pflichten in ihr TIA einbeziehen.
Übermittlungen an DSGVO-unterworfene Importeure
Organisationen, die personenbezogene Daten an Importeure übermitteln müssen, die bereits unmittelbar nach Artikel 3 Absatz 2 der DSGVO unterliegen, stehen vor einer strukturellen Lücke im aktuellen SCC-Rahmenwerk. Die SCC von 2021 sind für dieses Szenario nicht konzipiert. Bis die Kommission neue Klauseln für diese Situation förmlich erlässt, sollten Organisationen verbindliche interne Datenschutzvorschriften (innerhalb von Unternehmensgruppen), von einer Aufsichtsbehörde genehmigte Ad-hoc-Klauseln nach Artikel 46 Absatz 3 Buchstabe a oder eine dokumentierte Berufung auf die Ausnahmen nach Artikel 49 in Betracht ziehen, soweit anwendbar. Dies ist kein geringfügiges Risiko: Das Bußgeld der niederländischen Datenschutzbehörde gegen Uber betraf genau diese Art von Übermittlung ohne anerkannten Mechanismus.
Aktuelle Entwicklungen (2024 bis 2026)
Seit dem vollständigen Inkrafttreten der SCC von 2021 gab es mehrere bedeutende Entwicklungen.
Durchsetzung gegen Meta (Mai 2023): Die irische Datenschutzbehörde verhängte im Anschluss an die verbindliche EDSA-Entscheidung 1/2023 ein Bußgeld von 1,2 Milliarden Euro gegen Meta. Der EDSA stellte fest, dass Metas SCC-basierten Übermittlungen von Facebook-Nutzerdaten in die USA ausreichende ergänzende Maßnahmen zum Ausgleich des unzureichenden Schutzes durch US-Überwachungsrecht fehlten. Meta wurde angewiesen, seine Übermittlungen in Einklang zu bringen.
Durchsetzung gegen Uber (2024): Die niederländische Datenschutzbehörde verhängte ein Bußgeld von 290 Millionen Euro gegen Uber, weil personenbezogene Daten von Fahrern während eines Zeitraums, in dem kein anerkannter Mechanismus bestand, ohne gültigen Übermittlungsmechanismus in die USA übermittelt wurden.
Rechtliche Anfechtung des DPF (2025): Das Gericht der EU wies die Latombe-Klage gegen das DPF am 3. September 2025 ab. Latombe legte am 31. Oktober 2025 Berufung beim EuGH ein. Die Berufung ist anhängig. Für Trump v. Slaughter, mit möglichen Auswirkungen auf das dem DPF zugrunde liegende US-Datenschutzrahmenwerk, wurde eine Entscheidung bis Mitte 2026 erwartet.
EDSA-Leitlinien zu Artikel 48 (Juni 2025): Der EDSA verabschiedete am 5. Juni 2025 die endgültige Fassung der Leitlinien 02/2024 zu Artikel 48 DSGVO. Diese stellen klar, dass Organisationen, die Aufforderungen von Behörden aus Drittländern zur Übermittlung personenbezogener EU-Daten erhalten, jede Anfrage einzeln bewerten müssen und solche Anfragen nicht als routinemäßige Compliance-Pflicht behandeln dürfen.
Britischer Data (Use and Access) Act 2025: Royal Assent am 19. Juni 2025 änderte den britischen Übermittlungsstandard zum "Datenschutztest" (nicht wesentlich niedriger als die UK-DSGVO). Das ICO veröffentlichte am 15. Januar 2026 aktualisierte Leitlinien zu internationalen Übermittlungen. Aktualisierungen des IDTA und Addendum werden im Laufe von 2026 erwartet.
Verlängerung der UK-Angemessenheit (Dezember 2025): Die Europäische Kommission verlängerte ihre Angemessenheitsbeschlüsse für das UK am 19. Dezember 2025 bis zum 27. Dezember 2031.
Artikel-3(2)-SCC (ausstehend): Die geplanten neuen SCC der Kommission für DSGVO-unterworfene Importeure waren Stand Mai 2026 noch nicht förmlich erlassen. Organisationen, die mit diesem Szenario konfrontiert sind, sollten die SCC-Seite der Kommission auf Aktualisierungen beobachten.
Dies sind allgemeine rechtliche Informationen, keine Rechtsberatung. Organisationen, die SCC oder andere Mechanismen für grenzüberschreitende Übermittlungen umsetzen, sollten sich von einem in ihrer Rechtsordnung zugelassenen Rechtsanwalt zu ihrer spezifischen Situation beraten lassen. Dieser Artikel spiegelt Gesetze und Leitlinien wider, die Stand 19. Mai 2026 geprüft wurden.
Frequently Asked Questions
Was sind Standardvertragsklauseln (SCC)?
Standardvertragsklauseln sind von der Europäischen Kommission genehmigte Standardvertragsbedingungen nach Artikel 46 Absatz 2 Buchstabe c DSGVO. Sie schaffen verbindliche Datenschutzpflichten zwischen einem Datenexporteur im EWR und einem Datenimporteur außerhalb des EWR. Die aktuelle Fassung, erlassen im Juni 2021 (Durchführungsbeschluss 2021/914), ersetzte ältere Klauseln von 2001/2004 und 2010. SCC sind der am weitesten verbreitete Rechtsmechanismus für internationale Datenübermittlungen aus der EU.
Was sind die vier SCC-Module und wann wird welches verwendet?
Modul 1 (Verantwortlicher an Verantwortlichen) gilt, wenn ein EU-Verantwortlicher Daten an einen Nicht-EWR-Verantwortlichen übermittelt. Modul 2 (Verantwortlicher an Auftragsverarbeiter) erfasst EU-Verantwortliche, die Auftragsverarbeiter außerhalb des EWR beauftragen, etwa Cloud-Anbieter. Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) gilt, wenn ein in der EU ansässiger Auftragsverarbeiter einen Unterauftragsverarbeiter außerhalb des EWR beauftragt. Modul 4 (Auftragsverarbeiter an Verantwortlichen) erfasst EU-Auftragsverarbeiter, die Daten an Nicht-EWR-Verantwortliche zurückgeben. Eine einzige SCC-Vereinbarung kann mehrere Module für Parteien mit unterschiedlichen Rollen in verschiedenen Verarbeitungstätigkeiten enthalten.
Was ist ein Transfer Impact Assessment (TIA)?
Ein Transfer Impact Assessment bewertet, ob die Gesetze und Praktiken des Bestimmungslands ein Schutzniveau bieten, das den EU-Standards im Wesentlichen gleichwertig ist. Klausel 14 der SCC von 2021 verlangt von den Parteien, vor der Datenübermittlung ein TIA abzuschließen. Die Bewertung untersucht die Überwachungsgesetze des Bestimmungslands, behördliche Zugriffsrahmen und verfügbare Rechtsmittel. Stellt das TIA Risiken fest, müssen Organisationen ergänzende Maßnahmen (technisch, vertraglich oder organisatorisch) umsetzen, um die Schutzlücke zu schließen.
Sind die alten SCC noch gültig?
Nein. Die Europäische Kommission legte eine verpflichtende Übergangsfrist bis zum 27. Dezember 2022 fest, bis zu der alle Organisationen die alten SCC (die Verantwortlicher-zu-Verantwortlicher-Klauseln von 2001/2004 und die Verantwortlicher-zu-Auftragsverarbeiter-Klauseln von 2010) durch die Fassung von 2021 ersetzen mussten. Jede Datenübermittlung, die sich nach diesem Datum noch auf die alten SCC stützt, verfügt über keine gültige Rechtsgrundlage nach der DSGVO.
Können SCC für Übermittlungen in die Vereinigten Staaten genutzt werden?
Ja. SCC bleiben ein gültiger Mechanismus für Übermittlungen in die USA, unabhängig davon, ob der Empfänger unter dem EU-US Data Privacy Framework (DPF) zertifiziert ist. Für Übermittlungen an DPF-zertifizierte Organisationen können SCC als Absicherung dienen. Für Übermittlungen an nicht zertifizierte US-Organisationen sind SCC in der Regel der primäre Übermittlungsmechanismus. Ein Transfer Impact Assessment muss US-Überwachungsgesetze bewerten, insbesondere Section 702 FISA und Executive Order 12333, und es müssen geeignete ergänzende Maßnahmen umgesetzt werden.
Was ist die britische Entsprechung zu den EU-SCC?
Das UK bietet zwei Optionen: das International Data Transfer Agreement (IDTA), einen eigenständigen, im März 2022 vom ICO genehmigten Vertrag, sowie das UK Addendum zu den EU-SCC, das bestehende EU-SCC an britisches Recht anpasst. EU-SCC allein können nicht für Übermittlungen genutzt werden, die der UK-DSGVO unterliegen. Organisationen müssen zudem gemäß den ICO-Leitlinien ein Transfer Risk Assessment durchführen. Der britische Data (Use and Access) Act 2025 (Royal Assent 19. Juni 2025) änderte den britischen Übermittlungsstandard; das ICO veröffentlichte am 15. Januar 2026 aktualisierte Leitlinien und plant, das IDTA und das Addendum im Laufe von 2026 zu aktualisieren.
Welche ergänzenden Maßnahmen können Organisationen neben SCC umsetzen?
Ergänzende Maßnahmen fallen in drei Kategorien. Technische Maßnahmen umfassen Ende-zu-Ende-Verschlüsselung (bei der nur der Exporteur den Entschlüsselungsschlüssel besitzt), Pseudonymisierung und geteilte Verarbeitung. Vertragliche Maßnahmen verpflichten Importeure, behördliche Zugriffsanfragen anzufechten und Transparenzberichte vorzulegen. Organisatorische Maßnahmen umfassen Zugriffskontrollen, Datenminimierung und regelmäßige Audits. Der EDSA hat betont, dass technische Maßnahmen, die den Zugriff auf lesbare Daten verhindern, in Hochrisikojurisdiktionen die wirksamste Schutzmaßnahme darstellen. Vertragliche und organisatorische Maßnahmen allein können einen Rechtsrahmen des Bestimmungslands, der einen erzwungenen behördlichen Datenzugriff erlaubt, nicht ausgleichen.
Wie oft müssen Transfer Impact Assessments aktualisiert werden?
Die SCC verlangen eine fortlaufende Compliance, keine einmalige Bewertung. Organisationen müssen ihre TIAs neu bewerten, wenn sich die Umstände wesentlich ändern, etwa durch neue Überwachungsgesetzgebung im Bestimmungsland, Änderungen bei Unterauftragsverarbeitungsvereinbarungen, neue staatliche Praktiken oder relevante Gerichtsurteile. Der EDSA empfiehlt, einen regelmäßigen Prozess zur Beobachtung rechtlicher Entwicklungen in allen Bestimmungsländern einzurichten. Die Leitlinien 02/2024 des EDSA zu Artikel 48 DSGVO von 2025 ergänzten einen zusätzlichen zu bewertenden Risikofaktor: die rechtlichen Pflichten des Importeurs, wenn Behörden aus Drittländern Zugriff auf die personenbezogenen Daten verlangen.
Was sind die neuen SCC für DSGVO-unterworfene Importeure, und wann werden sie verfügbar sein?
Die Europäische Kommission entwickelt einen neuen Satz von SCC speziell für Übermittlungen an Verantwortliche und Auftragsverarbeiter außerhalb des EWR, deren Verarbeitung bereits unmittelbar nach Artikel 3 Absatz 2 der DSGVO unterliegt, etwa weil sie EU-Einwohner als Zielgruppe ansprechen. Die SCC von 2021 sind für dieses Szenario ungeeignet, da sie davon ausgehen, dass der Importeur nicht der DSGVO unterliegt. Die Kommission plante eine öffentliche Konsultation für das 4. Quartal 2024 und einen Entwurf zur Verabschiedung im 2. Quartal 2025. Stand Mai 2026 war noch kein förmlicher Durchführungsbeschluss im Amtsblatt veröffentlicht worden. Organisationen sollten die SCC-Seite der Kommission auf die Ankündigung des förmlichen Erlasses beobachten.
Wie stehen SCC im Vergleich zu verbindlichen internen Datenschutzvorschriften (BCR)?
SCC sind Vertragsklauseln für einzelne Übermittlungsbeziehungen; sie können von jeder Organisation genutzt werden und erfordern keine vorherige Genehmigung durch eine Aufsichtsbehörde. Verbindliche interne Datenschutzvorschriften sind konzerninterne Richtlinien, die von einer federführenden Aufsichtsbehörde nach Artikel 47 DSGVO genehmigt werden. BCR decken alle konzerninternen Übermittlungen im genehmigten Umfang ohne einzelfallbezogene SCC-Vereinbarungen ab, was sie für große multinationale Konzerne effizient macht, doch die Genehmigung dauert in der Regel ein bis drei Jahre und erfordert erhebliche rechtliche Ressourcen. BCR können nicht für Übermittlungen an externe Parteien genutzt werden; dafür bleiben SCC erforderlich. Die beiden Mechanismen ergänzen sich.
Benötige ich SCC für die Übermittlung von Daten aus dem EWR ins UK?
Nein. Der Angemessenheitsbeschluss der Europäischen Kommission für das UK deckt Übermittlungen vom EWR ins UK ab, sodass für diese Übermittlungen kein SCC oder anderer Mechanismus nach Artikel 46 erforderlich ist. Der Angemessenheitsbeschluss wurde am 19. Dezember 2025 verlängert und gilt bis zum 27. Dezember 2031. Im UK ansässige Organisationen, die Daten außerhalb des UK in nicht angemessene Länder übermitteln, benötigen für diese ausgehenden Übermittlungen jedoch weiterhin das britische IDTA oder das UK Addendum (die britischen Entsprechungen zu den EU-SCC).
Sources and References
- Die aktuellen EU-SCC wurden durch den Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 erlassen.(eur-lex.europa.eu).gov
- Der EuGH entschied in der Rechtssache Datenschutzbeauftragte gegen Facebook Ireland Limited und Maximillian Schrems, Rechtssache C-311/18, ECLI:EU:C:2020:559, 16. Juli 2020 (Schrems II), wonach SCC grundsätzlich ein gültiger Übermittlungsmechanismus sind, jedoch Exporteure prüfen müssen, ob der Rechtsrahmen des Importlands(eur-lex.europa.eu).gov
- Die Empfehlungen 01/2020 des EDSA zu ergänzenden Maßnahmen (endgültige Fassung Juni 2021) beschreiben einen sechsstufigen Prozess für TIAs.(edpb.europa.eu).gov
- Das Bußgeld von 1,2 Milliarden Euro gegen Meta/Facebook wurde von der irischen Datenschutzbehörde im Anschluss an die verbindliche EDSA-Entscheidung 1/2023 (13. April 2023) verhängt. Die Behörde stellte fest, dass Metas Übermittlungen von Facebook-Nutzerdaten in die USA über SCC unzureichende ergänzende Maßnahmen zum Ausgleich von US-Überwachungsgesetzen aufwiesen.(edpb.europa.eu).gov
- Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) verhängte ein Bußgeld von 290 Millionen Euro gegen Uber wegen Übermittlungen personenbezogener Fahrerdaten in die USA ohne gültigen Übermittlungsmechanismus. Dies ist das dritte Bußgeld, das die niederländische Datenschutzbehörde gegen Uber verhängt hat.(edpb.europa.eu).gov
- Das Gericht der EU wies die Nichtigkeitsklage von Latombe gegen das EU-US Data Privacy Framework am 3. September 2025 ab. Latombe legte am 31. Oktober 2025 Berufung beim EuGH ein. Die Berufung ist anhängig.(noyb.eu)
- Der britische Data (Use and Access) Act erhielt am 19. Juni 2025 Royal Assent. Schedule 7 des Gesetzes änderte den Standard für internationale Übermittlungen von 'nicht untergraben' zu 'nicht wesentlich niedriger' als der Schutz nach der UK-DSGVO (der 'Datenschutztest'). Das ICO veröffentlichte aktualisierte Leitlinien zu internationalen Übermittlungen(ico.org.uk).gov
- Das ICO plant, das IDTA und das Addendum im Laufe von 2026 zu aktualisieren, um die DUAA-Änderungen zu berücksichtigen. Organisationen sollten bis dahin die aktuellen Fassungen des IDTA und des Addendum weiter nutzen.(ico.org.uk).gov
- Die Europäische Kommission entwickelt derzeit neue SCC für Übermittlungen an Verantwortliche und Auftragsverarbeiter außerhalb des EWR, deren Verarbeitung unmittelbar nach Artikel 3 Absatz 2 der DSGVO unterliegt. Eine öffentliche Konsultation war für das 4. Quartal 2024 geplant, mit einem für das 2. Quartal 2025 erwarteten Entwurf. Stand Mai 2026 hat die Kommission(commission.europa.eu).gov
- Der EDSA verabschiedete am 5. Juni 2025 die endgültige Fassung der Leitlinien 02/2024 zu Artikel 48 DSGVO (Datenübermittlungen an Behörden aus Drittländern). Die Leitlinien stellen klar, dass Urteile oder Entscheidungen von Behörden aus Drittländern nicht automatisch in der EU anerkannt oder vollstreckt werden können und dass Organisationen jede Anfrage einzeln bewerten müssen(edpb.europa.eu).gov
- Die bestehenden SCC von 2021 sind auf Übermittlungen beschränkt, bei denen die Verarbeitung des Datenimporteurs NICHT der DSGVO unterliegt. Sie sind für das Szenario ungeeignet, in dem sowohl Exporteur als auch Importeur der DSGVO unterliegen, weil die Klauseln bereits bestehende Pflichten teils duplizieren und teils davon abweichen würden(commission.europa.eu).gov
- Der EDSA forderte die Europäische Kommission auf, neue SCC für das Szenario vorzubereiten, in dem sowohl der Datenexporteur als auch der Datenimporteur der DSGVO unterliegen, und betonte, dass diese SCC bestehende DSGVO-Pflichten nicht duplizieren, sondern sich auf Elemente konzentrieren sollten, die spezifisch mit den Risiken des Importeurs zusammenhängen(edpb.europa.eu).gov
- UK ICO - Transfer Risk Assessments(ico.org.uk).gov
- UK Data Protection Act 2018(legislation.gov.uk).gov
- Europäische Kommission - SCC für internationale Übermittlungen(commission.europa.eu).gov
- EDSA: Verbindliche Entscheidung 1/2023 zu Meta Platforms Ireland (Facebook-Übermittlungen in die USA)(edpb.europa.eu)