Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie gehen Standardvertragsklauseln auf Bedenken hinsichtlich der Datensouveränität ein – und wo stoßen sie an ihre Grenzen?

Wie gehen Standardvertragsklauseln auf Bedenken hinsichtlich der Datensouveränität ein – und wo stoßen sie an ihre Grenzen?

von Danielle Barbour updated März 9, 2026 DSGVO-Compliance
Lesezeit: 7 Minuten

Standardvertragsklauseln (SCCs) sind der am häufigsten genutzte Mechanismus für die Übermittlung personenbezogener Daten aus der EU in Drittländer. Seit Schrems II werden sie jedoch oft missverstanden – als Souveränitätslösung betrachtet, obwohl sie bestenfalls ein Ausgangspunkt für Souveränität sind. SCCs erfüllen die Dokumentationspflicht für Übermittlungen gemäß DSGVO. Sie können jedoch nicht – und dürfen rechtlich auch nicht – die Überwachungsgesetze der Zielländer außer Kraft setzen.

Zu verstehen, wo SCCs wirken und wo sie an ihre Grenzen stoßen, ist die Grundlage jedes ernsthaften Programms zur grenzüberschreitenden Datensouveränität.

Executive Summary

Kernaussage: Standardvertragsklauseln schaffen verbindliche vertragliche Verpflichtungen zwischen Datenexporteuren und -importeuren für grenzüberschreitende Übermittlungen personenbezogener Daten gemäß Kapitel V der DSGVO. Nach Schrems II müssen SCCs durch Transfer Impact Assessments (TIAs) ergänzt werden, die bewerten, ob das Recht des Empfängerlandes ihre Wirksamkeit beeinträchtigt – und bei identifiziertem Risiko durch technische Zusatzmaßnahmen. Für Übermittlungen an US-kontrollierte Infrastrukturen hat der EDPB kundengesteuerte Verschlüsselung mit Schlüsseln außerhalb der Infrastruktur des Anbieters als primär geeignete technische Maßnahme benannt. SCCs ohne diese technische Architektur sind rechtliche Dokumentation ohne echten Schutz.

Warum das relevant ist: Österreichische, französische und italienische Datenschutzbehörden haben Entscheidungen erlassen, wonach bestimmte US-Cloud-Anbieter-Konstellationen gegen die DSGVO verstoßen – explizit, weil SCCs nicht durch angemessene technische Maßnahmen ergänzt wurden. Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes betragen. Ein SCC-Programm, das nicht nach den Maßstäben von Schrems II überprüft wurde, ist keine Compliance-Strategie – sondern dokumentierte Gefährdung.

wichtige Erkenntnisse

  1. SCCs sind ein rechtliches Instrument, kein technisches Kontrollmittel. Sie binden die beteiligten Parteien aneinander. Sie binden keine ausländischen Regierungen, setzen Überwachungsgesetze nicht außer Kraft und verhindern keine erzwungene Offenlegung. Sie schützen vor freiwilligem Missbrauch durch den Datenimporteur – nicht vor staatlich erzwungenem Zugriff, gegen den der Importeur keine rechtliche Handhabe hat.
  2. Schrems II hat die Anforderungen an SCCs grundlegend verändert. Das EuGH-Urteil von 2020 legt fest, dass SCCs für US-Übermittlungen durch Transfer Impact Assessments ergänzt werden müssen und – bei identifiziertem Risiko durch den CLOUD Act oder FISA 702 – durch technische Zusatzmaßnahmen. SCCs allein genügen für US-Anbieter nicht mehr als Übermittlungsgrundlage.
  3. Der EDPB hat kundengesteuerte Verschlüsselung als erforderliche Zusatzmaßnahme benannt. Die Empfehlungen 01/2020 nennen Verschlüsselung mit Schlüsseln, die ausschließlich außerhalb des Ziellandes – und außerhalb der Infrastruktur des Anbieters – gehalten werden, als technische Maßnahme gegen staatlichen Zwangszugriff. Vertragliche Zusatzmaßnahmen (Benachrichtigungspflichten, Einspruchsverfahren) sind ausdrücklich unzureichend.
  4. SCCs adressieren keine nicht-personenbezogenen Daten, Transitrisko, Lieferkettenexponierung oder DLP-Lücken. Ihr Anwendungsbereich ist auf personenbezogene Daten gemäß DSGVO beschränkt. Grenzüberschreitende Datensouveränität erfordert ein umfassenderes Kontrollsystem, das auch nicht-personenbezogene Daten nach dem EU Data Act, Abfangrisiken während der Übertragung und Drittverarbeiterketten abdeckt.
  5. Statische SCC-Programme sind ein aktives Haftungsrisiko. Das Accountability-Prinzip der DSGVO verlangt laufende Überprüfung. TIAs, die vor Schrems II, vor den Entscheidungen der österreichischen/französischen/italienischen Datenschutzbehörden oder vor den rechtlichen Herausforderungen des EU-US Data Privacy Frameworks erstellt wurden, genügen den aktuellen regulatorischen Standards wahrscheinlich nicht mehr.

Was SCCs tatsächlich leisten – und was nicht

Standardvertragsklauseln sind von der Europäischen Kommission genehmigte Mustervertragsbedingungen, die eine rechtmäßige Grundlage für die Übermittlung personenbezogener Daten aus der EU in Drittländer gemäß DSGVO Art. 46 bieten. Sie verpflichten den Datenimporteur zu bestimmten Vorgaben: Verarbeitung nur zu festgelegten Zwecken, Umsetzung angemessener Sicherheitsmaßnahmen, Benachrichtigung des Exporteurs über behördliche Zugriffsanfragen (soweit zulässig) und Anfechtung rechtswidriger Anfragen. Die aktuellen SCCs wurden 2021 an die Anforderungen nach Schrems II angepasst.

Ebenso wichtig ist, was SCCs nicht leisten. Sie ändern nicht die gesetzlichen Pflichten von US-Unternehmen nach dem US CLOUD Act oder FISA Section 702. Ein US-Anbieter mit den strengsten SCC-Regelungen ist weiterhin verpflichtet, einer gültigen CLOUD Act-Anordnung nachzukommen. SCCs verpflichten den Anbieter, überzogene Anforderungen anzufechten; sie können ihn jedoch nicht verpflichten, einer gültigen Anordnung der eigenen Regierung die Befolgung zu verweigern. Das ist kein Mangel der Formulierung – sondern eine strukturelle Begrenzung von Verträgen als Datenschutzinstrument. Verträge binden Parteien aneinander, nicht aber souveräne Staaten. Der EuGH hat dies in Schrems II bestätigt: Wenn das Recht des Empfängerlandes staatlichen Zugriff ermöglicht, der mit den Grundrechten der EU unvereinbar ist, reichen SCCs allein nicht aus.

Die vollständige DSGVO-Compliance Checkliste

Jetzt lesen

Die Schrems II-Anforderung: Transfer Impact Assessments

Seit Schrems II müssen Unternehmen, die SCCs für US-Übermittlungen nutzen, Transfer Impact Assessments (TIAs) durchführen – dokumentierte Bewertungen, ob das US-Recht die Wirksamkeit der SCCs für die jeweilige Übermittlung beeinträchtigt. Ein TIA ist keine Formalität. Es muss den CLOUD Act und FISA 702 als aktive Rechtsgrundlagen ehrlich adressieren, die eine Offenlegung von Daten ohne europäische richterliche Kontrolle ermöglichen – und bewerten, ob technische Zusatzmaßnahmen das identifizierte Risiko ausreichend adressieren.

Ein TIA, das CLOUD Act-Risiken anerkennt, aber zu dem Schluss kommt, dass Benachrichtigungspflichten und Einspruchsverfahren ausreichen, erfüllt nicht den Schrems II-Standard. Der EDPB unterscheidet zwischen vertraglichen Zusatzmaßnahmen – die das Versprechen des Anbieters betreffen – und technischen Zusatzmaßnahmen – die das technisch Machbare verändern. Für CLOUD Act-exponierte Übermittlungen sind nur technische Maßnahmen ausreichend. Ein Anbieter, der gezwungen werden kann, lesbare Daten bereitzustellen, bietet unabhängig von seinen Zusagen keinen ausreichenden Schutz. Genau das ist der Kern aktueller Durchsetzungsentscheidungen der Datenschutzbehörden.

Die vom EDPB geforderte technische Maßnahme: Kundengesteuerte Verschlüsselung

Die EDPB-Empfehlungen 01/2020 benennen eine konkrete technische Zusatzmaßnahme als ausreichend für CLOUD Act-Risiken: Verschlüsselung, bei der der US-Anbieter niemals Zugriff auf die Verschlüsselungsschlüssel erhält. Die Schlüssel müssen vom EU-Kunden generiert, außerhalb der Kontrolle des Anbieters gespeichert und niemals an den Anbieter übermittelt werden. Bei dieser Architektur liefert eine CLOUD Act-Anordnung nur Chiffretext – der Anbieter ist technisch nicht in der Lage, lesbare Daten bereitzustellen, unabhängig vom rechtlichen Zwang. So werden sowohl die Offenlegungspflicht des CLOUD Act als auch die Schutzanforderung der DSGVO gleichzeitig erfüllt.

Kundengesteuerte Verschlüsselung (BYOK/BYOE) mit Schlüsseln in Hardware Security Modules unter exklusiver Kontrolle des EU-Kunden ist die praktische Umsetzung. Unternehmen, die kein konkretes Schlüsselmanagement-Design vorweisen können, das dem US-Anbieter jegliche Entschlüsselungsmöglichkeit entzieht, erfüllen nicht den Schrems II-Standard für technische Zusatzmaßnahmen – unabhängig von der Vollständigkeit der SCCs. Dasselbe gilt für Datenresidenz: SCC-Verpflichtungen zur Datenlokalisierung müssen durch technische Maßnahmen auf Infrastrukturebene (Geofencing) abgesichert werden – nicht durch vertragliche Zusagen, die administrativ aufgehoben werden könnten.

Wo SCCs Lücken lassen

Selbst ein vollständig konformes SCC-Programm deckt nur einen Teil der Anforderungen an grenzüberschreitende Datensouveränität ab. Drei Lücken bleiben unabhängig vom Umfang der SCCs bestehen.

Nicht-personenbezogene Daten. SCCs gelten nur für personenbezogene Daten gemäß DSGVO. Für nicht-personenbezogene Daten gilt Kapitel VII des EU Data Act, das Cloud-Anbieter verpflichtet, technische Maßnahmen gegen unrechtmäßigen Zugriff aus Nicht-EU-Staaten umzusetzen. Ein DSGVO-konformes SCC-Programm lässt nicht-personenbezogene Daten aus Souveränitätssicht völlig unberücksichtigt.

Lieferkettenexponierung. SCCs regeln das direkte Verhältnis zwischen Exporteur und Importeur. Setzt ein US-Anbieter Unterauftragsverarbeiter in weiteren Ländern ein, entsteht mit jedem ein zusätzlicher staatlicher Zugriffsvektor. Effektives Drittparteien-Risikomanagement erfordert die unabhängige Analyse der gesamten Subunternehmerkette.

Sektorale Verpflichtungen. Die Anforderungen des DORA an das IKT-Drittparteienrisiko und die Vorgaben der NIS 2-Richtlinie zur Lieferkettensicherheit schaffen Souveränitätsverpflichtungen, die über die DSGVO-Übermittlungsvorgaben hinausgehen. SCCs erfüllen die DSGVO-Anforderungen, nicht jedoch die sektoralen.

Wie Kiteworks SCC-Compliance unterstützt – und darüber hinausgeht

Kiteworks liefert die technischen Kontrollen, die SCC-Programme wirklich schützend machen – statt nur dokumentarisch vollständig. Das Kiteworks Private Data Network implementiert kundengesteuerte Verschlüsselung (BYOK/BYOE) mit FIPS 140-3 Level 1-validierter Verschlüsselung und AES-256 im ruhenden Zustand – die Schlüssel liegen ausschließlich beim EU-Kunden und sind für Kiteworks niemals zugänglich.

Eine CLOUD Act-Anordnung an Kiteworks liefert nur Chiffretext. Das TIA-Ergebnis ist belastbar, nicht weil Kiteworks etwas zusichert, sondern weil Kiteworks technisch nicht in der Lage ist, lesbare Daten bereitzustellen. Die Single-Tenant-Bereitstellung am vom Kunden gewählten europäischen Standort erzwingt Datenresidenz auf Infrastrukturebene – nicht nur vertraglich.

Zero trust-Sicherheitskontrollen steuern jeden Zugriff, und alle Ereignisse werden in unveränderlichen Audit-Trails über das CISO Dashboard erfasst. Vorgefertigte Berichte für DSGVO, NIS 2, DORA und ISO 27001 halten die Übermittlungsdokumentation für alle relevanten Frameworks aktuell. E-Mail, Filesharing, Managed File Transfer, Web-Formulare und APIs werden auf einer Plattform mit konsistenten Kontrollen verwaltet – und schließen damit die Fragmentierungslücken, die Multi-Plattform-Umgebungen verursachen.

Erfahren Sie, wie Kiteworks Ihr SCC-Compliance-Programm unterstützt und die architektonischen Lücken schließt, die SCCs allein nicht adressieren können: Vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Standardvertragsklauseln sind von der Europäischen Kommission genehmigte Mustervertragsbedingungen, die eine rechtmäßige Grundlage für die Übermittlung personenbezogener Daten aus der EU in Drittländer gemäß DSGVO Art. 46 bieten. Sie verpflichten Datenimporteure zu Vorgaben wie Zweckbindung, Sicherheitsmaßnahmen, Kooperation bei Betroffenenrechten, Benachrichtigung über behördliche Zugriffsanfragen und Anfechtungsverfahren bei unrechtmäßigen Anfragen. Die aktuellen SCCs, aktualisiert 2021, spiegeln die Anforderungen nach Schrems II an Zusatzmaßnahmen wider. Nach Schrems II müssen SCCs für US-Übermittlungen durch Transfer Impact Assessments und – bei identifiziertem Risiko durch US CLOUD Act oder FISA 702 – durch technische Zusatzmaßnahmen ergänzt werden.

Das Schrems II-Urteil des EuGH vom Juli 2020 legt fest, dass SCCs nur dann genutzt werden können, wenn das Recht des Empfängerlandes ihre Wirksamkeit für die konkrete Übermittlung nicht beeinträchtigt. Für US-Übermittlungen müssen Organisationen TIAs durchführen, die US CLOUD Act und FISA 702 als reale Offenlegungsrisiken ehrlich adressieren – und technische Zusatzmaßnahmen umsetzen, wo diese Risiken bestehen. Die EDPB-Empfehlungen 01/2020 stellen klar, dass vertragliche Zusatzmaßnahmen nicht ausreichen, wenn US-Recht die Anbieter zur Kooperation verpflichtet – unabhängig vom Vertrag. SCC-Programme, die vor Schrems II nicht überprüft wurden, bergen aktives Durchsetzungsrisiko.

Eine vertragliche Zusatzmaßnahme verändert, was der Datenimporteur zusichert – etwa die Verpflichtung, behördliche Zugriffsanfragen anzufechten oder den Datenexporteur bei Anfragen zu benachrichtigen. Eine technische Zusatzmaßnahme verändert, was der Datenimporteur technisch leisten kann. Kundengesteuerte Verschlüsselung mit Schlüsseln außerhalb der Infrastruktur des Anbieters ist eine technische Zusatzmaßnahme: Der Anbieter kann keine lesbaren Daten liefern, unabhängig von rechtlichen Anforderungen, da er nie im Besitz der Entschlüsselungsschlüssel war. Der EDPB verlangt technische Zusatzmaßnahmen für US CLOUD Act-exponierte Übermittlungen, weil vertragliche Maßnahmen US-Recht nicht außer Kraft setzen – was der Anbieter zusichert, ändert nichts an seinen gesetzlichen Pflichten.

Nein. Standardvertragsklauseln (SCCs) sind ein DSGVO-Instrument für personenbezogene Daten. Für grenzüberschreitende Übermittlungen nicht-personenbezogener Daten gelten andere Rahmenwerke: Kapitel VII des EU Data Act verpflichtet Cloud-Anbieter, technische Maßnahmen gegen unrechtmäßigen Zugriff nicht-europäischer Behörden auf in der EU gespeicherte nicht-personenbezogene Daten umzusetzen; sektorspezifische Vorschriften stellen zusätzliche Anforderungen für Finanz-, Gesundheits- und Regierungsdaten. Ein SCC-Programm, das die DSGVO-Anforderungen für personenbezogene Daten erfüllt, kann die nicht-personenbezogenen Daten eines Unternehmens aus Souveränitätssicht völlig unberücksichtigt lassen – daher müssen umfassende Souveränitätsprogramme über die DSGVO-Compliance hinausgehen.

Eine Überprüfung auf Schrems II-Tauglichkeit sollte vier Aspekte abdecken: Ob bestehende TIAs US CLOUD Act und FISA 702 als reale Risiken ehrlich adressieren (nicht nur als theoretische Probleme erwähnen); ob diese TIAs technische Zusatzmaßnahmen dokumentieren, die die identifizierten Risiken adressieren (kundengesteuerte Verschlüsselung mit dokumentierter Schlüsselverwaltungsarchitektur, nicht nur vertragliche Zusagen); ob Datenresidenz technisch durchgesetzt wird statt nur vertraglich zugesichert (Geofencing auf Infrastrukturebene statt bloßer Richtlinien); und ob unveränderliche Audit-Trails die laufende Nachweisführung gemäß dem Accountability-Prinzip der DSGVO ermöglichen. Unternehmen, die Kiteworks nutzen, können vorgefertigte Compliance-Dokumentationspakete – Architektur-Nachweise, Schlüsselmanagement-Protokolle und Audit-Trail-Exporte – für DSGVO, NIS 2, DORA und nationale Datenschutzanforderungen generieren.

Weitere Ressourcen 

  • Blog Post
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook
    Datensouveränität und DSGVO
  • Blog Post
    Diese Fallstricke bei der Datensouveränität vermeiden
  • Blog Post
    Best Practices für Datensouveränität
  • Blog Post
    Datensouveränität und DSGVO [Sicherheit von Daten verstehen]

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks