Skip to main content
Logo von MKM LEGAL
Man sieht einer Person über die Schulter, die mit ihren Händen gerade Dokumente durchblättert

Verwechslungsgefahr – Standardvertragsklauseln im Überblick

Der Begriff „Standardvertragsklauseln“ ist unter Datenschützenden spätestens durch das Schrems-II-Urteil des EuGH bestens bekannt. Neben den häufig referenzierten Klauseln zur Drittlandsübermittlung gibt es aber auch weitere, oft weniger bekannte Standardklauseln zum Datenschutz. Darunter fällt beispielsweise auch die Alternative zum Auftragsverarbeitungsvertrag aus Art. 28 Abs. 7 DSGVO. Und gibt es eigentlich Standardvertragsklauseln zur gemeinsamen Verantwortlichkeit? Wir geben in diesem Beitrag einen Überblick über die bestehenden Standardklauseln zum Datenschutz und erläutern, worauf es in der Praxis bei der Anwendung ankommt. 

Welche Standardklauseln gibt es im Datenschutz und was regeln sie?

Aktuell gibt es drei verschiedene Arten datenschutzrechtlicher Standardklauseln:

1. Standardvertragsklauseln für Datenübermittlungen zwischen EU- und Nicht-EU-Staaten

Diese „Standarddatenschutzklauseln“ nach Art. 46 Abs. 2 lit. c DSGVO (engl. Standard Data Protection Clauses) werden verwendet, um geeignete Garantien für eine Datenübermittlung außerhalb von EU/EWR sicherzustellen. Standarddatenschutzklauseln sind gern genutzte Mittel, da sie in der Regel unkompliziert und ohne aufwändige Vertragsverhandlungen oder gar Genehmigungen der Aufsichtsbehörde zu einer grenzüberschreitenden Datenübermittlung vereinbart werden können. Diese Klauseln sind in vier Module unterteilt, die die unterschiedlichen Konstellationen zwischen Datenimporteur und Datenexporteur bei der Drittlandsübermittlung abdecken:

  • Modul 1: Verantwortlicher-Verantwortlicher
  • Modul 2: Verantwortlicher-Auftragsverarbeiter
  • Modul 3: Auftragsverarbeiter-Auftragsverarbeiter
  • Modul 4: Auftragsverarbeiter-Verantwortlicher

Standarddatenschutzklauseln können beispielsweise auch zum Einsatz kommen, wenn ein US-Unternehmen nicht unter dem Data Privacy Framework zertifiziert ist. Zu beachten ist, dass beim Einsatz dieser Klauseln stets ein sog. Transfer Impact Assessment (TIA) erforderlich ist. Dabei handelt es sich um eine datenschutzrechtliche Risikoanalyse in Bezug auf das jeweilige Land des Datenimporteurs. In den (neuen) Standarddatenschutzklauseln selbst ist die Pflicht zur Durchführung eines TIA ebenfalls vertraglich verankert.

2. Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern

Die Standardvertragsklauseln nach Art. 28 Abs. 7 DSGVO (engl. Standard Contractual Clauses) können als schlanke, faire und standardisierte Lösung für die Regelung der Rechte und Pflichten zwischen Verantwortlichen und deren Auftragsverarbeitern verwendet werden. Ihr Vorteil liegt auch hier darin, dass diese Verträge inhaltlich nicht angepasst werden dürfen und dadurch langwierige Vertragsverhandlungen entfallen. Übrigens braucht es dieses Vertragswerk nicht, wenn bereits Standarddatenschutzklauseln für die Drittlandsübermittlung geschlossen wurden, da Regelungen zur Auftragsverarbeitung darin enthalten sind.

3. Standardvertragsklauseln zwischen Sponsor und Prüfzentrum im Rahmen einer gemeinsamen Verantwortlichkeit bei klinischen Prüfungen

Seit dem 16.09.2025 gibt es eine weitere Form von Standardvertragsklauseln auf Bundesebene. Die sog. Verordnung über Standardvertragsklauseln für die Durchführung klinischer Prüfungen (Standardvertragsklauselverordnung – StandVKlV) enthält Klauseln, die insbesondere im Rahmen der klinischen Prüfung von Arzneimitteln und Medizinprodukten zum Einsatz kommen können. Für die vertragliche Regelung einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zwischen Prüfzentrum und Sponsor hält Anlage 2 der StandVKlV Standardklauseln bereit. Somit gibt es zwar keine allgemein anwendbaren Regelungen zur gemeinsamen Verantwortlichkeit – die hier enthaltenen Regelungen können jedoch als faire Grundlage für eine entsprechende Vereinbarung dienen.

Verwechslungsgefahr – Warum SCC nicht immer SCC sind

Der Begriff der Standardvertragsklauseln (auch „SCC“) wird häufig synonym für die verschiedenen Standardklauseln im Datenschutz verwendet. Das hat sich nicht nur in der Praxis so ergeben – die EU Kommission selbst bezeichnet die im Gesetz als Standarddatenschutzklauseln bezeichneten Regelungen für die Drittlandsübermittlung als Standardvertragsklauseln. Auch im Englischen hat sich dieser Irrtum verbreitet und gefestigt. Es bietet sich also an, bei der Kommunikation mit möglichen Vertragspartnern schon frühzeitig klarzustellen, ob man sich auf die Drittlandsübermittlung, die Auftragsverarbeitung oder andere Regelungen bezieht. Bei einem Blick in die offiziellen Klauseln der EU-Kommission ist bereits in den ersten Abschnitten erkennbar, um welche Version es sich handelt.

So wenden Sie Standardklauseln korrekt an

Eine Gemeinsamkeit haben diese Klauseln: Sie sind unabänderbar. Das heißt, ihre Inhalte dürfen nicht geändert oder im Einzelnen ausverhandelt werden. Ausnahmen gelten lediglich für Wahlmöglichkeiten, die den Parteien im Rahmen des Vertragsschlusses stellenweise zur Verfügung stehen. Auch können die Parteien flankierende Klauseln formulieren und die Standardklauseln in diese einbinden, solange die Klauseln dadurch nicht umgangen werden und das Schutzniveau der Standardklauseln mindestens erhalten bleibt. 

Bei allen Formen der Standardklauseln zum Datenschutz sollten die Anhänge und Platzhalter vollständig und gewissenhaft ausgefüllt werden. Wichtig ist auch, bei Änderungen die Pflichten aus den Verträgen zu beachten. Die standardmäßig formulierten Klauseln vereinfachen zwar den Vertragsabschluss, die Pflichten daraus müssen die Parteien aber dennoch selbst umsetzen.

Anwendungstipp für die Praxis: Nutzung der Kopplungsklausel

Gerade wenn die Klauseln in Konzernen oder zwischen verbundenen Unternehmen eingesetzt werden, bietet sich zudem die Nutzung der optionalen Kopplungsklauseln aus den Vorlagen der EU-Kommission an. Hierdurch können zu einem späteren Zeitpunkt weitere Vertragsparteien in die Regelungen aufgenommen werden.

Fazit

Die vorgestellten Standardklauseln helfen, die erforderlichen Verträge zum Datenschutz fair und ohne zeitaufwändige Vertragsprüfungen zu schließen. Zwar bleibt den Beteiligten eine Auseinandersetzung mit deren Inhalten für eine dauerhafte Datenschutz-Compliance nicht erspart, die Umsetzung kann dabei aber mit Standardklauseln vereinheitlicht und vereinfacht werden.

 

Autorin: Rebecca Schimkat LL.M. 

Further insights on the topic

article
27th April 2026
Grenzen des Geschäftsgeheimnisschutzes beim Prompten
KI rechtssicher im Unternehmen einsetzen
article
1st April 2026
Praxistipps für den Umgang mit dem Auskunftsrecht
Auskunftsersuchen nach Art. 15 DSGVO: Wie schnell muss geantwortet werden?
article
20th March 2026
Worauf Unternehmen beim betrieblichen Eingliederungsmanagement achten sollten
Datenschutz-Tipps fürs BEM
article
9th January 2026
Cookie-Vorschriften, Meldefristen und Pseudonymisierung
Der Digital Omnibus: Im Januar nichts Neues?
article
22nd December 2025
Die Umsetzung eines Speicher- und Löschkonzepts in der Praxis
Der Mensch – ein Jäger und Sammler von Daten!?
article
2nd December 2025
Auswirkungen auf die Datenschutzarbeit
Neue Perspektive – EuGH-Urteil zum relativen Personenbezug
article
1st December 2025
Datenschutzrelevante Änderungen des Reformpakets
Der Digital Omnibus
article
27th October 2025
Das Fernmeldegeheimnis gilt nicht mehr
Private E-Mails und Internetnutzung am Arbeitsplatz
Logo von MKM LEGAL
Legal

Imprint

Privacy Policy

Terms & conditions

Whistleblower System

Contact

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Address

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Martin-Albert-Str. 1
90491 Nürnberg

Bernburger Str. 30-31
10963 Berlin

Newsletter-Anmeldung