# ============================================================================= # SCC Legal Corpus - Standardvertragsklauseln & Drittlandtransfers # Für Legal RAG Integration # Version: 1.0 # Stand: Januar 2026 # ============================================================================= version: "1.0" jurisdiction: EU last_updated: "2026-01-29" description: "Rechtliche Informationen zu Standardvertragsklauseln und internationalen Datentransfers" # ============================================================================= # GRUNDLAGEN # ============================================================================= fundamentals: scc_definition: id: SCC-DEF-001 topic: "Was sind Standardvertragsklauseln?" content: | Standardvertragsklauseln (Standard Contractual Clauses - SCC) sind von der EU-Kommission verabschiedete Musterverträge, die eine rechtliche Grundlage für Datenübermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) schaffen. Sie gelten als Instrument nach Art. 46 Abs. 2 lit. c DSGVO, wenn für das Empfängerland kein Angemessenheitsbeschluss der EU-Kommission besteht. legal_refs: - "DSGVO Art. 46 Abs. 2 lit. c" - "EU-Kommission Durchführungsbeschluss (EU) 2021/914" keywords: ["SCC", "Standardvertragsklauseln", "Drittlandtransfer", "Art. 46"] new_scc_2021: id: SCC-DEF-002 topic: "Neue SCC seit Juni 2021" content: | Die EU-Kommission hat im Juni 2021 modernisierte Standardvertragsklauseln veröffentlicht, die alte Versionen seit dem 27. Dezember 2022 vollständig abgelöst haben. Die neuen SCC sind modular aufgebaut und decken vier verschiedene Transfer-Szenarien ab: - Modul 1: Controller zu Controller (C2C) - Modul 2: Controller zu Processor (C2P) - Modul 3: Processor zu Processor (P2P) - Modul 4: Processor zu Controller (P2C) WICHTIG: Alte SCC-Versionen (von 2001, 2004, 2010) sind seit Ende 2022 nicht mehr gültig für neue oder andauernde Transfers. legal_refs: - "EU-Kommission Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021" - "CNIL Guidance on SCC transition" keywords: ["neue SCC", "2021", "Module", "C2C", "C2P", "P2P"] adequacy_decisions: id: SCC-DEF-003 topic: "Angemessenheitsbeschlüsse" content: | Für einige Drittländer hat die EU-Kommission Angemessenheitsbeschlüsse erlassen, die ein dem EU-Recht vergleichbares Datenschutzniveau bestätigen. In diesen Fällen sind KEINE SCC erforderlich. Länder mit Angemessenheitsbeschluss (Stand 2026): - Andorra, Argentinien, Kanada (nur PIPEDA), Färöer-Inseln - Guernsey, Israel, Isle of Man, Japan, Jersey - Neuseeland, Schweiz, Südkorea, Uruguay - Vereinigtes Königreich (UK) - USA (nur für Unternehmen unter dem EU-US Data Privacy Framework) ACHTUNG: Der USA-Angemessenheitsbeschluss (Data Privacy Framework) gilt NUR für US-Unternehmen, die beim DPF zertifiziert sind! legal_refs: - "DSGVO Art. 45" - "EU-Kommission Angemessenheitsbeschlüsse" - "EU-US Data Privacy Framework Beschluss vom 10. Juli 2023" keywords: ["Angemessenheitsbeschluss", "adequacy", "Art. 45", "DPF"] # ============================================================================= # WANN SIND SCC ERFORDERLICH? # ============================================================================= requirements: when_scc_required: id: SCC-REQ-001 topic: "Wann sind SCC erforderlich?" content: | SCC sind erforderlich wenn ALLE folgenden Bedingungen erfüllt sind: 1. Es werden personenbezogene Daten übermittelt 2. Der Empfänger befindet sich außerhalb des EWR 3. Für das Empfängerland besteht KEIN Angemessenheitsbeschluss (oder der Empfänger ist nicht unter einem solchen zertifiziert) WICHTIG: Als "Übermittlung" gilt auch: - Remote-Zugriff auf EU-Daten von einem Drittland aus - Support/Wartungszugriffe von Mitarbeitern im Drittland - Backup-Speicherung in Drittland-Rechenzentren - Nutzung von Cloud-Diensten mit Drittland-Verarbeitung legal_refs: - "DSGVO Art. 44" - "DSGVO Art. 46" keywords: ["Übermittlung", "Drittland", "Transfer"] when_scc_not_required: id: SCC-REQ-002 topic: "Wann sind SCC NICHT erforderlich?" content: | SCC sind NICHT erforderlich in folgenden Fällen: 1. Rein lokale Verarbeitung (On-Premises im EWR) - Alle Daten bleiben im EWR - Kein Zugriff von Drittländern - Keine Cloud-Dienste mit Drittland-Verarbeitung 2. Angemessenheitsbeschluss vorhanden - Empfängerland hat EU-Angemessenheitsbeschluss - Bei USA: Empfänger ist DPF-zertifiziert 3. Keine personenbezogenen Daten - Vollständig anonymisierte Daten (irreversibel!) - Nur aggregierte Statistiken 4. Binding Corporate Rules (BCR) - Konzerninterner Transfer mit genehmigten BCR legal_refs: - "DSGVO Art. 44" - "DSGVO Art. 45" - "ErwGr. 26 DSGVO (Anonymisierung)" keywords: ["lokal", "On-Premises", "anonymisiert", "BCR"] local_hosting_scenario: id: SCC-REQ-003 topic: "Szenario: Lokales Hosting (Mac Studio)" content: | Bei lokalem Hosting auf kundeneigener Hardware (z.B. Mac Studio): KEINE SCC erforderlich wenn: - Software/LLM läuft vollständig lokal - Alle personenbezogenen Daten bleiben auf der lokalen Hardware - Wartung/Support erfolgt OHNE Zugriff auf personenbezogene Daten - Fehlerberichte/Logs enthalten KEINE personenbezogenen Daten - Keine Cloud-Synchronisation mit Drittländern AVV WEITERHIN ERFORDERLICH wenn: - Der Software-Anbieter als Auftragsverarbeiter agiert - Im Rahmen von Wartung/Support Zugriff auf Daten möglich ist ACHTUNG: Sobald Support-Mitarbeiter von außerhalb des EWR auf personenbezogene Daten zugreifen können, liegt ein Drittlandtransfer vor! legal_refs: - "DSGVO Art. 28 (AVV-Pflicht)" - "DSGVO Art. 44ff (Drittlandtransfer)" keywords: ["lokal", "On-Premises", "Mac Studio", "AVV"] cloud_hosting_scenario: id: SCC-REQ-004 topic: "Szenario: Cloud-Hosting" content: | Bei Cloud-Hosting (z.B. SysEleven, AWS, Azure, GCP): Prüfschema: 1. Wo befinden sich die Rechenzentren? → EU-only: Grundsätzlich keine SCC nötig → Weltweit/USA: Weitere Prüfung erforderlich 2. Wer hat Zugriff auf die Daten? → Nur EU-Personal: Keine SCC → Drittland-Support möglich: SCC erforderlich 3. Gibt es Unterauftragsverarbeiter im Drittland? → Ja: SCC mit diesen erforderlich → Nein: Dokumentation ausreichend 4. USA-Cloud-Provider mit EU-Rechenzentren: → Prüfen ob DPF-zertifiziert → Prüfen ob US-Behördenzugriff technisch möglich (FISA 702) → Ggf. zusätzliche technische Maßnahmen (Verschlüsselung) legal_refs: - "DSGVO Art. 28 Abs. 2 (Unterauftragsverarbeiter)" - "DSGVO Art. 44ff" - "EuGH Schrems II (C-311/18)" keywords: ["Cloud", "SysEleven", "AWS", "Azure", "GCP"] # ============================================================================= # TRANSFER IMPACT ASSESSMENT (TIA) # ============================================================================= tia: tia_requirement: id: SCC-TIA-001 topic: "Transfer Impact Assessment" content: | Nach dem Schrems II-Urteil des EuGH müssen Datenexporteure vor jedem Drittlandtransfer ein Transfer Impact Assessment (TIA) durchführen. Das TIA muss bewerten: 1. Rechtslage im Empfängerland - Behördenzugriffsrechte (z.B. FISA 702 in USA) - Rechtsschutz für EU-Bürger - Datenschutzaufsicht 2. Praktische Anwendung der Gesetze - Werden Zugriffsrechte tatsächlich genutzt? - Gibt es dokumentierte Fälle? 3. Vertragliche Garantien - Reichen die SCC allein aus? - Werden zusätzliche Schutzmaßnahmen benötigt? 4. Zusätzliche Schutzmaßnahmen - Technische Maßnahmen (Verschlüsselung, Pseudonymisierung) - Organisatorische Maßnahmen - Vertragliche Maßnahmen legal_refs: - "EuGH Schrems II (C-311/18)" - "EDPB Recommendations 01/2020" - "EDPB Recommendations 02/2020" keywords: ["TIA", "Transfer Impact Assessment", "Schrems II"] supplementary_measures: id: SCC-TIA-002 topic: "Ergänzende Schutzmaßnahmen" content: | Wenn das TIA ergibt, dass SCC allein kein angemessenes Schutzniveau gewährleisten, sind ergänzende Maßnahmen erforderlich: TECHNISCHE MAßNAHMEN: - Ende-zu-Ende-Verschlüsselung (Schlüssel nur beim Exporteur) - Pseudonymisierung (Zuordnungstabelle im EWR) - Split Processing (sensible Teile nur im EWR) VERTRAGLICHE MAßNAHMEN: - Benachrichtigung bei Behördenanfragen - Verpflichtung zur Anfechtung rechtswidriger Anfragen - Verbot der Schlüsselherausgabe ORGANISATORISCHE MAßNAHMEN: - Strikte Zugriffskontrollen - Dokumentation aller Zugriffe - Regelmäßige Audits WICHTIG: Wenn auch mit Zusatzmaßnahmen kein angemessenes Niveau erreichbar ist, muss der Transfer unterbleiben! legal_refs: - "EDPB Recommendations 01/2020 on supplementary measures" - "DSGVO Art. 32" keywords: ["Verschlüsselung", "Pseudonymisierung", "Zusatzmaßnahmen"] # ============================================================================= # AVV vs. SCC # ============================================================================= avv_scc: avv_definition: id: SCC-AVV-001 topic: "AVV vs. SCC - Unterschiede" content: | AVV und SCC sind VERSCHIEDENE Instrumente mit UNTERSCHIEDLICHEN Zwecken: AUFTRAGSVERARBEITUNGSVERTRAG (AVV): - Rechtsgrundlage: Art. 28 DSGVO - Zweck: Regelung der Verarbeitung durch einen Auftragsverarbeiter - Erforderlich: Bei JEDER Auftragsverarbeitung - Unabhängig vom Ort: Auch bei EU-internen Verarbeitungen STANDARDVERTRAGSKLAUSELN (SCC): - Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO - Zweck: Absicherung von Drittlandtransfers - Erforderlich: NUR bei Übermittlung in Drittländer ohne Angemessenheit KOMBINATION: Bei Drittland-Auftragsverarbeitern sind BEIDE erforderlich: - AVV für die Auftragsverarbeitung an sich - SCC für den Drittlandtransfer Die neuen SCC (2021) können beides kombinieren, indem sie sowohl Art. 28-Anforderungen als auch Art. 46-Anforderungen erfüllen. legal_refs: - "DSGVO Art. 28" - "DSGVO Art. 46" - "EU-Kommission Durchführungsbeschluss (EU) 2021/914" keywords: ["AVV", "SCC", "Art. 28", "Art. 46"] # ============================================================================= # PRAKTISCHE UMSETZUNG # ============================================================================= implementation: scc_checklist: id: SCC-IMP-001 topic: "SCC-Implementierung: Checkliste" content: | Checkliste für die SCC-Implementierung: VOR DEM TRANSFER: □ Prüfung ob Angemessenheitsbeschluss besteht □ Identifikation des korrekten SCC-Moduls (C2C, C2P, P2P, P2C) □ Durchführung des Transfer Impact Assessment (TIA) □ Dokumentation der Rechtsgrundlage VERTRAGSABSCHLUSS: □ Verwendung der aktuellen SCC-Version (2021) □ Auswahl der relevanten Module □ Ergänzung der erforderlichen Anhänge (Annex I, II) □ Definition der technischen/organisatorischen Maßnahmen □ Benennung der Kontaktpersonen NACH DEM TRANSFER: □ Regelmäßige Überprüfung der Rechtslage im Drittland □ Aktualisierung des TIA bei Änderungen □ Dokumentation aller Transfers □ Information der Aufsichtsbehörde auf Anfrage legal_refs: - "DSGVO Art. 46" - "EDPB Recommendations 01/2020" keywords: ["Checkliste", "Implementierung", "Dokumentation"] scc_modules: id: SCC-IMP-002 topic: "SCC-Module im Überblick" content: | Die neuen SCC (2021) umfassen vier Module: MODUL 1: Controller zu Controller (C2C) - Anwendung: Zwei unabhängige Verantwortliche - Beispiel: Unternehmensgruppe mit gemeinsamer Kundendatenbank MODUL 2: Controller zu Processor (C2P) - Anwendung: Verantwortlicher beauftragt Auftragsverarbeiter im Drittland - Beispiel: EU-Unternehmen nutzt US-Cloud-Provider - HÄUFIGSTER ANWENDUNGSFALL MODUL 3: Processor zu Processor (P2P) - Anwendung: EU-Auftragsverarbeiter nutzt Unterauftragsverarbeiter im Drittland - Beispiel: EU-IT-Dienstleister nutzt US-Sub-Contractor MODUL 4: Processor zu Controller (P2C) - Anwendung: Drittland-Auftragsverarbeiter gibt Daten an EU-Verantwortlichen zurück - Beispiel: Rückübermittlung nach Datenanalyse im Drittland - SELTEN Die Module können kombiniert werden (Docking Clause für nachträgliche Beitritte). legal_refs: - "EU-Kommission Durchführungsbeschluss (EU) 2021/914" keywords: ["Module", "C2C", "C2P", "P2P", "P2C"] # ============================================================================= # BSI C5 UND SCC # ============================================================================= bsi_c5: bsi_c5_scc_relation: id: SCC-BSI-001 topic: "BSI C5 Zertifizierung und SCC" content: | Eine BSI C5 Zertifizierung ist KEIN Ersatz für SCC! BSI C5 belegt: - Technische Sicherheit des Cloud-Dienstes - Organisatorische Maßnahmen - Compliance mit deutschen Sicherheitsstandards BSI C5 belegt NICHT: - Rechtliche Grundlage für Drittlandtransfers - Angemessenes Datenschutzniveau im Drittland - Schutz vor Behördenzugriffen Konsequenz: Auch ein BSI C5-zertifizierter Cloud-Provider benötigt SCC, wenn: - Daten in Drittländer übermittelt werden - Support/Zugriff aus Drittländern erfolgt - Unterauftragsverarbeiter im Drittland eingesetzt werden legal_refs: - "BSI C5:2020" - "DSGVO Art. 46" keywords: ["BSI C5", "Zertifizierung", "Cloud"] # ============================================================================= # ENTSCHEIDUNGSMATRIX # ============================================================================= decision_matrix: transfer_decision: id: SCC-DEC-001 topic: "Entscheidungsmatrix: SCC erforderlich?" content: | ENTSCHEIDUNGSBAUM: 1. Werden personenbezogene Daten verarbeitet? → Nein: Keine SCC erforderlich (DSGVO nicht anwendbar) → Ja: Weiter zu 2. 2. Werden Daten außerhalb des EWR verarbeitet oder ist Zugriff möglich? → Nein (rein lokale Verarbeitung im EWR): Keine SCC (nur AVV) → Ja: Weiter zu 3. 3. Besteht ein Angemessenheitsbeschluss für das Drittland? → Ja: Keine SCC erforderlich → Nein: Weiter zu 4. 4. Ist der Empfänger DPF-zertifiziert (bei USA)? → Ja: Keine SCC für diesen Empfänger → Nein: SCC ERFORDERLICH 5. Bei SCC-Erforderlichkeit: → TIA durchführen → Ggf. ergänzende Maßnahmen implementieren → Wenn angemessenes Niveau nicht erreichbar: Transfer NICHT zulässig legal_refs: - "DSGVO Art. 44-49" keywords: ["Entscheidungsbaum", "Prüfschema"] # ============================================================================= # KEYWORDS FÜR RAG RETRIEVAL # ============================================================================= rag_keywords: primary: - "SCC" - "Standardvertragsklauseln" - "Standard Contractual Clauses" - "Drittlandtransfer" - "Drittland" - "Art. 44" - "Art. 46" - "Transfer" - "Datenübermittlung" - "EU-Kommission" - "TIA" - "Transfer Impact Assessment" - "Schrems II" - "Angemessenheitsbeschluss" - "adequacy" secondary: - "USA" - "Cloud" - "AWS" - "Azure" - "GCP" - "FISA" - "DPF" - "Data Privacy Framework" - "BCR" - "Binding Corporate Rules" - "Auftragsverarbeitung" - "AVV" - "Unterauftragsverarbeiter" - "Subprocessor"