Internationale Datentransfers

Schlafen Sie wieder ruhig . trotz grenzüberschreitender Datentransfers

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete Plattform, die Organisationen mit mehreren Gesellschaften dabei unterstützt, DSGVO-Standardvertragsklauseln, Transfer-Folgenabschätzungen und ergänzende Massnahmen an einem Ort zu verwalten.

Standardvertragsklauseln unter der DSGVO , verständlich erklärt. Was sie sind, wann sie gelten, warum das Update von 2021 alles veränderte und wie Sie sie über jede Gesellschaft in Ihrem Konzern hinweg verwalten.

30-minütige Demo buchen

Unverbindlich. Sehen Sie, wie ein Flugzeughersteller SCC über mehrere Tochtergesellschaften hinweg verwaltet.

In der Schweiz gehostete Plattform

·

ISO 27001 ausgerichtet

·

Vertraut von Organisationen, die 50+ Gesellschaften verwalten

·

Eingesetzt in 30+ Rechtsordnungen

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum SCC so schwer richtig umzusetzen sind

Warum Standardvertragsklauseln selbst erfahrene Datenschutzfachleute verwirren

SCC klingen in der Theorie einfach , unterzeichnen Sie einfach die von der EU genehmigten Vertragsklauseln. In der Praxis vervielfacht sich die operative Komplexität mit jeder Tochtergesellschaft, jedem Dienstleister und jeder Rechtsordnung, die Sie verwalten.

200+

Datentransfer-Beziehungen, die in einer typischen mittelständischen Organisation mit 10+ Gesellschaften eine SCC-Abdeckung erfordern

Chaos bei der Modulauswahl

Die SCC von 2021 führten vier Module ein . Controller-to-Controller, Controller-to-Processor, Processor-to-Processor und Processor-to-Controller. Für jede Datentransfer-Beziehung müssen Sie bestimmen, wer der Exporteur ist, wer der Importeur ist und welches Modul gilt. Ueber einen Konzern mit mehreren Gesellschaften hinweg bedeutet das Hunderte einzelner Bewertungen. Diese in Tabellenkalkulationen nachzuverfolgen ist nicht nur mühsam . es ist ein Compliance-Risiko, das bei jeder Prüfung durch eine Aufsichtsbehörde zutage treten kann.

Basierend auf einer Priverion-Analyse von Datenschutzprogrammen mit mehreren Gesellschaften über 30+ Rechtsordnungen hinweg

€2.1B+

DSGVO-Bussgelder, die 2023 von europäischen Datenschutzbehörden verhängt wurden , internationale Datentransfers bleiben eine der wichtigsten Durchsetzungsprioritäten

Transfer-Folgenabschätzungen für jeden Datenfluss

Nach Schrems II reicht die blosse Unterzeichnung von SCC nicht aus. Sie müssen für jeden Transfer eine Transfer-Folgenabschätzung durchführen, um zu beurteilen, ob die Gesetze des Empfängerlands die durch die SCC gewährten Schutzmassnahmen untergraben. Das bedeutet, Ueberwachungsgesetze, behördliche Zugriffsanfragen und Rechtsbehelfe zu analysieren , pro Land, pro Transfer. Die meisten Datenschutzbeauftragten, mit denen wir arbeiten, beschreiben dies als die einzelne zeitintensivste Compliance-Pflicht, der sie gegenüberstehen.

EuGH-Urteil Schrems II (Rechtssache C-311/18, Juli 2020); EDSA-Empfehlungen 01/2020

60%

Compliance-Verwaltungszeit, die ein Flugzeughersteller für manuelle Aktualisierungen des Verarbeitungsverzeichnisses aufwendete, bevor er einen strukturierten Ansatz für das Datenschutzmanagement einführte

Ergänzende Massnahmen, die niemand dokumentiert

Wenn eine Transfer-Folgenabschätzung Lücken im Schutz durch ein Drittland aufdeckt, benötigen Sie ergänzende Massnahmen , Verschlüsselung bei der Uebertragung und im Ruhezustand, Pseudonymisierung, vertragliche Verpflichtungen zur Anfechtung behördlicher Zugriffsanfragen. Diese müssen dokumentiert, bestimmten Transfers zugeordnet und überprüft werden, sobald sich die Umstände ändern. Ueber einen Konzern mit Dutzenden von Gesellschaften hinweg entsteht so eine fortlaufende operative Belastung, die Tabellenkalkulationen schlicht nicht tragen können.

Fallstudie Flugzeughersteller, erste 6 Monate mit Priverion; EDSA-Empfehlungen 01/2020 zu ergänzenden Massnahmen

"Priverion half uns, SCC und Lieferantenbewertungen über all unsere Gesellschaften hinweg zu verwalten , was früher Wochen des Hinterhertelefonierens bei Geschäftsbereichen kostete, geschieht jetzt automatisch."

. Team der Datenschutzbeauftragten, Flugzeughersteller (erreichte innerhalb von 6 Monaten eine vollständig automatisierte Rezertifizierung)

Die Verwirrung ist verständlich. Der regulatorische Rahmen ist tatsächlich komplex. Doch die operative Herausforderung , jeden Transfer, jedes Modul, jede Transfer-Folgenabschätzung, jede ergänzende Massnahme über Ihren gesamten Konzern hinweg nachzuverfolgen , ist der Punkt, an dem die meisten Organisationen scheitern. Lassen Sie uns Klarheit schaffen.

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec , gemessen über Dokumentation, Nachweissammlung und Audit-Vorbereitungs-Workflows in ihrem ersten Engagement mit Priverion

60%

Reduktion der Compliance-Verwaltungszeit

Flugzeughersteller , erreicht innerhalb von 6 Monaten nach der Einführung, durch Ersatz manueller Aktualisierungen des Verarbeitungsverzeichnisses über mehrere Tochtergesellschaften hinweg

100%

Rezertifizierungsrate des Verarbeitungsverzeichnisses, vollständig automatisiert

AXA , automatisierte Rezertifizierung über alle Konzerngesellschaften hinweg, ohne manuelle Nachfassaktionen bei den Verantwortlichen der Geschäftsbereiche

Ergebnisse, die von namentlich genannten Kunden während ihres ersten Jahres mit Priverion berichtet wurden. Die individuellen Ergebnisse variieren je nach organisatorischer Komplexität und Umfang der Einführung.

Priverion vs. OneTrust

Compliance auf Enterprise-Niveau ohne die Enterprise-Kopfschmerzen

OneTrust wurde für Fortune-500-Unternehmen mit eigenen Implementierungsteams und sechsstelligen Budgets entwickelt. Priverion wurde für die Organisationen entwickelt, die tatsächlich Compliance-Arbeit über mehrere Gesellschaften hinweg leisten , wo der Datenschutzbeauftragte zugleich Projektleiter, Trainer und Vortragender vor dem Vorstand ist.

Priverion

Entwickelt für Datenschutzteams mit mehreren Gesellschaften, die Ergebnisse brauchen, nicht einen zweiten Job beim Erlernen des Tools

Schweizer Datensouveränität . von Grund auf, nicht nachträglich angefügt

Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet und gehostet. In einer Welt nach Schrems II entfällt damit die rechtliche Akrobatik, die für in den USA gehostete Plattformen erforderlich ist. Europäische Datenansässigkeit ist unser Standard, kein Aufpreisangebot.

Betriebsbereit in Wochen, nicht in Quartalen

Kein sechsmonatiges Implementierungsprojekt. Kein eigener Berater erforderlich. Ein Flugzeughersteller führte innerhalb seiner ersten sechs Monate eine automatisierte Rezertifizierung des Verarbeitungsverzeichnisses über alle Tochtergesellschaften hinweg durch , einschliesslich Onboarding und Konfiguration.

Basierend auf der Einführung beim Flugzeughersteller, 2023

Vorhersehbare Preise, die Wachstum nicht bestrafen

Die Preisgestaltung basiert auf der Anzahl der Gesellschaften und der Organisationsgrösse , nicht auf Nutzerplaetzen oder Lizenzen pro Modul. Eine neue Tochtergesellschaft hinzufügen? Ihre Rechnung verdoppelt sich nicht. Ihr gesamtes Rechtsteam onboarden? Kein Aufpreis pro Platz.

All-in-One-Datenschutzplattform

Verarbeitungsverzeichnis, DSFA/Transfer-Folgenabschätzung, Lieferantenbewertungen, Bearbeitung von Betroffenenanfragen, Incident-Management, SCC-Nachverfolgung und KI-Verordnungs-Compliance , in einer einzigen Plattform. Keine separaten Module zu erwerben. Keine Integrationssteuer zwischen Ihren eigenen Compliance-Tools.

KI, die unterstützt, niemals entscheidet

KI-gestützte DSFA-Erstellung, Risikobewertung und regulatorisches Mapping , wobei jede Ausgabe überprüft wird, bevor sie zu einem Compliance-Datensatz wird. Keine Kundendaten werden zum Modelltraining verwendet. Volle Transparenz darüber, was die KI berührt und was nicht.

Tiefe Integrationen, wo sie zählen

Speziell entwickelte Konnektoren für HR-, Beschaffungs- und IT-Asset-Management-Systeme , die Workflows, die tatsächlich Datenschutzpflichten erzeugen. Nicht 200 oberflächliche Integrationen, die Wartungsaufwand verursachen.

Typische Enterprise-Plattform

Für die Fortune 500 entwickelt , und entsprechend bepreist

In den USA gehostete Infrastruktur

Daten werden überwiegend in den Vereinigten Staaten verarbeitet. Europäisches Hosting ist als Premium-Option verfügbar, doch die zugrunde liegende Unternehmensgerichtsbarkeit unterliegt weiterhin dem US-Ueberwachungsrecht , wodurch unter Schrems II eine fortlaufende rechtliche Exponierung entsteht.

Implementierungszyklen von 3–6 Monaten

Komplexe Einführungen, die eigene Projektleiter und externe Berater erfordern. Viele mittelständische Teams berichten, dass das Implementierungsprojekt selbst zu einer Compliance-Belastung wird.

Preise pro Nutzer und pro Modul

Die Kosten skalieren mit jedem hinzugefügten Nutzer und jedem aktivierten Modul. Budgets werden unvorhersehbar, wenn Programme reifen und mehr Beteiligte Zugriff benötigen , genau dann, wenn Sie eine Preisüberraschung am wenigsten gebrauchen können.

Modulare Architektur

Separate Anschaffungen für Datenschutz, GRC, Ethik, Cookie-Einwilligung, ESG , von denen viele mittelständische Teams nicht benötigen. Die Module, die Sie tatsächlich brauchen, erfordern oft separate Integrationsarbeit, um miteinander zu kommunizieren.

KI mit weniger Transparenz

KI-Funktionen werden als Automatisierung vermarktet, oft ohne klare Dokumentation zur Datenverarbeitung, zu Praktiken des Modelltrainings oder dazu, wo die menschliche Prüfung in den Workflow passt. Für Compliance-Datensätze ist Intransparenz ein Risiko.

200+ Integrationen

Beeindruckend auf einer Funktionsseite. In der Praxis sind viele davon oberflächliche Konnektoren, die eine individuelle Konfiguration und fortlaufende Wartung erfordern , wodurch IT-Aufwand für Datenschutzteams entsteht, die einfach nur ihre HR- und Beschaffungsdaten korrekt fliessen lassen wollen.

"Wir haben OneTrust und zwei weitere Plattformen evaluiert, bevor wir uns für Priverion entschieden. Der Unterschied war sofort spürbar , wir hatten innerhalb von Wochen, nicht Monaten, eine vollständige Rezertifizierung des Verarbeitungsverzeichnisses über alle Gesellschaften hinweg im Betrieb. Unser Datenschutzbeauftragter widmet sich nun strategischer Datenschutzarbeit, statt Tabellenkalkulationen hinterherzulaufen."

Compliance-Leitung, Flugzeughersteller

60% Reduktion der Compliance-Verwaltungszeit innerhalb der ersten 6 Monate

Eine ehrliche Anmerkung dazu, was wir nicht tun

Wir decken kein ESG-Reporting, keine Ethik-Hotlines und kein Cookie-Einwilligungsmanagement ab. Wir sind nicht für Einzelgesellschaften mit einfachen Compliance-Anforderungen gebaut. Und wir haben 30 tiefe Integrationen, nicht 200 oberflächliche.

Wenn Sie Datenschutz-Compliance über mehrere Tochtergesellschaften und Rechtsordnungen hinweg verwalten und eine Plattform brauchen, die Ihr Team tatsächlich nutzen wird , genau dafür haben wir sie gebaut.

30-minütige Demo buchen

Sehen Sie, wie Organisationen wie der Flugzeughersteller und Zurzach Care konzernweite Compliance mit Priverion verwalten

Verwalten Sie Datenschutz-Compliance nicht länger in Tabellenkalkulationen

Sehen Sie, wie Priverion Ihrem Datenschutzteam eine automatisierte Rezertifizierung des Verarbeitungsverzeichnisses, auditfähige Nachweispakete und konzernweite Transparenz über jede Tochtergesellschaft hinweg bietet , vollständig in der Schweiz gehostet.

60%

Weniger Compliance-Verwaltungszeit

Flugzeughersteller, erste 6 Monate

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec

100%

Rezertifizierungsrate des Verarbeitungsverzeichnisses

AXA, vollständig automatisiert

30-minütige Plattform-Demo buchen

Kein Verkaufsgespräch. Ein Datenschutzberater von Priverion führt Sie anhand Ihres Anwendungsfalls durch die Plattform. Betriebsbereit in Wochen, nicht in Monaten.

In der Schweiz entwickelt und gehostet

Keine Preise pro Nutzer

KI-gestützt, menschlich entschieden

Ueber diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick — Standardvertragsklauseln unter der DSGVO

Standardvertragsklauseln (SCC) sind der am weitesten verbreitete rechtliche Mechanismus für die Uebermittlung personenbezogener Daten aus dem EWR in Drittländer unter der DSGVO. Die modularen SCC von 2021 ersetzten zum 27. Dezember 2022 alle vorherigen Versionen. Nach dem EuGH-Urteil Schrems II reichen SCC allein nicht aus — Organisationen müssen zudem Transfer-Folgenabschätzungen durchführen und bei Bedarf ergänzende Massnahmen umsetzen. Konzerne mit mehreren Gesellschaften stehen vor besonderer Komplexität, da jede Datentransfer-Beziehung eine individuelle Modulauswahl, eine Dokumentation der Transfer-Folgenabschätzung und eine fortlaufende Überprüfung erfordert.

Was sind Standardvertragsklauseln (SCC)?

Standardvertragsklauseln (SCC) sind standardisierte, vorab genehmigte Vertragsbedingungen, die von der Europäischen Kommission unter Durchführungsbeschluss (EU) 2021/914 der Kommission verabschiedet wurden und gemäss DSGVO Artikel 46(2)(c) angemessene Datenschutzgarantien für internationale Uebermittlungen personenbezogener Daten bieten. Sie sind sowohl für den Datenexporteur als auch für den Datenimporteur verbindlich.

Was sind die vier 2021 eingeführten SCC-Module?

Die SCC von 2021 verwenden eine modulare Struktur mit vier verschiedenen Modulen:

  • Modul 1: Controller-to-Controller-Uebermittlungen
  • Modul 2: Controller-to-Processor-Uebermittlungen
  • Modul 3: Processor-to-Processor-Uebermittlungen (Unterauftragsverarbeiter)
  • Modul 4: Processor-to-Controller-Uebermittlungen

Jedes Modul enthält zugeschnittene Pflichten, die die spezifischen Rollen und Verantwortlichkeiten der Parteien widerspiegeln. Organisationen müssen jede Uebermittlungsbeziehung einzeln bewerten, um das korrekte Modul auszuwählen. Quelle: Durchführungsbeschluss (EU) 2021/914 der Kommission.

Was ist eine Transfer-Folgenabschätzung (TIA) und warum ist sie erforderlich?

Eine Transfer-Folgenabschätzung (TIA) ist eine dokumentierte Bewertung der Frage, ob der rechtliche Rahmen des Landes des Datenimporteurs einen Schutz bietet, der dem innerhalb des EWR "im Wesentlichen gleichwertig" ist. Die Anforderung ergibt sich aus dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18, 16. Juli 2020). Die EDSA-Empfehlungen 01/2020 beschreiben ein sechsstufiges Verfahren: (1) Kartieren Sie Ihre Uebermittlungen, (2) identifizieren Sie das Uebermittlungsinstrument, (3) bewerten Sie das Recht des Drittlands, (4) treffen Sie bei Bedarf ergänzende Massnahmen, (5) setzen Sie verfahrenstechnische Schritte um und (6) überprüfen Sie in angemessenen Abständen erneut.

Welche ergänzenden Massnahmen können neben SCC erforderlich sein?

Wenn eine Transfer-Folgenabschätzung ergibt, dass die Gesetze des Ziellands die SCC-Schutzmassnahmen untergraben könnten, müssen Organisationen ergänzende Massnahmen umsetzen. Gemäss den EDSA-Empfehlungen 01/2020 können diese umfassen:

  • Technische Massnahmen: Ende-zu-Ende-Verschlüsselung, Pseudonymisierung, geteilte Verarbeitung
  • Vertragliche Massnahmen: Verpflichtungen zur Anfechtung behördlicher Zugriffsanfragen, Transparenzpflichten
  • Organisatorische Massnahmen: interne Richtlinien zum Umgang mit Zugriffsanfragen, Mitarbeiterschulungen, Auditrechte

Wann liefen die alten SCC aus?

Der Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission setzte eine Uebergangsfrist bis zum 27. Dezember 2022. Nach diesem Datum müssen alle auf SCC gestützten Uebermittlungen die neuen modularen Klauseln verwenden. Verträge, die noch auf die Beschlüsse von 2001 oder 2010 verweisen, sind keine gültigen Uebermittlungsmechanismen mehr.

Wie verbreitet ist die Nutzung von SCC für internationale Datentransfers?

Laut dem IAPP-EY Annual Privacy Governance Report 2023 bleiben SCC der am häufigsten genutzte Uebermittlungsmechanismus, auf den sich rund 88% der Organisationen stützen, die internationale Datentransfers aus dem EWR durchführen. Derselbe Bericht stellte fest, dass 70% der Datenschutzfachleute grenzüberschreitende Datentransfers zu ihren drei grössten Compliance-Herausforderungen zählen.

Welche Durchsetzungsmassnahmen haben sich gegen internationale Datentransfers gerichtet?

Europäische Datenschutzbehörden haben die Compliance bei internationalen Uebermittlungen zunehmend priorisiert. Laut EDSA-Durchsetzungsdaten überstiegen die kumulierten DSGVO-Bussgelder bis Anfang 2024 4,5 Milliarden Euro, wobei mehrere wegweisende Strafen direkt mit unzureichenden Uebermittlungsgarantien verknüpft waren — darunter das Bussgeld von 1,2 Milliarden Euro, das die irische Datenschutzbehörde (DPC) im Mai 2023 gegen Meta für Uebermittlungen in die Vereinigten Staaten ohne angemessene ergänzende Massnahmen verhängte.

Wie verhält sich das EU-US-Datenschutzrahmenwerk zu SCC?

Das EU-US-Datenschutzrahmenwerk (DPF), das am 10. Juli 2023 per Angemessenheitsbeschluss der Kommission verabschiedet wurde, bietet einen alternativen Uebermittlungsmechanismus für Uebermittlungen an US-Organisationen, die sich unter dem DPF selbst zertifiziert haben. SCC bleiben jedoch für Uebermittlungen an nicht DPF-zertifizierte US-Unternehmen und an alle anderen Drittländer ohne Angemessenheitsbeschluss erforderlich. Organisationen sollten nicht davon ausgehen, dass das DPF die Notwendigkeit von SCC über ihr gesamtes Lieferantenportfolio hinweg beseitigt.

SCC-Modulauswahl — Vergleichstabelle

ModulRolle des DatenexporteursRolle des DatenimporteursTypischer Anwendungsfall
Modul 1VerantwortlicherVerantwortlicherAustausch von Kundendaten zwischen Konzerngesellschaften zu gemeinsamen Zwecken
Modul 2VerantwortlicherAuftragsverarbeiterBeauftragung eines Cloud-Anbieters oder SaaS-Dienstleisters ausserhalb des EWR
Modul 3AuftragsverarbeiterUnterauftragsverarbeiterPrimärer Auftragsverarbeiter beauftragt einen Unterauftragsverarbeiter in einem Drittland
Modul 4AuftragsverarbeiterVerantwortlicherIn der EU ansässiger Auftragsverarbeiter gibt Daten an einen ausserhalb des EWR ansässigen Verantwortlichen zurück

Statistiken und Quellen

Laut dem IAPP-EY Annual Privacy Governance Report 2023 nutzen 88% der Organisationen SCC als ihren primären Mechanismus für internationale Uebermittlungen. Die EDSA-Empfehlungen 01/2020 bleiben die massgebliche Leitlinie für die Durchführung von Transfer-Folgenabschätzungen. Die aktuellen SCC wurden am 4. Juni 2021 unter dem Durchführungsbeschluss (EU) 2021/914 verabschiedet, mit einer verbindlichen Uebergangsfrist bis zum 27. Dezember 2022. Wie in DSGVO Artikel 46(2)(c) festgehalten, stellen von der Kommission verabschiedete SCC eine der "geeigneten Garantien" für rechtmässige internationale Datentransfers dar.