Die internationale Datenübermittlung nach der DSGVO zählt zu den komplexesten Compliance-Anforderungen für Unternehmen im DACH-Raum. Seit dem Schrems-II-Urteil des EuGH (C-311/18, 16. Juli 2020) ist klar: Jede Übermittlung personenbezogener Daten in ein Drittland muss durch eine tragfähige Rechtsgrundlage abgesichert sein. Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023 hat die Lage für Transfers in die USA teilweise entspannt – doch die Unsicherheit bleibt.
Dieser Artikel erläutert die Rechtsgrundlagen für die internationale Datenübermittlung DSGVO, die praktischen Anforderungen an Standardvertragsklauseln (SCCs) und Transfer Impact Assessments (TIAs) sowie die aktuelle Durchsetzungspraxis deutscher und europäischer Aufsichtsbehörden.
Key Takeaways
- Art. 44-49 DSGVO regeln abschließend die Voraussetzungen für die Übermittlung personenbezogener Daten in Drittländer.
- Angemessenheitsbeschlüsse der EU-Kommission sind das einfachste Instrument – derzeit bestehen Beschlüsse für 15 Länder/Gebiete, darunter die Schweiz, Japan, Südkorea und (seit Juli 2023) die USA.
- Ohne Angemessenheitsbeschluss sind Standardvertragsklauseln (SCCs) das wichtigste Transferinstrument, erfordern aber ein Transfer Impact Assessment (TIA).
- Die Nichtbeachtung der Transfervorschriften führt zu erheblichen Bußgeldern – die irische DPC verhängte 2023 gegen Meta 1,2 Milliarden Euro wegen unzulässiger Datenübermittlungen in die USA.
Rechtsrahmen: Art. 44-49 DSGVO
Die DSGVO stellt in den Artikeln 44 bis 49 ein abgestuftes System für die internationale Datenübermittlung auf.
Angemessenheitsbeschlüsse (Art. 45 DSGVO)
Ein Angemessenheitsbeschluss der Europäischen Kommission stellt fest, dass ein Drittland ein dem EU-Recht vergleichbares Datenschutzniveau bietet. Datenübermittlungen in solche Länder sind ohne weitere Garantien zulässig – sie werden wie innereuropäische Transfers behandelt.
Die aktuelle Liste umfasst unter anderem: Andorra, Argentinien, Kanada (kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich und Uruguay. Seit dem 10. Juli 2023 gilt der Angemessenheitsbeschluss für den EU-US Data Privacy Framework (DPF), der jedoch nur für US-Unternehmen gilt, die sich unter dem DPF zertifiziert haben.
Für die Schweiz besteht ein eigenständiger Angemessenheitsbeschluss. Die Übermittlung personenbezogener Daten an Schweizer Unternehmen ist daher ohne SCCs möglich – ein wichtiger Punkt für den DACH-Raum.
Standardvertragsklauseln (Art. 46(2)© DSGVO)
Die am 4. Juni 2021 von der EU-Kommission veröffentlichten neuen SCCs (Durchführungsbeschluss 2021/914) sind seit dem 27. Dezember 2022 das einzig zulässige Muster. Die alten SCCs sind nicht mehr verwendbar.
Die neuen SCCs sind modular aufgebaut und decken vier Konstellationen ab:
- Modul 1: Controller-to-Controller (C2C)
- Modul 2: Controller-to-Processor (C2P)
- Modul 3: Processor-to-Processor (P2P)
- Modul 4: Processor-to-Controller (P2C)
Unternehmen müssen die SCCs durch ein Transfer Impact Assessment (TIA) ergänzen. Dieses bewertet, ob das Recht des Empfängerlandes den Schutz der SCCs in der Praxis untergraben kann – insbesondere hinsichtlich staatlicher Zugriffsbefugnisse. Das LfDI Baden-Württemberg hat 2022 eine Orientierungshilfe zu TIAs veröffentlicht, die als Maßstab im DACH-Raum dient.
Binding Corporate Rules (Art. 47 DSGVO)
Binding Corporate Rules (BCRs) eignen sich für konzerninterne Datenübermittlungen multinationaler Unternehmen. Sie erfordern die Genehmigung einer federführenden Aufsichtsbehörde und einen aufwendigen Kohärenzprozess. In der Praxis nutzen nur Großunternehmen dieses Instrument – die Genehmigung dauert typischerweise 12-18 Monate.
Ausnahmen (Art. 49 DSGVO)
Art. 49 DSGVO ermöglicht Datenübermittlungen ohne Angemessenheitsbeschluss oder Garantien nur in eng definierten Ausnahmefällen: ausdrückliche Einwilligung, Vertragserfüllung, wichtige Gründe des öffentlichen Interesses oder die Geltendmachung von Rechtsansprüchen. Der EDPB betont in seinen Leitlinien 2/2018, dass Art. 49 restriktiv auszulegen ist und nicht als regelmäßige Transfergrundlage dienen darf.
Das Schrems-II-Urteil und seine Folgen
Das EuGH-Urteil in der Rechtssache C-311/18 (Schrems II) vom 16. Juli 2020 hat die internationale Datenübermittlung DSGVO grundlegend verändert. Das Gericht erklärte den Privacy Shield für ungültig und stellte klar, dass SCCs allein nicht ausreichen, wenn das Recht des Empfängerlandes keinen gleichwertigen Schutz gewährleistet.
Die konkreten Auswirkungen:
- Privacy Shield ungültig: Alle darauf gestützten Transfers in die USA waren ab sofort rechtswidrig.
- TIA-Pflicht: Für jeden Transfer auf Basis von SCCs muss geprüft werden, ob das Datenschutzniveau im Empfängerland dem EU-Niveau entspricht.
- Ergänzende Maßnahmen: Reichen SCCs nicht aus, müssen zusätzliche technische (z. B. Verschlüsselung), vertragliche oder organisatorische Maßnahmen ergriffen werden.
Der EU-US Data Privacy Framework
Der am 10. Juli 2023 angenommene Angemessenheitsbeschluss zum EU-US DPF ersetzt den Privacy Shield. US-Unternehmen können sich beim US-Handelsministerium zertifizieren lassen, wodurch Datenübermittlungen ohne SCCs möglich werden. Der DPF enthält neue Garantien gegen unverhältnismäßige Überwachung, darunter den Data Protection Review Court.
Die Tragfähigkeit des DPF ist jedoch umstritten. Max Schrems hat über seine Organisation NOYB angekündigt, den DPF gerichtlich anzufechten. Unternehmen sollten daher parallel zum DPF weiterhin SCCs vorhalten, um bei einem erneuten Wegfall der Rechtsgrundlage handlungsfähig zu bleiben.
Durchsetzungspraxis im DACH-Raum
Meta (DPC Irland, Mai 2023): Die irische Datenschutzkommission verhängte ein Bußgeld von 1,2 Milliarden Euro und ordnete die Aussetzung der Datenübermittlungen von Meta an die USA an. Die Entscheidung beruhte auf dem Fehlen eines gültigen Transfermechanismus nach dem Ende des Privacy Shield.
BfDI-Prüfkampagne (2023/2024): Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat in Zusammenarbeit mit den Landesdatenschutzbehörden systematische Prüfungen der Drittlandübermittlungen bei Bundesbehörden und großen Unternehmen durchgeführt. Schwerpunkt war die Nutzung von Cloud-Diensten US-amerikanischer Anbieter.
LfDI Baden-Württemberg (2022): Das LfDI Baden-Württemberg untersagte einem Unternehmen die Nutzung eines US-amerikanischen Webanalyse-Tools, weil kein TIA durchgeführt worden war und die eingesetzten SCCs ohne ergänzende Maßnahmen nicht ausreichten.
DSB Österreich (Dezember 2021): Die österreichische Datenschutzbehörde entschied im Fall “NetDoktor”, dass der Einsatz von Google Analytics ohne gültigen Transfermechanismus gegen die DSGVO verstößt. Diese Entscheidung war eine der ersten, die das Schrems-II-Urteil konkret auf ein gängiges Analyse-Tool anwandten.
Praktische Schritte für Unternehmen
1. Transferinventar erstellen: Dokumentieren Sie alle Datenübermittlungen in Drittländer im Verzeichnis von Verarbeitungstätigkeiten. Erfassen Sie den Empfänger, das Empfängerland, die Rechtsgrundlage und die Art der übermittelten Daten.
2. Transfermechanismus prüfen: Für jede Übermittlung ist die passende Rechtsgrundlage zu wählen: Angemessenheitsbeschluss, SCCs (mit TIA), BCRs oder Ausnahme nach Art. 49 DSGVO. Der Datenschutzbeauftragte sollte diese Bewertung koordinieren.
3. TIA durchführen: Für alle SCC-gestützten Transfers ist ein Transfer Impact Assessment obligatorisch. Prüfen Sie die Rechtslage im Empfängerland, insbesondere Überwachungsgesetze und Zugriffsbefugnisse staatlicher Stellen.
4. Ergänzende Maßnahmen implementieren: Wo das TIA ein unzureichendes Schutzniveau ergibt, müssen ergänzende Maßnahmen ergriffen werden: Ende-zu-Ende-Verschlüsselung, Pseudonymisierung, Speicherung des Schlüssels in der EU oder die Wahl eines Anbieters mit Serverstandort in der EU.
5. DPF-Zertifizierung prüfen: Bei Transfers in die USA prüfen Sie, ob der Empfänger unter dem DPF zertifiziert ist. Die Liste ist auf der DPF-Website einsehbar. Dokumentieren Sie die Zertifizierung als Teil Ihres Compliance-Nachweises.
FAQ
Brauche ich SCCs für Datenübermittlungen in die Schweiz?
Nein. Für die Schweiz besteht ein Angemessenheitsbeschluss der EU-Kommission. Datenübermittlungen in die Schweiz sind daher ohne SCCs zulässig. Beachten Sie jedoch, dass die Schweiz seit dem 1. September 2023 das revidierte Datenschutzgesetz (revDSG) anwendet, das eigene Anforderungen an Datenübermittlungen aus der Schweiz stellt.
Was passiert, wenn der EU-US Data Privacy Framework gekippt wird?
Unternehmen, die sich ausschließlich auf den DPF stützen, würden erneut ohne gültige Rechtsgrundlage dastehen – wie nach Schrems II. Der EDPB empfiehlt, parallel SCCs vorzuhalten. Unternehmen sollten ihr TIA für US-Transfers bereits jetzt aktuell halten, um im Ernstfall schnell auf SCCs umstellen zu können.
Muss ich für jeden einzelnen Transfer ein TIA erstellen?
Ein TIA muss für jedes Empfängerland erstellt werden, kann aber mehrere Transfers in dasselbe Land abdecken, sofern die Umstände vergleichbar sind. Die LfDI-Orientierungshilfe empfiehlt jedoch eine individuelle Bewertung, wenn sich Art und Sensibilität der übermittelten Daten oder die Empfänger wesentlich unterscheiden.
Gelten die Transfervorschriften auch für Cloud-Dienste?
Ja. Wenn ein Cloud-Anbieter personenbezogene Daten auf Servern außerhalb des EWR speichert oder von dort auf die Daten zugreift, liegt eine Drittlandübermittlung vor. Dies gilt unabhängig davon, ob der Cloud-Anbieter als Auftragsverarbeiter tätig wird. Die DSGVO-Anforderungen an Drittlandtransfers gelten vollständig.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
