Jetzt anfragen
Glossar

Drittlandtransfer

Ein Drittlandtransfer ist die Übermittlung personenbezogener Daten an Stellen außerhalb der EU bzw. des EWR. Er ist nur unter zusätzlichen Garantien zulässig.

Was ist ein Drittlandtransfer?

Ein Drittlandtransfer liegt vor, wenn personenbezogene Daten an einen Empfänger außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Die DSGVO regelt das in den Artikeln 44 bis 49 besonders streng, weil das hohe europäische Schutzniveau auch im Ausland gewahrt bleiben muss.

Relevant wird das Thema schneller als gedacht: Schon der Einsatz vieler Cloud-, Analyse- oder Marketing-Dienste mit Servern oder Mutterkonzernen in den USA stellt einen Drittlandtransfer dar – häufig im Rahmen einer Auftragsverarbeitung.

Wann ist ein Transfer zulässig?

Die DSGVO sieht ein abgestuftes System vor:

  • Angemessenheitsbeschluss: Für bestimmte Länder hat die EU-Kommission ein angemessenes Schutzniveau festgestellt. Dorthin dürfen Daten ohne weitere Garantien fließen.
  • Geeignete Garantien: Fehlt ein Beschluss, braucht es Garantien wie die EU-Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften (BCR).
  • Ausnahmen nach Art. 49: etwa ausdrückliche Einwilligung oder Erforderlichkeit für einen Vertrag, allerdings nur für Einzelfälle.

Bei den USA stützt sich der Transfer in vielen Fällen auf das EU-US Data Privacy Framework, sofern der Empfänger entsprechend zertifiziert ist. Andernfalls sind SCC plus ergänzende Maßnahmen erforderlich.

Transfer-Folgenabschätzung und Dokumentation

Seit dem Schrems-II-Urteil reicht es nicht, einfach SCC zu unterschreiben. Der Verantwortliche muss zusätzlich prüfen, ob das Recht des Ziellandes den vereinbarten Schutz tatsächlich zulässt – eine sogenannte Transfer-Folgenabschätzung (TIA). Reicht das Schutzniveau nicht aus, sind ergänzende technische Maßnahmen wie eine starke Pseudonymisierung oder Verschlüsselung nötig.

All das gehört sauber dokumentiert, idealerweise im Rahmen eines Datenschutz-Audits. Ich verschaffe meinen Mandanten einen Überblick über alle Auslandsübermittlungen, bewerte die Rechtsgrundlagen und schließe fehlende Garantien. Bei Verstößen drohen sonst empfindliche Sanktionen der Aufsichtsbehörde.

FAQ

Drittlandtransfer – häufige Fragen

Ist die Nutzung von US-Cloud-Diensten erlaubt?

Sie kann erlaubt sein, etwa wenn der Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist oder Standardvertragsklauseln mit ergänzenden Maßnahmen bestehen. Ohne Garantien ist der Transfer unzulässig.

Was sind Standardvertragsklauseln (SCC)?

Von der EU-Kommission vorformulierte Vertragsklauseln, die ein angemessenes Schutzniveau für Datenübermittlungen in Drittländer sicherstellen sollen. Seit Schrems II sind sie meist um eine Transfer-Folgenabschätzung zu ergänzen.

Brauche ich für jeden Transfer eine eigene Prüfung?

Sie sollten je Dienst die Rechtsgrundlage und das Schutzniveau im Zielland bewerten. Eine Transfer-Folgenabschätzung ist immer dann nötig, wenn der Transfer auf SCC oder ähnlichen Garantien beruht.

Woran erkenne ich überhaupt einen Drittlandtransfer?

Prüfen Sie, wo Ihre Dienstleister Daten speichern oder verarbeiten und ob Mutterkonzerne außerhalb des EWR Zugriff haben. Oft ergibt sich das aus dem Auftragsverarbeitungsvertrag und den technischen Unterlagen des Anbieters.

Auslandsübermittlungen rechtssicher absichern

Ich verschaffe Ihnen den Überblick über alle Drittlandtransfers und schließe fehlende Garantien. Vereinbaren Sie ein kostenloses Erstgespräch.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen