Internationale Datenübermittlungen nach der DSGVO: SCCs und Angemessenheit (2026)

Jedes Mal, wenn ein Unternehmen personenbezogene EU-Daten an einen Server außerhalb des Europäischen Wirtschaftsraums leitet, an einen US-Cloud-Anbieter, ein indisches Outsourcing-Unternehmen oder eine kanadische Tochtergesellschaft, löst dies eine verbindliche rechtliche Pflicht nach Kapitel V der DSGVO aus. Liegt vor der Datenübermittlung kein wirksamer Übermittlungsmechanismus vor, ist die Übermittlung unrechtmäßig, unabhängig davon, wie sicher die Daten am Zielort verarbeitet werden. Wenn Sie mit dem DSGVO-Rahmenwerk noch nicht vertraut sind, beginnen Sie mit Was ist die DSGVO?, bevor Sie fortfahren.
Warum die DSGVO internationale Datenübermittlungen beschränkt
Der Schutz personenbezogener Daten durch die DSGVO endet nicht an der Grenze des EWR. Artikel 44 legt fest, was in der Praxis als Anti-Umgehungsgrundsatz bezeichnet wird: "Jede Übermittlung personenbezogener Daten, die verarbeitet werden oder nach der Übermittlung an ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, darf nur erfolgen, wenn der Verantwortliche und der Auftragsverarbeiter, vorbehaltlich der sonstigen Bestimmungen dieser Verordnung, die in diesem Kapitel niedergelegten Bedingungen einhalten; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten von dem betreffenden Drittland oder von der betreffenden internationalen Organisation an ein anderes Drittland oder an eine andere internationale Organisation." Ohne diese Regel könnte sich eine Organisation ihren DSGVO-Pflichten entziehen, indem sie Daten einmal über einen Server außerhalb der EU leitet und sie anschließend beliebig weiterverteilt.
Der zweite Satz von Artikel 44 unterstreicht diesen Punkt: "Alle Bestimmungen dieses Kapitels werden angewandt, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird." Der Schutz folgt den Daten, wohin auch immer sie gelangen. Das eigene nationale Datenschutzrecht des Zielstaats ist für die Analyse unerheblich. Entscheidend ist, ob der jeweils verwendete Mechanismus des Kapitels V für die betroffenen Personen ein Schutzniveau gewährleistet, das dem innerhalb der EU garantierten im Wesentlichen gleichwertig ist.
Die Vorschriften des Kapitels V gelten für jeden Verantwortlichen und jeden Auftragsverarbeiter im Anwendungsbereich der DSGVO, unabhängig von Größe, Branche oder Umfang der Übermittlung. Ein Start-up, das Kundendatensätze an einen US-Zahlungsdienstleister sendet, unterliegt denselben Pflichten wie ein multinationaler Konzern, der Personaldaten an asiatische Tochtergesellschaften leitet. Die Schwellenfrage lautet schlicht: Befindet sich der Empfänger in einem Land oder Gebiet außerhalb des EWR? Wenn ja, gilt Kapitel V.
Es lohnt sich zudem zu klären, was als "Übermittlung" gilt. Der EDSA hat in den Leitlinien 05/2021 bestätigt, dass der Fernzugriff eines Empfängers in einem Drittland, etwa ein Systemadministrator, der sich von außerhalb des EWR anmeldet, oder ein Support-Techniker, der eine Sicherungskopie abruft, als Übermittlung zählt, selbst wenn keine Datei physisch über eine Grenze kopiert wird. Verantwortliche müssen alle derartigen Zugriffspunkte erfassen, wenn sie ihre Übermittlungsrisiken bewerten.
Die dreistufige Entscheidungshierarchie
Kapitel V der DSGVO legt eine strukturierte Hierarchie von Übermittlungsinstrumenten fest. Diese Hierarchie ist in der genannten Reihenfolge anzuwenden: Zunächst wird Stufe 1 (Angemessenheitsbeschlüsse) geprüft; nur wenn kein Angemessenheitsbeschluss vorliegt, wird Stufe 2 (geeignete Garantien) relevant; und nur wenn Stufe-2-Optionen tatsächlich nicht verfügbar oder praktisch unmöglich sind, kommt Stufe 3 (Ausnahmetatbestände nach Artikel 49) infrage. Aufsichtsbehörden haben Versuche, direkt zu Ausnahmetatbeständen zu springen, obwohl Stufe-2-Optionen verfügbar waren, durchweg zurückgewiesen.
Die folgende Tabelle fasst die drei Stufen und die einzelnen Mechanismen innerhalb jeder Stufe zusammen.
| Mechanismus | Artikel | Wann anzuwenden |
|---|---|---|
| Angemessenheitsbeschluss | Art. 45 | Zielland steht auf der aktuellen Angemessenheitsliste der Kommission (kein Vertrag erforderlich) |
| Standardvertragsklauseln | Art. 46 Abs. 2 Buchst. c | Jede Übermittlung in ein nicht angemessenes Land; häufigstes Instrument |
| Binding Corporate Rules (Verantwortlicher) | Art. 47 | Konzerninterne Übermittlungen innerhalb eines multinationalen Konzerns, genehmigt durch die federführende Behörde |
| Binding Corporate Rules (Auftragsverarbeiter) | Art. 47 | Konzerninterne Übermittlungen in der Auftragsverarbeiterkette, genehmigt durch die federführende Behörde |
| Ad-hoc-Vertragsklauseln | Art. 46 Abs. 3 Buchst. a | Maßgeschneiderte, behördlich genehmigte Klauseln für ungewöhnliche Übermittlungsszenarien |
| Genehmigter Verhaltenskodex | Art. 46 Abs. 2 Buchst. e | Branchenspezifischer, nach Art. 40 von der zuständigen Behörde genehmigter Kodex |
| Genehmigte Zertifizierung | Art. 46 Abs. 2 Buchst. f | Nach Art. 42 genehmigter Zertifizierungsmechanismus |
| Rechtsverbindliches Instrument (Behörden) | Art. 46 Abs. 2 Buchst. a | Vereinbarungen zum Datenaustausch zwischen Regierungen |
| Ausdrückliche Einwilligung | Art. 49 Abs. 1 Buchst. a | Gelegentliche, nicht wiederkehrende Übermittlung mit spezifischer, informierter Einwilligung der betroffenen Person |
| Vertragliche Erforderlichkeit | Art. 49 Abs. 1 Buchst. b | Übermittlung objektiv erforderlich für einen Vertrag mit der betroffenen Person |
| Wichtiges öffentliches Interesse | Art. 49 Abs. 1 Buchst. d | Im Unionsrecht oder im Recht eines Mitgliedstaats anerkannte Gründe des öffentlichen Interesses |
| Rechtsansprüche | Art. 49 Abs. 1 Buchst. e | Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen |
| Lebenswichtige Interessen | Art. 49 Abs. 1 Buchst. f | Schutz des Lebens, wenn die betroffene Person nicht in der Lage ist, ihre Einwilligung zu geben |
Stufe 1: Angemessenheitsbeschlüsse nach Artikel 45
Artikel 45 Absatz 1 sieht den einfachsten Übermittlungsweg vor: "Die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf erfolgen, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Übermittlung bedarf keiner besonderen Genehmigung."
In der Praxis erfordert eine Übermittlung in eine Rechtsordnung mit Angemessenheitsbeschluss keinen maßgeschneiderten Vertrag, keine Risikoprüfung und keine Meldung an eine Aufsichtsbehörde. Die Übermittlung wird wie eine Übermittlung innerhalb der EU behandelt. Mit Stand Mitte 2026 genießen 17 Rechtsordnungen Angemessenheitsstatus: Andorra, Argentinien, Brasilien (Angemessenheit gewährt am 26. Januar 2026), Kanada (nur kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Republik Korea (Dezember 2021), die Schweiz, das Vereinigte Königreich (Angemessenheit am 19. Dezember 2025 erneuert), die Vereinigten Staaten (nur kommerzielle Organisationen, die im Rahmen des EU-US-Datenschutzrahmenwerks zertifiziert sind), Uruguay und die Europäische Patentorganisation (Juli 2025).
Angemessenheitsbeschlüsse sind keine dauerhaften Gleichwertigkeitsfeststellungen. Artikel 45 Absatz 3 verpflichtet die Kommission, mindestens alle vier Jahre eine regelmäßige Überprüfung durchzuführen, und räumt ihr die Befugnis ein, einen Beschluss aufzuheben, zu ändern oder auszusetzen, wenn das Schutzniveau des betreffenden Landes unter den erforderlichen Standard fällt. Artikel 45 Absatz 4 verpflichtet die Kommission, laufende Entwicklungen in Drittländern und internationalen Organisationen zu beobachten, die sich auf das Funktionieren bestehender Beschlüsse auswirken könnten. Der Angemessenheitsbeschluss für das Vereinigte Königreich beispielsweise unterlag einer Sunset-Überprüfung und wurde im Dezember 2025 nach eingehender Prüfung gesetzgeberischer Entwicklungen nach dem Brexit erneuert. Der Angemessenheitsbeschluss für Japan wurde überprüft und bestätigt, wobei die Kommission auf ergänzende, mit der japanischen Datenschutzbehörde ausgehandelte Regelungen hinwies.
Bei Übermittlungen, die nur teilweise von einem Angemessenheitsbeschluss erfasst sind, etwa Übermittlungen an kanadische Regierungsstellen, die vom Angemessenheitsbeschluss für den kommerziellen Sektor Kanadas nicht erfasst sind, oder Übermittlungen an nicht DPF-zertifizierte US-Organisationen, muss der Verantwortliche für diese nicht erfassten Datenflüsse einen Mechanismus nach Artikel 46 verwenden. Angemessenheitsbeschlüsse schließen häufig Behörden, Strafverfolgungsstellen oder bestimmte Sektoren aus. Eine sorgfältige Lektüre des Anwendungsbereichs des jeweiligen Beschlusses ist unerlässlich.
Die vollständige und aktuelle Liste angemessener Länder, die Beschlusstexte und Zusammenfassungen des Anwendungsbereichs finden Sie auf unserer eigenen Seite zu den EU-Angemessenheitsbeschlüssen.
Stufe 2: Geeignete Garantien nach Artikel 46
Für die überwiegende Mehrheit der Zielorte weltweit, einschließlich China, Indien, Russland und der meisten nicht DPF-zertifizierten US-Organisationen, existiert kein Angemessenheitsbeschluss. Artikel 46 Absatz 1 sieht dafür die Lösung vor: "Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern er geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen."
Artikel 46 Absatz 2 nennt die Garantien, die keine fallbezogene behördliche Genehmigung erfordern, das heißt, der Verantwortliche oder Auftragsverarbeiter kann sie ohne vorherige behördliche Genehmigung umsetzen: rechtsverbindliche Instrumente zwischen Behörden, nach Artikel 47 genehmigte BCRs, von der Kommission angenommene SCCs, von einer Aufsichtsbehörde angenommene und von der Kommission genehmigte Standardklauseln, genehmigte Verhaltensregeln nach Artikel 40 sowie genehmigte Zertifizierungen nach Artikel 42. Garantien, die einer vorherigen behördlichen Genehmigung bedürfen, sind in Artikel 46 Absatz 3 aufgeführt: Ad-hoc-Vertragsklauseln und Verwaltungsvereinbarungen zwischen Behörden.
Standardvertragsklauseln im Detail
Die modernisierten SCCs der Kommission wurden am 4. Juni 2021 im Durchführungsbeschluss (EU) 2021/914 angenommen und am 7. Juni 2021 im Amtsblatt der EU unter L 199/31 veröffentlicht. Sie ersetzten drei Sätze von SCCs, die unter der Vorgängerrichtlinie 95/46/EG angenommen worden waren (Kommissionsbeschlüsse 2001/497/EG und 2010/87/EU), die mit Wirkung vom 27. September 2021 aufgehoben wurden. Eine Übergangsfrist lief bis zum 27. Dezember 2022, während der vor dem 27. September 2021 abgeschlossene Verträge, die sich auf die alten SCCs stützten, ohne Änderung gültig bleiben konnten. Nach dem 27. Dezember 2022 wurde jede neue Berufung auf die alten SCCs unrechtmäßig.
Die SCCs von 2021 verwenden eine modulare Architektur: Statt für jedes Übermittlungsszenario gesonderte SCC-Sätze herauszugeben, veröffentlichte die Kommission ein einziges Dokument, aus dem die Parteien das anwendbare Modul auswählen. Die vier Module sind:
- Modul 1 (Verantwortlicher an Verantwortlicher): Erfasst Situationen, in denen ein Verantwortlicher im EWR Daten an einen Verantwortlichen außerhalb des EWR exportiert. Jede Partei ist eigenständig für die Einhaltung ihrer eigenen Pflichten verantwortlich. Typischer Anwendungsfall: Weitergabe von Kundendaten zwischen zwei Geschäftspartnern.
- Modul 2 (Verantwortlicher an Auftragsverarbeiter): Das am häufigsten verwendete Modul. Erfasst einen Verantwortlichen im EWR, der einen Auftragsverarbeiter außerhalb des EWR beauftragt (etwa einen US-Cloud-Infrastrukturanbieter oder einen ausgelagerten Lohnbuchhaltungsdienst). Der Auftragsverarbeiter darf nur nach dokumentierten Weisungen des Verantwortlichen handeln.
- Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter): Erfasst einen Auftragsverarbeiter im EWR, der einen Unterauftragsverarbeiter außerhalb des EWR beauftragt, wobei der Auftragsverarbeiter nach Weisungen des vorgelagerten Verantwortlichen handelt. Vor Begründung des Unterauftragsverhältnisses ist eine Genehmigung des ursprünglichen Verantwortlichen erforderlich.
- Modul 4 (Auftragsverarbeiter an Verantwortlichen): Erfasst einen Auftragsverarbeiter außerhalb des EWR, der Daten an seinen Verantwortlichen innerhalb des EWR zurückgibt oder sendet. Dieses Szenario tritt auf, wenn ein Auftragsverarbeiter außerhalb des EWR im Auftrag eines EWR-Verantwortlichen Daten erhebt und die Ergebnisse an seinen EU-Kunden zurücksendet (etwa ein US-Marktforschungsunternehmen, das Antworten von EU-Teilnehmern verarbeitet).
Die SCCs von 2021 führten zudem einen Beitrittsmechanismus ein: Neue Parteien können einer bestehenden SCC-Beziehung durch Gegenzeichnung der Klauseln beitreten, sodass bei jeder Erweiterung der Verarbeitungsvereinbarung kein vollständiger neuer SCC-Satz abgeschlossen werden muss. Dies vereinfacht die Compliance bei komplexen Lieferketten.
Die Parteien können den SCCs zusätzliche Garantien oder geschäftsspezifische Bestimmungen hinzufügen, sofern die Ergänzungen den verbindlichen Klauseln nicht widersprechen und das Schutzniveau für Betroffene nicht mindern. Sie dürfen die verbindlichen Bestimmungen weder streichen noch ändern.
Eine wesentliche strukturelle Neuerung der SCCs von 2021 ist Klausel 14: Örtliche Gesetze und Praktiken, die die Einhaltung der Klauseln beeinträchtigen. Klausel 14 Buchstabe a verpflichtet die Parteien zu der Zusicherung, keinen Grund zu der Annahme zu haben, dass Gesetze und Praktiken des Zielstaats den Importeur an der Erfüllung seiner SCC-Pflichten hindern. Klausel 14 Buchstabe c begründet eine dokumentierte Prüfpflicht: Die Parteien müssen bewerten, ob die Gesetze des Zielstaats den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist. Diese Klausel kodifiziert im Wesentlichen die von Schrems II auferlegte Pflicht zur Transferfolgenabschätzung und macht sie zu einer ausdrücklichen vertraglichen Pflicht zwischen Exporteur und Importeur, statt lediglich zu einer regulatorischen Erwartung.
Eine schrittweise Anleitung zur Modulauswahl, eine Vorlage für die Klausel-14-Prüfung und Erläuterungen zu zentralen SCC-Klauseln finden Sie auf unserer eigenen Seite zu den Standardvertragsklauseln.
Binding Corporate Rules im Detail
BCRs sind rechtsverbindliche interne Datenschutzregelwerke, die ein multinationaler Konzern annimmt, um konzerninterne Übermittlungen personenbezogener Daten vom EWR an Konzerneinheiten außerhalb des EWR zu regeln. Artikel 47 Absatz 1 legt fest, dass BCRs rechtsverbindlich sein und für jedes Mitglied des Konzerns gelten und von diesem durchgesetzt werden müssen, den Betroffenen ausdrücklich durchsetzbare Rechte hinsichtlich der Verarbeitung ihrer personenbezogenen Daten einräumen müssen und die in Artikel 47 Absatz 2 aufgeführten Anforderungen erfüllen müssen.
Artikel 47 Absatz 2 legt eine Mindestliste von Inhalten fest. BCRs müssen die Konzernstruktur und die Kontaktdaten der Mitglieder festlegen; die Datenübermittlungen, einschließlich der Datenkategorien, der Art der Verarbeitung und des Zwecks; ihre Rechtsverbindlichkeit; die Anwendung der allgemeinen Datenschutzgrundsätze (Zweckbindung, Datenminimierung, begrenzte Speicherung usw.); die Rechte der Betroffenen und wie diese sie ausüben können; Haftungsregelungen und den Umgang mit Beschwerden; sowie die Art und Weise, wie eine Aufsichtsbehörde die Einhaltung prüfen kann.
Die DSGVO unterscheidet zwischen BCRs für Verantwortliche (die konzerninterne Übermittlungen regeln, bei denen EWR-Stellen die Verantwortlichen sind) und BCRs für Auftragsverarbeiter (die konzerninterne Auftragsverarbeiterketten regeln). Der EDSA hat für jeden Typ eigene Arbeitspapiere und Empfehlungen veröffentlicht. BCRs für Verantwortliche unterliegen vorrangig den EDSA-Empfehlungen 1/2022; BCRs für Auftragsverarbeiter haben ein eigenes Rahmenwerk.
Der Genehmigungsprozess für BCRs umfasst: die Einreichung eines Entwurfs bei der zuständigen federführenden Aufsichtsbehörde (in der Regel die Behörde des Landes, in dem die EWR-Stelle mit der Hauptniederlassung ansässig ist); die Prüfung durch die federführende Behörde und die Ausarbeitung eines Beschlusses im Rahmen des Kohärenzverfahrens nach Artikel 63 der DSGVO; die Prüfung des Beschlusses durch den EDSA und die Abgabe einer Stellungnahme; sowie die endgültige Genehmigung durch die federführende Behörde unter Berücksichtigung der Rückmeldungen des EDSA. Der Prozess dauert selbst bei gut vorbereiteten Anträgen typischerweise 12 bis 18 Monate. Vor Geltung der DSGVO nach der Richtlinie 95/46/EG erteilte BCR-Genehmigungen bleiben gültig, sofern sie nicht geändert oder aufgehoben werden.
Die zentrale Einschränkung: BCRs erfassen nur Übermittlungen innerhalb des Konzerns. Sie erlauben keine Übermittlungen an konzernfremde Auftragsverarbeiter oder Verantwortliche. Eine Organisation mit genehmigten BCRs für konzerninterne Übermittlungen benötigt für externe Auftragsverarbeiter weiterhin SCCs oder einen anderen Mechanismus nach Artikel 46.
Schrems II: Das Urteil, das alles veränderte
Das Urteil des EuGH vom Juli 2020 in der Rechtssache C-311/18, Datenschutzbeauftragter gegen Facebook Ireland Limited und Maximillian Schrems, ist das folgenreichste Urteil zu Datenübermittlungen in der Geschichte der DSGVO. Es veränderte die Compliance bei internationalen Datenübermittlungen in zweierlei grundlegender Hinsicht.
Die erste Feststellung: Der Gerichtshof erklärte den Kommissionsbeschluss 2016/1250, der das EU-US-Privacy-Shield begründet hatte, für unwirksam. Der Gerichtshof stellte fest, dass der US-Rechtsrahmen, insbesondere Section 702 des Foreign Intelligence Surveillance Act und Executive Order 12333, den Betroffenen in der EU keinen dem innerhalb der EU garantierten im Wesentlichen gleichwertigen Schutz bot, weil US-Überwachungsprogramme einen Zugriff auf personenbezogene Daten in einer Weise erlaubten, die nicht auf das für eine demokratische Gesellschaft notwendige und verhältnismäßige Maß beschränkt war. Der Gerichtshof stellte zudem fest, dass EU-Betroffenen ein wirksamer Rechtsbehelf gegen den Zugriff US-amerikanischer Nachrichtendienste auf ihre Daten fehlte, eine Anforderung nach Artikel 47 der EU-Grundrechtecharta. Übermittlungen im Rahmen des Privacy Shield in die Vereinigten Staaten wurden am 16. Juli 2020, dem Tag der Urteilsverkündung, unrechtmäßig.
Die zweite Feststellung mit weiterreichender globaler Wirkung: Der Gerichtshof bestätigte die Wirksamkeit der SCCs als Übermittlungsmechanismus, verband dies jedoch mit einer bedingten Pflicht. SCCs begründen vertragliche Rechte und Pflichten zwischen Exporteur und Importeur, können jedoch keine Behörden des Zielstaats binden. Vor der Berufung auf SCCs müssen die Parteien prüfen, ob die Gesetze des Zielstaats die praktische Wirksamkeit der Klauseln beeinträchtigen. Kann der Importeur die SCC-Pflichten angesichts des örtlichen Rechts nicht erfüllen, muss der Datenexporteur die Übermittlung aussetzen oder beenden. Erlangt die zuständige Aufsichtsbehörde von einer solchen Situation Kenntnis, ist sie nach Artikel 58 Absatz 2 Buchstabe f verpflichtet, die Übermittlung auszusetzen oder zu untersagen.
Das Urteil verlieh dem, was als Transferfolgenabschätzung bekannt wurde, unmittelbare Bedeutung. Verantwortliche, die sich auf SCCs stützten, konnten nicht mehr einfach die Vorlage ausführen und die Compliance-Prüfung als abgeschlossen betrachten. Sie mussten eine echte rechtliche und faktische Bewertung des Rechts des Zielstaats dokumentieren und, sofern die Bewertung Lücken aufzeigte, entweder zusätzliche Maßnahmen zu deren Behebung umsetzen oder von der Übermittlung absehen.
Der Schrems-Zeitstrahl: Safe Harbor, Privacy Shield, DPF
Die Beziehung der EU-US-Datenübermittlung wurde durch drei aufeinanderfolgende Rahmenwerke geprägt, von denen jedes nach der Aufhebung seines Vorgängers angenommen wurde.
Safe Harbor (2000-2015): Das ursprüngliche US-Selbstzertifizierungsrahmenwerk nach dem Kommissionsbeschluss 2000/520/EG erlaubte es US-Unternehmen, sich selbst zur Einhaltung der Safe-Harbor-Grundsätze zu zertifizieren. Im Oktober 2015 erklärte der EuGH Safe Harbor in der Rechtssache C-362/14 (Maximillian Schrems gegen Datenschutzbeauftragter, bekannt als Schrems I) für unwirksam und stellte fest, dass die Kommission nicht befugt war, die Befugnisse nationaler Aufsichtsbehörden zur Untersuchung von Beschwerden allein durch die Feststellung der Angemessenheit eines Landes zu beschränken, und dass Safe Harbor keine Gleichwertigkeit erreichte, weil US-Recht Behörden einen umfassenden Zugriff ohne Verhältnismäßigkeitsschranken erlaubte.
Privacy Shield (2016-2020): Privacy Shield wurde am 12. Juli 2016 im Kommissionsbeschluss 2016/1250 als Ersatz für Safe Harbor angenommen und beinhaltete zusätzliche Zusagen sowie einen Ombudsperson-Mechanismus für Beschwerden von EU-Betroffenen. Es wurde am 16. Juli 2020 durch Schrems II aus den oben beschriebenen Gründen für unwirksam erklärt. Organisationen, die sich allein auf Privacy Shield für US-Übermittlungen stützten, verloren unmittelbar ihre Übermittlungsgrundlage. Wer parallel SCCs eingesetzt hatte, musste Transferfolgenabschätzungen durchführen, um zu prüfen, ob diese SCCs weiterhin praktikabel waren.
EU-US-Datenschutzrahmenwerk (2023 bis heute): Am 10. Juli 2023 nahm die Kommission den Durchführungsbeschluss (EU) 2023/1795 an und stellte die Angemessenheit der Vereinigten Staaten für DPF-zertifizierte Organisationen fest. Rechtsgrundlage der Angemessenheitsfeststellung ist die US Executive Order 14086 vom 7. Oktober 2022, "Enhancing Safeguards for United States Signals Intelligence Activities", die der Erhebung von Signals Intelligence in den USA Verhältnismäßigkeits- und Erforderlichkeitsschranken auferlegte und den Data Protection Review Court als unabhängige Stelle zur Entscheidung über Beschwerden von EU-Betroffenen einrichtete. Der DPRC ist ein neuer gerichtlicher Mechanismus mit der Befugnis, Abhilfemaßnahmen anzuordnen, einschließlich der Löschung unrechtmäßig erhobener Daten, verbindlich für US-Nachrichtendienste.
Der Angemessenheitsbeschluss zum DPF ist in seinem Umfang begrenzt. Er erfasst nur Übermittlungen an US-Organisationen, die sich selbst zu den DPF-Grundsätzen zertifiziert haben (verfügbar auf der vom US-Handelsministerium betriebenen DPF-Website) und die der Zuständigkeit der Federal Trade Commission oder des Verkehrsministeriums unterliegen. Mit Stand Mitte 2026 waren rund 2.700 US-Organisationen zertifiziert. US-Finanzinstitute und andere Stellen außerhalb der Zuständigkeit von FTC/DoT sind ausgeschlossen und müssen SCCs verwenden.
Die rechtliche Beständigkeit des DPF ist umstritten. Das Europäische Parlament verabschiedete am 11. April 2023 eine Entschließung mit Bedenken hinsichtlich der Angemessenheit der US-Garantien, und Bürgerrechtsorganisationen haben angekündigt, den Beschluss vor dem EuGH anzufechten. Organisationen, die sich als alleinige Übermittlungsgrundlage für die USA auf das DPF stützen, sollten SCCs als Rückfalloption bereithalten, damit eine mögliche künftige Nichtigerklärung nicht zu einer Compliance-Krise führt.
Transferfolgenabschätzungen: Was sie sind und wie man sie durchführt
Eine Transferfolgenabschätzung (Transfer Impact Assessment, TIA) ist eine strukturierte Sorgfaltsprüfung, die ein Datenexporteur durchführen muss, bevor er sich auf SCCs, BCRs oder andere Garantien nach Artikel 46 stützt. Die TIA-Pflicht entstand aus Schrems II und wurde vom EDSA in den am 18. Juni 2021 angenommenen Empfehlungen 01/2020 v2.0 praktisch umgesetzt. Die SCCs von 2021 verankern die TIA in Klausel 14 als vertragliche Pflicht zwischen Exporteur und Importeur.
Die Empfehlungen des EDSA legen einen sechsstufigen Fahrplan für den TIA-Prozess fest:
Schritt 1, Ihre Übermittlungen kennen. Erfassen Sie alle Übermittlungen personenbezogener Daten an Drittländer, einschließlich Weiterübermittlungen und Fernzugriff durch Parteien außerhalb des EWR. Bestimmen Sie die Datenkategorien, den Empfänger, das Land und den derzeit verwendeten Übermittlungsmechanismus. Diese Bestandsaufnahme bildet die Grundlage der Bewertung.
Schritt 2, das genutzte Übermittlungsinstrument überprüfen. Bestätigen Sie, dass das Instrument nach Artikel 46 grundsätzlich für das Zielland herangezogen werden kann. SCCs können beispielsweise nicht für Übermittlungen an Behörden im Zielland verwendet werden, da SCCs nur private Parteien binden.
Schritt 3, bewerten, ob das Übermittlungsinstrument im Zielland wirksam ist. Dies ist der Kern der TIA. Exporteur und Importeur müssen bewerten, ob die Gesetze und Praktiken des Zielstaats, insbesondere seine Überwachungs- und Strafverfolgungsrahmen, den Importeur in der Praxis daran hindern würden, die Garantie nach Artikel 46 zu erfüllen. Der EDSA empfiehlt die Prüfung: (a) ob das Zielland Mitglied multilateraler Überwachungsnetzwerke wie der Five Eyes ist; (b) ob dessen Überwachungsgesetze die Massenerhebung von Kommunikationsinhalten ohne individuellen Verdacht erlauben; (c) ob Betroffene gerichtlichen Rechtsschutz gegen den staatlichen Zugriff erlangen können; und (d) die historische Praxis der Überwachungstätigkeit im betreffenden Sektor.
Schritt 4, bei Bedarf zusätzliche Maßnahmen ergreifen. Zeigt Schritt 3 eine Lücke auf, muss der Exporteur zusätzliche Maßnahmen ergreifen, die ausreichen, um das Schutzniveau auf den EU-Standard anzuheben. Der EDSA gliedert diese in drei Kategorien:
-
Technische Maßnahmen: Ende-zu-Ende-Verschlüsselung, bei der der Importeur oder Dritte keinen Zugriff auf den Klartextschlüssel haben; Pseudonymisierung (Ersetzen direkter Identifikatoren durch Token, wobei der Schlüssel nur im EWR aufbewahrt wird); geteilte oder mehrparteiliche Verarbeitung, sodass keine einzelne Partei außerhalb des EWR den vollständigen Datensatz besitzt; sowie Zero-Knowledge-Architekturen für Cloud-Speicher. Der EDSA betont, dass technische Maßnahmen tatsächlich wirksam sein müssen: Verschlüsselung ist nur dann eine gültige zusätzliche Maßnahme, wenn der Importeur keinen Zugriff auf den Klartextschlüssel hat und der Verarbeitungszweck anhand verschlüsselter Daten erreicht werden kann.
-
Vertragliche Maßnahmen: Bestimmungen, die den Importeur verpflichten, den Exporteur über jedes staatliche Zugriffsersuchen oder jede rechtsverbindliche Anordnung zu unterrichten; Bestimmungen, die den Importeur verpflichten, unverhältnismäßige oder rechtswidrig erscheinende Zugriffsersuchen anzufechten; Transparenzklauseln; Prüfrechte; sowie Beschränkungen für Weiterübermittlungen. Vertragliche Maßnahmen allein reichen selten aus, wenn das Überwachungsrecht des Zielstaats vertragliche Zusagen aushebelt, können jedoch technische Maßnahmen verstärken.
-
Organisatorische Maßnahmen: Datenminimierung beim Export (nur strikt Erforderliches übermitteln); interne Richtlinien zur Eskalation bei staatlichem Zugriff; Schulung des Personals; sowie das Führen von Übermittlungsprotokollen zum Nachweis der laufenden Compliance.
Kann keine Kombination zusätzlicher Maßnahmen die Lücke schließen, typischerweise wenn das Recht des Zielstaats einen umfassenden staatlichen Zugriff auf die Daten in einer Form vorsieht, die technische Maßnahmen nicht verhindern können, kommt der EDSA zu dem Schluss, dass die Übermittlung auf Grundlage von Artikel 46 nicht erfolgen darf.
Schritt 5, verfahrensrechtliche und formale Schritte. Führen Sie die SCC-Klauseln (oder ein anderes Instrument nach Artikel 46) aus, dokumentieren Sie das Ergebnis der TIA und stellen Sie sicher, dass etwaige zusätzliche Maßnahmen vertraglich verankert sind. Bewahren Sie die TIA-Dokumentation als Compliance-Nachweis auf.
Schritt 6, in angemessenen Abständen erneut bewerten. Eine TIA ist keine einmalige Übung. Der EDSA verlangt von Exporteuren, rechtliche Entwicklungen im Zielland zu beobachten und erneut zu prüfen, ob die Bewertung weiterhin gültig ist. Wesentliche Änderungen des Überwachungsrechts im Zielland, neue Gerichtsentscheidungen oder Entwicklungen bei der Durchsetzung können eine Aktualisierung der TIA und gegebenenfalls die Aussetzung der Übermittlung erforderlich machen.
Das EU-US-Datenschutzrahmenwerk in der Praxis
Für die tägliche Compliance funktioniert das DPF wie folgt. Eine US-Organisation, die eine DPF-Zertifizierung anstrebt, zertifiziert sich selbst gegenüber dem US-Handelsministerium und verpflichtet sich zur Einhaltung der DPF-Grundsätze, die Benachrichtigung, Wahlmöglichkeit, Verantwortlichkeit bei Weiterübermittlung, Sicherheit, Datenintegrität und Zweckbindung, Zugang sowie Rechtsbehelf/Durchsetzung/Haftung umfassen. Das Handelsministerium führt eine öffentliche Liste zertifizierter Organisationen. Die Zertifizierung muss jährlich erneuert werden.
EU-Betroffene, deren Daten von einer DPF-zertifizierten Organisation verarbeitet werden, verfügen über mehrere Rechtsbehelfswege. Sie können sich zunächst direkt bei der zertifizierten Organisation beschweren, die innerhalb von 45 Tagen antworten muss. Bleibt die Beschwerde unbefriedigend, können sie an einen unabhängigen Rechtsbehelfsmechanismus eskalieren (in der Regel eine anerkannte Streitbeilegungsstelle oder ihre nationale Datenschutzbehörde). Betrifft die Beschwerde einen möglichen Zugriff aus Gründen der nationalen Sicherheit, können sie den Fall an ihre nationale Datenschutzbehörde verweisen, die ihn an den DPRC weiterleiten kann. Der DPRC wurde nach US-Recht als neuer gerichtlicher Mechanismus innerhalb der Exekutive eingerichtet, mit verbindlichen Befugnissen gegenüber US-Nachrichtendiensten.
Für Personaldaten, die von der EU an zertifizierte US-Stellen im Rahmen der DPF-HR-Grundsätze übermittelt werden, gilt ein eigener Weg: EU-Betroffene können Beschwerden über ihre nationale Datenschutzbehörde einreichen, die als Rechtsbehelfsstelle fungiert.
Organisationen, die unter Privacy Shield zertifiziert waren, erhielten automatisch für eine begrenzte Zeit einen Übergangsschutz nach dem DPF, mussten jedoch eine formale DPF-Selbstzertifizierung abschließen, um den laufenden Angemessenheitsschutz aufrechtzuerhalten. Jede Privacy-Shield-Zertifizierung, die nicht in eine DPF-Zertifizierung überführt wurde, ist erloschen.
Stufe 3: Ausnahmetatbestände nach Artikel 49, eng gefasste Ausnahmen, kein Compliance-Weg
Artikel 49 Absatz 1 sieht eine letzte Stufe für Situationen vor, in denen weder ein Angemessenheitsbeschluss noch Garantien nach Artikel 46 gelten oder praktikabel sind. Es gibt sieben Ausnahmetatbestände, jeweils mit strengen Voraussetzungen.
Artikel 49 Absatz 1 Buchstabe a, Ausdrückliche Einwilligung. Die betroffene Person muss der beabsichtigten Übermittlung ausdrücklich zugestimmt haben, nachdem sie über die möglichen Risiken von Übermittlungen in Länder ohne angemessenen Schutz und ohne geeignete Garantie informiert wurde. Die Einwilligung muss sich speziell auf die internationale Übermittlung selbst beziehen; sie darf nicht in einem allgemeinen Datenschutzhinweis versteckt oder mit der Einwilligung zur Gesamtverarbeitung gebündelt werden. Erwägungsgrund 111 der DSGVO bestätigt, dass der Ausnahmetatbestand gilt, "wenn die Übermittlung gelegentlich erfolgt und im Zusammenhang mit einem Vertrag oder einem Rechtsanspruch notwendig ist".
Artikel 49 Absatz 1 Buchstabe b, Vertragliche Erforderlichkeit. Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich. "Erforderlich" wird objektiv und streng ausgelegt: Die Übermittlung muss für den konkreten Vertrag zwingend notwendig sein, nicht lediglich bequem oder geschäftlich effizient. Die Buchung eines Flugs in ein nicht angemessenes Land erfordert zwangsläufig die Übermittlung von Passagierdaten an die Fluggesellschaft. Das Leiten von Kundenkontodaten über ein US-Data-Warehouse zur Erstellung von Marketinganalysen erfüllt hingegen nicht das Kriterium "erforderlich für den Vertrag".
Artikel 49 Absatz 1 Buchstabe c, Vorvertragliche Maßnahmen auf Wunsch der betroffenen Person. Ähnlich wie (b), gilt jedoch vor Abschluss eines Vertrags. Die betroffene Person muss die Übermittlung als Teil vorvertraglicher Maßnahmen selbst beantragt haben.
Artikel 49 Absatz 1 Buchstabe d, Wichtiges öffentliches Interesse. Die Übermittlung muss aus wichtigen, im Unionsrecht oder im Recht eines Mitgliedstaats anerkannten Gründen des öffentlichen Interesses erforderlich sein. Internationale Gesundheitsnotfälle, zwischenstaatliche Zusammenarbeit in Steuerfragen und Ermittlungen zu Finanzkriminalität wurden als qualifizierende öffentliche Interessen anerkannt. Dieser Ausnahmetatbestand gilt vorrangig für Behörden und im öffentlichen Interesse handelnde gemeinnützige Organisationen.
Artikel 49 Absatz 1 Buchstabe e, Rechtsansprüche. Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. Dies erfasst die Übermittlung von Beweismitteln an ausländische Gerichte, die Offenlegung in internationalen Rechtsstreitigkeiten sowie behördliche Untersuchungen. Wie alle Ausnahmetatbestände nach Artikel 49 erfasst er nur die für das konkrete Verfahren erforderlichen Daten.
Artikel 49 Absatz 1 Buchstabe f, Lebenswichtige Interessen. Die Übermittlung ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die betroffene Person aus physischen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu geben. Medizinische Notfälle bei Patienten im Ausland sind der klassische Anwendungsfall.
Artikel 49 Absatz 1 Buchstabe g, Öffentliche Register. Die Übermittlung erfolgt aus einem Register, das der Öffentlichkeit oder Personen mit berechtigtem Interesse zur Einsichtnahme offensteht, vorbehaltlich etwaiger im maßgeblichen Recht festgelegter Bedingungen.
Die wichtigste Einschränkung aller Ausnahmetatbestände nach Artikel 49 ist, dass sie Ausnahmecharakter haben, nicht strukturellen Charakter. Erwägungsgrund 111 der DSGVO stellt ausdrücklich klar: "Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aufgrund wichtiger Gründe des öffentlichen Interesses erforderlich sind, beispielsweise beim internationalen Datenaustausch zwischen Wettbewerbsbehörden, Steuer- oder Zollverwaltungen, zwischen Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit zuständigen Diensten oder für die öffentliche Gesundheit, beispielsweise bei der Ermittlung von Kontaktpersonen bei übertragbaren Krankheiten oder zur Verringerung und/oder Beseitigung von Doping im Sport." Die Systematik der Erwägungsgründe und der Leitlinien der Aufsichtsbehörden ist eindeutig: Artikel 49 bietet keine Rechtsgrundlage für systematische, wiederholte oder umfangreiche routinemäßige Übermittlungen. Eine Organisation, die sich auf die Einwilligung nach Artikel 49 als Grundlage für fortlaufende Übermittlungen von Personaldaten an eine US-Muttergesellschaft stützt, wendet die Bestimmung fehlerhaft an.
Die EDSA-Leitlinien 2/2018 zu den Ausnahmetatbeständen nach Artikel 49 bestätigen, dass das Kriterium der "Gelegentlichkeit" bedeutet, dass die Übermittlung tatsächlich selten und nicht systematisch erfolgen muss. Eine einzelne Übermittlung, die Teil einer fortlaufenden Geschäftsbeziehung ist, kann als systematisch behandelt werden, selbst wenn das einzelne Übermittlungsereignis nur einmal im Monat stattfindet, sofern die Beziehung wiederholte Übermittlungen vorsieht.
Durchsetzung: Bußgelder und Übermittlungsverbote
Die Übermittlung personenbezogener EU-Daten ins Ausland ohne wirksame Grundlage nach Kapitel V wird als DSGVO-Verstoß der höchsten Stufe behandelt. Artikel 83 Absatz 5 zählt Verstöße gegen Kapitel V ausdrücklich zu den Zuwiderhandlungen, die dem höchsten Bußgeld unterliegen: bis zu 20.000.000 Euro oder 4 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Dies ist dieselbe Stufe wie bei Verstößen gegen die grundlegenden Verarbeitungsgrundsätze der Artikel 5 und 6 und Verstößen gegen die Einwilligungsvorschriften nach Artikel 7.
Bußgelder sind nicht das einzige Instrument. Aufsichtsbehörden verfügen nach Artikel 58 Absatz 2 über die Befugnis, vorübergehende oder endgültige Übermittlungsverbote zu verhängen, also anzuordnen, dass eine bestimmte Übermittlung oder Kategorie von Übermittlungen einzustellen ist. Ein Übermittlungsverbot kann den Betrieb störender unterbrechen als jedes Bußgeld, insbesondere für Organisationen, die von grenzüberschreitender Cloud-Infrastruktur abhängen. Die irische Datenschutzbehörde erließ im Mai 2023 eine Übermittlungsverbotsanordnung gegen Meta Platforms (in einem Verfahren, das letztlich mit einem Bußgeld von 1,2 Milliarden Euro zuzüglich Verbot beigelegt wurde), mit der Begründung, dass Metas auf SCCs gestützte Übermittlungen in die Vereinigten Staaten die Anforderungen von Schrems II nicht erfüllten.
Weitere bemerkenswerte Durchsetzungsmaßnahmen im Zusammenhang mit internationalen Übermittlungen umfassen die Entscheidungen der CNIL (französische Datenschutzbehörde) aus dem Jahr 2022, wonach die Nutzung von Google Analytics eine unrechtmäßige Übermittlung in die USA darstellte (weil die Server-Protokolle von Google LLC einen möglichen NSA-Zugriff auf IP-Adressen erlaubten), sowie die parallele Bewertung der österreichischen Datenschutzbehörde mit demselben Ergebnis. Diese Entscheidungen betrafen weit verbreitete, von europäischen Websites genutzte Analysewerkzeuge und veranlassten Google, verbesserte Anonymisierungsfunktionen für Daten einzuführen.
Die Kombination aus Höchstbußgeldern und der Befugnis zu Übermittlungsverboten bedeutet, dass unvollständige TIAs, veraltete SCC-Bewertungen oder Übermittlungen an nicht zertifizierte, nicht vom DPF erfasste US-Organisationen ein echtes operatives und rechtliches Risiko darstellen. Die Verankerung einer dokumentierten Übermittlungskartierung in jährlichen DSGVO-Compliance-Überprüfungen sowie die Aktualisierung der TIA bei jeder wesentlichen Änderung des Rechts im Zielland sind der von Aufsichtsbehörden empfohlene Mindeststandard.
Praktischer Entscheidungsablauf für die Wahl eines Übermittlungsmechanismus
Die Anwendung der Hierarchie des Kapitels V in der Praxis folgt einem sequenziellen Entscheidungsbaum.
Schritt 1: Das Ziel bestimmen. Bestätigen Sie das Land oder Gebiet, an das personenbezogene Daten übermittelt werden. Denken Sie daran, dass der Fernzugriff von einem Ort außerhalb des EWR als Übermittlung zählt.
Schritt 2: Auf einen Angemessenheitsbeschluss prüfen. Konsultieren Sie die aktuelle Angemessenheitsliste der Kommission. Erfasst ein Angemessenheitsbeschluss die Übermittlung (einschließlich des Anwendungsbereichs, handelt es sich um einen vollständigen Beschluss oder einen sektorspezifischen?), ist kein weiterer Mechanismus erforderlich. Die aktuelle Liste und Zusammenfassungen des Anwendungsbereichs finden Sie auf der Seite zu den EU-Angemessenheitsbeschlüssen.
Schritt 3: Für die USA die DPF-Zertifizierung prüfen. Handelt es sich beim Ziel um eine US-Organisation, prüfen Sie, ob diese auf der aktuellen, vom Handelsministerium geführten DPF-Zertifizierungsliste steht. Falls ja, erfasst der Angemessenheitsbeschluss die Übermittlung. Falls nein, fahren Sie mit Schritt 4 fort.
Schritt 4: Einen Mechanismus nach Artikel 46 wählen. Für Übermittlungen an externe Dritte (keine Konzerneinheiten) sind die SCCs von 2021 das Standardinstrument. Wählen Sie das anwendbare Modul: Modul 2 für das typische Szenario Verantwortlicher-an-Auftragsverarbeiter (EWR-Unternehmen nutzt einen US-Cloud-Anbieter), Modul 1 für die Weitergabe zwischen Verantwortlichen, Modul 3 für Beziehungen zwischen Auftragsverarbeiter und Unterauftragsverarbeiter oder Modul 4, wenn ein Auftragsverarbeiter außerhalb des EWR Daten an seinen EWR-Verantwortlichen zurücksendet. Für konzerninterne Übermittlungen innerhalb eines multinationalen Konzerns bieten BCRs eine klarere langfristige Struktur, wobei SCCs verwendet werden können, während die BCR-Genehmigung noch aussteht.
Schritt 5: Eine Transferfolgenabschätzung durchführen. Führen Sie vor Abschluss der SCCs den sechsstufigen Fahrplan des EDSA durch: Übermittlung erfassen, Anwendbarkeit des SCC-Moduls bestätigen, Überwachungsrecht des Zielstaats bewerten, etwaige erforderliche zusätzliche Maßnahmen (technisch, vertraglich, organisatorisch) identifizieren, die Schlussfolgerung dokumentieren und eine erneute Bewertung terminieren. Die Bewertung sollte schriftlich dokumentiert und als Compliance-Nachweis aufbewahrt werden. Ein ausführliches TIA-Rahmenwerk finden Sie auf der Seite zu den Standardvertragsklauseln.
Schritt 6: Bei Beteiligung eines Auftragsverarbeiters einen DSGVO-Auftragsverarbeitungsvertrag prüfen. Werden SCCs des Moduls 2 verwendet, enthalten diese bereits die Anforderungen nach Artikel 28. Besteht zwischen den Parteien ein gesonderter Auftragsverarbeitungsvertrag, müssen SCC-Modul 2 und Vertrag übereinstimmen; im Konfliktfall haben die SCCs Vorrang.
Schritt 7: Artikel 49 nur als echtes letztes Mittel in Betracht ziehen. Erst nachdem bestätigt wurde, dass Optionen der Stufen 1 und 2 tatsächlich nicht verfügbar sind und die Übermittlung wirklich gelegentlich und nicht wiederkehrend erfolgt, sollte ein Ausnahmetatbestand nach Artikel 49 in Betracht gezogen werden. Dokumentieren Sie den konkret herangezogenen Ausnahmetatbestand und die tatsächliche Grundlage für die Schlussfolgerung, dass er anwendbar ist.
Verhältnis zwischen Kapitel V und anderen DSGVO-Anforderungen
Kapitel V setzt auf dem übrigen Regelwerk der DSGVO auf, es tritt nicht an dessen Stelle. Eine international rechtmäßig nach Kapitel V zulässige Übermittlung muss weiterhin alle anderen DSGVO-Anforderungen erfüllen: Die Übermittlung muss auf einer Rechtsgrundlage nach Artikel 6 beruhen (Einwilligung, Vertrag, berechtigte Interessen usw.); sind besondere Datenkategorien betroffen, muss zusätzlich eine Voraussetzung nach Artikel 9 erfüllt sein; und der Verantwortliche muss die betroffene Person nach Artikel 13 oder 14 über die Übermittlung informiert haben, einschließlich der Identität des Empfängers im Drittland und des verwendeten Übermittlungsmechanismus.
Das Zusammenspiel zwischen Kapitel V und Artikel 28 (Pflichten des Auftragsverarbeiters) verdient Beachtung. Übermittelt eine Organisation Daten an einen Auftragsverarbeiter außerhalb des EWR, benötigt sie sowohl einen Auftragsverarbeitungsvertrag nach Artikel 28 als auch einen Übermittlungsmechanismus nach Kapitel V. Modul 2 der SCCs von 2021 erfüllt beide Anforderungen gleichzeitig: Es enthält die verbindlichen Inhalte nach Artikel 28 innerhalb seiner Klauseln. Organisationen, die SCCs des Moduls 2 verwenden, benötigen keinen gesonderten Auftragsverarbeitungsvertrag, wobei viele einen solchen zusätzlich zur organisatorischen Klarheit abschließen.
Eine ausführliche Erläuterung, was ein DSGVO-Auftragsverarbeitungsvertrag enthalten muss und wie er aufgebaut sein sollte, finden Sie auf unserer Seite zum DSGVO-Auftragsverarbeitungsvertrag.
Der breitere EU-Datenschutzrahmen, einschließlich der Rollen von EDSA, nationalen Aufsichtsbehörden und dem One-Stop-Shop-Mechanismus, wird im Hub zum EU-Datenschutzrecht behandelt.
Haftungsausschluss: Diese Seite enthält allgemeine rechtliche Informationen, keine Rechtsberatung. Die Anforderungen der DSGVO-Compliance sind einzelfall- und rechtsordnungsabhängig. Wenden Sie sich für eine auf die konkreten Übermittlungsvereinbarungen, Zielländer und Verarbeitungstätigkeiten Ihrer Organisation zugeschnittene Beratung an eine qualifizierte Rechtsberatung.
Frequently Asked Questions
Darf ich personenbezogene Daten nach der DSGVO außerhalb der EU übermitteln?
Ja, aber nur, wenn vor Verlassen des EWR ein wirksamer Übermittlungsmechanismus nach Kapitel V vorliegt. Die drei Stufen sind: (1) Übermittlung in ein Land mit EU-Angemessenheitsbeschluss (kein Vertrag erforderlich); (2) Verwendung geeigneter Garantien wie Standardvertragsklauseln oder Binding Corporate Rules, kombiniert mit einer Transferfolgenabschätzung; oder (3) Berufung auf einen eng gefassten Ausnahmetatbestand nach Artikel 49 für gelegentliche, nicht wiederkehrende Übermittlungen. Für fortlaufende, systematische Übermittlungen müssen Stufe 1 oder Stufe 2 genutzt werden; Ausnahmetatbestände nach Artikel 49 stehen nicht als routinemäßiger Mechanismus zur Verfügung.
Was sind Standardvertragsklauseln nach der DSGVO?
Standardvertragsklauseln sind von der Europäischen Kommission nach Artikel 46 Absatz 2 Buchstabe c der DSGVO herausgegebene, vorab genehmigte Vertragsvorlagen, die verbindliche Datenschutzpflichten zwischen einem Datenexporteur im EWR und einem Importeur außerhalb des EWR begründen. Die modernisierten SCCs von 2021 (Durchführungsbeschluss (EU) 2021/914) umfassen vier Module für jedes Übermittlungsszenario: Verantwortlicher an Verantwortlicher, Verantwortlicher an Auftragsverarbeiter, Auftragsverarbeiter an Auftragsverarbeiter sowie Auftragsverarbeiter an Verantwortlichen. Sie enthalten zudem Klausel 14, die die Parteien verpflichtet, eine Transferfolgenabschätzung durchzuführen, mit der bestätigt wird, dass das Recht des Zielstaats die Einhaltung nicht verhindert. Die alten SCCs wurden zum 27. Dezember 2022 endgültig ausgemustert.
Was war Schrems II, und warum ist das Urteil bedeutsam?
Schrems II ist das Urteil des EuGH in der Rechtssache C-311/18 (Datenschutzbeauftragter gegen Facebook Ireland und Maximillian Schrems), verkündet am 16. Juli 2020. Der Gerichtshof erklärte den Angemessenheitsbeschluss zum EU-US-Privacy-Shield für unwirksam und stellte fest, dass das US-Überwachungsrecht Betroffenen in der EU keinen im Wesentlichen gleichwertigen Schutz oder wirksamen gerichtlichen Rechtsschutz bot. Allgemeiner bestätigte das Urteil, dass SCCs zwar wirksam, aber bedingt einsetzbar sind: Vor der Berufung auf SCCs muss der Datenexporteur prüfen, ob das Recht des Zielstaats die Einhaltung in der Praxis verhindert. Ist dies der Fall, sind zusätzliche Maßnahmen erforderlich, oder die Übermittlung darf nicht erfolgen. Schrems II machte die Transferfolgenabschätzung zu einem verpflichtenden Schritt für jede auf SCCs gestützte Übermittlung.
Sind die USA nach der DSGVO angemessen?
Teilweise. Am 10. Juli 2023 nahm die Europäische Kommission einen Angemessenheitsbeschluss für das EU-US-Datenschutzrahmenwerk an, der Übermittlungen an US-Organisationen erfasst, die sich selbst zu den DPF-Grundsätzen zertifiziert haben und der Zuständigkeit der FTC oder des Verkehrsministeriums unterliegen. Mit Stand Mitte 2026 sind rund 2.700 US-Organisationen zertifiziert. Nicht DPF-zertifizierte US-Organisationen sowie Organisationen außerhalb der Zuständigkeit von FTC/DoT müssen sich auf SCCs oder einen anderen Mechanismus nach Artikel 46 stützen. Das DPF wurde von Bürgerrechtsorganisationen angefochten und könnte künftig vom EuGH überprüft werden; das Bereithalten von SCCs als Rückfalloption ist ratsam.
Was ist eine Transferfolgenabschätzung, und wann ist sie erforderlich?
Eine Transferfolgenabschätzung ist eine strukturierte rechtliche Analyse, die Datenexporteure durchführen müssen, bevor sie sich auf SCCs, BCRs oder andere Garantien nach Artikel 46 stützen. Sie bewertet, ob der Rechtsrahmen des Zielstaats, insbesondere seine Überwachungs- und Strafverfolgungsgesetze, den Importeur in der Praxis daran hindern würde, die Pflichten des Übermittlungsmechanismus zu erfüllen. Die TIA-Pflicht wurde vom EuGH in Schrems II begründet und vom EDSA in den Empfehlungen 01/2020 v2.0 praktisch umgesetzt. Die SCCs von 2021 verankern die TIA in Klausel 14 als vertragliche Pflicht. TIAs müssen dokumentiert, als Compliance-Nachweis aufbewahrt und bei relevanten rechtlichen Entwicklungen im Zielland aktualisiert werden.
Was sind Binding Corporate Rules, und wie unterscheiden sie sich von SCCs?
Binding Corporate Rules sind intern angenommene, rechtsverbindliche Datenschutzrichtlinien, die ein multinationaler Konzern nutzt, um konzerninterne Übermittlungen personenbezogener Daten außerhalb des EWR zu regeln. Sie müssen von einer federführenden EU-Aufsichtsbehörde nach Artikel 47 im Anschluss an eine Kohärenzprüfung durch den EDSA genehmigt werden, was in der Regel 12 bis 18 Monate dauert. BCRs erfassen nur Übermittlungen innerhalb desselben Konzerns; für Übermittlungen an konzernfremde Dritte sind SCCs erforderlich. BCRs bieten für fortlaufende konzerninterne Datenflüsse eine klarere Governance-Struktur und ersparen es, bei jedem neuen Konzernbeitritt einen neuen SCC-Satz abzuschließen. Beide erfordern eine Transferfolgenabschätzung.
Kann ich die ausdrückliche Einwilligung als routinemäßige Grundlage für internationale Datenübermittlungen nutzen?
Nein. Aufsichtsbehörden und der EDSA legen Ausnahmetatbestände nach Artikel 49, einschließlich der ausdrücklichen Einwilligung, durchweg als eng gefasste Ausnahmen für gelegentliche, nicht wiederkehrende Übermittlungen aus, nicht als Alternative zu Garantien nach Artikel 46. Routinemäßige oder systematische Übermittlungen erfordern einen Angemessenheitsbeschluss der Stufe 1 oder eine geeignete Garantie der Stufe 2. Selbst wenn eine Einwilligung für eine bestimmte Übermittlung wirksam eingeholt wurde, muss sie sich speziell auf die internationale Übermittlung und deren Risiken beziehen: Sie darf nicht in allgemeine Nutzungsbedingungen eingebettet werden, und Betroffene müssen sie ohne Nachteil widerrufen können.
Welche zusätzlichen Maßnahmen können eine SCC-Übermittlung nach Schrems II rechtmäßig machen?
Die Empfehlungen 01/2020 v2.0 des EDSA nennen drei Kategorien. Technische Maßnahmen umfassen Ende-zu-Ende-Verschlüsselung, bei der der Importeur keinen Zugriff auf den Klartextschlüssel hat, Pseudonymisierung mit im EWR verbleibendem Schlüssel sowie geteilte Verarbeitungsarchitekturen. Vertragliche Maßnahmen umfassen verpflichtende Benachrichtigungsklauseln bei staatlichem Zugriff, Anfechtungspflichten sowie Prüfrechte. Organisatorische Maßnahmen umfassen Datenminimierung beim Export sowie interne Eskalationsrichtlinien. Der EDSA betont, dass technische Maßnahmen tatsächlich wirksam sein müssen; Verschlüsselung ist nur gültig, wenn der Verarbeitungszweck erreicht werden kann, ohne dass der Importeur Zugriff auf den Klartext hat. Kann keine Kombination von Maßnahmen die Lücke beseitigen, darf die Übermittlung nicht erfolgen.
Wie hoch ist das Höchstmaß für eine unrechtmäßige internationale Datenübermittlung?
Verstöße gegen Kapitel V der DSGVO fallen unter Artikel 83 Absatz 5, die höchste Bußgeldstufe: bis zu 20.000.000 Euro oder 4 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Aufsichtsbehörden verfügen zudem nach Artikel 58 Absatz 2 über die Befugnis, vorübergehende oder endgültige Übermittlungsverbote zu verhängen, die grenzüberschreitende Datenflüsse vollständig aussetzen können und operativ störender wirken können als jede finanzielle Sanktion. Das im Mai 2023 von der irischen DPC gegen Meta Platforms verhängte Bußgeld von 1,2 Milliarden Euro, kombiniert mit einem Übermittlungsverbot, verdeutlicht dieses kombinierte Durchsetzungsrisiko.
Gelten die Übermittlungsvorschriften des Kapitels V sowohl für Auftragsverarbeiter als auch für Verantwortliche?
Ja. Artikel 44 legt fest, dass die Voraussetzungen des Kapitels V sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter einzuhalten sind, einschließlich bei Weiterübermittlungen. Ein im EWR niedergelassener Auftragsverarbeiter, der einen Unterauftrag an einen Unterauftragsverarbeiter außerhalb des EWR vergibt, muss sicherstellen, dass ein Mechanismus des Kapitels V die Weiterübermittlung erfasst. Modul 3 der SCCs von 2021 (Auftragsverarbeiter an Auftragsverarbeiter) ist für dieses Szenario konzipiert und erfordert vor Begründung des Unterauftragsverhältnisses eine vorherige Genehmigung durch den ursprünglichen Verantwortlichen.
Sources and References
- Verordnung (EU) 2016/679, Artikel 44-50 und Erwägungsgründe 101-115(eur-lex.europa.eu)
- Durchführungsbeschluss (EU) 2021/914 über Standardvertragsklauseln(eur-lex.europa.eu)
- Durchführungsbeschluss (EU) 2023/1795, Angemessenheitsbeschluss zum EU-US-Datenschutzrahmenwerk(eur-lex.europa.eu)
- EuGH, Rechtssache C-311/18 (Schrems II) - Datenschutzbeauftragter gegen Facebook Ireland und Maximillian Schrems(curia.europa.eu)
- EuGH, Rechtssache C-362/14 (Schrems I) - Maximillian Schrems gegen Datenschutzbeauftragter(curia.europa.eu)
- EDSA-Empfehlungen 01/2020 v2.0 zu Maßnahmen zur Ergänzung von Übermittlungsinstrumenten(edpb.europa.eu)
- EDSA-Leitlinien 2/2018 zu den Ausnahmetatbeständen des Artikels 49 der Verordnung 2016/679(edpb.europa.eu)
- EDSA-Empfehlungen 1/2022 zum Antragsverfahren sowie zu den in verbindlichen internen Datenschutzvorschriften für Verantwortliche festzulegenden Elementen und Grundsätzen(edpb.europa.eu)
- Angemessenheitsbeschlüsse der Europäischen Kommission - aktuelle Liste(commission.europa.eu)
- Europäische Kommission - Binding Corporate Rules(commission.europa.eu)
- Europäische Kommission - Geschichte der EU-US-Datenübermittlungen (Safe Harbor, Privacy Shield, DPF)(commission.europa.eu)