Datenschutz

Internationaler Datentransfer: Standardvertragsklauseln und Angemessenheitsbeschlüsse

TL;DR
  • Die Übermittlung personenbezogener Daten in Drittstaaten außerhalb des EWR ist nur zulässig, wenn ein angemessenes Schutzniveau gewährleistet ist. Kapitel V der DSGVO regelt die zulässigen Transfermechanismen.
  • Angemessenheitsbeschlüsse der EU-Kommission sind der einfachste Weg: Für Länder mit Angemessenheitsbeschluss gelten die gleichen Regeln wie für Transfers innerhalb des EWR.
  • Standardvertragsklauseln (SCC) sind der häufigste Transfermechanismus in der Praxis. Seit 2021 gelten die neuen modularen SCC der EU-Kommission.
  • Nach dem Schrems-II-Urteil des EuGH ist ein Transfer Impact Assessment (TIA) Pflicht: Du musst prüfen, ob das Recht des Drittstaats den Schutz durch die SCC untergräbt.
  • Für Transfers in die USA gilt seit Juli 2023 das EU-US Data Privacy Framework als Angemessenheitsbeschluss, sofern der US-Empfänger zertifiziert ist.

Warum internationaler Datentransfer reguliert ist

Die DSGVO will verhindern, dass das europäische Datenschutzniveau durch die Hintertür umgangen wird. Wenn ein Unternehmen personenbezogene Daten in ein Land mit niedrigerem Schutzniveau übermittelt, nützt die beste DSGVO-Compliance nichts, wenn die Daten dort ohne vergleichbaren Schutz verarbeitet werden.

Kapitel V der DSGVO (Art. 44 bis 49) regelt deshalb die Bedingungen, unter denen personenbezogene Daten den Europäischen Wirtschaftsraum (EWR) verlassen dürfen. Die Grundregel ist einfach: Ein Transfer in ein Drittland ist nur zulässig, wenn ein angemessenes Schutzniveau sichergestellt ist.

In der Praxis betrifft das nahezu jedes Unternehmen. Sobald du einen US-amerikanischen Cloud-Dienst nutzt, eine E-Mail an einen Geschäftspartner in Indien schickst oder Kundendaten in einem CRM-System verarbeitest, dessen Server in Singapur stehen, findet ein internationaler Datentransfer statt.

Die drei Stufen des Transfermechanismus

Die DSGVO sieht eine hierarchische Prüfung vor:

Stufe 1: Angemessenheitsbeschluss (Art. 45). Gibt es für das Zielland einen Angemessenheitsbeschluss der EU-Kommission? Wenn ja, ist der Transfer ohne weitere Maßnahmen zulässig.

Stufe 2: Geeignete Garantien (Art. 46). Wenn kein Angemessenheitsbeschluss vorliegt, kannst du den Transfer auf geeignete Garantien stützen, insbesondere auf Standardvertragsklauseln (SCC), Binding Corporate Rules (BCR) oder genehmigte Verhaltensregeln und Zertifizierungsmechanismen.

Stufe 3: Ausnahmen (Art. 49). Wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen, ist der Transfer nur in eng begrenzten Ausnahmefällen zulässig, etwa bei ausdrücklicher Einwilligung der betroffenen Person oder wenn der Transfer zur Vertragserfüllung erforderlich ist.

Angemessenheitsbeschlüsse: Der einfache Weg

Ein Angemessenheitsbeschluss ist eine Feststellung der EU-Kommission, dass ein bestimmtes Drittland ein Datenschutzniveau bietet, das dem europäischen "im Wesentlichen gleichwertig" ist. Für Länder mit Angemessenheitsbeschluss gelten dieselben Regeln wie für Transfers innerhalb des EWR. Du brauchst keine zusätzlichen Verträge oder Maßnahmen.

Länder mit Angemessenheitsbeschluss (Stand 2026)

Die EU-Kommission hat Angemessenheitsbeschlüsse für folgende Länder bzw. Gebiete erlassen:

  • Andorra
  • Argentinien
  • Faröer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Kanada (für kommerzielle Verarbeitungen unter PIPEDA)
  • Neuseeland
  • Republik Korea (Südkorea)
  • Schweiz
  • Uruguay
  • Vereinigtes Königreich (bis Juni 2025 gültig, Verlängerung erwartet)
  • USA (unter dem EU-US Data Privacy Framework, seit Juli 2023)

Sonderfall USA: EU-US Data Privacy Framework

Die Geschichte des Datentransfers in die USA ist eine Geschichte gescheiterter Abkommen. Safe Harbor wurde 2015 durch das Schrems-I-Urteil des EuGH gekippt. Der Privacy Shield folgte 2020 durch das Schrems-II-Urteil. Seit Juli 2023 gilt das EU-US Data Privacy Framework (DPF) als neuer Angemessenheitsbeschluss.

Das DPF funktioniert als Selbstzertifizierungsmechanismus: US-Unternehmen, die sich beim US-Handelsministerium zertifizieren lassen, gelten als Empfänger mit angemessenem Schutzniveau. Die Zertifizierung ist öffentlich einsehbar auf der Data Privacy Framework List (dataprivacyframework.gov).

Wichtig für dich: Du musst prüfen, ob dein konkreter US-Dienstleister auf der DPF-Liste zertifiziert ist. Nur dann kannst du dich auf den Angemessenheitsbeschluss stützen. Wenn der Dienstleister nicht zertifiziert ist, brauchst du einen anderen Transfermechanismus (typischerweise SCC).

Risiko: Ob das DPF dauerhaft Bestand hat, ist unsicher. Max Schrems hat bereits angekündigt, auch dieses Abkommen vor dem EuGH anzufechten. Es kann sinnvoll sein, parallel SCC abzuschließen, um bei einem erneuten Kippen des Abkommens nicht ohne Transfergrundlage dazustehen.

Standardvertragsklauseln (SCC): Der Praxis-Standard

Standardvertragsklauseln sind von der EU-Kommission vorab genehmigte Vertragsklauseln, die zwischen dem Datenexporteur (du) und dem Datenimporteur (dein Dienstleister im Drittland) vereinbart werden. Sie verpflichten den Importeur vertraglich, ein Datenschutzniveau einzuhalten, das dem europäischen entspricht.

Die neuen SCC von 2021

Im Juni 2021 hat die EU-Kommission neue, modulare SCC veröffentlicht, die die bisherigen SCC aus den Jahren 2001/2004/2010 ablösen. Die neuen SCC bestehen aus vier Modulen:

Modul Konstellation Beispiel
Modul 1 Verantwortlicher an Verantwortlichen Du übermittelst Kundendaten an einen Geschäftspartner in Brasilien
Modul 2 Verantwortlicher an Auftragsverarbeiter Du nutzt einen Cloud-Dienst mit Servern in Indien
Modul 3 Auftragsverarbeiter an Unterauftragsverarbeiter Dein Cloud-Dienst lagert an einen Subunternehmer in den Philippinen aus
Modul 4 Auftragsverarbeiter an Verantwortlichen Ein EU-Auftragsverarbeiter übermittelt Daten zurück an einen Drittstaaten-Verantwortlichen

Du wählst das Modul, das zu deiner konkreten Transferkonstellation passt, und streichst die nicht zutreffenden Module.

Was du bei SCC beachten musst

Keine inhaltlichen Änderungen: Die SCC dürfen nicht inhaltlich verändert werden. Du darfst Anhänge ausfüllen und ergänzende Klauseln hinzufügen (sofern sie dem Schutzniveau nicht widersprechen), aber den Text der Klauseln selbst nicht umformulieren.

Anhänge vollständig ausfüllen: Die SCC enthalten Anhänge, in denen du die konkrete Verarbeitung beschreibst: Datenkategorien, Betroffenengruppen, Übermittlungszweck, Speicherdauer, technische und organisatorische Maßnahmen des Importeurs. Leere Anhänge machen die SCC wertlos.

Docking-Klausel nutzen: Die neuen SCC enthalten eine Docking-Klausel (Clause 7), die es erlaubt, nachträglich weitere Parteien einzubeziehen, ohne den gesamten Vertrag neu aufzusetzen. Das ist praktisch, wenn ein neuer Unterauftragsverarbeiter hinzukommt.

SCC in den AVV integrieren: In der Praxis werden die SCC häufig als Anlage zum Auftragsverarbeitungsvertrag (AVV) vereinbart. Das ist die sauberste Lösung, weil AVV und SCC sich ergänzen und du nicht zwei separate Verträge verwalten musst.

Transfer Impact Assessment: Die Schrems-II-Pflicht

Das Schrems-II-Urteil des EuGH (C-311/18, 2020) hat die Spielregeln für internationale Datentransfers grundlegend verändert. Der EuGH hat festgestellt, dass Standardvertragsklauseln allein nicht ausreichen, wenn die Rechtsordnung des Drittstaats den Importeur daran hindert, die SCC einzuhalten, etwa durch staatliche Überwachungsbefugnisse, die keiner wirksamen gerichtlichen Kontrolle unterliegen. Was das konkret für dein ISMS bedeutet und welche Rolle der Cloud Act und Schrems II bei der Datenhaltung von Compliance-Daten spielen, verdient eine gesonderte Betrachtung.

Daraus folgt: Du musst für jeden SCC-basierten Transfer ein Transfer Impact Assessment (TIA) durchführen.

Ablauf eines Transfer Impact Assessment

Schritt 1: Rechtslage im Drittland prüfen. Welche Gesetze im Zielland betreffen den Zugriff staatlicher Behörden auf personenbezogene Daten? Gibt es Massenüberwachungsprogramme? Unterliegen die Zugriffsbefugnisse einer wirksamen gerichtlichen Kontrolle? Haben die Betroffenen durchsetzbare Rechte?

Schritt 2: Praxis der Behörden bewerten. Gesetze auf dem Papier sind eine Sache, ihre Anwendung eine andere. Gibt es Berichte über massenhafte Datenanfragen? Werden die gesetzlichen Beschränkungen in der Praxis eingehalten?

Schritt 3: Ergänzende Maßnahmen identifizieren. Wenn die Rechtslage problematisch ist, musst du prüfen, ob ergänzende Maßnahmen das Schutzniveau sicherstellen können. Das Europäische Datenschutzausschuss (EDSA) hat in seinen Empfehlungen 01/2020 drei Kategorien ergänzender Maßnahmen definiert:

Technische Maßnahmen:

  • Verschlüsselung mit Schlüsselverwaltung ausschließlich im EWR (der Importeur hat keinen Zugriff auf die Entschlüsselungsschlüssel)
  • Pseudonymisierung, bei der die Zuordnungstabelle ausschließlich im EWR liegt
  • Split Processing, bei dem die Daten aufgeteilt und an verschiedenen Standorten verarbeitet werden

Organisatorische Maßnahmen:

  • Transparenzberichte des Importeurs über staatliche Datenanfragen
  • Interne Richtlinien des Importeurs zum Umgang mit staatlichen Datenanfragen
  • Audit-Rechte des Exporteurs

Vertragliche Maßnahmen:

  • Verpflichtung des Importeurs, den Exporteur über staatliche Datenanfragen zu informieren (soweit gesetzlich zulässig)
  • Verpflichtung des Importeurs, staatliche Datenanfragen rechtlich anzufechten
  • Haftungsfreistellung des Exporteurs

Schritt 4: Ergebnis dokumentieren. Halte die Ergebnisse des TIA schriftlich fest: Welche Gesetze hast du geprüft, zu welchem Ergebnis bist du gekommen, welche ergänzenden Maßnahmen hast du definiert, und warum reichen diese Maßnahmen aus (oder nicht)?

Schritt 5: Transfer stoppen, wenn nötig. Wenn du zu dem Ergebnis kommst, dass weder die SCC noch ergänzende Maßnahmen ein angemessenes Schutzniveau gewährleisten können, darfst du den Transfer nicht durchführen (oder musst ihn einstellen, falls er bereits läuft).

TIA in der Praxis: USA als Beispiel

Für Transfers in die USA unter dem DPF ist kein TIA erforderlich, solange der Empfänger DPF-zertifiziert ist. Für Transfers an nicht-zertifizierte US-Empfänger auf Basis von SCC bleibt das TIA Pflicht.

Die Bewertung der US-Rechtslage hat sich durch das DPF verbessert: Die Executive Order 14086 hat die Überwachungsbefugnisse eingeschränkt und einen Rechtsbehelfsmechanismus geschaffen (Data Protection Review Court). Ob diese Verbesserungen ausreichen, um SCC-basierte Transfers ohne DPF-Zertifizierung zu rechtfertigen, ist unter Datenschutzexperten umstritten.

Binding Corporate Rules: Für Konzerne

Binding Corporate Rules (BCR) sind unternehmensinterne Datenschutzvorschriften, die von der zuständigen Aufsichtsbehörde genehmigt werden müssen. Sie sind der geeignete Transfermechanismus für Konzerne, die regelmäßig Daten zwischen ihren Gesellschaften in verschiedenen Ländern übermitteln.

Der Genehmigungsprozess ist aufwändig (12 bis 18 Monate, teilweise länger) und erfordert die Beteiligung mehrerer Aufsichtsbehörden. Deshalb sind BCR primär für große, internationale Konzerne relevant. Für KMU sind SCC in der Regel der praktikablere Weg.

Ausnahmen nach Art. 49: Letzter Ausweg

Art. 49 DSGVO definiert Ausnahmen, die einen Transfer ohne Angemessenheitsbeschluss und ohne geeignete Garantien erlauben. Diese Ausnahmen sind eng auszulegen und dürfen nicht zur Regel werden:

  • Ausdrückliche Einwilligung: Die betroffene Person hat nach Information über die Risiken ausdrücklich eingewilligt. Für systematische, wiederholte Transfers ist die Einwilligung als Grundlage ungeeignet.
  • Vertragserfüllung: Der Transfer ist zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich. Beispiel: Hotelbuchung im Drittland.
  • Wichtige Gründe des öffentlichen Interesses.
  • Geltendmachung von Rechtsansprüchen.
  • Lebenswichtige Interessen.

Diese Ausnahmen taugen für Einzelfälle, nicht für den systematischen Geschäftsbetrieb. Wenn du regelmäßig Daten in ein Drittland ohne Angemessenheitsbeschluss übermittelst, brauchst du SCC oder BCR.

Praktische Umsetzung für KMU

Bestandsaufnahme der Datentransfers

Beginne damit, alle internationalen Datentransfers in deinem Unternehmen zu identifizieren. Gehe dein Verarbeitungsverzeichnis durch und prüfe für jede Verarbeitungstätigkeit:

  • Werden Daten an Empfänger außerhalb des EWR übermittelt?
  • In welche Länder?
  • Auf welcher Grundlage (Angemessenheitsbeschluss, SCC, andere)?
  • Ist die Grundlage aktuell und vollständig dokumentiert?

Vergiss nicht die indirekten Transfers: Wenn dein Cloud-Provider Server in den USA betreibt und Daten dorthin repliziert, ist das ein Transfer, auch wenn du keinen direkten Kontakt zu einem US-Unternehmen hast.

Priorisierung

Ordne die identifizierten Transfers nach Risiko:

Hoch: Transfers in Länder ohne Angemessenheitsbeschluss und mit problematischer Überwachungsgesetzgebung (China, Russland, einige Staaten des Nahen Ostens). Hier brauchst du SCC mit TIA und robusten ergänzenden Maßnahmen.

Mittel: Transfers in die USA an nicht-DPF-zertifizierte Empfänger. SCC mit TIA erforderlich, aber die Bewertung ist durch die Executive Order 14086 einfacher.

Niedrig: Transfers in Länder mit Angemessenheitsbeschluss oder in die USA an DPF-zertifizierte Empfänger. Dokumentation erforderlich, aber keine zusätzlichen Maßnahmen.

SCC abschließen und pflegen

Für jeden Transfer, der auf SCC basiert:

  1. Wähle das richtige Modul (1, 2, 3 oder 4)
  2. Fülle die Anhänge vollständig aus
  3. Führe ein Transfer Impact Assessment durch
  4. Definiere ergänzende Maßnahmen, falls erforderlich
  5. Vereinbare die SCC mit dem Importeur (beidseitige Unterzeichnung)
  6. Dokumentiere alles zentral
  7. Überprüfe regelmäßig, ob sich die Rechtslage im Drittland geändert hat

Dokumentation

In ISMS Lite lassen sich alle Datentransfers mit Zielland, Transfermechanismus und TIA-Ergebnis dokumentieren, sodass du bei einer Prüfung durch die Aufsichtsbehörde alles griffbereit hast. Halte für jeden internationalen Datentransfer folgende Informationen bereit:

  • Datenexporteur und Datenimporteur (Name, Anschrift, Kontakt)
  • Zielland
  • Transfermechanismus (Angemessenheitsbeschluss, SCC, BCR, Art. 49)
  • Bei SCC: Modul, Datum der Unterzeichnung, Anhänge
  • Bei TIA: Ergebnis der Bewertung, ergänzende Maßnahmen
  • Datum der letzten Überprüfung

Weiterführende Artikel

Internationaler Datentransfer ist kein Thema, das du einmal regelst und dann vergisst. Die Rechtslage ist dynamisch, Angemessenheitsbeschlüsse können gekippt werden, und die Anforderungen der Aufsichtsbehörden entwickeln sich weiter. Ein systematischer Prozess, der Transfers identifiziert, bewertet, absichert und regelmäßig überprüft, ist die einzig nachhaltige Lösung.

Datentransfers dokumentieren

ISMS Lite hilft dir, internationale Datentransfers systematisch zu erfassen, Transfer Impact Assessments zu dokumentieren und den Überblick über SCC-Verträge zu behalten.

Jetzt installieren