Drittlandstransfer

Drittlandstransfer ist die Übermittlung personenbezogener Daten an einen Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) oder an eine internationale Organisation. Geregelt ist dies in Kapitel V (Art. 44 bis 50) DSGVO.

Der EWR umfasst die EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen. Alles außerhalb ist Drittland im Sinne der DSGVO – auch das Vereinigte Königreich, die Schweiz, Andorra und andere europäische Staaten. Für viele dieser Länder bestehen jedoch Angemessenheitsbeschlüsse, die die Übermittlung erleichtern.

Der Begriff der Übermittlung ist in der DSGVO nicht legaldefiniert. Maßgeblich ist die Auslegung des Europäischen Datenschutzausschusses (EDSA) in den Leitlinien 05/2021: Eine Datenübermittlung im Sinne des Kapitels V DSGVO setzt eine aktive Offenlegung gegenüber einem anderen Datenakteur (Verantwortlicher oder Auftragsverarbeiter) voraus – durch Übersendung oder durch Zugriffsgewährung.

In der Praxis besteht häufig die Annahme, jeder Berührungspunkt mit einem US-Konzern löse einen Drittlandstransfer aus. Diese Annahme greift im Regelfall zu kurz. Drei Konstellationen können nach hier vertretener – im Schrifttum verbreiteter, aber nicht unumstrittener – Auffassung als keine Datenübermittlung im Sinne des Kapitels V DSGVO einzuordnen sein:

Die zweite Konstellation ist praxisrelevant, aber nicht risikolos: Sie entlastet Verantwortliche zwar von der Annahme, dass jeder US-Anbieter automatisch einen Drittlandstransfer auslöst – sie ersetzt aber nicht die Risikobewertung im Hinblick auf anweisungs­getriebene Zugriffsmöglichkeiten und die ergänzenden technischen Maßnahmen, die die Aufsichtsbehörden für US-Cloud-Lösungen mit Serverstandort EU regelmäßig erwarten.

Eine in der Praxis oft missverstandene Frage: Wer ist bei großen Cloud-Diensten (Microsoft 365, Google Workspace, AWS u. a.) eigentlich Datenexporteur und damit für das Transfer Impact Assessment zuständig?

Wird der Vertrag mit der EU-Niederlassung des Konzerns geschlossen (z. B. Microsoft Ireland Operations Limited), spricht nach hier vertretener – und im Schrifttum verbreiteter – Auffassung vieles dafür, die EU-Niederlassung als Datenexporteurin und die US-Mutter (z. B. Microsoft Corporation) als Datenimporteurin zu bewerten. Die Standardvertragsklauseln und ergänzenden Maßnahmen werden dann zwischen diesen beiden Konzerneinheiten abgeschlossen und über den Auftragsverarbeitungsvertrag an die Kundin weitergegeben (vgl. EDSA-Leitlinien 05/2021).

Die Auffassung ist nicht risikolos: Die Verantwortliche muss in jedem Fall eigenständig prüfen, ob die gewählte Transferarchitektur tatsächlich tragfähig ist und ob nicht doch eine eigene Übermittlungs- oder Zugriffskonstellation zwischen der Kundin und dem US-Konzern vorliegt. Soweit die Architektur trägt, beschränkt sich die Aufgabe auf eine sorgfältige Plausibilitätsprüfung der im AVV enthaltenen Garantien:

• Sind die SCC korrekt eingebunden?
• Welche ergänzenden technischen, vertraglichen und organisatorischen Maßnahmen werden zugesichert?
• Werden diese Maßnahmen auch der Kundin gegenüber verbindlich übertragen?
• Bestätigt der Anbieter aktuelle Transparenzberichte und Bewertungen unabhängiger Stellen?
• Welche Konfigurationen sichern den EU-Bezug technisch ab? Beispiele: EU Data Boundary (vertraglich-technische Beschränkung der Datenverarbeitung auf den EWR), Customer Lockbox (Genehmigungsmechanismus für Anbieter-Zugriffe) und Bring-Your-Own-Key/BYOK (Schlüsselverwaltung in eigener Hand der Kundin).

Ausnahme: Wird der Vertrag direkt mit einem US-Anbieter ohne EU-Niederlassung geschlossen (typisch bei kleineren US-Dienstleistern oder bei direkten API-Verträgen, etwa mit OpenAI), ist die Kundin selbst Datenexporteurin und muss SCC unmittelbar abschließen sowie ein eigenes TIA durchführen.

Mit dem Urteil EuGH C-311/18 vom 16.07.2020 (Schrems II) wurde der vormalige EU-US Privacy Shield für ungültig erklärt und zugleich klargestellt: Auch beim Einsatz von Standardvertragsklauseln müssen Verantwortliche im Einzelfall prüfen, ob das Schutzniveau im Drittland tatsächlich dem europäischen entspricht. Daraus hat sich ein dreistufiges Prüfsystem etabliert:

1. Stufe 1 – Anwendbarkeit der DSGVO und Vorliegen einer Übermittlung Werden personenbezogene Daten an einen Empfänger in einem Drittland übermittelt oder von dort aus zugänglich gemacht? Wenn ja, weiter zu Stufe 2. Art. 44 DSGVO
2. Stufe 2 – Geeignete Garantie Liegt ein Angemessenheitsbeschluss (Art. 45) oder eine geeignete Garantie nach Art. 46 (insb. SCC, BCR) vor? Wenn nein, ist die Übermittlung nur über eine der engen Ausnahmen des Art. 49 zulässig. Art. 45, 46, 49 DSGVO
3. Stufe 3 – Transfer Impact Assessment (TIA) Bei Stützung auf SCC oder BCR: Bewertung, ob das Recht des Drittlands ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet. Falls nicht: ergänzende technische und organisatorische Maßnahmen erforderlich. Wenn diese das Schutzniveau nicht herstellen können, ist die Übermittlung kaum tragfähig. EuGH C-311/18 (Schrems II); EDSA-Empfehlungen 01/2020

Erkennt die Europäische Kommission an, dass ein Drittland ein angemessenes Schutzniveau bietet, kann die Übermittlung dorthin ohne zusätzliche Garantien erfolgen. Die Kommission veröffentlicht die Liste auf der Webseite der GD JUST.

Mit Stand Q2/2026 bestehen Angemessenheitsbeschlüsse u. a. für Andorra, Argentinien, Färöer-Inseln, Guernsey, Insel Man, Israel, Japan (für privatwirtschaftliche Stellen), Jersey, Kanada (für privatwirtschaftliche Stellen), Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich (DSGVO und LED) sowie für die Vereinigten Staaten von Amerika auf Grundlage des EU-US Data Privacy Framework (DPF).

EU-US Data Privacy Framework (DPF)

Mit Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023 hat die Kommission den DPF als Nachfolger des Privacy Shield für angemessen erklärt. Der DPF ist allerdings kein „Freifahrtschein" für jeden Transfer in die USA: Er gilt nur für Übermittlungen an zertifizierte Empfänger in den USA. Die Liste der zertifizierten Unternehmen wird vom US-Handelsministerium auf dataprivacyframework.gov geführt und sollte vor jedem Transfer geprüft werden.

Mit Urteil vom 03.09.2025 – T-553/23 (Latombe gegen Kommission) hat das Gericht der Europäischen Union die Nichtigkeitsklage gegen den DPF abgewiesen und den Angemessenheitsbeschluss bestätigt. Der Kläger hat gegen das Urteil das Rechtsmittel zum EuGH eingelegt; die zweite Instanz – teilweise als „Schrems III" bezeichnet – ist seit dem ersten Quartal 2026 anhängig und damit nicht endgültig abgeschlossen. Bis zu einer etwaigen Ungültigerklärung ist der DPF wirksam, und Verantwortliche dürfen sich darauf stützen. Zusätzlicher Beobachtungspunkt: Die Reauthorization von FISA Section 702 (US-Überwachungsregime) befindet sich Mitte 2026 in Verhandlung; eine substantielle Änderung des US-Rechtsrahmens könnte den Adäquanzbefund neu in Frage stellen. Empfohlen wird daher, sich für einen Wegfall vorzubereiten – etwa durch parallele SCC-Verträge mit ergänzenden Maßnahmen.

Die sieben DPF-Grundsätze

Die Selbstzertifizierung nach dem DPF verpflichtet US-Empfänger auf sieben Grundsätze, die unmittelbar an den materiellen Schutzgehalt der DSGVO anknüpfen. Sie sind das inhaltliche Pendant zu den Betroffenenrechten und sollten bei jeder Anbieterprüfung als Checkliste herangezogen werden:

1. Notice (Information) Der zertifizierte Empfänger informiert die betroffenen Personen über Art und Zweck der Verarbeitung sowie über die Rechte und Beschwerdemöglichkeiten unter dem Framework.
2. Choice (Wahlmöglichkeit) Betroffene haben das Recht, der Übermittlung an Dritte und der Verwendung für Zwecke, die wesentlich von den ursprünglichen Zwecken abweichen, zu widersprechen.
3. Accountability for Onward Transfer Eine Weiterübermittlung an Dritte ist nur zulässig, wenn diese vertraglich an die DPF-Grundsätze gebunden werden; Verantwortung und Haftung verbleiben beim ursprünglichen Empfänger.
4. Security (Sicherheit) Angemessene technische und organisatorische Schutzmaßnahmen gegen unbefugten Zugriff, Verlust und Veränderung – inhaltlich vergleichbar mit Art. 32 DSGVO.
5. Data Integrity & Purpose Limitation Daten dürfen nur für vereinbarte und damit vereinbare Zwecke verarbeitet werden; sie sind richtig, vollständig und aktuell zu halten.
6. Access (Auskunft und Berichtigung) Betroffene können Auskunft über die zu ihrer Person gespeicherten Daten verlangen sowie deren Berichtigung, Änderung oder Löschung, soweit die Daten unrichtig oder entgegen den Grundsätzen verarbeitet werden.
7. Recourse, Enforcement & Liability Effektive Rechtsbehelfe inkl. unabhängiger Streitbeilegungsstelle, Aufsicht durch die Federal Trade Commission (FTC) bzw. das Department of Transportation (DoT) sowie ein bindendes Schiedsverfahren. U.S. Department of Commerce, EU-U.S. Data Privacy Framework Principles, Annex I zum Durchführungsbeschluss (EU) 2023/1795

Praktische Konsequenz: Vor einem Transfer an einen DPF-zertifizierten Empfänger lohnt nicht nur die Prüfung der Listenführung auf dataprivacyframework.gov, sondern auch ein Blick in die Selbstverpflichtungserklärung des Empfängers darauf, welche Datenkategorien und welche Zertifizierungspfade (DPF, UK Extension, Swiss-U.S. DPF) konkret erfasst sind.

Liegt kein Angemessenheitsbeschluss vor, kann die Übermittlung auf geeignete Garantien gestützt werden. Praxisrelevant sind vor allem zwei Instrumente:

Standardvertragsklauseln (SCC)

Mustervertragsklauseln, die von der Europäischen Kommission mit Durchführungsbeschluss (EU) 2021/914 vom 04.06.2021 verabschiedet wurden. Sie decken vier Modulkonstellationen ab:

• Modul 1: Controller-to-Controller (Verantwortlicher EU → Verantwortlicher Drittland)
• Modul 2: Controller-to-Processor (Verantwortlicher EU → Auftragsverarbeiter Drittland)
• Modul 3: Processor-to-Processor (Auftragsverarbeiter EU → Subauftragsverarbeiter Drittland)
• Modul 4: Processor-to-Controller (Auftragsverarbeiter EU → Verantwortlicher Drittland)

Die SCC sind unverändert zu übernehmen; abweichende oder ergänzende Bestimmungen sind nur zulässig, soweit sie den Garantieinhalt nicht schwächen. Wichtig: Allein der Abschluss der SCC reicht seit Schrems II nicht aus – ein TIA ist zwingend.

Verbindliche interne Datenschutzvorschriften (BCR)

Binding Corporate Rules nach Art. 47 DSGVO sind interne Datenschutzregeln eines Konzerns, die von einer Aufsichtsbehörde genehmigt sein müssen. Praxisrelevant sind sie vor allem für multinationale Unternehmensgruppen mit umfangreichem konzerninternem Datenverkehr. Für Hochschulen und öffentliche Verwaltungen sind sie in der Regel nicht das richtige Instrument.

Wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen, ist eine Übermittlung nur auf Grundlage einer der eng auszulegenden Ausnahmen des Art. 49 zulässig:

• ausdrückliche Einwilligung der betroffenen Person mit Hinweis auf die Risiken (lit. a),
• Erforderlichkeit für die Vertragserfüllung mit der betroffenen Person (lit. b),
• Erforderlichkeit für den Abschluss oder die Erfüllung eines Vertrags im Interesse der betroffenen Person (lit. c),
• wichtige Gründe des öffentlichen Interesses (lit. d),
• Erforderlichkeit für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e),
• lebenswichtige Interessen der betroffenen Person, wenn sie nicht einwilligungsfähig ist (lit. f),
• Übermittlung aus einem öffentlichen Register (lit. g).

Die Ausnahmen sind nach EDSA-Empfehlungen eng und einzelfallbezogen anzuwenden – sie taugen nicht als Dauerlösung für regelmäßige, massenhafte Datenflüsse. Insbesondere die Einwilligung scheitert häufig an der Freiwilligkeit und an der Pflicht zur Aufklärung über die spezifischen Risiken im Drittland.

Das TIA ist die strukturierte Bewertung, ob das Schutzniveau im Drittland im Einzelfall dem europäischen entspricht. Methodisch hat sich das sechsstufige Vorgehen der EDSA-Empfehlungen 01/2020 etabliert:

1. Datentransfer kennen Welche Daten werden übermittelt? An wen, in welches Land, zu welchem Zweck, in welchem Volumen, in welcher Frequenz?
2. Übermittlungsinstrument identifizieren Auf welcher Grundlage des Kapitels V DSGVO erfolgt die Übermittlung (Angemessenheitsbeschluss, SCC, BCR, Ausnahme)?
3. Recht und Praxis des Drittlands prüfen Welche Gesetze ermöglichen staatliche Zugriffe (CLOUD Act, FISA Section 702 etc.)? Wie sieht die tatsächliche Praxis aus? Quellen: EDSA-Listen, EDPS-Empfehlungen, Aufsichtsbehörden, Veröffentlichungen US-amerikanischer NGOs.
4. Lückenanalyse Bestehen Lücken zwischen dem nominellen SCC-Schutz und der tatsächlichen Drittland-Lage?
5. Ergänzende Maßnahmen Falls Lücken bestehen: Welche technischen, vertraglichen oder organisatorischen Maßnahmen können sie schließen? Beispiele: Ende-zu-Ende-Verschlüsselung mit Schlüsselverwaltung im EWR, Pseudonymisierung, vertragliche Verpflichtung des Empfängers zur Information bei behördlichem Zugriff, restriktive Zugriffsbeschränkungen.
6. Wiederholung und Dokumentation Das TIA ist regelmäßig zu wiederholen und vollständig zu dokumentieren. Es ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Acht typische Fallen, in die Verantwortliche bei Drittlandkonstellationen geraten – und worauf es bei jeder ankommt:

1. Rollen- und Verantwortungsverwechslung: In der Praxis halten sich Verantwortliche häufig selbst für Datenexporteur gegenüber der US-Mutter, obwohl der Vertrag mit einer EU-Niederlassung geschlossen wurde. Datenexporteurin ist in solchen Fällen die EU-Niederlassung; der Verantwortliche prüft SCC und TIA dann indirekt über den AVV.
2. Abstrakte Zugriffsmöglichkeit als Übermittlung behandelt: Die bloße gesetzliche Zugriffsbefugnis ausländischer Behörden (CLOUD Act, FISA 702) begründet nach EDSA-Auslegung noch keine Datenübermittlung im Sinne des Kapitels V. Erforderlich ist nach hier vertretener Auffassung eine aktive Offenlegung oder Zugriffsgewährung durch den Verantwortlichen oder dessen Auftragsverarbeiter.
3. SCC ohne TIA: Allein der Abschluss der Standardvertragsklauseln reicht seit der Schrems-II-Entscheidung in aller Regel nicht mehr aus. Empfohlen wird, ergänzend ein dokumentiertes Transfer Impact Assessment durchzuführen.
4. DPF als Universalbescheinigung: Der EU-US Data Privacy Framework gilt nur für die im Register zertifizierten US-Empfänger und nur für die dort eingetragenen Datenkategorien. Es wird empfohlen, die Zertifizierung des konkreten Empfängers vor jedem Transfer zu verifizieren.
5. Einwilligung für Massentransfer: Art. 49 Abs. 1 lit. a DSGVO trägt als Ausnahmevorschrift selten, wenn eine Einwilligung als laufender Übermittlungsgrund eingesetzt werden soll. Empfohlen wird, alternative Übermittlungsinstrumente vorzuziehen.
6. Verschlüsselung als Allheilmittel: Eine Verschlüsselung entfaltet ihre Schutzwirkung nur dort voll, wo der Empfänger den Klartext nicht benötigt und der Schlüssel im EWR verbleibt. Im klassischen Cloud-Service-Modell mit aktivem Empfängerzugriff erscheint sie als ergänzende Maßnahme häufig nicht ausreichend.
7. Fehlende Aktualisierung: SCC, DPF-Status, Sub-Auftragsverarbeiter-Listen und TIA bedürfen regelmäßiger Überprüfung. Eine Einmalbewertung wird der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO selten gerecht.
8. Kein Notfallplan: Sollte der DPF erneut in Frage gestellt werden (mögliches Schrems III), wäre eine kurzfristige Compliance-Lücke denkbar. Es wird empfohlen, vorausschauend eine alternative Stützung über SCC und ergänzende Maßnahmen vorzubereiten.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – Kapitel V, Art. 44–50 (Übermittlungen in Drittländer und an internationale Organisationen).
• Durchführungsbeschluss (EU) 2023/1795 – Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF).
• Durchführungsbeschluss (EU) 2021/914 – aktuelle Standardvertragsklauseln (SCC) für Drittlandsübermittlungen.

Rechtsprechung

• EuGH, Urteil v. 16.07.2020 – C-311/18 (Schrems II) – Kippung des Privacy Shield, Maßstab für ergänzende Schutzmaßnahmen.
• EuG, Urteil v. 03.09.2025 – T-553/23 (Latombe/Kommission) – Bestätigung des DPF-Angemessenheitsbeschlusses; Rechtsmittel zum EuGH eingelegt, zweite Instanz seit Q1/2026 anhängig („Schrems III").

Aufsichtspraxis

• EDPB, Empfehlungen 01/2020 zu ergänzenden Maßnahmen für Übermittlungstools – Methodik und Beispielmaßnahmen für TIAs.
• U.S. Department of Commerce, Data Privacy Framework Programm – Liste der zertifizierten US-Empfänger.
• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.

Querverweise auf eigene Themenseiten

• Auftragsverarbeitung (Art. 28 DSGVO) – AVV mit Drittlandsbezug und SCC-Anlage.
• Microsoft 365 an öffentlichen Hochschulen – Drittlandsbezug bei zentralen Cloud-Diensten.
• Generative KI in Standard-Software (Schatten-KI) – KI-Backends im Drittland als Risikofaktor.
• KI-Transkription – Übermittlung von Audio-/Transkriptionsdaten an Drittlandsanbieter.