Drittlandtransfer-Schnellprüfung

Ein Drittlandtransfer liegt vor, wenn personenbezogene Daten an einen Empfänger außerhalb des Europäischen Wirtschaftsraums übermittelt werden oder ein Zugriff aus einem Drittland möglich ist. Der Wizard prüft die Stufenfolge des Kapitels V der DSGVO:

1. Drittlandbezug: Liegt eine Übermittlung an einen Empfänger außerhalb des EWR oder ein Fernzugriff aus einem Drittland vor (Cloud-Konstellationen, Konzern-Support aus den USA oder Indien)?
2. Angemessenheitsbeschluss nach Art. 45 DSGVO: aktuelle Liste der angemessenen Drittländer, einschließlich des Sonderregimes „EU-US Data Privacy Framework" (Durchführungsbeschluss (EU) 2023/1795) für zertifizierte US-Unternehmen.
3. Geeignete Garantien nach Art. 46 DSGVO: Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 (mit Modulen 1–4), Binding Corporate Rules, genehmigte Verhaltensregeln oder Zertifizierungen. In allen Fällen ist nach EuGH C-311/18 (Schrems II) ein Transfer Impact Assessment durchzuführen.
4. Ausnahmetatbestände nach Art. 49 DSGVO: eng auszulegen, insbesondere keine Dauerlösung; Hinweis auf Einwilligung, Vertragserfüllung, wichtige Gründe des öffentlichen Interesses.
5. Cloud-Act-Logik: Hinweis auf eine nach überwiegender Auffassung der deutschen Aufsichtsbehörden (insb. HmbBfDI, BfDI) bestehende mögliche Zugriffsbefugnis von US-Behörden auch bei EU-Hosting durch ein US-Unternehmen oder dessen EU-Tochter (FISA 702, Cloud Act). Die Anwendbarkeit auf EU-Töchter ist juristisch umstritten und im Einzelfall zu prüfen.

1. Empfänger erfassen: Tragen Sie das Empfängerland und den Zugriffspfad (z. B. „Hosting USA", „Support Indien", „Konzernzugriff Schweiz") ein.
2. Empfängertyp wählen: Verantwortlicher, Auftragsverarbeiter oder konzerninterner Empfänger; daraus ergibt sich das passende SCC-Modul.
3. Schutzmaßnahmen auswählen: DPF-Zertifizierung, Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914, Binding Corporate Rules oder Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. d DSGVO.
4. TIA-Indikatoren prüfen: Beantworten Sie die Fragen zur Sektor-Sensibilität, zur möglichen Erfassung durch FISA 702 und zur Reichweite des Cloud Act; der Wizard schlägt ergänzende Maßnahmen vor.
5. Workpaper drucken: Klick auf „Druckansicht" erzeugt ein Workpaper mit Eingaben, Stufenergebnis und TIA für die Akte.

Datenverarbeitung: Sämtliche Eingaben werden ausschließlich lokal im Browser verarbeitet (localStorage für Wiederaufnahme, kein Server-Roundtrip). Es findet keine Übermittlung an Anbieter, Tracker oder Analyse-Dienste statt.

• Art. 44–49 DSGVO (Verordnung (EU) 2016/679), Kapitel V
• EuGH 16.07.2020, C-311/18 (Schrems II)
• EuG 03.09.2025, T-553/23 (Latombe) – Klageabweisung gegen DPF; Berufung zum EuGH anhängig
• Durchführungsbeschluss (EU) 2021/914 vom 04.06.2021 (Standardvertragsklauseln)
• Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023 (EU-US Data Privacy Framework)
• EDSA-Empfehlungen 01/2020 zu ergänzenden Maßnahmen, Version 2.0 vom 18.06.2021
• Vertiefende Themenseite: Drittlandstransfer