Internationaler Datentransfer

Grundsatz: Angemessenes Schutzniveau

Die Datenschutz-Grundverordnung (DSGVO) erlaubt die Übermittlung personenbezogener Daten in Drittländer (Länder außerhalb des EWR) nur, wenn ein angemessenes Schutzniveau gewährleistet ist. Kapitel V (Art. 44–49) regelt die Instrumente, mit denen dieses Schutzniveau sichergestellt werden kann. Ohne ein solches Instrument ist jede Datenübermittlung in ein Drittland unzulässig — unabhängig davon, ob der Empfänger ein Auftragsverarbeiter oder ein eigenständiger Verantwortlicher ist.

Der internationale Datentransfer ist in der Praxis allgegenwärtig: Cloud-Dienste mit Servern in den USA, Support-Teams in Indien, konzerninterne Datenflüsse in Nicht-EU-Standorte oder Marketing-Tools mit Datenverarbeitung außerhalb des EWR. Für jede dieser Übermittlungen muss ein Transfermechanismus dokumentiert werden.

Angemessenheitsbeschlüsse (Art. 45)

Der einfachste Transfermechanismus ist ein Angemessenheitsbeschluss der Europäischen Kommission. Stellt die Kommission fest, dass ein Drittland ein der EU vergleichbares Datenschutzniveau bietet, können Daten ohne weitere Genehmigung dorthin übermittelt werden.

Aktuell bestehen Angemessenheitsbeschlüsse für folgende Länder und Gebiete (Stand 2026):

• USA (EU-US Data Privacy Framework): Seit Juli 2023, gilt nur für Unternehmen, die unter dem DPF zertifiziert sind. Nachfolger des Privacy Shield (Schrems II).
• Vereinigtes Königreich: Seit Juni 2021, befristet bis Juni 2025, Verlängerung erwartet.
• Japan: Seit Januar 2019, gegenseitiger Angemessenheitsbeschluss.
• Südkorea: Seit Dezember 2022.
• Weitere: Schweiz, Kanada (PIPEDA), Argentinien, Israel, Neuseeland, Uruguay, Färöer, Guernsey, Isle of Man, Jersey, Andorra.

Wichtig: Angemessenheitsbeschlüsse können widerrufen werden — wie beim Privacy Shield (Schrems II). Unternehmen sollten daher auch für Länder mit Angemessenheitsbeschluss einen Plan B haben.

Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c)

Wenn kein Angemessenheitsbeschluss vorliegt, sind Standardvertragsklauseln (Standard Contractual Clauses, SCCs) das meistgenutzte Instrument. Die EU-Kommission hat im Juni 2021 neue modulare SCCs veröffentlicht, die vier Konstellationen abdecken:

• Modul 1: Controller zu Controller (C2C) — Übermittlung zwischen zwei Verantwortlichen
• Modul 2: Controller zu Processor (C2P) — Übermittlung an einen Auftragsverarbeiter im Drittland
• Modul 3: Processor zu Processor (P2P) — Sub-Auftragsverarbeiter im Drittland
• Modul 4: Processor zu Controller (P2C) — Rückübermittlung vom EU-Auftragsverarbeiter an einen Drittland-Verantwortlichen

SCCs allein reichen seit Schrems II nicht mehr aus. Sie müssen durch ein Transfer Impact Assessment (TIA) ergänzt werden, das prüft, ob die SCCs im konkreten Drittland tatsächlich durchsetzbar sind (siehe unten).

Binding Corporate Rules (BCRs, Art. 47)

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) sind konzerninterne Datenschutzregeln, die von einer Aufsichtsbehörde genehmigt werden. Sie ermöglichen den konzerninternen Datentransfer in Drittländer, ohne dass für jede Übermittlung separate SCCs abgeschlossen werden müssen.

BCRs sind aufwändig in der Erstellung (typisch 12–18 Monate) und erfordern die Genehmigung der federführenden Aufsichtsbehörde im Kohärenzverfahren. Sie eignen sich primär für große internationale Konzerne mit regelmäßigen Drittlandtransfers. Es gibt zwei Arten:

• BCR-C: Für Verantwortliche — regeln konzerninterne Datenflüsse zwischen Verantwortlichen
• BCR-P: Für Auftragsverarbeiter — regeln die Verarbeitung im Auftrag innerhalb eines Konzerns

Transfer Impact Assessment (TIA)

Seit dem Schrems-II-Urteil des EuGH (Juli 2020) müssen Unternehmen bei der Nutzung von SCCs ein Transfer Impact Assessment durchführen. Das TIA bewertet, ob das Recht und die Praxis des Drittlands den Schutz der übermittelten Daten beeinträchtigen können. Konkret ist zu prüfen:

• Rechtslage im Drittland: Gibt es Gesetze, die Behörden einen unverhältnismäßigen Zugriff auf personenbezogene Daten ermöglichen (z. B. FISA 702, EO 12333 in den USA)?
• Praxis der Behörden: Wird von diesen Befugnissen tatsächlich Gebrauch gemacht?
• Technische Maßnahmen: Können Verschlüsselung, Pseudonymisierung oder andere Maßnahmen den Zugriff wirksam verhindern?
• Art der übermittelten Daten: Welche Datenkategorien werden übermittelt? Wie sensibel sind sie?

Ergibt das TIA, dass die SCCs keinen wirksamen Schutz bieten, muss der Datenexporteur ergänzende Maßnahmen ergreifen (z. B. Verschlüsselung mit eigenem Key-Management) oder die Übermittlung einstellen. Der EDSA hat Empfehlungen zu ergänzenden Maßnahmen veröffentlicht (Recommendations 01/2020).

Schrems II: Auswirkungen in der Praxis

Das Schrems-II-Urteil des EuGH vom 16. Juli 2020 hat den internationalen Datentransfer grundlegend verändert:

• Privacy Shield ungültig: Das EU-US Privacy Shield wurde mit sofortiger Wirkung für ungültig erklärt. Nachfolger ist das EU-US Data Privacy Framework (DPF) seit Juli 2023.
• SCCs bleiben gültig: Standardvertragsklauseln sind weiterhin ein zulässiger Transfermechanismus, erfordern aber eine Einzelfallprüfung (TIA).
• Ergänzende Maßnahmen: Wenn die Rechtslage im Drittland den Schutz untergräbt, müssen zusätzliche technische, organisatorische oder vertragliche Maßnahmen ergriffen werden.
• Dokumentationspflicht: Die Bewertung und die Entscheidung müssen dokumentiert werden und auf Anfrage der Aufsichtsbehörde vorgelegt werden können.

Übersicht: Transfermechanismen im Vergleich

Der internationale Datentransfer hängt eng mit der Auftragsverarbeitung zusammen: Jeder Auftragsverarbeitungsvertrag (AVV) mit einem Dienstleister außerhalb des EWR muss einen Transfermechanismus dokumentieren. Ebenso müssen die eingesetzten technischen Maßnahmen als ergänzende Schutzmaßnahmen im TIA berücksichtigt werden.