Zum Hauptinhalt springen
Datenschutz / DSGVO

Drittlandübermittlung

Die Übermittlung personenbezogener Daten in Länder außerhalb des EWR, die besondere Garantien gem. Art. 44 ff. DSGVO erfordert.

Eine Drittlandübermittlung liegt vor, wenn personenbezogene Daten in ein Land übertragen werden, das nicht dem Europäischen Wirtschaftsraum (EWR) – bestehend aus den EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen – angehört. Da das Datenschutzniveau außerhalb des EWR nicht einheitlich ist, verlangt die DSGVO in Art. 44 ff. besondere Garantien, um sicherzustellen, dass das in der EU gewährleistete Schutzniveau nicht unterlaufen wird. Die Übermittlung ist nur dann zulässig, wenn eine dieser Garantien vorliegt.

Die wichtigsten Übermittlungsgrundlagen sind: erstens ein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO), mit dem für ein bestimmtes Drittland ein angemessenes Schutzniveau festgestellt wird – aktuell bestehen solche Beschlüsse u.a. für die USA (EU-US Data Privacy Framework), Großbritannien, Japan und die Schweiz; zweitens Standarddatenschutzklauseln (Standard Contractual Clauses, SCCs), die von der EU-Kommission erlassen wurden und zwischen dem Datenexporteur und -importeur vereinbart werden (Art. 46 Abs. 2 lit. c DSGVO); drittens verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) für konzerninterne Übermittlungen.

Für Compliance Officer ist die Drittlandproblematik eine alltägliche Herausforderung, da viele weit verbreitete Cloud-Dienste, insbesondere aus dem US-amerikanischen Raum, Drittlandübermittlungen auslösen. Bei jeder Einführung eines neuen Dienstleisters ist daher zu prüfen, in welche Länder Daten übertragen werden und welche Übermittlungsgrundlage einschlägig ist. Seit dem Schrems-II-Urteil des EuGH (2020) müssen bei SCCs zusätzlich Transfer Impact Assessments (TIAs) durchgeführt werden, um das Schutzniveau im Empfängerland konkret zu bewerten.

Rechtliche Grundlage

Art. 44–49 DSGVO

Praxisbeispiel

Ihr Unternehmen führt ein US-amerikanisches CRM-System ein, das Kundendaten auf Servern in den USA verarbeitet. Als Compliance Officer prüfen Sie zunächst, ob der Anbieter unter das EU-US Data Privacy Framework (DPF) zertifiziert ist – was eine Drittlandübermittlung auf Basis eines Angemessenheitsbeschlusses ermöglicht. Sie stellen fest, dass der Anbieter DPF-zertifiziert ist, und dokumentieren dies als Übermittlungsgrundlage im Verarbeitungsverzeichnis. Gleichzeitig weisen Sie darauf hin, dass die DPF-Zertifizierung jährlich erneuert werden muss und im AVV entsprechend abgesichert sein sollte. Sie notieren eine Folgeerinnerung zur Überprüfung der Zertifizierung für das nächste Jahr.

Häufige Fragen

Eine Drittlandübermittlung liegt vor, wenn personenbezogene Daten in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden. Dies gilt auch für indirekte Übermittlungen, etwa wenn ein in der EU ansässiger Cloud-Anbieter Daten auf Servern in den USA verarbeitet.
Die wichtigsten Garantien sind: Angemessenheitsbeschlüsse der EU-Kommission für bestimmte Länder (z.B. USA, UK), Standarddatenschutzklauseln (SCCs) und Binding Corporate Rules (BCRs) für Konzerne. Für jede Übermittlungsgrundlage muss zusätzlich ein Transfer Impact Assessment durchgeführt werden.
Das EU-US Data Privacy Framework (DPF) ist ein Angemessenheitsbeschluss der EU-Kommission aus 2023, der Übermittlungen personenbezogener Daten an zertifizierte US-Unternehmen erlaubt. US-Anbieter müssen sich freiwillig zertifizieren lassen und jährlich erneuern. Das DPF ist der Nachfolger des für ungültig erklärten Privacy Shield.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Auftragsverarbeitung (AVV) Technische und organisatorische Maßnahmen (TOMs) Personenbezogene Daten Datenschutz-Folgenabschätzung (DSFA) Rechenschaftspflicht (Accountability)
Zurück zum Glossar