Was ist der schnellste Weg, Daten rechtssicher in ein Drittland zu übermitteln?

Der schnellste und rechtssicherste Weg ist die Anwendung eines Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DSGVO. Liegt ein solcher Beschluss für das betreffende Drittland vor, sind Datenübermittlungen grundsätzlich ohne zusätzliche geeignete Garantien zulässig.

Wann sind Standardvertragsklauseln (SCCs) erforderlich?

Standardvertragsklauseln kommen zum Einsatz, wenn kein Angemessenheitsbeschluss besteht und die Parteien ein angemessenes Datenschutzniveau vertraglich absichern wollen (Art. 46 DSGVO). Seit der Entscheidung „Schrems II“ sind zusätzlich ein Transfer Impact Assessment sowie gegebenenfalls ergänzende Schutzmaßnahmen erforderlich.

Was sind Binding Corporate Rules (BCR) und wann eignen sie sich?

Binding Corporate Rules sind verbindliche konzerninterne Datenschutzvorschriften, die den Datentransfer innerhalb internationaler Unternehmensgruppen regeln. Sie eignen sich insbesondere für dauerhafte und komplexe konzerninterne Übermittlungen, bedürfen jedoch der Genehmigung der zuständigen Aufsichtsbehörde (Art. 47 DSGVO). Seit der Entscheidung „Schrems II“ sind auch hier zusätzlich ein Transfer Impact Assessment sowie gegebenenfalls ergänzende Schutzmaßnahmen erforderlich.

Was ist ein Transfer Impact Assessment (TIA)?

Im Rahmen eines Transfer Impact Assessments wird geprüft, ob die Rechtsordnung des Drittlands die Einhaltung der vorgesehenen Datenschutzgarantien tatsächlich ermöglicht. Seit der „Schrems II“-Entscheidung des EuGH ist die Durchführung eines TIA bei SCCs und BCR verpflichtend. Werden Risiken festgestellt, sind zusätzliche technische oder organisatorische Maßnahmen zu ergreifen oder der Datentransfer einzustellen.

Welche technischen und organisatorischen Maßnahmen sind empfehlenswert?

Zu den zentralen Maßnahmen zählen Transport- und Speicherdatenverschlüsselung, Pseudonymisierung, konsequente Datenminimierung, rollen- und bedarfsbezogene Zugriffskonzepte, „Mehr-Faktor-Authentifizierung“, Protokollierung und Monitoring von Zugriffen, regelmäßige Sicherheitsupdates sowie eindeutige Lösch- und Aufbewahrungskonzepte. Ergänzend kommen Maßnahmen wie die vertragliche Verpflichtung des Datenimporteurs zu Transparenz- und Informationspflichten, der Einsatz von VPN-Verbindungen, die Vermeidung lokaler Datenspeicherung sowie regelmäßige Datenschutz- und IT-Sicherheitsschulungen der Mitarbeitenden in Betracht. Die Auswahl und Dokumentation dieser Maßnahmen sollte an der konkreten Risikobewertung (TIA) ausgerichtet sein.

Sind Zertifizierungen und Verhaltensregeln in der Praxis geeignete Garantien?

Zertifizierungen und genehmigte Verhaltensregeln sind von der DSGVO ausdrücklich vorgesehen und können geeignete Garantien darstellen. In der Praxis spielen sie bislang eine untergeordnete Rolle, da sie eine formelle Genehmigung und eine rechtsverbindliche Verpflichtung des Datenempfängers voraussetzen.

Kann eine Einwilligung die Übermittlung rechtfertigen?

Ja, wenn weder Art. 45 noch Art. 46 greifen, kann eine ausdrückliche, vorher informierte Einwilligung nach Art. 49 DSGVO eine Ausnahme bilden. Diese Einwilligung muss ausdrücklich, spezifisch und informierend erfolgen. Pauschale oder vorangekreuzte Kästchen genügen nicht und wiederkehrende Datenübermittlungen sind damit in der Regel nicht gedeckt.

Hilft Anonymisierung gegen Datenschutzrisiken?

Eine echte, irreversible Anonymisierung nimmt den Daten grundsätzlich den Personenbezug und kann daher eine effektive Lösung sein. In der Praxis ist echte Anonymisierung technisch anspruchsvoll und muss sorgfältig dokumentiert werden.

Was droht bei fehlerhaften Drittlandübermittlungen?

Fehlerhafte Übermittlungen können zu Bußgeldern, zivilrechtlichen Schadensersatzansprüchen und Reputationsschäden führen. Eine sorgfältige Dokumentation und anwaltliche Prüfung des Vorhabens können diese Risiken reduzieren.

April 21, 2026

Datenübermittlung in Drittländer – Fachanwalt berät zu allen Fragen!

Anwalt für Markenrecht » Aktuelles » Datenübermittlung in Drittländer – Fachanwalt berät zu allen Fragen!

Die Übermittlung und Verarbeitung personenbezogener Daten in Drittstaaten stellt Unternehmen vor erhebliche rechtliche Herausforderungen. In einer zunehmend globalisierten Wirtschaft sind internationale Datenflüsse zwar alltäglich und meist ökonomisch notwendig, sie unterliegen jedoch strengen datenschutzrechtlichen Vorgaben. Insbesondere bei der Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums ist besondere Sorgfalt geboten, sofern dort kein mit der Datenschutz-Grundverordnung (DSGVO) vergleichbares Datenschutzniveau besteht und infolgedessen auch kein sogenannter Angemessenheitsbeschluss der EU vorliegt. Unternehmen sind daher verpflichtet, geeignete rechtliche Garantien für eine Datenübermittlung in Drittländer zu schaffen und die Einhaltung der datenschutzrechtlichen Anforderungen sorgfältig zu prüfen, um Haftungsrisiken, Bußgelder und Reputationsschäden zu vermeiden. In diesem Artikel erläutern wir Ihnen die zentralen rechtlichen Grundlagen der Drittlandübermittlung, stellen die maßgeblichen Übermittlungsmechanismen der DSGVO vor und zeigen auf, welche praktischen Anforderungen Unternehmen bei internationalen Datentransfers beachten müssen. Besonderes Augenmerk liegt dabei auf der Bestimmung des geeigneten Übermittlungsinstruments, der Durchführung eines Transfer Impact Assessments, der Erforderlichkeit ergänzender technischer und organisatorischer Maßnahmen sowie den insgesamt mit einer Übermittlung verbundenen Sanktions- und Haftungsrisiken.

Zufriedene Mandanten

5 Sterne Bewertungen auf Google. Finde unser Google-Profil hier.

Erstklassige Beratung

Wir garantieren erstklassige Beratung auf höchstem Niveau!

Schnelle Reaktionszeiten

Wir melden uns schnell bei Ihnen und kümmern uns um Ihr Anliegen!

Jahrelange Erfahrung

Profitieren Sie von der langjährigen Erfahrung unserer Anwälte!

Rechtsanwalt Daniel Loschelder

Telefon: +49(0) 89 38 666 070
E-Mail: office@ll-ip.com

Fachanwalt für IT-Recht und Gewerblichen Rechtsschutz

Melden Sie sich noch heute für eine individuelle Beratung.

Datenübermittlung in Drittländer – das Wichtigste in Kürze:

Hohe Anforderungen: Die Datenübermittlung in Drittländer personenbezogener Daten ist rechtlich nur zulässig, wenn neben den allgemeinen DSGVO-Vorgaben auch die besonderen Anforderungen der Art. 44 ff. DSGVO eingehalten werden.
Drittland prüfen: Als Drittländer gelten Staaten außerhalb von EU und EWR, sodass Unternehmen vor jedem Datentransfer genau prüfen müssen, ob ein solcher Auslandsbezug überhaupt vorliegt.
Zwei Stufen: Jede Drittlandübermittlung erfordert zunächst eine rechtmäßige Datenverarbeitung nach der DSGVO und anschließend einen zulässigen Übermittlungsmechanismus für das konkrete Drittland.
Drei Voraussetzungen: Eine relevante Drittlandübermittlung liegt nur vor, wenn ein Datenexporteur im Anwendungsbereich der DSGVO Daten an einen anderen Verantwortlichen oder Auftragsverarbeiter in einem Drittland offenlegt.
Einfachster Weg: Am rechtssichersten ist die Übermittlung bei einem Angemessenheitsbeschluss der EU-Kommission, weil dann grundsätzlich keine zusätzlichen Garantien erforderlich sind.
Wichtige Garantien: Fehlt ein Angemessenheitsbeschluss, kommen vor allem Standardvertragsklauseln oder konzerninterne Binding Corporate Rules in Betracht, um ein angemessenes Schutzniveau abzusichern.
TIA Pflicht: Seit „Schrems II“ müssen Unternehmen bei SCCs und BCR zusätzlich durch ein Transfer Impact Assessment prüfen, ob das Schutzniveau im Drittland tatsächlich eingehalten werden kann.
Zusätzliche Maßnahmen: Ergeben sich Risiken, sind ergänzende technische und organisatorische Schutzmaßnahmen wie Verschlüsselung, Pseudonymisierung, Datenminimierung und strenge Zugriffskontrollen erforderlich.
Enge Ausnahmen: Wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen, ist eine Übermittlung nur in engen Ausnahmefällen nach Art. 49 DSGVO zulässig, etwa bei ausdrücklicher Einwilligung oder zur Vertragsdurchführung.
Hohe Risiken: Fehlerhafte Drittlandübermittlungen können erhebliche Bußgelder, behördliche Verbote, Schadensersatzansprüche und Reputationsschäden nach sich ziehen, weshalb eine sorgfältige Prüfung und Dokumentation unerlässlich ist.

Anwälte, die auf Zack sind! Herr Leisenberg und Herr Loschelder haben mich motiviert und angriffslustig vertreten, so wie man sich das von Anwälten wünscht. Vielen Dank dafür!

Die Mitarbeiter der Kanzlei haben mein Anliegen sofort und kompetent bearbeitet, was innerhalb kürzester Zeit zum Erfolg geführt hat. Ich bin sehr zufrieden und kann die Kanzlei bestens empfehlen.

S L

Ich kann diese Kanzlei wirklich jedem nur ans Herzen legen !!! Meine Schwester und ich hatten vor ein paar Tagen ein erstes Gespräch, da wir drauf und dran sind ein Start-up zu gründen aber uns mit den rechtlichen Themen noch nicht so gut auskannten.Es wurde sich viel Zeit genommen um alle unsere Fragen zu beantworteten und es herrschte ein richtig freundliche Atmosphäre. Man hat richtig gemerkt, dass ehrliches Interesse für uns und unser Start-up besteht und uns diesbezüglich wirklich weitergeholfen werden wollte. Wir hatten eine tolle erste Erfahrung mit der Anwaltskanzlei und freuen uns über eine weitere Zusammenarbeit.

Sehr kompetente Kanzlei, schnelle Kontaktaufnahme und Reaktion auf unser Anliegen. Prompte Erledigung mit 100% Erfolg. Danke dafür.

M E

Rechtliche Grundlagen der Datenübermittlung in Drittländer

Datenübermittlung in Drittländer ist ein sehr sensibles Thema im Datenschutz. Als Drittländer gelten sämtliche Staaten, die weder Mitglied der Europäischen Union (EU) noch des Europäischen Wirtschaftsraums (EWR) sind. Die Übermittlung personenbezogener Daten in solche Drittländer unterliegt nach der DSGVO besonderen rechtlichen Anforderungen. Hintergrund dieser Einordnung ist, dass in vielen Drittstaaten noch kein Datenschutzniveau besteht, das dem innerhalb der EU gewährleisteten Schutz der personenbezogenen Daten entspricht. Dies kann erhebliche Risiken für die Rechte und Freiheiten der betroffenen Personen begründen, insbesondere im Hinblick auf staatliche Zugriffsrechte, fehlende Rechtsschutzmöglichkeiten oder unzureichende Durchsetzungsmechanismen.

Die DSGVO verfolgt das Ziel, ein hohes und einheitliches Datenschutzniveau innerhalb der EU sicherzustellen und zugleich zu verhindern, dass dieses Schutzniveau durch die Verlagerung von Datenverarbeitungen ins Ausland unterlaufen wird. Aus diesem Grund sieht die Verordnung für die Übermittlung personenbezogener Daten in Drittländer ein abgestuftes Schutzkonzept vor, das an das jeweilige Datenschutzniveau des Empfängerstaates anknüpft und bei Nicht-Vorhandensein eines Angemessenheitsbeschlusses zusätzliche rechtliche Sicherungsmechanismen verlangt.

Rechtlich maßgeblich ist dabei, dass die DSGVO in Drittstaaten grundsätzlich keine unmittelbare Anwendung entfaltet, da es an einem unionsrechtlichen Rechtsanwendungsbefehl fehlt. Eine Ausnahme gilt jedoch für die Staaten des Europäischen Wirtschaftsraums. In den EWR-Staaten Island, Liechtenstein und Norwegen wurde die DSGVO durch Beschluss des „Gemeinsamen EWR-Ausschusses“ vom 6. Juli 2018 übernommen, sodass sie dort inhaltsgleich zur Anwendung kommt. Diese Staaten gelten daher datenschutzrechtlich nicht als Drittländer im Sinne der DSGVO.

Für Unternehmen und Verantwortliche bedeutet dies, dass bereits vor jeder grenzüberschreitenden Datenübermittlung sorgfältig zu prüfen ist, ob es sich um eine Übermittlung in einen Drittstaat handelt und welche rechtlichen Voraussetzungen im konkreten Fall zu erfüllen sind.

Der Begriff der Datenübermittlung

Die DSGVO regelt die Datenübermittlung in Drittländer von personenbezogenen Daten ausdrücklich durch Art. 44 DSGVO und stellt diese unter einen besonderen Erlaubnisvorbehalt. Eine solche Datenübermittlung ist nur zulässig, wenn die Vorgaben der DSGVO in einem zweistufigen Prüfungsprozess vollständig eingehalten werden.

Zweistufige Prüfung nach der DSGVO

Einhaltung der allgemeinen DSGVO-Bestimmungen

Voraussetzung jeder Drittlandübermittlung ist zunächst die Rechtmäßigkeit der zugrunde liegenden Datenverarbeitung nach den allgemeinen Regeln der DSGVO. Dies setzt insbesondere voraus, dass eine wirksame Rechtsgrundlage im Sinne des Art. 6 DSGVO besteht, etwa eine Einwilligung der jeweils betroffenen Person, die Erforderlichkeit zur Erfüllung des zugrundeliegenden Vertrags, eine gesetzliche Verpflichtung oder nach Maßgabe einer sorgfältigen Interessenabwägung ein berechtigtes Interesse des Verantwortlichen.

Darüber hinaus sind ferner die weiteren Grundprinzipien der DSGVO zu beachten, insbesondere der Grundsatz der Zweckbindung, der Datenminimierung und der Transparenz. Auch die Informationspflichten nach Art. 13 und 14 DSGVO müssen erfüllt sein. Ohne die Einhaltung dieser allgemeinen Vorgaben ist eine Übermittlung in ein Drittland unabhängig von etwaigen zusätzlichen Sicherungsmechanismen per se unzulässig.

Unternehmen sollten daher bereits vor einer Drittlandübermittlung prüfen und dokumentieren, auf welche Rechtsgrundlage sich die geplante Verarbeitung stützt und ob sämtliche datenschutzrechtlichen Grundprinzipien eingehalten werden.

Prüfung der besonderen Anforderungen für Drittlandübermittlungen

Insoweit die allgemeine Rechtmäßigkeit der Verarbeitung festgestellt ist, schließt sich die Prüfung der besonderen Voraussetzungen für Drittlandübermittlungen an. Maßgeblich sind hierbei die Art. 44 ff. DSGVO, die sicherstellen sollen, dass das durch die DSGVO gewährleistete Schutzniveau personenbezogener Daten auch bei einer Übermittlung in einen Drittstaat nicht unterlaufen wird.

Die DSGVO verlangt insoweit, dass für die Übermittlung ein geeigneter Transfermechanismus besteht, der ein angemessenes Datenschutzniveau gewährleistet. Hierzu sieht die Verordnung verschiedene Instrumente vor, deren Einsatz von den Umständen des Einzelfalls abhängt.

Voraussetzungen einer Übermittlung im Sinne der Art. 44 ff. DSGVO

Da eine konkrete Legaldefinition in der Verordnung nicht angelegt ist, liegt nach der Auslegung des Europäischen Datenschutzausschusses (EDSA, engl.: EDPB) eine relevante Drittlandübermittlung nur dann vor, wenn kumulativ drei Voraussetzungen erfüllt sind:

Datenexporteur im räumlichen Anwendungsbereich der DSGVO

Erstens muss der Verantwortliche oder der Auftragsverarbeiter, der die Daten übermittelt (der sogenannte Datenexporteur), in den räumlichen Anwendungsbereich der DSGVO fallen. In der Regel ist dies der Fall, wenn der Datenexporteur eine Niederlassung in der Europäischen Union hat, sodass Art. 3 Abs. 1 DSGVO Anwendung findet. Daneben kommen jedoch auch Konstellationen in Betracht, in denen der Datenexporteur außerhalb der EU ansässig ist, die DSGVO aber gemäß Art. 3 Abs. 2 DSGVO Anwendung findet, etwa bei der gezielten Angebotserbringung von Waren oder Dienstleistungen an Personen in der EU oder bei der Beobachtung oder Analyse ihres Verhaltens.

Offenlegung der Daten gegenüber einem anderen Verantwortlichen/ Auftragsverarbeiter

Zweitens müssen die personenbezogenen Daten einem anderen Verantwortlichen, einem gemeinsam Verantwortlichen oder einem Auftragsverarbeiter offengelegt werden. Der EDSA legt den Begriff der Offenlegung dabei restriktiv aus: Eine bloß unternehmensinterne Verarbeitung stellt keine Offenlegung dar, selbst wenn sie technisch aus einem Drittland erfolgt. So liegt insbesondere keine Übermittlung vor, wenn ein Mitarbeiter eines Unternehmens während eines Aufenthalts außerhalb der EU oder des EWR auf personenbezogene Daten der unternehmenseigenen IT-Systeme zugreift, etwa über ein gesichertes Firmengerät oder eine VPN-Verbindung, solange die Daten weiterhin ausschließlich vom ursprünglichen Verantwortlichen kontrolliert werden und nicht einer anderen Unternehmensgesellschaft oder externen Dritten zugänglich gemacht werden.

Vorsicht geboten ist somit bei konzerninternen Datenflüssen, denn sobald personenbezogene Daten an eine rechtlich selbstständige Unternehmensgesellschaft weitergegeben werden, auch innerhalb desselben Konzerns, liegt regelmäßig eine Offenlegung im datenschutzrechtlichen Sinne vor. Dies gilt unabhängig davon, ob die empfangende Gesellschaft ihrerseits dem Anwendungsbereich der DSGVO unterfällt. Gleiches gilt, wenn personenbezogene Daten auf IT-Infrastrukturen einer anderen Konzerngesellschaft oder eines externen Dienstleisters im Drittland gespeichert oder verarbeitet werden. In diesen Fällen ist von einer Drittlandübermittlung im Sinne der Art. 44 ff. DSGVO auszugehen.

Datenimporteur in einem Drittstaat

Drittens muss der Datenempfänger (der Datenimporteur) entweder in einem Drittstaat ansässig sein oder es sich um eine internationale Organisation handeln. Eine internationale Organisation ist nach der Definition des Art. 4 Nr. 26 DSGVO eine völkerrechtliche Organisation oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf Grundlage einer solchen Übereinkunft geschaffen wurde. Hierzu zählen internationale humanitäre Organisationen sowie die Vereinten Nationen.

Sind all jene dieser drei Voraussetzungen erfüllt, unterliegt der Datentransfer zwingend den besonderen Vorgaben der Art. 44 ff. DSGVO.

Ergänzung: Besondere Transparenz- und Informationspflichten

Bei Drittlandübermittlungen treten ergänzende Transparenz- und Informationspflichten hinzu. Betroffene Personen sind ausdrücklich über die Übermittlung in ein Drittland, das Bestehen oder Nichtbestehen eines Angemessenheitsbeschlusses sowie über die eingesetzten geeigneten Garantien zu informieren. Unterschiedliche rechtliche Rahmenbedingungen und Datenschutzstandards in Drittstaaten können die praktische Umsetzung dieser Pflichten erheblich erschweren, was eine besonders sorgfältige Ausgestaltung der Informations- und Schutzmaßnahmen erfordert.

Vor diesem Hintergrund ist es für Unternehmer ratsam, frühzeitig zu prüfen, welche zusätzlichen Maßnahmen erforderlich sind, um die Transparenzpflichten sowie die Betroffenenrechte auch im Rahmen von Drittlandübermittlungen wirksam sicherzustellen.

Sonderfall: Vorliegen einer Übermittlung trotz Standorts des Datenexporteurs und Datenimporteurs in DSGVO-Anwendungsbereich

Besondere Bedeutung kommt dabei dem Fall zu, dass eine solche Übermittlung im Sinne der Art. 44 ff. DSGVO auch dann vorliegen kann, wenn sowohl der Datenexporteur als auch der Datenimporteur grundsätzlich dem räumlichen Anwendungsbereich der DSGVO unterfallen. So ist etwa auch die Übermittlung personenbezogener Daten von einem in der EU ansässigen Verantwortlichen an einen im Drittland ansässigen Verantwortlichen, der Waren oder Dienstleistungen in der EU anbietet, als Drittlandübermittlung einzuordnen. Maßgeblich ist in diesem Fall nicht allein die Anwendbarkeit der DSGVO, sondern die geografische Ansässigkeit des Datenimporteurs. Hintergrund dieser weiten Auslegung ist laut des EDSA die Gefahr kollidierender ausländischer Rechtsordnungen, die beispielsweise unverhältnismäßige staatliche Zugriffe auf personenbezogene Daten erlauben und damit das durch die DSGVO gewährleistete Schutzniveau beeinträchtigen können.

Unternehmen sollten daher nicht allein auf die formale DSGVO-Anwendbarkeit beim Datenimporteur abstellen, sondern dessen tatsächliche Niederlassung sorgfältig prüfen.

Fragen zur Datenübermittlung in Drittländer? Unsere Spezialisten beraten Sie!

Loschelder Leisenberg Kanzlei Gruppenbild

Die verschiedenen Wege der Datenübermittlung in Drittländer

Einfachste Möglichkeit: Angemessenheitsbeschluss gemäß Art. 45 DSGVO

Der Angemessenheitsbeschluss nach Art. 45 DSGVO stellt den einfachsten und zugleich rechtssichersten Mechanismus für die Datenübermittlung in Drittländer von personenbezogenen Daten dar. Er erlaubt Datentransfers ohne zusätzliche Garantien, sofern die Europäische Kommission festgestellt hat, dass das betreffende Drittland ein mit der Europäischen Union vergleichbares Datenschutzniveau gewährleistet. Dabei sind verschiedene Aspekte zu berücksichtigen, darunter die Existenz und Durchsetzung eines Datenschutzrechts, die Gewährleistung von Betroffenenrechten wie Auskunft, Berichtigung, Löschung und Widerspruch, das Vorhandensein einer unabhängigen Datenschutzaufsichtsbehörde sowie Umfang und Grenzen staatlicher Zugriffsrechte auf personenbezogene Daten. Von maßgeblicher Bedeutung ist zudem, ob den betroffenen Personen wirksame und durchsetzbare Rechtsbehelfe zur Verfügung stehen.

Mit dem Erlass eines Angemessenheitsbeschlusses bestätigt die Europäische Kommission, dass die rechtlichen Rahmenbedingungen des Drittstaates einen angemessenen Schutz personenbezogener Daten sicherstellen. In diesen Fällen bedarf die Übermittlung keiner besonderen Genehmigung und unterliegt keinen zusätzlichen Sicherungsanforderungen (Art. 45 Abs. 1 und 3 DSGVO).

Länder, für die ein Angemessenheitsbeschluss besteht

Zu den Staaten, für die derzeit ein Angemessenheitsbeschluss besteht, zählen unter anderem die Schweiz, Japan, das Vereinigte Königreich, Neuseeland, Israel sowie die Republik Korea (Südkorea). Für Unternehmen bedeutet dies eine erhebliche Erleichterung bei grenzüberschreitenden Datenverarbeitungen, da diese Länder datenschutzrechtlich als sichere Drittländer gelten.

Angemessenheitsbeschlüsse werden von der Europäischen Kommission regelmäßig überprüft und können bei veränderten rechtlichen oder tatsächlichen Rahmenbedingungen angepasst oder aufgehoben werden. Unternehmen sind daher gut beraten, die fortlaufende Gültigkeit einschlägiger Beschlüsse im Blick zu behalten.

Besonderheit: EU-US Data Privacy Framework

Hinsichtlich etwaiger Datenübermittlungen in die USA gibt es mit dem EU–US Data Privacy Framework (DPF) eine Besonderheit. Es schafft unter bestimmten Bedingungen eine rechtssichere Grundlage im Sinne eines Angemessenheitsbeschlusses.

Unter Beachtung des geltenden DPF wird das Datenschutzniveau in den USA nun für Datenimporteure als ausreichend erachtet, die sich beim „US Department of Commerce“ insoweit zertifizieren lassen. Diese Unternehmen verpflichten sich damit, die im DPF definierten Grundsätze einzuhalten, darunter Informationspflichten („Notice“), Wahlmöglichkeiten für Betroffene („Choice“), Vorgaben zur Weitergabe von Daten („Accountability for onward transfer“), technische und organisatorische Schutzmaßnahmen („Security“), Datenintegrität und Zweckbindung („Data Integrity and Purpose Limitation“), Betroffenenrechte („Access“) sowie Mechanismen zum Rechtsschutz („Recourse, Enforcement and Liability“).

Anders als bei klassischen Angemessenheitsbeschlüssen werden die USA somit nicht generell als sicheres Drittland eingestuft, sondern es bedarf zusätzlicher Schutzmaßnahmen seitens der zertifizierten US-Unternehmen. Dies ist insbesondere auf Unterschiede im Datenschutzniveau zwischen den US-Bundesstaaten zurückzuführen, die eine einheitliche Bewertung erschweren.

Das DPF schafft mithin eine belastbare Grundlage für Datenübermittlungen in die USA, erfordert jedoch die jährliche Zertifizierung der Datenimporteure beim „US Department of Commerce“.

Da der EuGH aktuell über die Zulässigkeit des DPF zu entscheiden hat, besteht jedoch weiterhin Unsicherheit für Verantwortliche. Hinsichtlich wichtiger Datentransfers empfiehlt es sich daher für die Praxis, diesen zugrundeliegende Standardvertragsklauseln (SCCs) zu implementieren oder zu überprüfen und insofern ein Transfer Impact Assessment (TIA) durchzuführen.

Geeignete Garantien

Liegt für ein Drittland kein Angemessenheitsbeschluss der Europäischen Kommission vor, ist eine Übermittlung personenbezogener Daten dennoch nicht per se ausgeschlossen. Art. 46 Abs. 1 DSGVO eröffnet vielmehr die Möglichkeit, Datentransfers auf geeignete Garantien zu stützen. Voraussetzung ist, dass der übermittelnde Verantwortliche oder Auftragsverarbeiter durch entsprechende Maßnahmen sicherstellt, dass den betroffenen Personen durchsetzbare Rechte sowie wirksame Rechtsbehelfe zur Verfügung stehen, um das im Drittland fehlende angemessene Datenschutzniveau zu kompensieren und das unionsrechtlich geforderte Schutzniveau auch außerhalb der EU aufrechtzuerhalten. Wie Erwägungsgrund 108 S. 3 DSGVO ausdrücklich hervorhebt, soll auf diesem Wege verhindert werden, dass die Grundsätze und Schutzmechanismen der DSGVO durch internationale Datenübermittlungen unterlaufen werden. Geeignete Garantien wirken somit als Instrument zur Wahrung der Rechte und Freiheiten betroffener Personen bei grenzüberschreitenden Datenverarbeitungen.

Im Folgenden stellen wir Ihnen die wichtigsten Garantien im Einzelnen vor:

Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO

Die von der EU-Kommission erlassenen Standardvertragsklauseln (Standard Contractual Clauses / „SCCs“) stellen eine der wichtigsten Garantiemechanismen zur rechtmäßigen Übermittlung personenbezogener Daten in Drittländer dar. Sie dienen dazu, vertraglich ein angemessenes Datenschutzniveau sicherzustellen und damit das durch die DSGVO gewährleistete Schutzniveau auch bei grenzüberschreitenden Datentransfers zu wahren.

Bei den Standardvertragsklauseln handelt es sich um vorformulierte Vertragsmuster, die zwischen dem Datenexporteur in der EU und dem Datenimporteur im Drittland abgeschlossen werden. Durch ihre Verwendung verpflichtet sich der Datenimporteur zur Einhaltung zentraler datenschutzrechtlicher Garantien, insbesondere zur Beachtung der Betroffenenrechte, zur Implementierung geeigneter technischer und organisatorischer Maßnahmen sowie zur Unterwerfung unter wirksame Durchsetzungs- und Kontrollmechanismen. Die Klauseln dürfen ihrem Inhalt nach grundsätzlich nicht abgeändert werden. Mit Risiken verbunden, aber wohl zulässig sind ergänzende Regelungen oder zusätzliche Garantien, sofern sie weder unmittelbar noch mittelbar den Vorgaben der Standardvertragsklauseln widersprechen. Hierbei besteht das Risiko darin, dass die Genehmigungsfreiheit der Standardvertragsklauseln entfällt und daher zur Zulässigkeit der Datenübermittlung die Einwilligung der Aufsichtsbehörde einzuholen ist.

Die Standardvertragsklauseln sind in verschiedenen Modulen ausgestaltet und decken unterschiedliche Übermittlungskonstellationen ab, etwa Übermittlungen zwischen Verantwortlichen, zwischen Verantwortlichem und Auftragsverarbeiter und umgekehrt oder zwischen Auftragsverarbeitern untereinander. Dies ermöglicht eine flexible, an den jeweiligen Verarbeitungsvorgang angepasste Anwendung.

In der Praxis stellen die Standardvertragsklauseln einen effektiven, jedoch mit teils erheblichem Prüf- und Dokumentationsaufwand verbundenen Mechanismus dar. Unternehmen sind daher gehalten, die Verwendung der Standardvertragsklauseln sorgfältig zu dokumentieren und regelmäßig zu überprüfen, um datenschutzrechtliche Risiken und Haftungsfolgen zu vermeiden. Hier kann eine anwaltliche Beratung besonders sinnvoll sein.

Binding Corporate Rules (BCR)

Als weiteres Instrument einer geeigneten Garantie für die Übermittlung personenbezogener Daten in Drittländer kommen „Binding Corporate Rules“ (BCR) in Betracht. Diese sind verbindliche unternehmensinterne Datenschutzvorschriften und können von multinationalen Unternehmen und Unternehmensgruppen eingesetzt werden. Sie ermöglichen einen einheitlichen, konzernweiten Rahmen für internationale Datentransfers außerhalb der EU und des EWR.

BCR gelten ausschließlich für Datenübermittlungen innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen und erfassen keine Übermittlungen an externe Dritte oder Dienstleister. Voraussetzung ist, dass sich sämtliche betroffenen Konzerngesellschaften rechtlich verbindlich zur Einhaltung der BCR verpflichten, diese die allgemeinen Datenschutzgrundsätze der DSGVO wahren und sowohl interne als auch externe Durchsetzungsmechanismen vorsehen. Den betroffenen Personen müssen ausdrücklich durchsetzbare Rechte im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten eingeräumt werden.

Weitere Voraussetzung für die Wirksamkeit der BCR ist die Genehmigung durch die zuständige Datenschutzaufsichtsbehörde gemäß Art. 47 Abs. 1 DSGVO. Dieser Genehmigungsprozess ist umfassend und anspruchsvoll, da sämtliche Datenschutzmaßnahmen innerhalb der Unternehmensgruppe einer detaillierten Prüfung unterzogen werden. Gegebenenfalls müssen diese Maßnahmen insgesamt harmonisiert und in verbindliche interne Regelungen überführt werden, um ein einheitliches und genehmigungsfähiges Datenschutzniveau über alle beteiligten Unternehmen hinweg sicherzustellen.

Der Art. 47 Abs. 2 DSGVO enthält eine Reihe weiterer inhaltlicher Mindestanforderungen, die überdies durch die einschlägigen Leitlinien und Empfehlungen des EDSA konkretisiert werden.

Insgesamt sind BCR eine praktikable Alternative zu Standardvertragsklauseln, insbesondere in komplexen Konzernstrukturen mit einer Vielzahl fortlaufender Datenübermittlungen, bei denen der Abschluss einzelner Vertragswerke praktisch und ökonomisch kaum darstellbar wäre. Zugleich stellen sie ein strategisches Differenzierungsmerkmal dar, da sie ein hohes, einheitliches Datenschutzniveau innerhalb der gesamten Unternehmensgruppe gewährleisten, sind jedoch mit einigem organisatorischem und verwaltungstechnischem Aufwand verbunden.

Seit der Entscheidung des Europäischen Gerichtshofs in der Rechtssache „Schrems II“ kommt dem sogenannten „Transfer Impact Assessment“ (TIA) zentrale Bedeutung bei der Übermittlung personenbezogener Daten sowohl auf Grundlage von Standardvertragsklauseln als auch bei Binding Corporate Rules zu. Der EuGH hat klargestellt, dass die bloße Verwendung der SCCs und BCR für sich genommen nicht ausreicht, um die Zulässigkeit eines Datentransfers in ein Drittland sicherzustellen. Vielmehr sind der Datenexporteur und der Datenimporteur verpflichtet, vor der Übermittlung zu prüfen, ob die Rechtsordnung und die tatsächlichen Gepflogenheiten des Bestimmungsdrittlandes die Einhaltung der in den SCCs oder BCR vorgesehenen Garantien tatsächlich ermöglichen. Dabei sind insbesondere staatliche Zugriffsrechte auf personenbezogene Daten, Offenlegungspflichten gegenüber öffentlichen Stellen sowie bestehende Kontroll- und Rechtsschutzmechanismen zu analysieren.

Der konkrete Prüfungsmaßstab ist stets einzelfallabhängig, da jede Übermittlungskonstellation unterschiedliche Risikoprofile aufweisen kann. Einen besonderen Schwerpunkt bildet dabei regelmäßig die Analyse der nationalen Rechtsvorschriften und tatsächlichen Vollzugspraxis im Bestimmungsdrittland. Ergibt das TIA, dass das gewährleistete Schutzniveau beeinträchtigt ist, sind geeignete zusätzliche Maßnahmen zu ergreifen. Hierzu zählen insbesondere technische Maßnahmen wie Verschlüsselung oder Pseudonymisierung der Daten oder organisatorische Maßnahmen wie interne Datenschutzrichtlinien und Mitarbeiterschulungen. Jegliche dieser Maßnahmen muss sorgfältig dokumentiert werden.

Maßnahmen zur Gewährleistung des Schutzniveaus

Verschlüsselung

Eine zentrale Schutzmaßnahme stellt die Verschlüsselung personenbezogener Daten dar. Dabei sind Daten sowohl bei der Übertragung (Transportverschlüsselung) als auch bei der Speicherung (Verschlüsselung ruhender Daten) mittels anerkannter kryptografischer Verfahren zu sichern. Von besonderer Bedeutung ist, dass die Kontrolle über die kryptografischen Schlüssel ausschließlich beim Datenexporteur oder einer vertrauenswürdigen Stelle innerhalb der EU verbleibt. Auf diese Weise kann der Zugriff unbefugter Dritter, insbesondere staatlicher Stellen im Drittland, wirksam erschwert oder ausgeschlossen werden.

Beispiel: Kundendaten werden vor der Übermittlung an einen Cloud-Dienstleister im Drittland mit einem unternehmenseigenen Schlüssel verschlüsselt. Der Dienstleister kann die Daten zwar speichern und verarbeiten, hat jedoch keinen Zugriff auf die Klartextinformationen, da der „Entschlüsselungsschlüssel“ ausschließlich beim europäischen Unternehmen verbleibt.

Pseudonymisierung

Ergänzend kann die Pseudonymisierung personenbezogener Daten eingesetzt werden. Hierbei werden Identifikationsmerkmale so ersetzt oder getrennt gespeichert, dass ein unmittelbarer Personenbezug ohne Hinzuziehung zusätzlicher Informationen nicht mehr hergestellt werden kann. Die Zuordnungsinformationen sollten getrennt aufbewahrt und besonders geschützt werden. Die Pseudonymisierung reduziert das Risiko für die betroffenen Personen erheblich, insbesondere für den Fall unbefugter Zugriffe oder behördlicher Herausgabeverlangen im Drittland. In geeigneten Fällen kann auch eine Anonymisierung in Betracht kommen, bei der der Personenbezug vollständig und irreversibel entfernt wird und eine Identifizierung der betroffenen Personen nicht mehr möglich ist. Beispielsweise können Statistiken zu Nutzerverhalten erstellt werden, bei denen keinerlei Rückschlüsse mehr auf einzelne Personen möglich sind.

Datenminimierung und Zweckbegrenzung

Ein wesentlicher Grundsatz im Rahmen von Drittlandübermittlungen ist die konsequente Datenminimierung. Es sollten ausschließlich diejenigen personenbezogenen Daten übermittelt werden, die für den konkreten Verarbeitungszweck zwingend erforderlich sind. Darüber hinaus ist der Zweck der Verarbeitung klar zu definieren und technisch wie organisatorisch abzusichern. Eine Reduzierung von Datenumfang und -kategorien trägt maßgeblich zur Risikominimierung bei.

Beispiel: Ein Unternehmen nutzt einen externen E-Mail-Dienst im Drittland, um automatische Hinweise wie etwa Systemwarnungen zu versenden. Dafür wird nur die E-Mail-Adresse der betroffenen Person an den Dienstleister übermittelt. Andere Daten, etwa Name, Adresse oder das Nutzungsverhalten des Empfängers werden nicht weitergegeben.

Zugriffskontrollen und Berechtigungskonzepte

Ein wirksames Zugriffs- und Berechtigungsmanagement ist unerlässlich. Der Zugriff auf personenbezogene Daten ist strikt auf einen definierten und möglichst kleinen Personenkreis zu beschränken folgend dem „Need-to-know-Prinzip“. Technische Maßnahmen wie „Mehr-Faktor-Authentifizierung“, Protokollierung von Zugriffen sowie regelmäßige Überprüfungen der Berechtigungen erhöhen die Sicherheit und Nachvollziehbarkeit der Datenverarbeitung.

Beispiel: Nur ein begrenzter Kreis von IT-Administratoren darf auf die übermittelten Daten zugreifen, wobei der Zugriff ausschließlich nach erfolgreicher Mehr-Faktor-Authentifizierung möglich ist. Sämtliche Zugriffe werden protokolliert und regelmäßig überprüft, um unbefugte oder ungewöhnliche Zugriffe frühzeitig zu erkennen.

Organisatorische Maßnahmen und interne Richtlinien

Neben technischen Vorkehrungen sind klare organisatorische Regelungen erforderlich. Hierzu zählen verbindliche interne Datenschutzrichtlinien, klar definierte Zuständigkeiten, dokumentierte Prozesse für Drittlandübermittlungen sowie verbindliche Weisungen an Datenimporteure. Auch vertragliche Zusicherungen und Eskalationsmechanismen für den Fall behördlicher Zugriffsanfragen im Drittland sollten vorgesehen werden.

Beispiel: Das Unternehmen etabliert eine konzernweit geltende Richtlinie, wonach jede behördliche Anfrage aus einem Drittland unverzüglich an die Rechtsabteilung zu melden ist und personenbezogene Daten erst nach rechtlicher Prüfung herausgegeben werden dürfen. Zusätzlich werden entsprechende Vorgehensweisen pro Vorfall und Ansprechpartner verbindlich festgelegt.

Schulung und Sensibilisierung der Mitarbeitenden

Die Schulung und Sensibilisierung von Mitarbeitenden ist ein wesentlicher Bestandteil eines wirksamen Schutzkonzepts bei Drittlandübermittlungen. Mitarbeitende sollten insbesondere mit den unterschiedlichen Übermittlungsmechanismen (Angemessenheitsbeschlüsse, Standardvertragsklauseln, Binding Corporate Rules), den Ergebnissen des Transfer Impact Assessments sowie den konkret umzusetzenden Schutzmaßnahmen vertraut gemacht werden. Darüber hinaus sind verschärfte Sicherheitsvorgaben, etwa die Nutzung von VPN-Verbindungen, Verschlüsselungstechnologien, sichere Authentifizierungsverfahren und die Vermeidung lokaler Datenspeicherung, regelmäßig zu schulen und praktisch einzuüben.

Beispiel: Beschäftigte im IT-Fachbereich erhalten regelmäßige Schulungen dazu, wann Daten an Dienstleister im Drittland übermittelt werden dürfen, wie verschlüsselte Verbindungen korrekt genutzt werden und wie man typische Fehlerquellen behandelt.

Hauptverantwortung beim Datenexporteur

Obwohl die Verpflichtung zur Durchführung und Dokumentation des Transfer Impact Assessment grundsätzlich beide Parteien trifft, liegt die praktische Hauptverantwortung regelmäßig beim Datenexporteur. Dieser hat sicherzustellen, dass die Bewertung ordnungsgemäß erfolgt. Unternehmen sollten daher sicherstellen, dass sie den TIA-Prozess aktiv steuern, die erforderlichen Informationen beim Datenimporteur einholen, die Ergebnisse nachvollziehbar dokumentieren und die Bewertung regelmäßig aktualisieren, insbesondere bei Änderungen der Rechtslage oder der eingesetzten Übermittlungsmechanismen.

Regelmäßige Neubewertung

Es ist hervorzuheben, dass die Durchführung eines Transfer Impact Assessments sowie die Implementierung ergänzender Schutzmaßnahmen keine einmaligen Pflichten darstellen. Vielmehr unterliegen sowohl die rechtliche Bewertung des Drittlandes als auch die getroffenen technischen und organisatorischen Maßnahmen einer fortlaufenden Überprüfungs- und Anpassungspflicht. Änderungen der maßgeblichen Rechtslage, der behördlichen Praxis oder der technischen Rahmenbedingungen können dazu führen, dass ursprünglich geeignete Maßnahmen ihre Wirksamkeit verlieren. Eine regelmäßige Neubewertung in Unternehmen ist daher erforderlich, um sicherzustellen, dass das durch die DSGVO geforderte Schutzniveau auch bei internationalen Datentransfers dauerhaft gewahrt bleibt. Falls keine entsprechend geeigneten Maßnahmen ergriffen werden können, ist die Datenübermittlung unzulässig und muss ausgesetzt oder beendet werden.

Die Kanzlei Loschelder und Leisenberg kann ich nur empfehlen. Mir wurde selbst als ratsuchender Anwaltskollege sehr kompetent und unkompliziert zielführend bei einer Fragestellung geholfen, im Rahmen eines in meiner Kanzlei eingegangenen Mandats. Hier fehlten uns die speziell erforderlichen Fachkenntnisse, so dass ich mich an Herrn Kollegen Leisenberg gewandt habe. Mir wurde als Kollege sehr gut weitergeholfen. Mandanten und Ratsuchende sind in dieser Münchner Kanzlei ganz sicher bestens aufgehoben und beraten. Fünft Sterne für Beratung und Kompetenz wie auch gezeigtem Einsatz!

T W

Sehr gute telefonische Erreichbarkeit und spontane sehr kompetente und freundliche Beratung. Darauf folgte die umgehende Aufnahme meines Falls mit erfreulicher Konsequenz. Viel früher als erwartet konnte der Fall abgeschlossen und auch für meinen Kopf zu den Akten gelegt werden. Dabei war das Preis-Leistungs-Verhältnis aus meiner Sicht mehr als angemessen und ich möchte besonders den freundlichen und respektvollen Umgang mit mir als Mandantin hervorheben. Ich kann das gesamte Team nur aus voller Überzeugung weiter empfehlen und würde die Kanzlei auf jeden Fall wieder beauftragen. Auch wenn ich natürlich hoffe, dass das nicht nötig sein wird.

C H

Außergewöhnlich freundliches und kompetentes Team in dieser Kanzlei. Rechtsanwalt Leisenberg hat mein Rechtsproblem äußerst schnell erfasst, bewertet und mir die rechtliche Situation mit den wahrscheinlichsten Szenarien aufgezeigt. Ganz herzlichen Dank dafür. Hier ist man sehr gut aufgehoben. Ich freue mich über Euren Erfolg und wünsche Euch weiterhin alles Gute.

J N

Sehr freundlich und schnell. Vielen Dank für die schnelle und kompetente Antwort. Nach der Beantwortung meines Anliegens war ich wieder beruhigt. Denke das man es besser und schneller nicht machen kann. Eine klare Weiterempfehlung meinerseits für LoschelderLeisenberg.

A C

Weitere Möglichkeiten geeigneter Garantien zur Datenübermittlung in Drittländer

Neben Angemessenheitsbeschlüssen, Standardvertragsklauseln und Binding Corporate Rules sieht die DSGVO weitere Instrumente vor, die als geeignete Garantien für die Übermittlung personenbezogener Daten in Drittländer dienen können. Diese Mechanismen eröffnen zusätzliche Gestaltungsspielräume, setzen jedoch ebenfalls voraus, dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Zu den ausdrücklich in Art. 46 Abs. 2 DSGVO genannten Garantien zählen insbesondere von der Aufsichtsbehörde genehmigte Verhaltensregeln gemäß Art. 40 DSGVO sowie genehmigte Zertifizierungsmechanismen nach Art. 42 DSGVO. Beide Instrumente ermöglichen es Unternehmen, branchenspezifische oder organisationsbezogene Datenschutzstandards zu implementieren, die sogar über die gesetzlichen Mindestanforderungen hinausgehen können. Voraussetzung für ihre Nutzung als Transfermechanismus ist jedoch, dass sich der Datenempfänger im Drittland ähnlich wie bei den SCCs und BCR rechtsverbindlich und durchsetzbar zur Einhaltung der jeweiligen Verhaltensregeln oder Zertifizierungsvorgaben verpflichtet, einschließlich der Gewährleistung der Rechte betroffener Personen.

Verhaltensregeln nach Art. 40 DSGVO

Verhaltensregeln werden in der Regel von Branchenverbänden oder vergleichbaren Organisationen entwickelt und bedürfen der Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden. Durch ihren Anschluss an solche Regelwerke verpflichten sich betroffene Unternehmen zur Einhaltung festgelegter Datenschutzstandards, wodurch ein einheitlicher und überprüfbarer Rahmen für Drittlandübermittlungen geschaffen werden kann.

Zertifizierungen nach Art. 42 DSGVO

Zertifizierungen dienen dabei dem Nachweis, dass ein Unternehmen die datenschutzrechtlichen Anforderungen der DSGVO erfüllt. Sie müssen von einer zuständigen Aufsichtsbehörde oder einer akkreditierten Zertifizierungsstelle genehmigt werden und enthalten verbindliche Verpflichtungen für den Datenimporteur im Drittland.

In der Praxis haben Zertifizierungen und Verhaltensregeln bislang noch keine nennenswerte Bedeutung als eigenständige Grundlage für Drittlandübermittlungen erlangt. Gleichwohl stellen sie perspektivisch interessante Alternativen dar, insbesondere für Branchen mit stark standardisierten Datenverarbeitungsprozessen und einem hohen Interesse an einheitlichen, international anerkannten Datenschutzstandards.

Dokumente zwischen Behörden oder öffentlichen Stellen

Darüber hinaus ermöglicht Art. 46 Abs. 2 lit. a DSGVO die Absicherung von Datenübermittlungen auf Grundlage rechtlich bindender und durchsetzbarer Instrumente zwischen Behörden oder öffentlichen Stellen, etwa in Form völkerrechtlicher oder öffentlich-rechtlicher Verträge. Anders als bei den übrigen Garantien ist in diesen Fällen keine formelle Beteiligung der Aufsichtsbehörden oder der Europäischen Kommission vorgesehen. Öffentliche Stellen genießen insoweit einen besonderen Vertrauensbonus, können sich jedoch zur Auslegung und Anwendung dieser Garantie an den Leitlinien des Europäischen Datenschutzausschusses orientieren.

Ausnahmetatbestände bei Fehlen eines Angemessenheitsbeschlusses und geeigneter Garantien

Liegen weder ein Angemessenheitsbeschluss noch geeignete Garantien vor, ist eine Drittlandübermittlung nur unter den eng begrenzten Voraussetzungen des Art. 49 Abs. 1 DSGVO zulässig. Die dort genannten Tatbestände sind abschließend und aufgrund ihres Ausnahmecharakters restriktiv auszulegen. Art. 49 DSGVO stellt keine gleichwertige Alternative zu den Regelmechanismen der Art. 45 und 46 dar, sondern ist lediglich als Auffanglösung für besondere Einzelfälle konzipiert.

Ausdrückliche Einwilligung der betroffenen Person

Praktisch relevant ist insbesondere die ausdrückliche Einwilligung der betroffenen Person/en nach Art. 49 Abs. 1 Satz 1 lit. a DSGVO. Diese setzt eine vorherige umfassende Unterrichtung über die mit der Übermittlung verbundenen Risiken voraus, insbesondere über das Fehlen eines Angemessenheitsbeschlusses und geeigneter Garantien. Die Einwilligung muss ausdrücklich erfolgen und konkludente Erklärungen, vorangekreuzte Checkboxen oder pauschale Klauseln genügen nicht. Für wiederholte oder routinemäßige Drittlandübermittlungen ist die Einwilligung regelmäßig ungeeignet.

Vertragsbezogene Übermittlungen

Nach Art. 49 Abs. 1 Satz 1 lit. b DSGVO ist eine Übermittlung zulässig, wenn sie zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen mit der betroffenen Person erforderlich ist. Voraussetzung ist, dass die betroffene Person selbst Vertragspartei ist, etwa bei Reisebuchungen oder internationalen Online-Geschäften.

Rechtsansprüche

Zulässig sind ferner Drittlandübermittlungen zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gemäß Art. 49 Abs. 1 Satz 1 lit. e DSGVO, wobei auch außergerichtliche und verwaltungsrechtliche Verfahren erfasst sind.

Auffangtatbestand in Ausnahmefällen bei zwingenden berechtigten Interessen

Schließlich enthält Art. 49 Abs. 1 S. 2 DSGVO einen subsidiären Auffangtatbestand, der nur in engsten Ausnahmefällen Anwendung findet. Voraussetzung ist unter anderem, dass die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Anzahl von betroffenen Personen betrifft und zur Wahrung zwingender berechtigter Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder Rechte der betroffenen Personen nicht überwiegen. Zudem muss der Verantwortliche alle Umstände der Übermittlung sorgfältig prüfen und geeignete Schutzmaßnahmen vorsehen. Ergänzend bestehen besondere Informations- und Meldepflichten gegenüber den betroffenen Personen und den zuständigen Aufsichtsbehörden, was dazu führt, dass dieser Tatbestand in der Praxis nur äußerst selten herangezogen wird.

Sanktionen und Ansprüche betroffener Personen bei Datenübermittlung in Drittländer

Sämtliche Verstöße gegen die in den Art. 44 bis 49 DSGVO geregelten Pflichten im Zusammenhang mit Datenübermittlung in Drittländer von personenbezogenen Daten können ausdrücklich sanktioniert werden. Nach Art. 83 Abs. 5 lit. c DSGVO können diesbezüglich empfindliche Geldbußen verhängt werden. Im Einzelnen sind Bußgelder bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Gesamt-Vorjahresumsatzes möglich, je nachdem, welcher Betrag höher ist. Darüber hinaus stehen den Aufsichtsbehörden nach Art. 58 DSGVO weitreichende Abhilfebefugnisse zur Verfügung, darunter Verwarnungen, Anordnungen zur Herstellung eines rechtmäßigen Zustands, Informations- und Mitteilungspflichten gegenüber betroffenen Personen, Einschränkungen oder Aussetzungen von Verarbeitungsvorgängen sowie das vollständige Verbot jeglicher weiterer Drittlandübermittlungen.

Neben diesen aufsichtsrechtlichen Maßnahmen eröffnet die DSGVO betroffenen Personen umfassende individuelle Rechtsbehelfe. Geltung erlangen dabei insbesondere das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde aus Art. 77 DSGVO sowie der verschuldensunabhängige Anspruch auf Ersatz materieller und immaterieller Schäden nach Art. 82 DSGVO, sofern eine unzulässige Drittlandübermittlung vorliegt. Ergänzend kommen regelmäßig weitere zivilrechtliche Ansprüche, etwa auf Unterlassung oder Feststellung, in Betracht.

Um finanzielle und reputationsbezogene Schäden zu vermeiden, ist eine strukturierte Absicherung geplanter und laufender internationaler Datenübermittlungen unerlässlich. Die frühzeitige Einbindung unserer Fachanwälte kann entscheidend dazu beitragen, Haftungsrisiken zu minimieren und die Rechtssicherheit grenzüberschreitender Datenverarbeitungen nachhaltig zu gewährleisten.

Fazit und Praxishinweis zum Thema Datenübermittlung in Drittländer

Die Datenübermittlung in Drittländer von personenbezogenen Daten ist mit erheblichen rechtlichen Anforderungen und nicht unerheblichen Haftungsrisiken verbunden. Die Vielzahl an Regelungsmechanismen, die differenzierten Voraussetzungen der Art. 44 ff. DSGVO sowie die dynamische Entwicklung von Rechtsprechung und aufsichtsbehördlicher Praxis machen eine rechtssichere Einordnung im Einzelfall anspruchsvoll. Insbesondere die Bewertung ausländischer Rechtsordnungen, die Durchführung von Transfer Impact Assessments sowie die Auswahl und Ausgestaltung geeigneter Garantien erfordern eine sorgfältige rechtliche Prüfung.

Vor diesem Hintergrund ist es für Unternehmen empfehlenswert, Drittlandübermittlungen vor ihrer Umsetzung anwaltlich prüfen zu lassen. Eine frühzeitige rechtliche Beratung kann nicht nur dabei helfen, datenschutzrechtliche Risiken und Bußgelder zu vermeiden, sondern auch praktikable und belastbare Lösungen für internationale Datenverarbeitungen zu entwickeln. Angesichts der hohen Komplexität und der erheblichen Sanktionsandrohungen der DSGVO stellt die Einbindung unserer im Datenschutzrecht spezialisierten Fachanwälte regelmäßig einen entscheidenden Beitrag zur rechtssicheren Gestaltung grenzüberschreitender Datenübermittlungen dar. Unsere Sperialisten im IT-Recht und Datenschutzrecht unterstützen Sie bei der Auswahl geeigneter Übermittlungsmechanismen, der Umsetzung technischer und organisatorischer Schutzmaßnahmen, der Durchführung von Transfer Impact Assessments sowie der Dokumentation und kontinuierlichen Überwachung Ihrer Datenübermittlungen in Drittländer, sodass Sie praxisnah handeln können:

Ihr Name*

Ihre E-Mail-Adresse*

Bitte lasse dieses Feld leer.

Betreff

Ihr Anliegen*
Bitte schildern Sie uns hier kurz worum es geht. Dies erleichtert uns die Zuordnung zum passenden Ansprechpartner.

Ihre Dateien*

Sollten Sie eine Abmahnung oder sonstige Schriftstücke erhalten haben, können Sie diese Ihrer Anfrage direkt beifügen. Dies beschleunigt die Bearbeitung.

Bitte laden Sie Ihre Dokumente über dieses Feld hoch. Erlaubt sind die Dokumenttypen .doc, .docx, .pdf, .txt, .rtf, .jpg, .tiff und .png. Sie können bis zu 5 Dateien (maximal 5MB jeweils) hochladen. Sollte Ihr Dokument aus mehreren Dateien bestehen, fassen Sie die Dateien wenn möglich zu einer Datei zusammen. Alternativ können Sie auch eine E-Mail an office@ll-ip.com senden.

Datei 1:
Datei 2:
Datei 3:
Datei 4:
Datei 5:

FAQ zur Datenübermittlung in Drittländer

Unsere Schwerpunkte

Informieren Sie sich gerne über unsere Tätigkeiten im Markenrecht, Wettbewerbsrecht und IT-Recht. Unser Beratungsspektrum finden Sie auf den folgenden Seiten.

Aktuelles

Neuste Beiträge

Datenschutz Schulung für Mitarbeiter vom Fachanwalt

Datenschutz Schulung für Mitarbeiter – das Wichtigste in Kürze Klare Anforderungen: Unternehmen müssen den datenschutzkonformen Umgang mit personenbezogenen Daten intern organisieren und absichern. Hierzu eignet

Verdachtsberichterstattung: so können Sie sich wehren!

Verdachtsberichterstattung – das Wichtigste in Kürze Grundprinzip der Verdachtsberichterstattung: Medien dürfen grundsätzlich über den Verdacht einer Straftat berichten, auch wenn die Schuld noch nicht bewiesen