kostenlos starten

Datenübermittlung in die USA und andere Drittländer

Die Übermittlung personenbezogener Daten in sogenannte „Drittländer“, also Staaten außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR), gehört zu den sensibelsten und zugleich komplexesten Themen des Datenschutzrechts. Insbesondere nach dem Wegfall des „Privacy Shield“ und der Einführung des neuen EU-U.S. Data Privacy Framework hat sich die rechtliche Lage für internationale Datentransfers erneut gewandelt. 
Kapitel V der Datenschutz-Grundverordnung (DSGVO) legt hierfür den rechtlichen Rahmen fest. Es definiert, unter welchen Voraussetzungen personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. 

1. Zielsetzung von Kapitel V DSGVO 

Die Grundidee von Kapitel V DSGVO (Art. 44-50 DSGVO) besteht darin, sicherzustellen, dass das hohe Schutzniveau für personenbezogene Daten, das innerhalb der EU durch die DSGVO garantiert wird, nicht durch eine Übermittlung in Drittländer unterlaufen wird. 
Mit anderen Worten: Auch wenn Daten Europa verlassen, müssen sie denselben Schutz genießen, den sie innerhalb der Union hätten. 

2. Allgemeiner Grundsatz der Datenübermittlung (Art. 44 DSGVO) 

Art. 44 DSGVO formuliert den Grundsatz, dass jede Datenübermittlung in ein Drittland oder an eine internationale Organisation nur erfolgen darf, wenn die Vorgaben dieses Kapitels eingehalten werden. 
Dieser Grundsatz gilt unabhängig davon, ob die Übermittlung innerhalb eines Konzerns, zwischen Auftragsverarbeitern oder im Rahmen von Cloud-Diensten erfolgt. 

Entscheidend ist also nicht die Art der Beziehung zwischen den Beteiligten, sondern die Destination der Daten: Sobald personenbezogene Daten den EU/EWR-Raum verlassen, greifen die strengen Anforderungen des Kapitels V. 

3. Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) 

Das einfachste und rechtssicherste Instrument für einen internationalen Datentransfer ist der Angemessenheitsbeschluss. 
Ein solcher Beschluss wird von der Europäischen Kommission erlassen, wenn sie festgestellt hat, dass ein Drittland ein angemessenes Schutzniveau bietet, also ein Datenschutzniveau, das dem der EU im Wesentlichen gleichwertig ist. 

Zu den Kriterien gehören unter anderem: 

  • die Rechtsstaatlichkeit, Menschenrechte und Grundfreiheiten, 
  • der Zugang zu wirksamen Rechtsbehelfen, 
  • die Existenz einer unabhängigen Datenschutzaufsichtsbehörde. 

Aktuell bestehen Angemessenheitsbeschlüsse u. a. für Länder wie Japan, Kanada (teilweise), das Vereinigte Königreich, die Schweiz und seit Juli 2023 in eingeschränkter Form wieder für die USA. Der Datentransfer in die USA ist allerdings beschränkt auf Datenübermittlungen an zertifizierte US-Unternehmen im Rahmen des Data Privacy Framework (DPF). 

Für Unternehmen bietet ein Angemessenheitsbeschluss den großen Vorteil, dass keine zusätzlichen Garantien oder Genehmigungen erforderlich sind. 
Allerdings muss im Einzelfall stets geprüft werden, ob der Empfänger tatsächlich durch eine aktive Zertifizierung nach dem DPF unter den Beschluss fällt. 

4. Geeignete Garantien nach Art. 46 DSGVO 

Liegt kein Angemessenheitsbeschluss vor, kann eine Datenübermittlung dennoch zulässig sein, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien für den Schutz der Daten bietet. 
Art. 46 DSGVO nennt hierzu mehrere Instrumente, darunter insbesondere: 

  • Standardvertragsklauseln (SCCs) der EU-Kommission, 
  • Verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“, BCRs), 
  • Genehmigte Verhaltensregeln oder Zertifizierungsmechanismen, 
  • Vertragliche Klauseln, die von einer Aufsichtsbehörde genehmigt wurden. 

Diese Instrumente verpflichten die Empfänger außerhalb der EU, das europäische Datenschutzniveau sowohl rechtlich als auch tatsächlich zu wahren. 

In der Praxis spielen insbesondere die Standardvertragsklauseln eine herausragende Rolle. Sie bilden die Grundlage für den Großteil der Datentransfers an nicht durch Angemessenheitsbeschluss anerkannte Länder, etwa Indien oder viele Staaten in Südamerika. 

Seit der Entscheidung des EuGH in der Rechtssache Schrems II (C-311/18) müssen Verantwortliche bei der Nutzung von SCCs jedoch zusätzliche Maßnahmen ergreifen, wenn das Schutzniveau im Empfängerland nicht gewährleistet werden kann, etwa durch Verschlüsselung, Anonymisierung oder technische Zugriffsbeschränkungen. 
Diese Pflicht zur Einzelfallprüfung wird oft als Transfer Impact Assessment (TIA) bezeichnet. 

5. Ausnahmen für bestimmte Fälle (Art. 49 DSGVO) 

Sind weder ein Angemessenheitsbeschluss noch geeignete Garantien vorhanden, bleibt als letztes Mittel die Anwendung der in Art. 49 DSGVO vorgesehenen Ausnahmen. 
Diese sogenannten „Derogationen“ sind eng auszulegen und nur für Einzelfälle zulässig, beispielsweise: 

  • die ausdrückliche Einwilligung der betroffenen Person nach vorheriger Aufklärung über die Risiken, 
  • die Erforderlichkeit der Übermittlung für die Erfüllung eines Vertrags mit der betroffenen Person, 
  • wichtige Gründe des öffentlichen Interesses, 
  • die Geltendmachung oder Verteidigung von Rechtsansprüchen. 

In der Praxis sind diese Ausnahmen selten dauerhaft tragfähig. Die Aufsichtsbehörden betonen regelmäßig, dass sie nicht als Ersatz für Standardmechanismen (Art. 45/46 DSGVO) dienen dürfen. Sie eignen sich höchstens für gelegentliche, klar umrissene Datentransfers. 

6. Besondere Pflichten und Rechenschaft (Art. 47-50 DSGVO) 

Kapitel V schließt mit Vorschriften, die vor allem den organisatorischen Rahmen für internationale Datenübermittlungen regeln. 
Art. 47 DSGVO beschreibt die Anforderungen an Binding Corporate Rules, also interne Datenschutzvorschriften großer Unternehmensgruppen, die konzernweite Datenübertragungen ermöglichen. 
Diese Regeln müssen von einer europäischen Aufsichtsbehörde genehmigt werden und enthalten u. a. verbindliche Rechte für Betroffene, Kontrollmechanismen und Haftungsregelungen. 

Art. 48 DSGVO stellt klar, dass ausländische Gerichts- oder Verwaltungsanordnungen keine eigenständige Rechtsgrundlage für die Datenübermittlung darstellen. Damit schützt die DSGVO europäische Daten vor ungerechtfertigtem Zugriff durch ausländische Behörden. Das ist ein Aspekt, der insbesondere im Kontext der US-Überwachungsgesetze (z. B. FISA 702, CLOUD Act) relevant ist. 

7. Aktuelle Entwicklungen: Data Privacy Framework und Ausblick 

Mit dem EU-U.S. Data Privacy Framework (DPF) hat die Europäische Kommission 2023 einen neuen Angemessenheitsbeschluss für die USA erlassen. 
Unternehmen, die sich nach diesem Framework zertifizieren lassen, können Daten aus der EU wieder rechtssicher empfangen. 
Das DPF soll die Mängel des früheren Privacy Shield beheben; insbesondere durch stärkere Kontrollen, Beschwerderechte und ein neues „Data Protection Review Court“ in den USA. 

Gleichwohl bleibt die Kritik bestehen: Datenschutzorganisationen wie NOYB haben bereits rechtliche Schritte angekündigt, da sie weiterhin Zweifel an der tatsächlichen Unabhängigkeit der neuen Kontrollmechanismen haben. 
Es ist daher nicht ausgeschlossen, dass auch dieses Abkommen einer zukünftigen gerichtlichen Überprüfung und womöglich einer weiteren „Schrems-Entscheidung“ unterzogen wird. Das Gericht der Europäischen Union (nicht zu verwechseln mit dem Europäischen Gerichtshof) hat in einer im September 2025 getroffenen Entscheidung die Zulässigkeit des Data Privacy Frameworks zunächst gebilligt. Es besteht jedoch immer noch die Möglichkeit, dass der EuGH diese Entscheidung in der nächsten Instanz aufhebt. 

Für Verantwortliche bedeutet dies: 
Internationale Datentransfers bleiben ein dynamisches und risikobehaftetes Themenfeld, das kontinuierlich beobachtet und dokumentiert werden muss. 

8. Fazit: Strategische Umsetzung für Unternehmen und DSBs 

Datenschutzbeauftragte und juristisch Verantwortliche sollten internationale Datentransfers nicht als rein technische Frage, sondern als strategische Compliance-Aufgabe begreifen. 
Empfehlenswert ist eine strukturierte Vorgehensweise: 

  1. Kartierung aller Datenflüsse außerhalb der EU, 
  1. Prüfung des Empfängerlandes auf Angemessenheitsbeschluss, 
  1. Vertragliche Absicherung mittels SCCs oder BCRs, 
  1. Durchführung eines Transfer Impact Assessments, 
  1. Dokumentation der Entscheidungen zur Nachweisführung gegenüber der Aufsichtsbehörde. 

So lässt sich das Risiko unzulässiger Datenübermittlungen minimieren und die internationale Zusammenarbeit datenschutzkonform gestalten. 

Unser Tipp: 

Gerade die Auswahl der einschlägigen SCCs oder die Durchführung von Datentransferfolgeabschätzungen kann aufgrund der Unübersichtlichkeit der Regelungen für viele Verantwortliche und Datenschutzbeauftragte schnell zu einer fast unlösbaren Aufgabe werden. Mit PLANIT // Prima können Sie anhand vorgefertigter Checklisten Folgeabschätzungen durchführen und die richtigen Vertragsklauseln generieren.  Jetzt Beratungsgespräch vereinbaren!

Weitere Beiträge

Datentransfer-Folgenabschätzung (Transfer Impact Assessment) nach der DSGVO 

Internationale Datentransfers gehören längst zum operativen Alltag nahezu jedes Unternehmens: Cloud-Services, konzerninterne Systeme, Support-Dienstleistungen

Datenübermittlung in die USA und andere Drittländer

Die Übermittlung personenbezogener Daten in sogenannte „Drittländer“, also Staaten außerhalb der Europäischen Union (EU)

Die juristische Zeitenwende: Wie Jurist:innen 2026 arbeiten und warum KI dabei Ihr wichtigster Partner ist 

Der Rechtsmarkt steht nicht mehr vor einer digitalen Transformation. War 2024 noch das Jahr

Wer darf Datenschutzbeauftragter werden? – Anforderungen nach Art. 37 Abs. 5 DSGVO  

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet viele Unternehmen und Behörden zur Benennung eines Datenschutzbeauftragten (DSB). Doch

Datenschutz im Bewerbungsverfahren 

Informationspflichten, Löschkonzept, Betroffenenrechte und aktuelle Rechtsprechung des BAG Das Bewerbungsverfahren ist ein sensibler Schnittpunkt

Datenschutz und IT-Sicherheit in der Praxis: Der Mensch als zentrales Risiko 

Der wichtigste – und oft größte – Schwachpunkt in der IT-Sicherheit und im Datenschutz

Datenschutz bei Fotoaufnahmen: So navigieren Unternehmen sicher durch die rechtlichen Stolperfallen von DSGVO und Recht am eigenen Bild 

Fotos sind aus der modernen Unternehmenskommunikation, dem unverzichtbaren Employer Branding und einer professionellen Außendarstellung nicht mehr

Der Digitale Omnibus: Was Geschäftsführer und Datenschützer jetzt über die EU-Gesetzesreform wissen müssen 

Das europäische Digitalrecht ist seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in stetigem Wandel. Mit

Datenschutzsoftware wechseln – Visualisierung des Umstiegs von einer alten zu einer modernen Datenschutzlösung

Datenschutzsoftware wechseln – so gelingt der Umstieg ohne Chaos

Viele Unternehmen merken irgendwann: Die aktuelle Datenschutzsoftware passt nicht mehr. Prozesse sind unübersichtlich, Funktionen

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024