5 Drittland-Risiken nach Schrems II und wie du sie absicherst
Übermittlungen in Drittländer (außerhalb EU/EWR) brauchen nach Art. 44 ff. DSGVO eine besondere Rechtsgrundlage: Angemessenheitsbeschluss (Art. 45), geeignete Garantien wie Standardvertragsklauseln/SCC (Art. 46) oder Ausnahmen für besondere Fälle (Art. 49). Für die USA existiert seit Juli 2023 das EU-US Data Privacy Framework (Angemessenheitsbeschluss für DPF-zertifizierte Unternehmen). Schrems II erzwingt zusätzlich ein Transfer Impact Assessment (TIA). Risiko bleibt: DPF könnte ähnlich wie Privacy Shield gekippt werden. Keine Rechtsberatung.
Drittländer sind alle Staaten außerhalb von EU und EWR. Daten dürfen nur dorthin übermittelt werden, wenn ein angemessenes Schutzniveau besteht, sei es durch Kommissionsbeschluss, SCC, BCR oder eine eng auszulegende Ausnahme.
Fünf typische Konstellationen, in denen sich KMU oft verfangen, mit klaren Absicherungs-Optionen.
US-SaaS-Tools ohne DPF-Zertifizierung
Risiko: SaaS-Anbieter sitzt in den USA, ist aber nicht im EU-US Data Privacy Framework gelistet. Absicherung: Standardvertragsklauseln (SCC, 2021er-Version) PLUS Transfer Impact Assessment (TIA) PLUS ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung). Prüfen unter dataprivacyframework.gov, ob der Anbieter zertifiziert ist.
Konzern-Mutter in den USA mit Datenzugriff
Risiko: Globaler HR-Datenpool oder zentrales CRM, auf das US-Kollegen zugreifen. Auch der Lese-Zugriff zählt als Übermittlung. Absicherung: Binding Corporate Rules (BCR, Art. 47) für Konzerne, aufwendig (Genehmigung Aufsichtsbehörde), aber rechtssicher und konzernweit gültig. Alternative: SCC zwischen den Konzern-Töchtern + TIA.
Hosting bei US-Cloud mit EU-Region
Risiko: AWS/Azure/GCP in der EU-Region. Daten liegen physisch in Frankfurt oder Dublin, aber US-Mutterkonzern könnte unter US CLOUD Act Zugriff verlangen. Absicherung: DPF-Zertifizierung der US-Konzernmutter prüfen; eigene Verschlüsselung mit eigenem Schlüssel (BYOK/HYOK); europäische Anbieter (OVH, Hetzner, IONOS, T-Systems) für besonders sensible Workloads.
Drittländer ohne Angemessenheitsbeschluss
Risiko: Auftragsverarbeiter in Indien, Philippinen, China, kein Angemessenheitsbeschluss vorhanden. Absicherung: SCC + TIA verpflichtend; in vielen Fällen sind ergänzende technische Maßnahmen (starke Verschlüsselung, Pseudonymisierung) nötig, weil Zugriffsbefugnisse staatlicher Stellen weit gehen. China ist besonders kritisch, die Aufsichtsbehörden raten zu äußerster Vorsicht.
Punktuelle Ausnahmen · Art. 49 als Notausgang
Risiko: Eine einmalige Hotelbuchung, ein Visa-Antrag, ein Vertragsabschluss mit Drittland-Partner. Absicherung: Art. 49 DSGVO erlaubt Übermittlung in spezifischen Fällen, ausdrückliche Einwilligung mit Hinweis auf Risiken, Vertragserfüllung im Interesse des Betroffenen, wichtige Gründe öffentlichen Interesses. WICHTIG: Art. 49 ist eng auszulegen und NICHT für regelmäßige Übermittlungen geeignet.
Fazit
Transfer Impact Assessment (TIA)
Nach Schrems II ist ein TIA Pflicht, wenn auf SCC gestützt wird. Schritte: (1) Empfänger und Datenfluss präzise beschreiben, (2) Rechtslage im Drittland prüfen. Zugriffsbefugnisse staatlicher Stellen, Rechtsbehelfe, (3) ergänzende Maßnahmen identifizieren, (4) Risiko bewerten, (5) Entscheidung dokumentieren. Vorlagen vom EDSA (Empfehlungen 01/2020) und vom BayLDA verfügbar.
EU-US Data Privacy Framework · Status
Seit 10. Juli 2023 gilt der Angemessenheitsbeschluss für DPF-zertifizierte US-Unternehmen. Vorteil: kein SCC, kein TIA nötig. Risiko: Max Schrems klagt erneut (Schrems III). Bis zur EuGH-Entscheidung gilt das DPF, danach möglicherweise wieder Rückkehr zu SCC. Empfehlung: technische Maßnahmen so wählen, dass sie auch ohne DPF tragen.
FAQs
Fachkraft für Datenschutz und -sicherheit (IHK)
Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.
Kostenlos testenthekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))