Datenschutz & IT-Sicherheit

5 Drittland-Risiken nach Schrems II und wie du sie absicherst

Zuletzt aktualisiert:
In einem Satz

Übermittlungen in Drittländer (außerhalb EU/EWR) brauchen nach Art. 44 ff. DSGVO eine besondere Rechtsgrundlage: Angemessenheitsbeschluss (Art. 45), geeignete Garantien wie Standardvertragsklauseln/SCC (Art. 46) oder Ausnahmen für besondere Fälle (Art. 49). Für die USA existiert seit Juli 2023 das EU-US Data Privacy Framework (Angemessenheitsbeschluss für DPF-zertifizierte Unternehmen). Schrems II erzwingt zusätzlich ein Transfer Impact Assessment (TIA). Risiko bleibt: DPF könnte ähnlich wie Privacy Shield gekippt werden. Keine Rechtsberatung.

Drittländer sind alle Staaten außerhalb von EU und EWR. Daten dürfen nur dorthin übermittelt werden, wenn ein angemessenes Schutzniveau besteht, sei es durch Kommissionsbeschluss, SCC, BCR oder eine eng auszulegende Ausnahme.

Fünf typische Konstellationen, in denen sich KMU oft verfangen, mit klaren Absicherungs-Optionen.

1

US-SaaS-Tools ohne DPF-Zertifizierung

Risiko: SaaS-Anbieter sitzt in den USA, ist aber nicht im EU-US Data Privacy Framework gelistet. Absicherung: Standardvertragsklauseln (SCC, 2021er-Version) PLUS Transfer Impact Assessment (TIA) PLUS ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung). Prüfen unter dataprivacyframework.gov, ob der Anbieter zertifiziert ist.

2

Konzern-Mutter in den USA mit Datenzugriff

Risiko: Globaler HR-Datenpool oder zentrales CRM, auf das US-Kollegen zugreifen. Auch der Lese-Zugriff zählt als Übermittlung. Absicherung: Binding Corporate Rules (BCR, Art. 47) für Konzerne, aufwendig (Genehmigung Aufsichtsbehörde), aber rechtssicher und konzernweit gültig. Alternative: SCC zwischen den Konzern-Töchtern + TIA.

3

Hosting bei US-Cloud mit EU-Region

Risiko: AWS/Azure/GCP in der EU-Region. Daten liegen physisch in Frankfurt oder Dublin, aber US-Mutterkonzern könnte unter US CLOUD Act Zugriff verlangen. Absicherung: DPF-Zertifizierung der US-Konzernmutter prüfen; eigene Verschlüsselung mit eigenem Schlüssel (BYOK/HYOK); europäische Anbieter (OVH, Hetzner, IONOS, T-Systems) für besonders sensible Workloads.

4

Drittländer ohne Angemessenheitsbeschluss

Risiko: Auftragsverarbeiter in Indien, Philippinen, China, kein Angemessenheitsbeschluss vorhanden. Absicherung: SCC + TIA verpflichtend; in vielen Fällen sind ergänzende technische Maßnahmen (starke Verschlüsselung, Pseudonymisierung) nötig, weil Zugriffsbefugnisse staatlicher Stellen weit gehen. China ist besonders kritisch, die Aufsichtsbehörden raten zu äußerster Vorsicht.

5

Punktuelle Ausnahmen · Art. 49 als Notausgang

Risiko: Eine einmalige Hotelbuchung, ein Visa-Antrag, ein Vertragsabschluss mit Drittland-Partner. Absicherung: Art. 49 DSGVO erlaubt Übermittlung in spezifischen Fällen, ausdrückliche Einwilligung mit Hinweis auf Risiken, Vertragserfüllung im Interesse des Betroffenen, wichtige Gründe öffentlichen Interesses. WICHTIG: Art. 49 ist eng auszulegen und NICHT für regelmäßige Übermittlungen geeignet.

Fazit

Transfer Impact Assessment (TIA)

Nach Schrems II ist ein TIA Pflicht, wenn auf SCC gestützt wird. Schritte: (1) Empfänger und Datenfluss präzise beschreiben, (2) Rechtslage im Drittland prüfen. Zugriffsbefugnisse staatlicher Stellen, Rechtsbehelfe, (3) ergänzende Maßnahmen identifizieren, (4) Risiko bewerten, (5) Entscheidung dokumentieren. Vorlagen vom EDSA (Empfehlungen 01/2020) und vom BayLDA verfügbar.

EU-US Data Privacy Framework · Status

Seit 10. Juli 2023 gilt der Angemessenheitsbeschluss für DPF-zertifizierte US-Unternehmen. Vorteil: kein SCC, kein TIA nötig. Risiko: Max Schrems klagt erneut (Schrems III). Bis zur EuGH-Entscheidung gilt das DPF, danach möglicherweise wieder Rückkehr zu SCC. Empfehlung: technische Maßnahmen so wählen, dass sie auch ohne DPF tragen.

FAQs

Welche Drittländer haben einen Angemessenheitsbeschluss?
Die EU-Kommission hat bislang Angemessenheitsbeschlüsse für rund 15 Länder/Frameworks erlassen. Aktualisierte Liste auf der Website der Europäischen Kommission. Für diese Länder ist keine zusätzliche Garantie nötig, übermittelt werden darf wie innerhalb der EU.
Reicht ein SCC ohne TIA aus?
Verantwortliche müssen prüfen, ob die SCC im Drittland faktisch eingehalten werden können. Wenn nicht, sind ergänzende Maßnahmen (technisch, vertraglich, organisatorisch) nötig oder die Übermittlung darf nicht stattfinden. Diese Prüfung = TIA.
Was passiert, wenn das DPF gekippt wird?
Privacy Shield wurde 2020 gekippt. Übergangsfristen waren extrem kurz. Aufsichtsbehörden empfehlen daher, parallel zur DPF-Nutzung SCC-Verträge in der Schublade zu haben und Verschlüsselungs-Strategien so zu wählen, dass sie unabhängig vom Framework tragen.
Frameworks praktisch anwenden

Fachkraft für Datenschutz und -sicherheit (IHK)

Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.

Kostenlos testen
Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.