Vermeintlich sicher – Warum viele Datentransfers ungewollt ins Drittland führen.

Wer die Risiken mittelbarer Übermittlungen unterschätzt, öffnet Bußgeldern und Reputationsverlust die Tür – wir zeigen, worauf Sie jetzt achten müssen.

(Un)mittelbar auf die Reise ins Drittland – Internationale Datentransfers richtig einordnen

Wer mit personenbezogenen Daten arbeitet und arbeiten lässt, kommt heute kaum ohne internationalen Datentransfers aus. Doch wann liegt ein solcher eigentlich vor – und warum ist es wichtig, zwischen unmittelbaren und mittelbaren Transfers zu unterscheiden? In diesem Beitrag werfen wir einen praxisnahen Blick auf die jeweiligen rechtlichen Anforderungen und geben konkrete Tipps zur Bewertung.

Rechtsrahmen kurz erklärt: Was regelt die DSGVO zu Datentransfers ins Drittland?

Internationale Datentransfers sind in der DSGVO nicht verboten – sie sind jedoch an strenge Bedingungen geknüpft. Insbesondere die Artikel 44 bis 49 DSGVO regeln, unter welchen Voraussetzungen personenbezogene Daten in sogenannte „Drittländer“ (also Länder außerhalb der EU und des EWR) übermittelt werden dürfen.

Dabei kommt es darauf an, ob im Zielland ein angemessenes Schutzniveau für personenbezogene Daten besteht – sicher davon ausgehen können Verantwortliche, wenn ein gültiger Angemessenheitsbeschluss der EU-Kommission besteht, so etwa für Japan, Neuseeland und die Schweiz. Andernfalls muss der Verantwortliche tiefgreifender prüfen und von geeigneten Garantien wie Standardvertragsklauseln (SCCs) gebrauch machen. Diese sollen vor allem sicherstellen, dass Betroffene trotz Drittlandtransfer ihre Rechte aus der DSGVO durch wirksame Rechtsbehelfe durchsetzen können.

Doch der Begriff „Übermittlung“ ist genauer zu differenzieren, als es auf den ersten Blick scheint.

Missverständnisse in der Praxis: „Wir übertragen doch gar nichts ins Ausland!“

Viele Unternehmen gehen davon aus, dass kein internationaler Datentransfer vorliegt, wenn doch alle Server in der EU stehen, der Vertragspartner seinen Sitz nicht in einem Drittland hat oder ohnehin keine offensichtliche Datenübertragung erfolgt.

Doch das greift zu kurz. Denn auch ein bloßer Zugriff auf personenbezogene Daten – etwa durch Supportpersonal eines Konzerns, welches in den USA sitzt – kann einen Datentransfer ins Drittland darstellen. Die DSGVO berücksichtigt ausdrücklich auch solche Konstellationen.

Davon abzugrenzen wiederum sind jedoch erzwungene Zugriffe, etwa im Rahmen des US-CLOUD Act. Diese sind zwar im Rahmen der Auswahl von möglichen Dienstleistern ebenfalls zu beachten, aber stellen keinen Drittlandtransfer dar. Die Art. 44 ff DSGVO meinen explizit nur Verarbeitungen, die der Verantwortliche auch anweist.

Ein praktisches Beispiel: Ein deutsches Unternehmen setzt für sein Personalmanagement die HR-Software eines europäischen Anbieters ein. Dieser Dienstleister nutzt einen Unterauftragnehmer mit Sitz in den USA, der Remote-Zugriff auf ein europäisches System hat. Auch wenn die Daten nicht „physisch“ das Land verlassen, liegt in diesem Fall ein Drittlandtransfer vor – mit allen rechtlichen Konsequenzen. Aus Sicht des deutschen Unternehmens handelt es sich außerdem um einen mittelbaren Datentransfer.

Unmittelbar oder mittelbar – wo liegt der Unterschied?

Neben den Art. 44 ff DSGVO macht auch der europäische Datenschutzausschuss (EDSA) Vorgaben zum Umgang mit der Übermittlung in Drittländer: In der EDSA Leitlinie 5/2021 werden die verschiedenen möglichen Konstellationen zunächst genauer systematisiert. Für die Zuordnung verschiedener Aufgaben und Pflichten kommt es dabei darauf an, wer dem sog. Datenimporteur im Drittland die personenbezogenen Daten übermittelt oder zugänglich macht. Der Datenexporteur sitzt selbst immer in der EU oder im EWR, und kann dabei selbst Verantwortlicher oder auch nur Auftragsverarbeiter sein.

Unmittelbarer Datentransfer: Daten werden direkt vom Verantwortlichen an eine Stelle außerhalb des EWR übermittelt, z. B. an einen Dienstleister in der Schweiz. Der Verantwortliche ist gleichzeitig auch Datenexporteur.

Mittelbarer Datentransfer: Ein Zugriff erfolgt aus Perspektive des Verantwortlichen indirekt, durch eine Kette an Subdienstleistern mit Drittlandbezug. Der Verantwortliche ist nicht auch gleichzeitig Datenexporteur, sondern sein (Sub-)Dienstleister.

Beide Formen sind als internationale Übermittlungen einzuordnen, jedoch ergeben sich für Verantwortliche jeweils abweichende Pflichten.

Im Falle eines unmittelbaren Datentransfers ist der Verantwortliche selbst der Datenexporteur und damit auch unmittelbarer Adressat der Art. 44 ff DSGVO. Die Prüfung, ob ein Angemessenheitsbeschluss vorliegt oder anderweitige geeignete Garantien vorliegen obliegt allein ihm. Die Durchführung eines sogenannten Transfer Impact Assessment (TIA) gem. § 14 der SCC ist ebenfalls Pflicht des Datenexporteur. Agiert der Datenexporteur außerdem als Dienstleister für andere verantwortliche Stellen sind möglicherweise bestehende vertragliche Einschränkungen der Drittlandtransfers aus Auftragsverarbeitungsvereinbarungen vorab zu beachten.

Findet eine mittelbare Übermittlung statt, so ist der Verantwortliche üblicherweise der Auftraggeber des Datenexporteurs. Auch wenn die meisten Pflichten direkt den Datenexporteur treffen, hat der Verantwortliche bei der Auswahl seiner Dienstleister die Kontroll- und Auswahlverantwortung. Dies betrifft auch die geplanten Drittlandtransfers von Auftragsverarbeitern und deren Subdienstleistern. Auch vertraglich erlaubte Übermittlungen im Auftrag sind auch im Rahmen der Risikobetrachtung gem. Art. 32 DSGVO zu bedenken.

Checkliste: So erkennen Sie internationale Transfers in Ihrer Verarbeitung

Nutzen Sie folgende Fragen zur Prüfung:

Haben Ihre (Sub-)Dienstleister oder deren Muttergesellschaften ihren Sitz außerhalb der EU und des EWRs?

Können Mitarbeitende aus Drittländern auf Systeme zugreifen (z. B. IT-Support, Fernwartung, Mitarbeitende einer Muttergesellschaft)?

Werden Daten an Cloud-Dienste übermittelt, deren Infrastruktur physisch außerhalb der EU/ des EWRs verortet ist?

Enthalten Ihre Verträge wo nötig Standardvertragsklauseln (SCCs)? Wurden diese korrekt implementiert?

Wurde ggf. ein Transfer Impact Assessment (TIA) durchgeführt, welches mögliche Risiken im Drittland bewertet?

Solche Fragen helfen Ihnen dabei, potenzielle mittelbare Übermittlungen zu erkennen – auch wenn diese zunächst unsichtbar bleiben.

Fazit: Transparenz schaffen, Risiken bewerten, Maßnahmen dokumentieren

Internationale Datentransfers gehören zur Realität moderner Datenverarbeitung – egal ob unmittelbar oder mittelbar. Entscheidend ist, dass Verantwortliche und Auftragsverarbeiter nicht nur die technische Übertragung, sondern auch Zugriffsrechte und Verarbeitungsstrukturen prüfen. Besonders in langen AVV-Ketten mit vielen Subdienstleistern stecken oft unentdeckte mittelbare Drittlandübermittlungen, für die der Verantwortliche jedoch zumindest kontrollverantwortlich ist.

Wer sich auf den Standpunkt „Wir übertragen nichts“ verlässt, ohne tiefer hinzuschauen, läuft Gefahr, gegen die DSGVO zu verstoßen – mit potenziellen Bußgeldern und Reputationsschäden.

Unser Tipp: Erstellen Sie ein systematisches Verzeichnis aller Verarbeitungstätigkeiten, identifizieren Sie Drittlandbezüge und dokumentieren Sie Ihre Bewertungen inkl. getroffener Maßnahmen (z. B. SCCs, Verschlüsselung, TIA). Nur so schaffen Sie die nötige Rechtssicherheit – unabhängig davon, ob Sie selbst personenbezogene Daten auf die „Reise ins Drittland“ schicken oder nicht.

zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.