Datenschutz HubEinzelthemenDrittlandsübermittlung (Datenexport)

Konzerninterne Übermittlungen (Data Transfer Agreement)

Wie eine Unternehmensgruppe die vielen internen Datenübermittlungen mit einem einzigen Rahmenvertrag (Intra-Group Data Transfer Agreement) abbildet: Auftragsverarbeitung, gemeinsame Verantwortlichkeit, getrennte Verantwortliche und Drittlandsübermittlung über Standardvertragsklauseln, gesteuert durch eine Verteilerklausel und ein laufend gepflegtes Data Transfer Directory.

Als Markdown ansehen

In einer Unternehmensgruppe fließen ständig personenbezogene Daten zwischen den Gesellschaften: über Matrixstrukturen, Shared Services, zentrale IT-Systeme und konzernweite Funktionen. Jeder dieser Datenflüsse braucht je nach Rollenverteilung einen eigenen Vertrag, und ein Teil davon geht in unsichere Drittländer. Statt für jede Konstellation einen Einzelvertrag zu schließen, lässt sich dies mit einem einzigen Rahmenvertrag bündeln, dem Intra-Group Data Transfer Agreement.

Das Wichtigste in Kürze

  • Ein Rahmenvertrag bündelt alle innerhalb der Gruppe nötigen Verträge: Auftragsverarbeitung (Art. 28 DSGVO), gemeinsame Verantwortlichkeit (Art. 26 DSGVO), Übermittlung zwischen getrennten Verantwortlichen und Drittlandsübermittlung über Standardvertragsklauseln (Art. 46 DSGVO).
  • Eine Verteilerklausel legt fest, welcher Vertrag bei welcher Konstellation greift, abhängig von Rolle und Sitzland von Exporteur und Empfänger.
  • Ein Data Transfer Directory dokumentiert als laufend gepflegtes Verzeichnis für jeden Datentransfer die Pflichtangaben und füllt zugleich die Anhänge der eingebundenen Klauseln.
  • Beitritt und Austritt von Gesellschaften sowie Anpassungen laufen über vereinfachte Mechanismen, ohne den gesamten Vertrag neu zu schließen.
  • Nicht erfasst sind das Transfer Impact Assessment und die materielle Rechtmäßigkeitsprüfung; beide bleiben gesondert zu leisten.

1. Ausgangslage und Ziel

Ein Konzern besteht datenschutzrechtlich aus vielen selbständig Verantwortlichen. Zwischen ihnen bestehen zahlreiche, sich ändernde Übermittlungssachverhalte (neue Tools, Umstrukturierungen, Käufe und Verkäufe von Beteiligungen), für die je nach Rollenverteilung unterschiedliche Verträge erforderlich sind. Ziel des Rahmenvertrags ist es, die nach der DSGVO vorgeschriebenen Verträge für konzerninterne Übermittlungen einheitlich, flexibel und leicht anpassbar umzusetzen:

  • Auftragsverarbeitungsverträge nach Art. 28 DSGVO,
  • Standardvertragsklauseln für Übermittlungen in unsichere Drittländer nach Art. 44 ff. DSGVO,
  • Vereinbarungen zwischen gemeinsam Verantwortlichen nach Art. 26 DSGVO,
  • optional eine Vereinbarung zwischen getrennten Verantwortlichen innerhalb der EU, um eine Rechtsgrundlage für die Übermittlung (etwa das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO) abzusichern.

2. Vertragskonstrukt im Überblick

Der Rahmenvertrag besteht aus einem allgemeinen Teil, mehreren Anhängen mit Musterklauseln, einer Verteilerklausel und dem Data Transfer Directory.

Die Anhänge enthalten je einen Satz fertiger Klauseln. Die Verteilerklausel verweist abhängig von der Konstellation auf den passenden Anhang. Das Data Transfer Directory liefert die transferbezogenen Angaben, die sonst in den Anhängen der einzelnen Verträge auszufüllen wären.

3. Die Verteilerklausel

Die Verteilerklausel ordnet jeder Übermittlungskonstellation das anzuwendende Instrument zu. Maßgeblich sind die Rolle (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche) und das Sitzland (EU/EWR oder Drittland) von Datenexporteur und Datenempfänger.

ExporteurEmpfängerAnzuwendendes Instrument
Verantwortlicher (EU)Auftragsverarbeiter (EU)Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
gemeinsam Verantwortliche (EU)gemeinsam Verantwortliche (EU)Vereinbarung gemeinsam Verantwortlicher (Art. 26 DSGVO)
getrennter Verantwortlicher (EU)getrennter Verantwortlicher (EU)Vereinbarung getrennter Verantwortlicher (optional)
Verantwortlicher (EU)Verantwortlicher (Drittland)Standardvertragsklauseln Modul 1
Verantwortlicher (EU)Auftragsverarbeiter (Drittland)Standardvertragsklauseln Modul 2
Auftragsverarbeiter (EU)Unterauftragsverarbeiter (Drittland)Standardvertragsklauseln Modul 3
Auftragsverarbeiter (EU)Verantwortlicher (Drittland)Standardvertragsklauseln Modul 4

Die Zuordnung der Module entspricht der allgemeinen Modulstruktur der Standardvertragsklauseln.

4. Das Data Transfer Directory

Das Data Transfer Directory ist ein laufend gepflegtes Verzeichnis aller konzerninternen Übermittlungssachverhalte. Es enthält die Angaben, die sonst sachverhaltsbezogen in den Anhängen zu Auftragsverarbeitungsvertrag, Standardvertragsklauseln oder Vereinbarung gemeinsam Verantwortlicher anzugeben wären, und füllt diese Anhänge zugleich aus.

4.1 Pflichtangaben je Transfer

Je Übermittlungssachverhalt (etwa ein Prozess oder ein Tool) sind insbesondere zu erfassen:

  • welche Gesellschaft die Daten übermittelt und welche sie erhält,
  • die Rolle der übermittelnden und der empfangenden Gesellschaft (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche),
  • die Kategorien betroffener Personen und übermittelter Daten, einschließlich besonderer Datenkategorien,
  • Art und Zwecke der Verarbeitung,
  • Häufigkeit (einmalig oder laufend) und Speicherdauer oder deren Kriterien,
  • eingesetzte Unterauftragsverarbeiter sowie die technischen und organisatorischen Maßnahmen.

4.2 Form und Pflege

Das Directory kann elektronisch geführt werden, etwa in einem Datenschutzmanagement-Tool, und gegebenenfalls Teil des Verzeichnisses von Verarbeitungstätigkeiten sein. Die Pflege übernimmt zentral die Muttergesellschaft; die beteiligten Gesellschaften haben Einsicht. Typische Sachverhalte sind Matrixorganisation, HR- und CRM-Software, Intranet und Mitarbeiterverzeichnis, zentrale Kommunikations- und Projektwerkzeuge sowie Shared Services.

5. Drittlandsübermittlungen im Rahmenvertrag

Für Übermittlungen an einen Empfänger außerhalb von EU/EWR bindet der Rahmenvertrag die Standardvertragsklauseln ein. Praktisch geschieht dies über folgende Festlegungen:

  • Einbindung durch Bezugnahme. Die Standardvertragsklauseln werden durch Verweis in den Rahmenvertrag einbezogen und mit dessen Inkrafttreten als zwischen den betroffenen Parteien geschlossen behandelt, ohne den Text vollständig wiederzugeben.
  • Anhänge aus den Schedules. Die Parteiliste und die Beschreibung der Übermittlung aus dem Directory dienen als die entsprechenden Anhänge der Klauseln; die Sicherheitsmaßnahmen bilden den Maßnahmen-Anhang.
  • Optionale Klauseln. Üblich ist die Wahl der Docking-Klausel (Beitritt weiterer Parteien) sowie für die Module 2 und 3 die allgemeine schriftliche Genehmigung von Unterauftragsverarbeitern mit einer Vorabinformationsfrist (etwa 30 Tage).
  • Aufsichtsbehörde, Rechtswahl und Gerichtsstand werden einheitlich festgelegt.
  • Fortbestehensklausel. Werden die Standardvertragsklauseln geändert, ersetzt oder für unwirksam erklärt, verpflichten sich die Parteien, in gutem Glauben auf eine aktualisierte Fassung oder ein anderes geeignetes Übermittlungsinstrument umzustellen.
  • Länderspezifische Anpassungen. Für Empfänger, die zusätzlichem nationalem Recht unterliegen (etwa das britische Recht), kommt ein ergänzendes Addendum hinzu.

6. Mechanik des Rahmenvertrags

Damit der Rahmenvertrag mit der Gruppe mitwächst, enthält er einige Verfahrensregeln:

  • Beitritt und Austritt. Neue Gesellschaften treten über eine Beitrittserklärung bei; austretende Gesellschaften scheiden aus, bleiben aber für bis dahin entstandene Pflichten verantwortlich.
  • Vereinfachte Anpassung. Die Muttergesellschaft kann den Vertrag unter engen Voraussetzungen einseitig anpassen (etwa bei neuen Standardvertragsklauseln), mit Vorabinformation und einem Widerspruchsrecht der betroffenen Gesellschaften innerhalb einer Frist (etwa sechs Wochen).
  • Abschlussform. Der elektronische Vertragsschluss genügt; die Gesellschaften senden ein unterzeichnetes Exemplar an die Muttergesellschaft oder nutzen ein E-Signing-Verfahren.
  • Laufzeit und Kündigung sowie Fallback-Regelungen für technische und organisatorische Maßnahmen und Löschfristen runden den Rahmen ab.

7. Grenzen des Rahmenvertrags

Der Rahmenvertrag stellt die vertraglichen Garantien bereit, ersetzt aber nicht die übrigen Pflichten. Außerhalb seines Anwendungsbereichs bleiben insbesondere:

  • das Transfer Impact Assessment für jede Drittlandsübermittlung, das gesondert durchzuführen ist,
  • die materielle Rechtmäßigkeitsprüfung jeder Übermittlung (Rechtsgrundlage nach Art. 6 DSGVO, Zweckbindung, Speicherfristen, Transparenz, Betriebsvereinbarungen),
  • die Berücksichtigung lokaler Datenschutzgesetze außerhalb des eigenen Sitzstaats.

Binding Corporate Rules sind eine repräsentative, aber aufwendige Alternative für konzerninterne Drittlandsübermittlungen. Ein gruppeninterner Rahmenvertrag auf Basis der Standardvertragsklauseln erreicht dasselbe Ergebnis mit geringerem Aufwand (siehe Binding Corporate Rules).

Standardvertragsklauseln und Transfer Impact Assessment

Module, Abschluss und das verpflichtende Transfer Impact Assessment.

Verzeichnis von Verarbeitungstätigkeiten

Dokumentationspflicht nach Art. 30 DSGVO, in die sich das Data Transfer Directory einfügt.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Binding Corporate Rules (BCR)

Binding Corporate Rules als geeignete Garantie für konzerninterne Drittlandsübermittlungen nach Art. 47 DSGVO: verbindliche interne Datenschutzregeln, Anwendungsbereich, Genehmigung durch die Aufsichtsbehörde, Mindestinhalte und Haftung sowie das Verhältnis zur Schrems-II-Rechtsprechung. Unterscheidung von Controller- und Processor-BCR, Reichweite und Grenzen.

Automatisierte Einzelentscheidung (Art. 22 DSGVO)

Grundsätzliches Verbot, Tatbestand und Ausnahmen der automatisierten Einzelentscheidung nach Art. 22 DSGVO: ausschließliche Automatisierung, Profiling und Scoring, Schutzmaßnahmen nach Abs. 3, sensible Daten und das Verhältnis zur KI-VO.

Auf dieser Seite

1. Ausgangslage und Ziel2. Vertragskonstrukt im Überblick3. Die Verteilerklausel4. Das Data Transfer Directory4.1 Pflichtangaben je Transfer4.2 Form und Pflege5. Drittlandsübermittlungen im Rahmenvertrag6. Mechanik des Rahmenvertrags7. Grenzen des Rahmenvertrags