Drittlandsübermittlung (Datenexport)
Wann personenbezogene Daten in ein Drittland übermittelt werden, welches Prüfschema gilt und welche Instrumente ein angemessenes Schutzniveau herstellen. Überblick zu Kapitel 5 der DSGVO (Art. 44 bis 49 DSGVO) mit Ausnahmen, Standardvertragsklauseln, Data Privacy Framework und Binding Corporate Rules.
Werden personenbezogene Daten in ein Land außerhalb der EU und des Europäischen Wirtschaftsraums übermittelt, gelten zusätzliche Anforderungen (Kapitel 5 der DSGVO, Art. 44 bis 49 DSGVO). Hintergrund ist, dass das Schutzniveau der DSGVO auch dann gewahrt bleiben muss, wenn die Daten den unmittelbaren Geltungsbereich des EU-Rechts verlassen. Diese Seite klärt, wann überhaupt ein Datenexport vorliegt, und führt durch das Prüfschema. Die einzelnen Instrumente behandeln die Unterseiten.
Das Wichtigste in Kürze
- Ein Datenexport liegt bereits vor, wenn ein Empfänger in einem Drittland auf die Daten zugreifen kann; auf den physischen Speicherort kommt es nicht an (Art. 44 DSGVO).
- Erste Frage: Geht die Übermittlung in ein unsicheres Drittland (kein Angemessenheitsbeschluss der EU-Kommission)? Innerhalb von EU/EWR und in sichere Drittländer gelten keine Sonderanforderungen.
- Greift keine Ausnahme nach Art. 49 DSGVO, muss ein angemessenes Schutzniveau über geeignete Garantien hergestellt werden: in der Praxis Data Privacy Framework (nur USA), EU-Standardvertragsklauseln mit Transfer Impact Assessment oder Binding Corporate Rules (nur konzernintern).
- Die geeigneten Garantien ersetzen nicht die Rechtsgrundlage nach Art. 6 DSGVO; beide müssen vorliegen.
- Jeder Datenexport ist im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren (Art. 30 DSGVO) und in den Datenschutzhinweisen transparent zu machen (Art. 13 Abs. 1 lit. f DSGVO).
1. Wann liegt ein Datenexport vor
Drei Voraussetzungen müssen zusammenkommen, damit die Sonderregeln des Kapitels 5 greifen: Es werden (1.) personenbezogene Daten (2.) an einen Empfänger in einem unsicheren Drittland (3.) übermittelt. Liegt eine dieser Voraussetzungen nicht vor, ist die Übermittlung wie eine Übermittlung innerhalb Deutschlands zu behandeln.
1.1 Übermittlung: Zugriffsmöglichkeit genügt
Für eine Übermittlung reicht es aus, dass ein Empfänger im Drittland auf die personenbezogenen Daten zugreift oder zugreifen kann. Ein tatsächlicher Zugriff ist nicht erforderlich. Erfasst sind damit insbesondere die Versendung per Post oder E-Mail-Anhang, das Einräumen von Zugriffsrechten und der Betrieb von Servern, auf denen die Daten liegen.
Der Speicherort der Daten ist kein maßgebliches Kriterium. Eine Übermittlung findet rechtlich auch dann statt, wenn die Daten physisch auf Rechnern in der EU gespeichert sind, ein Unternehmen im Drittland aber darauf zugreifen kann, oder wenn der Vertragspartner ein Unternehmen im Drittland ist.
Eine Übermittlung liegt auch dann vor, wenn nicht das Unternehmen selbst die Daten in das Drittland gibt, sondern dies durch einen Auftragsverarbeiter in der EU geschieht, der seinerseits einen Unterauftragsverarbeiter im Drittland einsetzt. Diese Übermittlung wird dem Verantwortlichen zugerechnet; er bleibt verantwortlich und muss die Anforderungen des Kapitels 5 sicherstellen.
Auch konzerninterne Zugriffe sind Übermittlungen: Erhalten Konzerngesellschaften außerhalb der EU/EWR Zugriff auf personenbezogene Daten (etwa auf zentrale HR- oder CRM-Systeme), liegt eine Drittlandsübermittlung vor. Kein Konzernprivileg.
Keine Übermittlung liegt dagegen vor, wenn der Zugriff innerhalb derselben juristischen Person erfolgt. Greifen andere Abteilungen desselben Unternehmens auf die Daten zu, oder ruft ein Beschäftigter die Daten auf einer Dienstreise in einem Drittland ab, fehlt es an einer Weitergabe an einen anderen Empfänger. Maßgeblich ist die Grenze der juristischen Person, nicht der Aufenthaltsort.
1.2 Drittland und unsicheres Drittland
Ein Drittland ist jedes Land außerhalb der EU und des Europäischen Wirtschaftsraums. Zum EWR gehören neben den EU-Staaten Island, Norwegen und Liechtenstein; Übermittlungen dorthin sind wie Inlandsübermittlungen zu behandeln.
Innerhalb der Drittländer ist weiter zu unterscheiden:
- Sicheres Drittland: Für das Land besteht ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO. Die EU-Kommission hat festgestellt, dass das Land ein angemessenes Schutzniveau gewährleistet. Die Übermittlung ist dann wie eine Inlandsübermittlung zu behandeln; zusätzliche Garantien sind nicht erforderlich.
- Unsicheres Drittland: Für das Land besteht kein Angemessenheitsbeschluss. Hier greifen die Sonderanforderungen des Kapitels 5. Unsichere Drittländer sind zum Beispiel China, Russland, Indien und Mexiko.
Die folgende Übersicht zeigt die Länder mit Angemessenheitsbeschluss. Der Stand kann sich ändern; maßgeblich ist die jeweils aktuelle Liste der EU-Kommission.
| Sicheres Drittland | Hinweis |
|---|---|
| Vereinigtes Königreich | seit Juli 2021 |
| Südkorea | seit Dezember 2021 |
| Schweiz, Kanada, Israel, Japan, Neuseeland, Argentinien, Uruguay, Andorra, Färöer-Inseln, Guernsey, Isle of Man, Jersey | Angemessenheitsbeschluss |
| USA | nur für nach dem Data Privacy Framework zertifizierte Empfänger |
Die USA sind damit ein Sonderfall: Sie sind nicht generell ein sicheres Drittland. Ein Angemessenheitsbeschluss besteht nur für Empfänger, die nach dem EU-US Data Privacy Framework zertifiziert sind. Übermittlungen an nicht zertifizierte US-Empfänger bleiben Übermittlungen in ein unsicheres Drittland.
1.3 Personenbezogene Daten
Erfasst sind alle Informationen, die sich einer natürlichen Person zuordnen lassen. Dazu gehören schon einfache Angaben wie Name, Funktion, geschäftliche E-Mail-Adresse oder Kontaktdaten von Mitarbeitern, Kunden oder Geschäftspartnern, ebenso Zugangsdaten sowie E-Mail- und Chat-Inhalte.
Auch pseudonymisierte oder verschlüsselte Daten bleiben personenbezogen, solange ein Personenbezug wiederhergestellt werden kann. Die Sonderregeln des Kapitels 5 gelten daher auch für sie. Die Pseudonymisierung oder Verschlüsselung kann aber im Rahmen des Transfer Impact Assessments als Schutzmaßnahme berücksichtigt werden.
2. Das Prüfschema
Steht fest, dass personenbezogene Daten in ein unsicheres Drittland übermittelt werden, wird in drei Stufen geprüft, ob und wie die Übermittlung zulässig ist.
- Stufe 1: Liegt eine Übermittlung in ein unsicheres Drittland vor? Geht die Übermittlung in die EU, den EWR oder ein sicheres Drittland, gelten keine Sonderanforderungen (siehe Abschnitt 1).
- Stufe 2: Greift eine Ausnahme nach Art. 49 DSGVO? Die Ausnahmen sind eng auszulegen und rechtfertigen meist nur gelegentliche Übermittlungen. Einzelheiten auf der Unterseite Ausnahmen nach Art. 49 DSGVO.
- Stufe 3: Wie wird ein angemessenes Schutzniveau hergestellt? Greift keine Ausnahme, sind geeignete Garantien nach Art. 46 DSGVO erforderlich. In der Praxis kommen drei Instrumente in Betracht: das Data Privacy Framework (nur für zertifizierte US-Empfänger), die EU-Standardvertragsklauseln mit einem Transfer Impact Assessment oder, ausschließlich für konzerninterne Übermittlungen, Binding Corporate Rules.
3. Die geeigneten Garantien nach Art. 46 im Überblick
Greift weder ein Angemessenheitsbeschluss noch eine Ausnahme, muss das angemessene Schutzniveau über eine geeignete Garantie nach Art. 46 DSGVO hergestellt werden. Die DSGVO sieht dafür mehrere Instrumente vor. Sie teilen sich in genehmigungsfreie und genehmigungspflichtige Garantien.
Genehmigungsfrei (Art. 46 Abs. 2 DSGVO), das heißt ohne gesonderte Genehmigung der Aufsichtsbehörde nutzbar:
- rechtlich bindende und durchsetzbare Dokumente zwischen Behörden oder öffentlichen Stellen (lit. a),
- Binding Corporate Rules nach Art. 47 DSGVO (lit. b),
- von der EU-Kommission erlassene Standardvertragsklauseln (lit. c),
- von einer Aufsichtsbehörde angenommene und von der Kommission genehmigte Standarddatenschutzklauseln (lit. d),
- genehmigte Verhaltensregeln nach Art. 40 DSGVO mit verbindlichen Verpflichtungen des Empfängers (lit. e),
- ein genehmigter Zertifizierungsmechanismus nach Art. 42 DSGVO mit verbindlichen Verpflichtungen des Empfängers (lit. f).
Genehmigungspflichtig (Art. 46 Abs. 3 DSGVO), das heißt nur mit vorheriger Genehmigung der Aufsichtsbehörde nutzbar: individuell ausgehandelte Vertragsklauseln zwischen Exporteur und Importeur sowie Bestimmungen in Verwaltungsvereinbarungen zwischen Behörden. Wegen des hohen Prüfaufwands spielen diese in der Praxis kaum eine Rolle.
In der Unternehmenspraxis tragen drei Instrumente die Last: das Data Privacy Framework (nur zertifizierte US-Empfänger), die EU-Standardvertragsklauseln und, ausschließlich konzernintern, Binding Corporate Rules. Diese behandeln die Unterseiten.
Angemessenheitsbeschluss und geeignete Garantien stehen nicht in einem Ausschließlichkeitsverhältnis. Auch wer in ein sicheres Drittland oder an einen zertifizierten US-Empfänger übermittelt, darf die Übermittlung stattdessen oder ergänzend auf geeignete Garantien stützen, etwa um von einer angreifbaren Angemessenheitsentscheidung unabhängig zu sein.
4. Begleitende Pflichten
Der zulässige Datenexport erschöpft sich nicht in der Wahl des richtigen Instruments. Drei Pflichten treten hinzu:
- Eigene Rechtsgrundlage erforderlich (zweistufige Prüfung). Die Aufsichtsbehörden verstehen die Zulässigkeit eines Datenexports als zweistufige Prüfung. Auf der ersten Stufe muss die Übermittlung wie jede Verarbeitung durch eine Rechtsgrundlage nach Art. 6 DSGVO gedeckt sein. Auf der zweiten Stufe muss zusätzlich ein angemessenes Schutzniveau im Drittland sichergestellt sein. Die geeigneten Garantien nach Art. 46 DSGVO und eine Zertifizierung nach dem Data Privacy Framework betreffen nur die zweite Stufe; sie ersetzen die Rechtsgrundlage der ersten Stufe nicht.
- Dokumentation im Verzeichnis von Verarbeitungstätigkeiten. Drittlandsübermittlungen sind im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren (Art. 30 DSGVO), einschließlich des Ziellands und der Grundlage des Transfers (Angemessenheitsbeschluss, Ausnahme oder geeignete Garantie).
- Transparenz gegenüber den Betroffenen. In den Datenschutzhinweisen ist anzugeben, dass Daten in ein Drittland übermittelt werden, in welches Land und ob ein Angemessenheitsbeschluss besteht oder wie andernfalls ein angemessenes Schutzniveau hergestellt wird (Art. 13 Abs. 1 lit. f DSGVO). Diese Informationspflicht bleibt von den Ausnahmen des Art. 49 DSGVO unberührt.
5. Aufbau dieses Kapitels
Ausnahmen nach Art. 49 DSGVO
Wann eine Übermittlung ohne geeignete Garantien zulässig ist: Einwilligung, Vertragserfüllung, Rechtsansprüche, öffentliches Interesse; enge Auslegung, nur gelegentliche Übermittlungen.
Standardvertragsklauseln und Transfer Impact Assessment
Die vier Module der EU-Standardvertragsklauseln, Abschluss und Konstellationen sowie die dreistufige Einzelfallprüfung (TIA).
EU-US Data Privacy Framework
Angemessenheitsbeschluss für zertifizierte US-Empfänger: Prüfung der Zertifizierung, Reichweite und vertragliche Absicherung.
Binding Corporate Rules
Verbindliche interne Datenschutzregeln für konzerninterne Übermittlungen (Controller- und Processor-BCR).
Konzerninterne Übermittlungen
Ein Rahmenvertrag (Data Transfer Agreement) mit Verteilerklausel und Data Transfer Directory für alle internen Übermittlungen einer Unternehmensgruppe.
Art. 44 DSGVO
Allgemeine Grundsätze der Datenübermittlung an Drittländer.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Öffnungsklausel für mitgliedstaatliches Recht (Art. 9 Abs. 4 DSGVO)
Reichweite der nationalen Öffnungsklausel für genetische, biometrische und Gesundheitsdaten; Umsetzung in BDSG und bereichsspezifischem Recht.
Ausnahmen nach Art. 49 DSGVO
Wann personenbezogene Daten ohne geeignete Garantien in ein unsicheres Drittland übermittelt werden dürfen: Einwilligung, Vertragserfüllung, Rechtsansprüche, öffentliches Interesse, lebenswichtige Interessen und Register nach Art. 49 DSGVO sowie der Auffangtatbestand der zwingenden berechtigten Interessen. Enge Auslegung, Beschränkung auf gelegentliche Übermittlungen, Dokumentations- und Transparenzpflichten.