Datenschutz HubEinzelthemenDrittlandsübermittlung (Datenexport)

Ausnahmen nach Art. 49 DSGVO

Wann personenbezogene Daten ohne geeignete Garantien in ein unsicheres Drittland übermittelt werden dürfen: Einwilligung, Vertragserfüllung, Rechtsansprüche, öffentliches Interesse, lebenswichtige Interessen und Register nach Art. 49 DSGVO sowie der Auffangtatbestand der zwingenden berechtigten Interessen. Enge Auslegung, Beschränkung auf gelegentliche Übermittlungen, Dokumentations- und Transparenzpflichten.

View as Markdown

Greift für ein unsicheres Drittland weder ein Angemessenheitsbeschluss noch eine geeignete Garantie nach Art. 46 DSGVO, kann eine Übermittlung ausnahmsweise dennoch zulässig sein, wenn ein Ausnahmetatbestand des Art. 49 DSGVO vorliegt. In diesen Fällen ist kein angemessenes Schutzniveau im Drittland erforderlich.

Das Wichtigste in Kürze

  • Die Ausnahmen sind eng auszulegen. Im Zweifel greift keine Ausnahme; dann sind geeignete Garantien (Standardvertragsklauseln, Data Privacy Framework, Binding Corporate Rules) erforderlich.
  • Die meisten Ausnahmen rechtfertigen nur gelegentliche Übermittlungen, nicht systematische und wiederholte.
  • Es genügt nicht, dass die Übermittlung bloß nützlich ist; sie muss für den jeweiligen Zweck erforderlich sein.
  • Art. 49 ist gegenüber Angemessenheitsbeschluss und geeigneten Garantien nachrangig: Erst wenn diese ausscheiden, kommt eine Ausnahme in Betracht.
  • Greift eine Ausnahme, ist sie unter Angabe der Fallgruppe und einer kurzen Begründung im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Die Informationspflicht gegenüber den Betroffenen bleibt bestehen.

1. Funktion und gemeinsame Grenzen der Ausnahmen

Art. 49 DSGVO bildet die dritte und letzte Stufe des Prüfschemas: Er erlaubt die Übermittlung in ein unsicheres Drittland, ohne dass dort ein angemessenes Schutzniveau besteht und ohne dass geeignete Garantien nach Art. 46 DSGVO vereinbart sind. Die Ausnahmen beruhen auf der Erwägung, dass das Schutzbedürfnis der Betroffenen in den geregelten Fällen vergleichsweise gering ist, etwa weil sie selbstbestimmt einwilligen oder ein anerkanntes öffentliches Interesse überwiegt.

Weil die Ausnahmen vom Schutzkonzept der DSGVO abweichen, gelten für alle Ausnahmetatbestände drei gemeinsame Grenzen:

  • Enge Auslegung. Die Ausnahmen sind als solche restriktiv zu handhaben, damit die Ausnahme nicht zur Regel wird. Wer sich darauf stützen will, trägt das Risiko der Fehleinschätzung. Im Zweifel ist auf geeignete Garantien auszuweichen.
  • Erforderlichkeit, nicht bloße Nützlichkeit. Die Übermittlung muss für den jeweiligen Zweck erforderlich sein. Es reicht nicht aus, dass sie nur praktisch oder effizient ist, etwa um einen US-Dienstleister zur effizienteren Zusammenarbeit einzubinden.
  • Beschränkung auf gelegentliche Übermittlungen. Die meisten Ausnahmen greifen nur, wenn die Übermittlung gelegentlich erfolgt, also nicht systematisch und wiederholt. Eine dauerhafte, in den normalen Geschäftsbetrieb eingebettete Übermittlung lässt sich auf Art. 49 DSGVO regelmäßig nicht stützen.

Eine Ausnahme nach Art. 49 DSGVO betrifft, wie die geeigneten Garantien, nur die Frage des Schutzniveaus im Drittland. Sie ersetzt nicht die Rechtsgrundlage nach Art. 6 DSGVO; diese muss auf der ersten Stufe der Prüfung zusätzlich vorliegen. Bevor personenbezogene Daten übermittelt werden, ist außerdem zu prüfen, ob anonyme oder pseudonyme Daten ausreichen. Erst wenn das nicht genügt und keine geeignete Garantie in Betracht kommt, kann eine Ausnahme tragen.

2. Die Ausnahmetatbestände des Art. 49 Abs. 1 S. 1

Art. 49 Abs. 1 S. 1 DSGVO enthält einen abschließenden Katalog von sieben Ausnahmen. Die folgende Übersicht ordnet sie nach ihrer praktischen Bedeutung.

AusnahmeNormTypische AnwendungPraxisrelevanz
EinwilligungArt. 49 Abs. 1 lit. a DSGVOBetroffener willigt informiert in den konkreten Transfer einhoch
Vertrag mit dem BetroffenenArt. 49 Abs. 1 lit. b DSGVOÜbermittlung zur Erfüllung eines Vertrags mit dem Betroffenen erforderlichhoch
RechtsansprücheArt. 49 Abs. 1 lit. e DSGVOÜbermittlung an Anwälte, Gerichte oder Behörden zur Rechtsverfolgunghoch
Öffentliches InteresseArt. 49 Abs. 1 lit. d DSGVODatenaustausch mit Finanz-, Aufsichts- oder Regierungsbehördenmittel
Vertrag im Interesse des BetroffenenArt. 49 Abs. 1 lit. c DSGVOVertrag des Verantwortlichen mit einem Dritten zugunsten des Betroffenengering
Lebenswichtige InteressenArt. 49 Abs. 1 lit. f DSGVOmedizinische Notfälle, Katastrophen, wenn keine Einwilligung möglichgering
Öffentliches RegisterArt. 49 Abs. 1 lit. g DSGVOÜbermittlung aus Handels-, Vereins- oder vergleichbaren Registerngering

2.1 Einwilligung in den Drittlandstransfer (lit. a)

Der Betroffene kann ausdrücklich in die Übermittlung in ein bestimmtes unsicheres Drittland einwilligen (Art. 49 Abs. 1 lit. a DSGVO). Diese Einwilligung ist von der Einwilligung als allgemeiner Rechtsgrundlage nach Art. 6 Abs. 1 lit. a DSGVO zu unterscheiden; sie betrifft speziell den Transfer.

Voraussetzung ist, dass die Einwilligung freiwillig, für den bestimmten Fall, informiert und unmissverständlich erfolgt (Art. 4 Nr. 11, Art. 7 DSGVO). Über die Risiken des Transfers, insbesondere das mögliche Fehlen eines angemessenen Schutzniveaus und das Fehlen von Aufsicht und durchsetzbaren Rechten im Drittland, ist vorab aufzuklären. Die Information sollte angeben, auf welche Daten und Verarbeitungen sich die Zustimmung bezieht, wer Empfänger ist und in welches Land übermittelt wird. Das Erfordernis der Ausdrücklichkeit schließt eine Einwilligung durch bloßes Schweigen oder eine unterstellte Zustimmung aus. Eine pauschale Einwilligung in beliebige Drittlandstransfers genügt nicht; ergeben sich die konkreten Umstände erst nach der Datenerhebung, ist vor der Übermittlung eine Einwilligung für den bestimmten Fall einzuholen.

Im Online-Bereich, etwa bei Cookie-Einwilligungen, sehen die Aufsichtsbehörden diese Ausnahme wegen ihres Ausnahmecharakters kritisch. Bei Beschäftigten ist die Freiwilligkeit besonders sorgfältig zu prüfen; sie sollte nur genutzt werden, wenn der Beschäftigte eine echte Wahl hat und seine Einwilligung ohne Nachteile widerrufen kann. Für wiederholte oder routinemäßige Übermittlungen, etwa eine zentralisierte Personaldatenbank im Drittland, ist die Einwilligung regelmäßig ungeeignet.

2.2 Erfüllung eines Vertrags mit dem Betroffenen (lit. b)

Die Übermittlung kann zulässig sein, wenn sie zur Erfüllung eines Vertrags mit dem Betroffenen oder zur Durchführung vorvertraglicher Maßnahmen auf dessen Anfrage erforderlich ist (Art. 49 Abs. 1 lit. b DSGVO). Voraussetzung ist eine unmittelbare vertragliche oder vorvertragliche Beziehung zwischen dem Betroffenen und dem Verantwortlichen sowie ein enger und erheblicher Zusammenhang zwischen Übermittlung und Vertragszweck. Typische Beispiele sind die Buchung eines Hotels oder Mietwagens im Drittland über ein Reisebüro, Übermittlungen im internationalen Zahlungsverkehr oder die Abwicklung eines Versandkaufs.

Bei Beschäftigtendaten kommt die Ausnahme in Betracht, wenn die Erfüllung der arbeitsvertraglichen Pflichten die Übermittlung zwingend mit sich bringt, etwa bei vereinzelter E-Mail-Korrespondenz von Mitarbeitern mit Geschäftspartnern in einem unsicheren Drittland, sofern dabei keine Daten über Dritte versendet werden. Die Position eines Geschäftsführers kann es zwingend mit sich bringen, dass seine Daten gelegentlich an Stellen in Drittländern zu übermitteln sind.

Die Ausnahme greift nur bei gelegentlicher Übermittlung. Sie trägt nicht, wenn die Übermittlung nur nützlich wäre, etwa wenn ein US-Dienstleister allein zur effizienteren Zusammenarbeit eingebunden werden soll. Die Zentralisierung von Gehalts- und Personalverwaltungsfunktionen bei einem Dienstleister im Drittland ist mangels Erforderlichkeit nicht erfasst.

2.3 Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e)

Die Übermittlung kann zulässig sein, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 49 Abs. 1 lit. e DSGVO). In Betracht kommen Übermittlungen an Rechtsanwälte, Gerichte oder Regulierungsbehörden, und zwar in gerichtlichen wie in außergerichtlichen Verfahren einschließlich Verwaltungs- und Aufsichtsverfahren, etwa bei strafrechtlichen oder behördlichen Ermittlungen in einem Drittland (zum Beispiel Kartellrecht, Korruptionsbekämpfung, Insidergeschäfte). Auch Übermittlungen zum Zweck eines förmlichen vorprozessualen Verfahrens (pretrial discovery) oder zur Einleitung eines Verfahrens, etwa eines Antrags auf Fusionsfreigabe, können erfasst sein.

Die bloße Möglichkeit künftiger gerichtlicher Auseinandersetzungen genügt nicht. Erforderlich ist ein enger und erheblicher Zusammenhang zwischen den Daten und der Rechtsverfolgung im konkreten Fall. Vor der Übermittlung personenbezogener Daten ist gestuft zu prüfen, ob anonymisierte oder pseudonymisierte Daten ausreichen, und ob die Daten für die Angelegenheit erheblich sind (Datenminimierung). Bei Anforderungen durch Gerichte oder Behörden eines Drittlands ist die Spezialvorschrift des Art. 48 DSGVO zu beachten. Auch diese Ausnahme rechtfertigt nur gelegentliche Übermittlungen.

2.4 Wichtige Gründe des öffentlichen Interesses (lit. d)

Die Übermittlung kann aus wichtigen Gründen des öffentlichen Interesses zulässig sein (Art. 49 Abs. 1 lit. d DSGVO). Maßgeblich sind nur öffentliche Interessen, die im Unionsrecht oder im deutschen Recht anerkannt sind (Art. 49 Abs. 4 DSGVO); das alleinige Interesse einer Behörde im Drittland genügt nicht. Die Erwägungsgründe der DSGVO nennen als Beispiele den internationalen Datenaustausch zwischen Wettbewerbs-, Steuer- oder Zollbehörden, zwischen Finanzaufsichtsbehörden oder zwischen Diensten für soziale Sicherheit oder öffentliche Gesundheit, etwa bei der Bekämpfung ansteckender Krankheiten oder von Doping im Sport.

Die Ausnahme richtet sich primär an Behörden, kann aber auch von Unternehmen in Anspruch genommen werden, etwa bei der Übermittlung an Finanz-, Aufsichts- und Regierungsbehörden außerhalb der EU, wenn anerkannte Interessen verfolgt werden. Ein internationales Abkommen, das die EU oder ein Mitgliedstaat unterzeichnet hat, kann ein Indiz für ein solches öffentliches Interesse sein.

2.5 Vertrag im Interesse des Betroffenen (lit. c)

Erfasst sind gelegentliche Übermittlungen, die zum Abschluss oder zur Erfüllung eines Vertrags erforderlich sind, den der Verantwortliche im Interesse des Betroffenen mit einem Dritten schließt (Art. 49 Abs. 1 lit. c DSGVO). Anders als bei lit. b ist der Betroffene hier nicht selbst Vertragspartei. In Betracht kommen etwa Verträge zugunsten Dritter (§ 328 BGB), die Übermittlung von Buchungsdaten durch ein Reisebüro an eine Fluggesellschaft oder der Abschluss einer Mitarbeiterversicherung bei einer Gesellschaft im Drittland. Auch hier ist ein enger und erheblicher Zusammenhang zwischen Übermittlung und Vertrag erforderlich; die Beauftragung eines Dienstleisters im Drittland mit dem Gehalts- oder Aktienoptionsmanagement ist mangels Erforderlichkeit nicht erfasst.

2.6 Schutz lebenswichtiger Interessen (lit. f)

Die Übermittlung ist zulässig, wenn sie zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich ist und der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben (Art. 49 Abs. 1 lit. f DSGVO). Typische Fälle sind medizinische Notfälle und die medizinische Versorgung im Ausland; erfasst ist im Rahmen der Erforderlichkeit auch die Übermittlung von Gesundheitsdaten. Ebenso können Übermittlungen nach Naturkatastrophen, etwa zur Lokalisierung von Opfern und zur Information von Angehörigen und Rettungsdiensten, gerechtfertigt sein. Nicht erfasst ist die Übermittlung medizinischer Daten, die nicht der Behandlung des Betroffenen, sondern der allgemeinen Forschung dient.

2.7 Übermittlung aus einem öffentlichen Register (lit. g)

Zulässig ist die Übermittlung aus einem Register, das nach Unions- oder mitgliedstaatlichem Recht zur Information der Öffentlichkeit bestimmt ist und der gesamten Öffentlichkeit oder Personen mit berechtigtem Interesse zur Einsicht offensteht (Art. 49 Abs. 1 lit. g DSGVO). In Deutschland kommen vor allem das Handels- und das Vereinsregister sowie, für Personen mit berechtigtem Interesse, das Grundbuch in Betracht. Die Übermittlung ist nur zulässig, soweit die gesetzlichen Einsichtsvoraussetzungen im Einzelfall erfüllt sind; bei Registern mit Einsicht nur für Berechtigte darf sie nur auf deren Anfrage und nur an sie erfolgen (Art. 49 Abs. 2 DSGVO). Es dürfen nicht die Gesamtheit oder ganze Datenkategorien des Registers übermittelt werden. Rein private Register, etwa zur Bewertung der Kreditwürdigkeit, sind nicht erfasst.

3. Auffangtatbestand: zwingende berechtigte Interessen (Abs. 1 S. 2)

Lässt sich die Übermittlung weder auf einen Angemessenheitsbeschluss noch auf geeignete Garantien noch auf eine der Ausnahmen des Abs. 1 S. 1 stützen, kommt als letztes Mittel der Auffangtatbestand des Art. 49 Abs. 1 S. 2 DSGVO in Betracht. Er ist an enge, kumulativ zu erfüllende Voraussetzungen geknüpft:

Keine andere Grundlage. Weder Art. 45 oder 46 DSGVO noch eine Ausnahme nach Abs. 1 S. 1 sind anwendbar. Der Verantwortliche muss nachweisen können, dass keine andere Grundlage in Betracht kam (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO).
Keine wiederholte Übermittlung. Die Übermittlung erfolgt nicht wiederholt; routinemäßige oder systematische Transfers sind ausgeschlossen.
Begrenzte Zahl Betroffener. Es ist nur eine begrenzte Zahl betroffener Personen betroffen.
Zwingende berechtigte Interessen. Die Übermittlung ist zur Wahrung zwingender berechtigter Interessen des Verantwortlichen erforderlich, die die Interessen, Rechte und Freiheiten der Betroffenen nicht überwiegen. Es müssen besonders gewichtige Interessen sein, etwa die Abwehr eines schweren Schadens; Drittinteressen reichen nicht.
Geeignete Garantien festlegen. Der Verantwortliche beurteilt alle Umstände der Übermittlung und sieht auf dieser Grundlage geeignete Garantien zum Schutz der Daten vor (etwa kurze Löschfristen, enge Zweckbindung, Pseudonymisierung oder Verschlüsselung).

Zusätzlich treten besondere Pflichten hinzu: Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis und unterrichtet die Betroffenen über die Übermittlung und seine zwingenden berechtigten Interessen; diese Information tritt zu den allgemeinen Transparenzpflichten nach Art. 13 und 14 DSGVO hinzu. Der Auffangtatbestand ist als äußerste Ausnahme gedacht und in der Praxis nur in seltenen Sonderfällen tragfähig.

4. Einschränkung für Behörden (Abs. 3)

Die Ausnahmen der Einwilligung (lit. a), der Vertragserfüllung mit dem Betroffenen (lit. b) und des Vertrags im Interesse des Betroffenen (lit. c) sowie der Auffangtatbestand des Abs. 1 S. 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen (Art. 49 Abs. 3 DSGVO). Behörden können sich für hoheitliches Handeln also insbesondere nicht auf eine Einwilligung oder den Auffangtatbestand stützen.

5. Nationale Beschränkungen (Abs. 5)

Liegt kein Angemessenheitsbeschluss vor, können das Unionsrecht oder das mitgliedstaatliche Recht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen für die Übermittlung bestimmter Kategorien personenbezogener Daten an Drittländer vorsehen (Art. 49 Abs. 5 DSGVO). Macht ein Mitgliedstaat davon Gebrauch, ist dies der EU-Kommission mitzuteilen.

6. Dokumentation, Transparenz und Rechtsschutz

Greift eine Ausnahme, ist dies unter Angabe der einschlägigen Fallgruppe und einer kurzen Begründung im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren (Art. 30 DSGVO). Beim Auffangtatbestand des Abs. 1 S. 2 sind zusätzlich die vorgenommene Beurteilung und die festgelegten geeigneten Garantien zu erfassen (Art. 49 Abs. 6 DSGVO).

Die Pflicht, die Betroffenen über die Drittlandsübermittlung zu informieren, bleibt von den Ausnahmen unberührt (Art. 13 Abs. 1 lit. f DSGVO). In den Datenschutzhinweisen ist anzugeben, dass Daten in ein Drittland übermittelt werden und auf welcher Grundlage dies geschieht.

Wird ohne Ausnahme und ohne sonstige Grundlage in ein unsicheres Drittland übermittelt, ist die Übermittlung unzulässig. Verstöße gegen die Vorgaben des Kapitels 5 sind bußgeldbewehrt (Art. 83 Abs. 5 lit. c DSGVO); hinzu treten die Rechtsbehelfe und Haftungsregelungen der DSGVO.

Weiterführende Hinweise der Aufsichtsbehörden enthalten die Leitlinien 2/2018 zu den Ausnahmen nach Art. 49 DSGVO.

Art. 49 DSGVO

Ausnahmen für bestimmte Fälle der Datenübermittlung.

EDSA-Leitlinien 2/2018

Leitlinien zu den Ausnahmen nach Art. 49 DSGVO.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Drittlandsübermittlung (Datenexport)

Wann personenbezogene Daten in ein Drittland übermittelt werden, welches Prüfschema gilt und welche Instrumente ein angemessenes Schutzniveau herstellen. Überblick zu Kapitel 5 der DSGVO (Art. 44 bis 49 DSGVO) mit Ausnahmen, Standardvertragsklauseln, Data Privacy Framework und Binding Corporate Rules.

EU-Standardvertragsklauseln und Transfer Impact Assessment

Die EU-Standardvertragsklauseln (SCC) als geeignete Garantie für Drittlandsübermittlungen: die vier Module, Konstellationen, Delegationsmodell und Abschluss. Dazu das verpflichtende Transfer Impact Assessment (TIA) in drei Stufen mit risikoorientierten Gesichtspunkten, regelmäßiger Überprüfung und Behandlung der Auftragsverarbeitungskette.

On this page

1. Funktion und gemeinsame Grenzen der Ausnahmen2. Die Ausnahmetatbestände des Art. 49 Abs. 1 S. 12.1 Einwilligung in den Drittlandstransfer (lit. a)2.2 Erfüllung eines Vertrags mit dem Betroffenen (lit. b)2.3 Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e)2.4 Wichtige Gründe des öffentlichen Interesses (lit. d)2.5 Vertrag im Interesse des Betroffenen (lit. c)2.6 Schutz lebenswichtiger Interessen (lit. f)2.7 Übermittlung aus einem öffentlichen Register (lit. g)3. Auffangtatbestand: zwingende berechtigte Interessen (Abs. 1 S. 2)4. Einschränkung für Behörden (Abs. 3)5. Nationale Beschränkungen (Abs. 5)6. Dokumentation, Transparenz und Rechtsschutz