# Drittlandsübermittlung (Datenexport)

Wann personenbezogene Daten in ein Drittland übermittelt werden, welches Prüfschema gilt und welche Instrumente ein angemessenes Schutzniveau herstellen. Überblick zu Kapitel 5 der DSGVO (Art. 44 bis 49 DSGVO) mit Ausnahmen, Standardvertragsklauseln, Data Privacy Framework und Binding Corporate Rules.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/drittlandsuebermittlung
> Sprache: en



Werden personenbezogene Daten in ein Land außerhalb der EU und des Europäischen Wirtschaftsraums übermittelt, gelten zusätzliche Anforderungen (Kapitel 5 der DSGVO, Art. 44 bis 49 DSGVO). Hintergrund ist, dass das Schutzniveau der DSGVO auch dann gewahrt bleiben muss, wenn die Daten den unmittelbaren Geltungsbereich des EU-Rechts verlassen. Diese Seite klärt, wann überhaupt ein Datenexport vorliegt, und führt durch das Prüfschema. Die einzelnen Instrumente behandeln die Unterseiten.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Ein Datenexport liegt bereits vor, wenn ein Empfänger in einem Drittland auf die Daten **zugreifen kann**; auf den physischen Speicherort kommt es nicht an (Art. 44 DSGVO).
  * Erste Frage: Geht die Übermittlung in ein **unsicheres** Drittland (kein Angemessenheitsbeschluss der EU-Kommission)? Innerhalb von EU/EWR und in sichere Drittländer gelten keine Sonderanforderungen.
  * Greift keine **Ausnahme** nach Art. 49 DSGVO, muss ein angemessenes Schutzniveau über **geeignete Garantien** hergestellt werden: in der Praxis Data Privacy Framework (nur USA), EU-Standardvertragsklauseln mit Transfer Impact Assessment oder Binding Corporate Rules (nur konzernintern).
  * Die geeigneten Garantien ersetzen **nicht** die Rechtsgrundlage nach Art. 6 DSGVO; beide müssen vorliegen.
  * Jeder Datenexport ist im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren (Art. 30 DSGVO) und in den Datenschutzhinweisen transparent zu machen (Art. 13 Abs. 1 lit. f DSGVO).
</Callout>

## 1. Wann liegt ein Datenexport vor [#1-wann-liegt-ein-datenexport-vor]

Drei Voraussetzungen müssen zusammenkommen, damit die Sonderregeln des Kapitels 5 greifen: Es werden (1.) personenbezogene Daten (2.) an einen Empfänger in einem unsicheren Drittland (3.) übermittelt. Liegt eine dieser Voraussetzungen nicht vor, ist die Übermittlung wie eine Übermittlung innerhalb Deutschlands zu behandeln.

### 1.1 Übermittlung: Zugriffsmöglichkeit genügt [#11-übermittlung-zugriffsmöglichkeit-genügt]

Für eine Übermittlung reicht es aus, dass ein Empfänger im Drittland auf die personenbezogenen Daten zugreift oder zugreifen kann. Ein tatsächlicher Zugriff ist nicht erforderlich. Erfasst sind damit insbesondere die Versendung per Post oder E-Mail-Anhang, das Einräumen von Zugriffsrechten und der Betrieb von Servern, auf denen die Daten liegen.

Der Speicherort der Daten ist kein maßgebliches Kriterium. Eine Übermittlung findet rechtlich auch dann statt, wenn die Daten physisch auf Rechnern in der EU gespeichert sind, ein Unternehmen im Drittland aber darauf zugreifen kann, oder wenn der Vertragspartner ein Unternehmen im Drittland ist.

Eine Übermittlung liegt auch dann vor, wenn nicht das Unternehmen selbst die Daten in das Drittland gibt, sondern dies durch einen [Auftragsverarbeiter](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter) in der EU geschieht, der seinerseits einen Unterauftragsverarbeiter im Drittland einsetzt. Diese Übermittlung wird dem Verantwortlichen zugerechnet; er bleibt verantwortlich und muss die Anforderungen des Kapitels 5 sicherstellen.

<Callout type="warn">
  Auch konzerninterne Zugriffe sind Übermittlungen: Erhalten Konzerngesellschaften außerhalb der EU/EWR Zugriff auf personenbezogene Daten (etwa auf zentrale HR- oder CRM-Systeme), liegt eine Drittlandsübermittlung vor. Kein Konzernprivileg.
</Callout>

Keine Übermittlung liegt dagegen vor, wenn der Zugriff innerhalb derselben juristischen Person erfolgt. Greifen andere Abteilungen desselben Unternehmens auf die Daten zu, oder ruft ein Beschäftigter die Daten auf einer Dienstreise in einem Drittland ab, fehlt es an einer Weitergabe an einen anderen Empfänger. Maßgeblich ist die Grenze der juristischen Person, nicht der Aufenthaltsort.

### 1.2 Drittland und unsicheres Drittland [#12-drittland-und-unsicheres-drittland]

Ein Drittland ist jedes Land außerhalb der EU und des Europäischen Wirtschaftsraums. Zum EWR gehören neben den EU-Staaten Island, Norwegen und Liechtenstein; Übermittlungen dorthin sind wie Inlandsübermittlungen zu behandeln.

Innerhalb der Drittländer ist weiter zu unterscheiden:

* **Sicheres Drittland**: Für das Land besteht ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO. Die EU-Kommission hat festgestellt, dass das Land ein angemessenes Schutzniveau gewährleistet. Die Übermittlung ist dann wie eine Inlandsübermittlung zu behandeln; zusätzliche Garantien sind nicht erforderlich.
* **Unsicheres Drittland**: Für das Land besteht kein Angemessenheitsbeschluss. Hier greifen die Sonderanforderungen des Kapitels 5. Unsichere Drittländer sind zum Beispiel China, Russland, Indien und Mexiko.

Die folgende Übersicht zeigt die Länder mit Angemessenheitsbeschluss. Der Stand kann sich ändern; maßgeblich ist die jeweils aktuelle Liste der EU-Kommission.

| Sicheres Drittland                                                                                                      | Hinweis                                                         |
| ----------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------- |
| Vereinigtes Königreich                                                                                                  | seit Juli 2021                                                  |
| Südkorea                                                                                                                | seit Dezember 2021                                              |
| Schweiz, Kanada, Israel, Japan, Neuseeland, Argentinien, Uruguay, Andorra, Färöer-Inseln, Guernsey, Isle of Man, Jersey | Angemessenheitsbeschluss                                        |
| USA                                                                                                                     | nur für nach dem Data Privacy Framework zertifizierte Empfänger |

Die USA sind damit ein Sonderfall: Sie sind nicht generell ein sicheres Drittland. Ein Angemessenheitsbeschluss besteht nur für Empfänger, die nach dem [EU-US Data Privacy Framework](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.3-data-privacy-framework) zertifiziert sind. Übermittlungen an nicht zertifizierte US-Empfänger bleiben Übermittlungen in ein unsicheres Drittland.

### 1.3 Personenbezogene Daten [#13-personenbezogene-daten]

Erfasst sind alle Informationen, die sich einer natürlichen Person zuordnen lassen. Dazu gehören schon einfache Angaben wie Name, Funktion, geschäftliche E-Mail-Adresse oder Kontaktdaten von Mitarbeitern, Kunden oder Geschäftspartnern, ebenso Zugangsdaten sowie E-Mail- und Chat-Inhalte.

Auch pseudonymisierte oder verschlüsselte Daten bleiben personenbezogen, solange ein Personenbezug wiederhergestellt werden kann. Die Sonderregeln des Kapitels 5 gelten daher auch für sie. Die Pseudonymisierung oder Verschlüsselung kann aber im Rahmen des Transfer Impact Assessments als Schutzmaßnahme berücksichtigt werden.

## 2. Das Prüfschema [#2-das-prüfschema]

Steht fest, dass personenbezogene Daten in ein unsicheres Drittland übermittelt werden, wird in drei Stufen geprüft, ob und wie die Übermittlung zulässig ist.

<Mermaid
  chart="flowchart TD
  A[Übermittlung personenbezogener<br/>Daten in ein Drittland] --> B{Sicheres Drittland<br/>mit Angemessenheitsbeschluss?}
  B -->|Ja| Z[Wie Inlandsübermittlung,<br/>keine Sonderanforderungen]
  B -->|Nein| C{Greift eine Ausnahme<br/>nach Art. 49 DSGVO?}
  C -->|Ja| Y[Übermittlung zulässig,<br/>Ausnahme dokumentieren]
  C -->|Nein| D{Wie wird das angemessene<br/>Schutzniveau hergestellt?}
  D -->|USA, Empfänger zertifiziert| DPF[Data Privacy Framework]
  D -->|Regelfall| SCC[Standardvertragsklauseln<br/>+ Transfer Impact Assessment]
  D -->|Nur konzernintern| BCR[Binding Corporate Rules]"
/>

* **Stufe 1: Liegt eine Übermittlung in ein unsicheres Drittland vor?** Geht die Übermittlung in die EU, den EWR oder ein sicheres Drittland, gelten keine Sonderanforderungen (siehe Abschnitt 1).
* **Stufe 2: Greift eine Ausnahme nach Art. 49 DSGVO?** Die Ausnahmen sind eng auszulegen und rechtfertigen meist nur gelegentliche Übermittlungen. Einzelheiten auf der Unterseite [Ausnahmen nach Art. 49 DSGVO](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.1-ausnahmen-art-49).
* **Stufe 3: Wie wird ein angemessenes Schutzniveau hergestellt?** Greift keine Ausnahme, sind geeignete Garantien nach Art. 46 DSGVO erforderlich. In der Praxis kommen drei Instrumente in Betracht: das Data Privacy Framework (nur für zertifizierte US-Empfänger), die EU-Standardvertragsklauseln mit einem Transfer Impact Assessment oder, ausschließlich für konzerninterne Übermittlungen, Binding Corporate Rules.

## 3. Die geeigneten Garantien nach Art. 46 im Überblick [#3-die-geeigneten-garantien-nach-art-46-im-überblick]

Greift weder ein Angemessenheitsbeschluss noch eine Ausnahme, muss das angemessene Schutzniveau über eine geeignete Garantie nach Art. 46 DSGVO hergestellt werden. Die DSGVO sieht dafür mehrere Instrumente vor. Sie teilen sich in genehmigungsfreie und genehmigungspflichtige Garantien.

**Genehmigungsfrei** (Art. 46 Abs. 2 DSGVO), das heißt ohne gesonderte Genehmigung der Aufsichtsbehörde nutzbar:

* rechtlich bindende und durchsetzbare Dokumente zwischen Behörden oder öffentlichen Stellen (lit. a),
* [Binding Corporate Rules](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.4-binding-corporate-rules) nach Art. 47 DSGVO (lit. b),
* von der EU-Kommission erlassene [Standardvertragsklauseln](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.2-eu-standardvertragsklauseln) (lit. c),
* von einer Aufsichtsbehörde angenommene und von der Kommission genehmigte Standarddatenschutzklauseln (lit. d),
* genehmigte Verhaltensregeln nach Art. 40 DSGVO mit verbindlichen Verpflichtungen des Empfängers (lit. e),
* ein genehmigter Zertifizierungsmechanismus nach Art. 42 DSGVO mit verbindlichen Verpflichtungen des Empfängers (lit. f).

**Genehmigungspflichtig** (Art. 46 Abs. 3 DSGVO), das heißt nur mit vorheriger Genehmigung der Aufsichtsbehörde nutzbar: individuell ausgehandelte Vertragsklauseln zwischen Exporteur und Importeur sowie Bestimmungen in Verwaltungsvereinbarungen zwischen Behörden. Wegen des hohen Prüfaufwands spielen diese in der Praxis kaum eine Rolle.

In der Unternehmenspraxis tragen drei Instrumente die Last: das Data Privacy Framework (nur zertifizierte US-Empfänger), die EU-Standardvertragsklauseln und, ausschließlich konzernintern, Binding Corporate Rules. Diese behandeln die Unterseiten.

<Callout type="info">
  Angemessenheitsbeschluss und geeignete Garantien stehen **nicht** in einem Ausschließlichkeitsverhältnis. Auch wer in ein sicheres Drittland oder an einen zertifizierten US-Empfänger übermittelt, darf die Übermittlung stattdessen oder ergänzend auf geeignete Garantien stützen, etwa um von einer angreifbaren Angemessenheitsentscheidung unabhängig zu sein.
</Callout>

## 4. Begleitende Pflichten [#4-begleitende-pflichten]

Der zulässige Datenexport erschöpft sich nicht in der Wahl des richtigen Instruments. Drei Pflichten treten hinzu:

* **Eigene Rechtsgrundlage erforderlich (zweistufige Prüfung).** Die Aufsichtsbehörden verstehen die Zulässigkeit eines Datenexports als zweistufige Prüfung. Auf der ersten Stufe muss die Übermittlung wie jede Verarbeitung durch eine Rechtsgrundlage nach Art. 6 DSGVO gedeckt sein. Auf der zweiten Stufe muss zusätzlich ein angemessenes Schutzniveau im Drittland sichergestellt sein. Die geeigneten Garantien nach Art. 46 DSGVO und eine Zertifizierung nach dem Data Privacy Framework betreffen nur die zweite Stufe; sie ersetzen die Rechtsgrundlage der ersten Stufe nicht.
* **Dokumentation im Verzeichnis von Verarbeitungstätigkeiten.** Drittlandsübermittlungen sind im [Verzeichnis von Verarbeitungstätigkeiten](/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten) zu dokumentieren (Art. 30 DSGVO), einschließlich des Ziellands und der Grundlage des Transfers (Angemessenheitsbeschluss, Ausnahme oder geeignete Garantie).
* **Transparenz gegenüber den Betroffenen.** In den Datenschutzhinweisen ist anzugeben, dass Daten in ein Drittland übermittelt werden, in welches Land und ob ein Angemessenheitsbeschluss besteht oder wie andernfalls ein angemessenes Schutzniveau hergestellt wird (Art. 13 Abs. 1 lit. f DSGVO). Diese Informationspflicht bleibt von den Ausnahmen des Art. 49 DSGVO unberührt.

<Accordions type="single">
  <Accordion title="Musterbausteine für Datenschutzhinweise">
    Je nach Grundlage des Transfers kann der Hinweis etwa lauten:

    **Sicheres Drittland:**

    > Wir übermitteln Ihre Daten in folgendes Land: \[Land]. Hierbei handelt es sich um ein sicheres Drittland, da die EU-Kommission festgestellt hat, dass das Land ein angemessenes Datenschutzniveau gewährleistet.

    **Standardvertragsklauseln vereinbart:**

    > Wir übermitteln Ihre Daten in folgendes Land: \[Land]. Für dieses Land liegt kein Angemessenheitsbeschluss der EU-Kommission vor. Wir haben mit dem Datenempfänger zur Sicherstellung eines angemessenen Schutzniveaus EU-Standardvertragsklauseln vereinbart. Auf Wunsch stellen wir Ihnen eine Kopie bereit.

    **Ausnahme nach Art. 49 DSGVO:**

    > Wir übermitteln Ihre Daten in folgendes Land: \[Land]. Für dieses Land liegt kein Angemessenheitsbeschluss der EU-Kommission vor. Für die Übermittlung liegt jedoch eine Ausnahmeregelung nach Art. 49 DSGVO vor.

    Den Baustein für das Data Privacy Framework enthält die Unterseite [EU-US Data Privacy Framework](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.3-data-privacy-framework).
  </Accordion>
</Accordions>

## 5. Aufbau dieses Kapitels [#5-aufbau-dieses-kapitels]

<Cards>
  <Card title="Ausnahmen nach Art. 49 DSGVO" href="/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.1-ausnahmen-art-49" description="Wann eine Übermittlung ohne geeignete Garantien zulässig ist: Einwilligung, Vertragserfüllung, Rechtsansprüche, öffentliches Interesse; enge Auslegung, nur gelegentliche Übermittlungen." />

  <Card title="Standardvertragsklauseln und Transfer Impact Assessment" href="/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.2-eu-standardvertragsklauseln" description="Die vier Module der EU-Standardvertragsklauseln, Abschluss und Konstellationen sowie die dreistufige Einzelfallprüfung (TIA)." />

  <Card title="EU-US Data Privacy Framework" href="/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.3-data-privacy-framework" description="Angemessenheitsbeschluss für zertifizierte US-Empfänger: Prüfung der Zertifizierung, Reichweite und vertragliche Absicherung." />

  <Card title="Binding Corporate Rules" href="/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.4-binding-corporate-rules" description="Verbindliche interne Datenschutzregeln für konzerninterne Übermittlungen (Controller- und Processor-BCR)." />

  <Card title="Konzerninterne Übermittlungen" href="/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.5-konzerninterne-uebermittlungen" description="Ein Rahmenvertrag (Data Transfer Agreement) mit Verteilerklausel und Data Transfer Directory für alle internen Übermittlungen einer Unternehmensgruppe." />

  <Card title="Art. 44 DSGVO" href="https://dsgvo-gesetz.de/art-44-dsgvo/" description="Allgemeine Grundsätze der Datenübermittlung an Drittländer." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.