# EU-Standardvertragsklauseln und Transfer Impact Assessment

Die EU-Standardvertragsklauseln (SCC) als geeignete Garantie für Drittlandsübermittlungen: die vier Module, Konstellationen, Delegationsmodell und Abschluss. Dazu das verpflichtende Transfer Impact Assessment (TIA) in drei Stufen mit risikoorientierten Gesichtspunkten, regelmäßiger Überprüfung und Behandlung der Auftragsverarbeitungskette.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.2-eu-standardvertragsklauseln
> Sprache: en



Die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind das in der Praxis wichtigste Instrument, um für eine Übermittlung in ein unsicheres Drittland ein angemessenes Schutzniveau herzustellen (geeignete Garantie nach Art. 46 DSGVO). Sie werden zwischen dem Datenexporteur in der EU und dem Datenimporteur im Drittland geschlossen. Seit dem Urteil des EuGH in der Sache [Schrems II](/docs/dsgvo-hub/rechtsprechung/1.4.50-eugh-schrems-ii) genügt der Abschluss der Klauseln allein nicht: Hinzukommen muss stets ein Transfer Impact Assessment (TIA).

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Grundlage sind die Standardvertragsklauseln der EU-Kommission aus dem Jahr 2021 (Durchführungsbeschluss (EU) 2021/914). Frühere Fassungen sind seit dem 27. Dezember 2022 ungültig.
  * Die Klauseln decken **vier Module** für unterschiedliche Konstellationen ab und dürfen inhaltlich nicht geändert werden.
  * Neben dem Abschluss ist immer ein **Transfer Impact Assessment** durchzuführen: die dokumentierte Prüfung, ob Recht und Praxis im Zielland der Einhaltung der Klauseln entgegenstehen.
  * Das TIA verläuft in **drei Stufen**: problematische Rechtsvorschriften, deren Anwendung in der Praxis, ergänzende Schutzmaßnahmen.
  * Das TIA ist regelmäßig zu überprüfen, in der Regel spätestens nach 24 Monaten und anlassbezogen.
</Callout>

## 1. Die EU-Standardvertragsklauseln im Überblick [#1-die-eu-standardvertragsklauseln-im-überblick]

Die Standardvertragsklauseln sind ein von der EU-Kommission bereitgestellter Mustervertrag (Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021). Sie passen den Datenimporteur vertraglich an das Schutzniveau der DSGVO an und verpflichten beide Parteien zu einem Umgang mit Zugriffsverlangen staatlicher Stellen im Drittland.

Der Mustervertrag darf inhaltlich nicht geändert werden. Auszufüllen sind die Anhänge mit den Angaben zu den Parteien, den Kategorien betroffener Personen und übermittelter Daten, den Verarbeitungszwecken, den technischen und organisatorischen Maßnahmen sowie den Unterauftragsverarbeitern. Innerhalb der Klauseln sind zudem einige optionale Regelungen und Wahlmöglichkeiten festzulegen.

Schließt der Datenimporteur im Drittland als Auftragsverarbeiter ab, enthalten die Standardvertragsklauseln bereits die nach Art. 28 DSGVO erforderlichen Regelungen einer Auftragsverarbeitung. Ein gesonderter [Auftragsverarbeitungsvertrag](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter) ist dann nicht mehr nötig.

<Callout type="warn">
  Die Standardvertragsklauseln für die Drittlandsübermittlung (Durchführungsbeschluss (EU) 2021/914) sind nicht zu verwechseln mit dem am selben Tag erlassenen Mustervertrag für die Auftragsverarbeitung nach Art. 28 DSGVO (Durchführungsbeschluss (EU) 2021/915). Bei einer Übermittlung an einen Auftragsverarbeiter im Drittland nach Modul 2 ist der Auftragsverarbeitungsinhalt in den Standardvertragsklauseln bereits enthalten; ein zusätzlicher Auftragsverarbeitungsvertrag wäre dann überflüssig.
</Callout>

## 2. Konstellationen und Module [#2-konstellationen-und-module]

Die Standardvertragsklauseln bündeln vier Fallkonstellationen in einem Vertragswerk, die als Module bezeichnet werden. Maßgeblich sind die Rollen von Exporteur und Importeur.

| Modul   | Datenexporteur (EU) | Datenimporteur (Drittland) |
| ------- | ------------------- | -------------------------- |
| Modul 1 | Verantwortlicher    | Verantwortlicher           |
| Modul 2 | Verantwortlicher    | Auftragsverarbeiter        |
| Modul 3 | Auftragsverarbeiter | Unterauftragsverarbeiter   |
| Modul 4 | Auftragsverarbeiter | Verantwortlicher           |

Ob der Importeur Verantwortlicher oder [Auftragsverarbeiter](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter) ist, richtet sich danach, wer über Zwecke und Mittel der Verarbeitung entscheidet.

Eine praktisch wichtige Konstellation ist das Delegationsmodell: Setzt ein Auftragsverarbeiter in der EU einen Unterauftragsverarbeiter in einem Drittland ein, kann der EU-Auftragsverarbeiter mit diesem die Standardvertragsklauseln nach Modul 3 schließen. Der Verantwortliche benötigt dann mit dem EU-Auftragsverarbeiter nur einen Auftragsverarbeitungsvertrag und schließt nicht selbst die Klauseln mit dem Drittlandsempfänger. Der Verantwortliche bleibt aber datenschutzrechtlich verantwortlich und muss die Anforderungen an die Drittlandsübermittlung, einschließlich des TIA, sicherstellen (siehe Abschnitt 5).

<Callout type="warn">
  Unterliegt der Datenimporteur im Drittland selbst der DSGVO (Art. 3 DSGVO), etwa eine Konzernmutter mit Marktausrichtung in der EU, passen die aktuellen Standardvertragsklauseln nach Auffassung der EU-Kommission nicht vollständig. Für diese Fälle bereitet die Kommission ergänzende Klauseln vor; bis dahin kommen der Angemessenheitsbeschluss (bei zertifizierten US-Empfängern) oder die bestehenden Klauseln in Betracht.
</Callout>

## 3. Abschluss der Standardvertragsklauseln [#3-abschluss-der-standardvertragsklauseln]

Für den Abschluss gelten einige praktische Regeln:

* Die Klauseln können als gesonderter Vertrag, als Anlage zum Leistungsvertrag oder als Teil der Allgemeinen Geschäftsbedingungen vereinbart werden.
* Ein elektronischer Vertragsschluss genügt; die Klauseln enthalten keine besonderen Formvorgaben.
* Zur Vereinbarung kann auf den Durchführungsbeschluss der EU-Kommission Bezug genommen werden, ohne den vollständigen Text wiederzugeben.
* Im Leistungsvertrag dürfen keine Regelungen vereinbart werden, die den Klauseln widersprechen, etwa ein Haftungsausschluss für Verletzungen der Standardvertragsklauseln.

Wird auf die Klauseln nur Bezug genommen, sollte die Einbindung das anwendbare Modul, die optionalen Klauseln und die Anhänge ausdrücklich festlegen.

<Accordions type="single">
  <Accordion title="Musterklausel: Einbindung der Standardvertragsklauseln durch Bezugnahme">
    Die Parteien vereinbaren die EU-Standardvertragsklauseln gemäß dem Anhang des Durchführungsbeschlusses (EU) 2021/914 der EU-Kommission vom 4. Juni 2021. Die Standardvertragsklauseln sind integraler Bestandteil dieses Vertrags.

    Zwischen den Parteien gilt das folgende Modul: \[Modul 1 Verantwortlicher an Verantwortlichen / Modul 2 Verantwortlicher an Auftragsverarbeiter / Modul 3 Auftragsverarbeiter an Unterauftragsverarbeiter / Modul 4 Auftragsverarbeiter an Verantwortlichen].

    Soweit für das jeweilige Modul einschlägig, vereinbaren die Parteien ergänzend:

    * Die optionale Klausel 7 (Docking-Klausel) gilt \[nicht / als gewählt].
    * Für neue Unterauftragsverarbeiter gilt \[Option 1: gesonderte vorherige Genehmigung / Option 2: allgemeine schriftliche Genehmigung]; die Vorabinformationsfrist beträgt \[z.B. 30 Tage].
    * Die optionale Regelung in Klausel 11 (a) gilt nicht.
    * Es gilt das Recht \[Mitgliedstaat]; zuständig sind die Gerichte \[Mitgliedstaat].

    Die Angaben nach dem Appendix der Standardvertragsklauseln (Anhänge I bis III) sind enthalten in \[Verweis auf Anlage].
  </Accordion>
</Accordions>

Vor der Übernahme ist jede Wahlmöglichkeit auf den konkreten Fall anzupassen; die eckigen Klammern sind durch die tatsächlichen Angaben zu ersetzen.

<Callout type="warn">
  **Typische Fallstricke beim Abschluss**

  * Die Liste der Unterauftragsverarbeiter ist unvollständig (fehlende Hoster oder Konzerngesellschaften) oder unpräzise (nur der Anbietername ohne konkrete Einheit).
  * Maßgebliche Punkte sind nicht schriftlich geregelt, etwa die Beschränkung auf Rechenzentren in der EU oder der Ausschluss weiterer Drittlandsexporte.
  * Im Hauptvertrag steht ein Haftungsausschluss, der Verletzungen der Standardvertragsklauseln erfasst.
  * Es werden Standardvertragsklauseln geschlossen, obwohl der Empfänger nach dem Data Privacy Framework zertifiziert ist und damit keine zusätzliche Garantie nötig wäre.
</Callout>

## 4. Transfer Impact Assessment (TIA) [#4-transfer-impact-assessment-tia]

### 4.1 Hintergrund und Pflicht [#41-hintergrund-und-pflicht]

Der EuGH hat in der Sache [Schrems II](/docs/dsgvo-hub/rechtsprechung/1.4.50-eugh-schrems-ii) entschieden, dass der Abschluss der Standardvertragsklauseln allein nicht ausreicht. Der Datenexporteur muss zusätzlich prüfen, ob das Recht und die Gepflogenheiten im Zielland der Einhaltung der Klauseln entgegenstehen, insbesondere durch unverhältnismäßige Zugriffsrechte staatlicher Stellen.

Das TIA ist diese Einzelfallprüfung. Sie ist zu dokumentieren; auf weitere Unterlagen wie öffentlich verfügbare Dokumente oder Gutachten kann verwiesen werden. Gleichartige Übermittlungen lassen sich in einer Prüfung zusammenfassen, und für einzelne Prüffragen kann auf andere, bereits durchgeführte Prüfungen Bezug genommen werden. Der Datenempfänger im Drittland ist nach den Standardvertragsklauseln verpflichtet, bei der Prüfung zu unterstützen.

Um die nötigen Informationen beim Datenimporteur abzufragen, eignen sich insbesondere folgende Fragen:

* Hat der Datenimporteur bisher behördliche Anfragen auf Zugang zu oder Offenlegung der betreffenden Daten erhalten, und wie wurden sie beantwortet?
* Bestätigt der gesetzliche Vertreter des Datenimporteurs, dass keine freiwillige Zusammenarbeit mit Sicherheitsbehörden zur Herausgabe der Daten erfolgt?
* Wie werden die Daten verschlüsselt, bei der Übertragung und bei der Speicherung?
* Findet eine Weiterübermittlung an Unterauftragsverarbeiter oder Dritte statt?
* Welche technischen, organisatorischen und vertraglichen Schutzmaßnahmen bestehen über die Standardvertragsklauseln hinaus?

Antworten des Datenimporteurs sollten möglichst vom gesetzlichen Vertreter bestätigt werden.

<Mermaid
  chart="flowchart TD
  A[Standardvertragsklauseln<br/>geschlossen] --> B{Stufe 1: Problematische<br/>Rechtsvorschriften im Zielland?}
  B -->|Nein| OK[Schutzniveau gewahrt,<br/>Ergebnis dokumentieren]
  B -->|Ja| C{Stufe 2: Werden sie in der<br/>Praxis auf die Daten angewendet?}
  C -->|Nein, belegbar| OK
  C -->|Ja oder unklar| D[Stufe 3: Ergänzende<br/>Schutzmaßnahmen festlegen]
  D -->|Wirksam| OK
  D -->|Nicht ausreichend| STOP[Übermittlung aussetzen<br/>oder Risiko entscheiden]"
/>

### 4.2 Stufe 1: Problematische Rechtsvorschriften im Zielland [#42-stufe-1-problematische-rechtsvorschriften-im-zielland]

Zu prüfen ist, ob im Zielland Rechtsvorschriften oder Gepflogenheiten bestehen, die staatlichen Stellen einen unverhältnismäßigen Zugriff auf die übermittelten Daten erlauben und damit die Wirksamkeit der Klauseln beeinträchtigen. Problematisch sind Vorschriften, die den Wesensgehalt der Grundrechte der EU-Grundrechtecharta nicht respektieren oder über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist (Maßstab der in Art. 23 Abs. 1 DSGVO genannten Ziele wie nationale Sicherheit oder Strafverfolgung).

Maßgeblich ist, ob die Vorschriften für die konkrete Übermittlung relevant sind, also auf diese Datenart und diesen Wirtschaftszweig anwendbar sind. Zu berücksichtigen sind unter anderem die Verarbeitungszwecke, die Art der beteiligten Stellen, der Sektor, die Datenkategorien, der Speicherort oder Fernzugriff, das Datenformat und mögliche Weiterübermittlungen. Diese Stufe erfordert eine Bewertung der Rechtslage im Drittland. Als Quellen kommen Auskünfte des Datenimporteurs sowie öffentliche, relevante, objektive, verlässliche und verifizierbare Quellen in Betracht.

### 4.3 Stufe 2: Anwendung in der Praxis [#43-stufe-2-anwendung-in-der-praxis]

Bestehen problematische Rechtsvorschriften, ist auf der zweiten Stufe zu prüfen, ob sie in der Praxis auf die konkret übermittelten Daten angewendet werden. Lässt sich belegen, dass die Vorschriften praktisch nicht angewendet werden, kann das Schutzniveau gewahrt sein.

Die Anforderungen an den Beleg sind hoch: Der Europäische Datenschutzausschuss verlangt für die Annahme, dass problematische Rechtsvorschriften nicht angewendet werden, öffentliche, relevante, objektive, verlässliche und verifizierbare Quellen. Eine allgemeine Risikoabwägung, die sich allein auf die Einzelfallerwägungen der Parteien stützt, erkennt der Ausschuss nicht an. Dieser risikoorientierte Ansatz wird von den Aufsichtsbehörden kritisch gesehen, sodass seine alleinige Nutzung ein rechtliches Risiko birgt.

### 4.4 Stufe 3: Ergänzende Schutzmaßnahmen [#44-stufe-3-ergänzende-schutzmaßnahmen]

Bestehen problematische Rechtsvorschriften und ist ihre Anwendung nicht auszuschließen, sind ergänzende Schutzmaßnahmen festzulegen. Sie müssen den problematischen Vorschriften konkret entgegenwirken und können vertraglicher, organisatorischer oder technischer Natur sein.

Eine reine Transportverschlüsselung und eine Verschlüsselung gespeicherter Daten genügen nicht, wenn der Datenempfänger Zugriff auf die Daten im Klartext haben kann und staatlichen Stellen aufgrund problematischer Vorschriften Zugriff geben muss. Das betrifft insbesondere Cloud-Dienste sowie Wartungs- und Supportzugriffe. Erforderlich ist dann ein Ansatz, der dem Datenimporteur keinen Zugriff auf die Klardaten und keinen Zugriff auf die Entschlüsselungsschlüssel ermöglicht (Zero-Knowledge- oder Ende-zu-Ende-Verschlüsselung), oder eine Pseudonymisierung, bei der dem Empfänger die Zuordnungsregel nicht zugänglich ist. Solche Maßnahmen sind in der Praxis oft nicht umsetzbar, weil der Importeur für die Leistungserbringung Zugriff auf Klardaten benötigt; dann verbleibt regelmäßig ein Restrisiko, über dessen Hinnahme das Unternehmen entscheiden muss.

### 4.5 Risikoorientierte Gesichtspunkte [#45-risikoorientierte-gesichtspunkte]

Auf der zweiten Stufe und bei der Bewertung des Restrisikos werden in der Praxis verschiedene Gesichtspunkte herangezogen. Sie erfordern eine Gewichtung im Einzelfall und teils Rückfragen beim Datenimporteur. Aus dem bloßen Vorliegen einzelner Punkte folgt nicht automatisch, dass problematische Rechtsvorschriften praktisch nicht angewendet werden.

* **Ort der Speicherung**: Liegen die Daten physisch innerhalb der EU, des EWR oder eines sicheren Drittstaats?
* **Sensibilität und Datenmenge**: Werden besondere Datenkategorien, Kommunikations-, Standort- oder Finanzdaten übermittelt, oder nur einfache Kontakt- und Nutzerdaten?
* **Format**: Erschwert das Format einen automatisierten Zugriff (unstrukturierte Daten, Papierform, pseudonymisierte oder verschlüsselte Daten)?
* **Häufigkeit und Dauer**: Handelt es sich um eine einmalige, kurzzeitige Übermittlung statt um eine fortlaufende?
* **Relevanz für staatliche Stellen**: Sind die Daten für nationale Sicherheit, Strafverfolgung oder ähnliche Bereiche irrelevant und ein Zugriff damit unwahrscheinlich?
* **Bisherige Zugriffsverlangen**: Gab es Anfragen staatlicher Stellen, und wie wurden sie beantwortet?
* **Vertragliche Garantien und Schutzmaßnahmen**: Bestehen über die Klauseln hinaus Zusicherungen oder technische und organisatorische Maßnahmen, die das Zugriffsrisiko senken?
* **Verarbeitungskette**: Erfolgt eine Weiterübermittlung an weitere Empfänger im Drittland?
* **Alternativen**: Gibt es eine Alternative ohne Übermittlung in ein unsicheres Drittland?

Die übermittelten besonderen Datenkategorien sind dabei mit besonderer Vorsicht zu behandeln (siehe [Besondere Kategorien personenbezogener Daten](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten)).

<Callout type="info">
  Bei Übermittlungen in die USA an einen Empfänger, der **nicht** nach dem [Data Privacy Framework](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.3-data-privacy-framework) zertifiziert ist, lassen sich die mit dem Framework eingeführten Datenschutzgarantien dennoch positiv berücksichtigen. Sie beruhen auf einer Executive Order vom 7. Oktober 2022 (unter anderem ein Rechtsmittelverfahren und ein eingeschränkter Zugriff durch US-Sicherheitsbehörden) und gelten unabhängig von der Zertifizierung des einzelnen Empfängers.
</Callout>

<Accordions type="single">
  <Accordion title="Einzelfallerwägungen im Detail">
    Die folgenden Erwägungen können in die Bewertung einfließen. Sie sind eine beispielhafte Auflistung; aus dem Vorliegen einer oder mehrerer Erwägungen folgt nicht automatisch, dass problematische Rechtsvorschriften praktisch nicht angewendet werden.

    * Die Sensibilität der Daten ist nicht erhöht; es werden keine besonderen Datenkategorien, Kommunikations-, Standort- oder Finanzdaten übermittelt.
    * Die Sensibilität ist gering; übermittelt werden ausschließlich einfache Nutzerdaten (Name, E-Mail, Nutzer-ID, Rolle), geschäftliche Kontaktdaten oder grundlegende System-Protokolldaten.
    * Die Daten sind für staatliche Stellen uninteressant, weil sie für nationale Sicherheit, Landesverteidigung, öffentliche Sicherheit oder Strafverfolgung irrelevant sind.
    * Das Geschäftsfeld des Datenempfängers oder die Verarbeitungszwecke machen einen Zugriff staatlicher Stellen äußerst unwahrscheinlich.
    * Das Datenformat erschwert einen automatisierten Zugriff (unstrukturierte Daten, Papierform, pseudonymisierte oder verschlüsselte Daten).
    * Es erfolgt keine Weiterübermittlung an Dritte; die Verarbeitungskette ist überschaubar.
    * Es handelt sich um eine einmalige Übermittlung mit nur kurzer Speicherung beim Empfänger.
    * Die Daten sind physisch innerhalb der EU, des EWR oder eines sicheren Drittstaats gespeichert.

    **Wichtig:** Diese Erwägungen entsprechen einer allgemeinen Risikoabwägung, die der Europäische Datenschutzausschuss in dieser Form nicht anerkennt. Er verlangt öffentliche, relevante, objektive, verlässliche und verifizierbare Quellen. Die Stützung allein auf diese Einzelfallerwägungen birgt daher ein rechtliches Risiko.
  </Accordion>
</Accordions>

### 4.6 Regelmäßige Überprüfung [#46-regelmäßige-überprüfung]

Das TIA ist kein einmaliger Vorgang. Es ist regelmäßig und anlassbezogen zu überprüfen, etwa bei Änderungen der Rechtslage oder der staatlichen Zugriffspraxis im Zielland, in der Regel spätestens nach 24 Monaten. Der nächste Prüftermin ist zu dokumentieren.

Hat das Unternehmen Grund zu der Annahme, dass der Datenempfänger seine Pflichten aus den Klauseln nicht mehr einhalten kann, oder verstößt er gegen sie, sind Abhilfemaßnahmen zu prüfen. Kommen solche nicht in Betracht, ist die Übermittlung auszusetzen. Den Klauseln entsprechend besteht in diesen Fällen ein Kündigungsrecht.

## 5. TIA in der Auftragsverarbeitungskette [#5-tia-in-der-auftragsverarbeitungskette]

Setzt das Unternehmen einen Auftragsverarbeiter in der EU ein, der die Daten an einen Unterauftragsverarbeiter in einem Drittland übermittelt (Delegationsmodell, siehe Abschnitt 2), bleibt das Unternehmen als Verantwortlicher auch für die Einzelfallprüfung dieses Transfers verantwortlich. Der Prüfumfang kann risikoabhängig erfolgen; eine systematische Vorlage und Prüfung aller Verträge des Auftragsverarbeiters mit seinen Unterauftragsverarbeitern ist nicht erforderlich. Das Unternehmen kann sich auf Angaben des Auftragsverarbeiters stützen und darauf aufbauen; das von ihm erstellte TIA kann übernommen oder ergänzt werden.

Grundsätzlich führt das Unternehmen die Einzelfallprüfung selbst durch. Ist das nicht möglich, kommen risikobehaftetere Ansätze in Betracht:

* **Verpflichtung mit Herausgabe und Plausibilitätskontrolle**: Der EU-Auftragsverarbeiter wird vertraglich zur Durchführung eines TIA und zu dessen Herausgabe verpflichtet. Das Unternehmen führt dann zumindest eine Plausibilitätsprüfung durch, etwa ob die Rechtslage im Zielland geprüft wurde und das TIA nicht bloß das Sicherheitskonzept wiederholt.
* **Verpflichtung mit Freistellung**: Ist der Auftragsverarbeiter nicht bereit, das TIA herauszugeben, indiziert dies ein erhöhtes Risiko, das nur bei wenigen und unsensiblen Daten hingenommen werden sollte. Geboten sind dann zusätzliche vertragliche Zusicherungen, etwa Garantien für das Vorliegen eines positiven TIA sowie Haftungsübernahmen und Freistellungen.

<Callout type="warn">
  Gibt der Auftragsverarbeiter sein TIA nicht heraus, kann das Unternehmen seiner Rechenschaftspflicht nur eingeschränkt nachkommen. Möglicherweise liegt gar kein vollwertiges TIA vor. Dieses Vorgehen sollte die Ausnahme bleiben.
</Callout>

<Cards>
  <Card title="Art. 46 DSGVO" href="https://dsgvo-gesetz.de/art-46-dsgvo/" description="Datenübermittlung vorbehaltlich geeigneter Garantien." />

  <Card title="EuGH, Schrems II (C-311/18)" href="/docs/dsgvo-hub/rechtsprechung/1.4.50-eugh-schrems-ii" description="Grundlage der TIA-Pflicht: Privacy Shield ungültig, Standardvertragsklauseln nur mit Zusatzprüfung." />

  <Card title="EDSA-Empfehlungen 01/2020" href="https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en" description="Maßnahmen zur Ergänzung von Übermittlungsinstrumenten (Methodik des TIA, Use Cases, Quellen)." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.