# Konzerninterne Übermittlungen (Data Transfer Agreement)

Wie eine Unternehmensgruppe die vielen internen Datenübermittlungen mit einem einzigen Rahmenvertrag (Intra-Group Data Transfer Agreement) abbildet: Auftragsverarbeitung, gemeinsame Verantwortlichkeit, getrennte Verantwortliche und Drittlandsübermittlung über Standardvertragsklauseln, gesteuert durch eine Verteilerklausel und ein laufend gepflegtes Data Transfer Directory.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.5-konzerninterne-uebermittlungen
> Sprache: en



In einer Unternehmensgruppe fließen ständig personenbezogene Daten zwischen den Gesellschaften: über Matrixstrukturen, Shared Services, zentrale IT-Systeme und konzernweite Funktionen. Jeder dieser Datenflüsse braucht je nach Rollenverteilung einen eigenen Vertrag, und ein Teil davon geht in unsichere Drittländer. Statt für jede Konstellation einen Einzelvertrag zu schließen, lässt sich dies mit einem einzigen Rahmenvertrag bündeln, dem Intra-Group Data Transfer Agreement.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Ein Rahmenvertrag bündelt alle innerhalb der Gruppe nötigen Verträge: Auftragsverarbeitung (Art. 28 DSGVO), gemeinsame Verantwortlichkeit (Art. 26 DSGVO), Übermittlung zwischen getrennten Verantwortlichen und Drittlandsübermittlung über Standardvertragsklauseln (Art. 46 DSGVO).
  * Eine **Verteilerklausel** legt fest, welcher Vertrag bei welcher Konstellation greift, abhängig von Rolle und Sitzland von Exporteur und Empfänger.
  * Ein **Data Transfer Directory** dokumentiert als laufend gepflegtes Verzeichnis für jeden Datentransfer die Pflichtangaben und füllt zugleich die Anhänge der eingebundenen Klauseln.
  * Beitritt und Austritt von Gesellschaften sowie Anpassungen laufen über vereinfachte Mechanismen, ohne den gesamten Vertrag neu zu schließen.
  * Nicht erfasst sind das Transfer Impact Assessment und die materielle Rechtmäßigkeitsprüfung; beide bleiben gesondert zu leisten.
</Callout>

## 1. Ausgangslage und Ziel [#1-ausgangslage-und-ziel]

Ein Konzern besteht datenschutzrechtlich aus vielen selbständig Verantwortlichen. Zwischen ihnen bestehen zahlreiche, sich ändernde Übermittlungssachverhalte (neue Tools, Umstrukturierungen, Käufe und Verkäufe von Beteiligungen), für die je nach Rollenverteilung unterschiedliche Verträge erforderlich sind. Ziel des Rahmenvertrags ist es, die nach der DSGVO vorgeschriebenen Verträge für konzerninterne Übermittlungen einheitlich, flexibel und leicht anpassbar umzusetzen:

* Auftragsverarbeitungsverträge nach Art. 28 DSGVO,
* Standardvertragsklauseln für Übermittlungen in unsichere Drittländer nach Art. 44 ff. DSGVO,
* Vereinbarungen zwischen gemeinsam Verantwortlichen nach Art. 26 DSGVO,
* optional eine Vereinbarung zwischen getrennten Verantwortlichen innerhalb der EU, um eine Rechtsgrundlage für die Übermittlung (etwa das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO) abzusichern.

## 2. Vertragskonstrukt im Überblick [#2-vertragskonstrukt-im-überblick]

Der Rahmenvertrag besteht aus einem allgemeinen Teil, mehreren Anhängen mit Musterklauseln, einer Verteilerklausel und dem Data Transfer Directory.

<Mermaid
  chart="flowchart TD
  R[Rahmenvertrag: allgemeine Regeln,<br/>Beitritt, Anpassung, Laufzeit] --> V{Verteilerklausel:<br/>welche Klausel je Transfer?}
  V --> AVV[Anhang AVV<br/>Art. 28]
  V --> JCA[Anhang JCA<br/>Art. 26]
  V --> CC[Anhang C-C EU]
  V --> SCC[Anhang SCC<br/>Module 1 bis 4]
  D[Data Transfer Directory:<br/>je Transfer Pflichtangaben] -.füllt Anhänge.-> V"
/>

Die Anhänge enthalten je einen Satz fertiger Klauseln. Die Verteilerklausel verweist abhängig von der Konstellation auf den passenden Anhang. Das Data Transfer Directory liefert die transferbezogenen Angaben, die sonst in den Anhängen der einzelnen Verträge auszufüllen wären.

## 3. Die Verteilerklausel [#3-die-verteilerklausel]

Die Verteilerklausel ordnet jeder Übermittlungskonstellation das anzuwendende Instrument zu. Maßgeblich sind die Rolle (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche) und das Sitzland (EU/EWR oder Drittland) von Datenexporteur und Datenempfänger.

| Exporteur                        | Empfänger                            | Anzuwendendes Instrument                                |
| -------------------------------- | ------------------------------------ | ------------------------------------------------------- |
| Verantwortlicher (EU)            | Auftragsverarbeiter (EU)             | Auftragsverarbeitungsvertrag (Art. 28 DSGVO)            |
| gemeinsam Verantwortliche (EU)   | gemeinsam Verantwortliche (EU)       | Vereinbarung gemeinsam Verantwortlicher (Art. 26 DSGVO) |
| getrennter Verantwortlicher (EU) | getrennter Verantwortlicher (EU)     | Vereinbarung getrennter Verantwortlicher (optional)     |
| Verantwortlicher (EU)            | Verantwortlicher (Drittland)         | Standardvertragsklauseln Modul 1                        |
| Verantwortlicher (EU)            | Auftragsverarbeiter (Drittland)      | Standardvertragsklauseln Modul 2                        |
| Auftragsverarbeiter (EU)         | Unterauftragsverarbeiter (Drittland) | Standardvertragsklauseln Modul 3                        |
| Auftragsverarbeiter (EU)         | Verantwortlicher (Drittland)         | Standardvertragsklauseln Modul 4                        |

Die Zuordnung der Module entspricht der allgemeinen Modulstruktur der [Standardvertragsklauseln](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.2-eu-standardvertragsklauseln).

## 4. Das Data Transfer Directory [#4-das-data-transfer-directory]

Das Data Transfer Directory ist ein laufend gepflegtes Verzeichnis aller konzerninternen Übermittlungssachverhalte. Es enthält die Angaben, die sonst sachverhaltsbezogen in den Anhängen zu Auftragsverarbeitungsvertrag, Standardvertragsklauseln oder Vereinbarung gemeinsam Verantwortlicher anzugeben wären, und füllt diese Anhänge zugleich aus.

### 4.1 Pflichtangaben je Transfer [#41-pflichtangaben-je-transfer]

Je Übermittlungssachverhalt (etwa ein Prozess oder ein Tool) sind insbesondere zu erfassen:

* welche Gesellschaft die Daten übermittelt und welche sie erhält,
* die Rolle der übermittelnden und der empfangenden Gesellschaft (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche),
* die Kategorien betroffener Personen und übermittelter Daten, einschließlich besonderer Datenkategorien,
* Art und Zwecke der Verarbeitung,
* Häufigkeit (einmalig oder laufend) und Speicherdauer oder deren Kriterien,
* eingesetzte Unterauftragsverarbeiter sowie die technischen und organisatorischen Maßnahmen.

### 4.2 Form und Pflege [#42-form-und-pflege]

Das Directory kann elektronisch geführt werden, etwa in einem Datenschutzmanagement-Tool, und gegebenenfalls Teil des [Verzeichnisses von Verarbeitungstätigkeiten](/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten) sein. Die Pflege übernimmt zentral die Muttergesellschaft; die beteiligten Gesellschaften haben Einsicht. Typische Sachverhalte sind Matrixorganisation, HR- und CRM-Software, Intranet und Mitarbeiterverzeichnis, zentrale Kommunikations- und Projektwerkzeuge sowie Shared Services.

## 5. Drittlandsübermittlungen im Rahmenvertrag [#5-drittlandsübermittlungen-im-rahmenvertrag]

Für Übermittlungen an einen Empfänger außerhalb von EU/EWR bindet der Rahmenvertrag die Standardvertragsklauseln ein. Praktisch geschieht dies über folgende Festlegungen:

* **Einbindung durch Bezugnahme.** Die Standardvertragsklauseln werden durch Verweis in den Rahmenvertrag einbezogen und mit dessen Inkrafttreten als zwischen den betroffenen Parteien geschlossen behandelt, ohne den Text vollständig wiederzugeben.
* **Anhänge aus den Schedules.** Die Parteiliste und die Beschreibung der Übermittlung aus dem Directory dienen als die entsprechenden Anhänge der Klauseln; die Sicherheitsmaßnahmen bilden den Maßnahmen-Anhang.
* **Optionale Klauseln.** Üblich ist die Wahl der Docking-Klausel (Beitritt weiterer Parteien) sowie für die Module 2 und 3 die allgemeine schriftliche Genehmigung von Unterauftragsverarbeitern mit einer Vorabinformationsfrist (etwa 30 Tage).
* **Aufsichtsbehörde, Rechtswahl und Gerichtsstand** werden einheitlich festgelegt.
* **Fortbestehensklausel.** Werden die Standardvertragsklauseln geändert, ersetzt oder für unwirksam erklärt, verpflichten sich die Parteien, in gutem Glauben auf eine aktualisierte Fassung oder ein anderes geeignetes Übermittlungsinstrument umzustellen.
* **Länderspezifische Anpassungen.** Für Empfänger, die zusätzlichem nationalem Recht unterliegen (etwa das britische Recht), kommt ein ergänzendes Addendum hinzu.

## 6. Mechanik des Rahmenvertrags [#6-mechanik-des-rahmenvertrags]

Damit der Rahmenvertrag mit der Gruppe mitwächst, enthält er einige Verfahrensregeln:

* **Beitritt und Austritt.** Neue Gesellschaften treten über eine Beitrittserklärung bei; austretende Gesellschaften scheiden aus, bleiben aber für bis dahin entstandene Pflichten verantwortlich.
* **Vereinfachte Anpassung.** Die Muttergesellschaft kann den Vertrag unter engen Voraussetzungen einseitig anpassen (etwa bei neuen Standardvertragsklauseln), mit Vorabinformation und einem Widerspruchsrecht der betroffenen Gesellschaften innerhalb einer Frist (etwa sechs Wochen).
* **Abschlussform.** Der elektronische Vertragsschluss genügt; die Gesellschaften senden ein unterzeichnetes Exemplar an die Muttergesellschaft oder nutzen ein E-Signing-Verfahren.
* **Laufzeit und Kündigung** sowie **Fallback-Regelungen** für technische und organisatorische Maßnahmen und Löschfristen runden den Rahmen ab.

## 7. Grenzen des Rahmenvertrags [#7-grenzen-des-rahmenvertrags]

Der Rahmenvertrag stellt die vertraglichen Garantien bereit, ersetzt aber nicht die übrigen Pflichten. Außerhalb seines Anwendungsbereichs bleiben insbesondere:

* das [Transfer Impact Assessment](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.2-eu-standardvertragsklauseln) für jede Drittlandsübermittlung, das gesondert durchzuführen ist,
* die materielle Rechtmäßigkeitsprüfung jeder Übermittlung (Rechtsgrundlage nach Art. 6 DSGVO, Zweckbindung, Speicherfristen, Transparenz, Betriebsvereinbarungen),
* die Berücksichtigung lokaler Datenschutzgesetze außerhalb des eigenen Sitzstaats.

<Callout type="warn">
  Binding Corporate Rules sind eine repräsentative, aber aufwendige Alternative für konzerninterne Drittlandsübermittlungen. Ein gruppeninterner Rahmenvertrag auf Basis der Standardvertragsklauseln erreicht dasselbe Ergebnis mit geringerem Aufwand (siehe [Binding Corporate Rules](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.4-binding-corporate-rules)).
</Callout>

<Cards>
  <Card title="Standardvertragsklauseln und Transfer Impact Assessment" href="/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.2-eu-standardvertragsklauseln" description="Module, Abschluss und das verpflichtende Transfer Impact Assessment." />

  <Card title="Verzeichnis von Verarbeitungstätigkeiten" href="/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten" description="Dokumentationspflicht nach Art. 30 DSGVO, in die sich das Data Transfer Directory einfügt." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.