Datenschutz-Beratung DSGVO Datenbank
Drittland-Radar

Drittländer & DSGVO: Datentransfer in Länder außerhalb der EU.

Jeder Transfer personenbezogener Daten in ein Drittland erfordert eine Rechts­grundlage. Welche gilt für welches Land, und was ist dabei zu beachten?

Grundlagen

Internationaler Datentransfer nach DSGVO.

Die DSGVO erlaubt Datentransfers in Länder außerhalb des EWR nur unter strengen Voraussetzungen. Art. 44 DSGVO legt fest: Jede Übermittlung personenbezogener Daten in ein Drittland bedarf einer eigenen Rechtsgrundlage. Diese kommt zusätzlich zur Rechtsgrundlage für die Verarbeitung selbst.

Die Hierarchie der Transfermechanismen ist klar: Angemessenheitsbeschlüsse der EU-Kommission (Art. 45 DSGVO) sind die einfachste Option. Fehlt ein Beschluss, kommen geeignete Garantien nach Art. 46 DSGVO in Betracht, am häufigsten Standardvertragsklauseln (SCCs). Verbindliche interne Datenschutzregeln (BCRs) sind nur für Konzerne relevant. Ausnahmen nach Art. 49 DSGVO sind auf Einzelfälle beschränkt.

Seit dem Schrems-II-Urteil des EuGH (2020) müssen Unternehmen bei SCCs-gestützten Transfers zusätzlich ein Transfer Impact Assessment (TIA) durchführen: eine Einzelfallprüfung, ob das Schutzniveau im Empfängerland dem der DSGVO tatsächlich gleichwertig ist.

Transfermechanismen

Die vier Wege des legalen Datentransfers.

Geordnet nach praktischer Relevanz und Einfachheit der Umsetzung.

Art. 45 DSGVO

Angemessenheitsbeschluss

Die EU-Kommission hat das Datenschutzniveau des Empfängerlandes förmlich als angemessen anerkannt. Datentransfers in diese Länder sind ohne weitere Maßnahmen möglich. Sie stehen Transfers innerhalb der EU gleich. Derzeit liegen Beschlüsse für 16 Länder vor (u. a. Schweiz, UK, Japan, Südkorea, USA-DPF, Brasilien).

Einfachste Option

Art. 46 Abs. 2 lit. c DSGVO

Standard­vertragsklauseln (SCCs)

Standardvertragsklauseln sind von der EU-Kommission vorformulierte Vertragsklauseln, die zwischen dem Exporteur und dem Importeur im Drittland abgeschlossen werden. Seit dem Schrems-II-Urteil ist ein Transfer Impact Assessment (TIA) zwingend: Das Schutzniveau muss im Einzelfall geprüft werden. Seit 2021 gibt es aktualisierte SCCs, die auch Auftragsverarbeiter-Ketten abdecken.

Häufigste Alternative

Art. 46 Abs. 2 lit. b DSGVO

Verbindliche interne Datenschutz­regeln (BCRs)

Binding Corporate Rules (BCRs) sind konzernweite Datenschutzrichtlinien, die von einer federführenden Aufsichtsbehörde genehmigt werden. Sie ermöglichen Datentransfers innerhalb eines internationalen Konzerns ohne Einzelverträge. Das Genehmigungsverfahren ist aufwändig und dauert in der Regel mehrere Jahre; BCRs kommen daher nur für größere Unternehmensgruppen mit regelmäßigen konzerninternen Transfers infrage.

Nur für Konzerne

Art. 49 DSGVO

Ausnahmen

Art. 49 DSGVO enthält eng begrenzte Ausnahmetatbestände: ausdrückliche Einwilligung der betroffenen Person, Vertragserfüllung, wichtige Gründe des öffentlichen Interesses oder lebenswichtige Interessen. Die Ausnahmen sind restriktiv auszulegen und taugen nicht als Dauergrundlage für systematische Transfers. Sie sind auf nicht wiederholte, nur gelegentlich notwendige Einzel­übermittlungen beschränkt.

Nur für Einzelfälle
Aktueller Stand

Nach dem Schrems-II-Urteil des EuGH (Juli 2020) sind Datentransfers in Drittländer ohne angemessenes Schutzniveau nur noch möglich, wenn die Schutzwirkung der verwendeten Garantien im Einzelfall sichergestellt ist. Für SCCs-Transfers bedeutet das: ein Transfer Impact Assessment ist keine freiwillige Best Practice, sondern rechtlich geboten. Die EDSA-Empfehlungen 01/2020 beschreiben den Prozess in sechs Schritten.

Angemessenheitsbeschlüsse

Länder mit EU-Angemessenheitsbeschluss.

Datentransfers in diese 16 Länder sind ohne zusätzliche Garantien möglich, soweit keine besonderen Einschränkungen gelten (siehe Hinweisboxen).

🇺🇸

USA

Beschluss seit 10. Juli 2023 (EU-US-DPF)

Nur für DPF-zertifizierte Unternehmen.

Angemessenheitsbeschluss
Politisch fragil: NOYB-Klage beim EuGH anhängig; Auswirkungen der Trump-Administration auf das Framework unklar. Nicht-zertifizierte US-Unternehmen erfordern weiterhin SCCs.
Zur EU-Quelle →
🇬🇧

Vereinigtes Königreich

Beschluss seit 28. Juni 2021

Befristet; an UK-Datenschutzentwicklung geknüpft.

Angemessenheitsbeschluss
UK-Gesetzgebung (z. B. Data (Use and Access) Bill) beobachten: bei wesentlicher Absenkung des Schutzniveaus droht Widerruf des Beschlusses.
Zur EU-Quelle →
🇨🇭

Schweiz

Beschluss seit 26. Juli 2000

Positiv überprüft nach nDSG-Inkrafttreten (Sept. 2023).

Angemessenheitsbeschluss Zur EU-Quelle →
🇯🇵

Japan

Beschluss seit 23. Januar 2019

Gegenseitiger Beschluss; Supplementary Rules zum APPI erforderlich.

Angemessenheitsbeschluss Zur EU-Quelle →
🇰🇷

Südkorea

Beschluss seit 17. Dezember 2021

Nur für kommerzielle Verarbeitungen; Sicherheitsbehörden ausgenommen.

Angemessenheitsbeschluss
Nicht für Transfers an Sicherheitsbehörden oder zu nationalen Sicherheitszwecken anwendbar.
Zur EU-Quelle →
🇨🇦

Kanada

Beschluss seit 20. Dezember 2001

Nur für kommerzielle Organisationen unter PIPEDA.

Angemessenheitsbeschluss
Behörden und Provinzen mit eigenem Datenschutzgesetz (Quebec, Alberta, British Columbia) sind ausgenommen.
Zur EU-Quelle →
🇳🇿

Neuseeland

Beschluss seit 19. Dezember 2012

Angemessenheitsbeschluss Zur EU-Quelle →
🇮🇱

Israel

Beschluss seit 31. Januar 2011

Angemessenheitsbeschluss Zur EU-Quelle →
🇦🇷

Argentinien

Beschluss seit 30. Juni 2003

Angemessenheitsbeschluss Zur EU-Quelle →
🇺🇾

Uruguay

Beschluss seit 21. August 2012

Angemessenheitsbeschluss Zur EU-Quelle →
🇦🇩

Andorra

Beschluss seit 19. Oktober 2010

Angemessenheitsbeschluss Zur EU-Quelle →
🇫🇴

Färöer-Inseln

Beschluss seit 5. März 2010

Autonomes Territorium Dänemarks; kein EU/EWR-Mitglied.

Angemessenheitsbeschluss Zur EU-Quelle →
🇬🇬

Guernsey

Beschluss seit 21. November 2003

Eigener Beschluss, unabhängig vom UK-Beschluss.

Angemessenheitsbeschluss Zur EU-Quelle →
🇮🇲

Isle of Man

Beschluss seit 28. April 2004

Eigener Beschluss, unabhängig vom UK-Beschluss.

Angemessenheitsbeschluss Zur EU-Quelle →
🇯🇪

Jersey

Beschluss seit 8. Mai 2008

Eigener Beschluss, unabhängig vom UK-Beschluss.

Angemessenheitsbeschluss Zur EU-Quelle →
🇧🇷

Brasilien

Beschluss seit 27. Januar 2026 (EU) 2026/179

Gegenseitiger Beschluss. Grundlage: LGPD (Lei Geral de Proteção de Dados).

Angemessenheitsbeschluss Zur EU-Quelle →
Erhöhtes Risiko

Länder mit besonders kritischem Transferstatus.

Bei diesen Ländern sind SCCs allein in der Regel nicht ausreichend oder Transfers faktisch nicht rechtskonform gestaltbar.

🇨🇳

China (Volksrepublik)

Erhöhtes Risiko

PIPL, DSL und CSL schaffen weitreichende staatliche Zugriffspflichten ohne unabhängige Kontrolle. SCCs sind formal möglich, können aber faktisch keine gleichwertige Schutzwirkung entfalten, wenn chinesische Behörden Direktzugriff erzwingen können. Transfer Impact Assessment zwingend erforderlich; in vielen Fällen wird kein ausreichendes Schutzniveau erreichbar sein.

🇷🇺

Russland

Transfer nicht empfohlen

Datenlokalisierungspflicht (FZ-242), SORM-Überwachungsarchitektur, umfangreiche EU-Sanktionen und der Kontext des Angriffskrieges gegen die Ukraine machen einen DSGVO-konformen Transfer faktisch unmöglich. Bestehende Verarbeitungsbeziehungen mit russischen Dienstleistern sollten auf alternative Anbieter umgestellt werden.

🇧🇾

Belarus

Transfer nicht empfohlen

Umfangreiche EU-Sanktionen, fehlender rechtsstaatlicher Datenschutzrahmen und weitreichende staatliche Einflussnahme machen rechtskonforme Datentransfers faktisch nicht möglich. Geschäftsbeziehungen mit belarussischen Auftragsverarbeitern sollten überprüft werden.

🇭🇰

Hongkong (VR China)

Erhöhtes Risiko

Das Nationale Sicherheitsgesetz (NSL) von 2020 ermöglicht chinesischen Behörden weitreichende Zugriffsrechte auch auf in Hongkong gehaltene Daten. Trotz formal hohem Datenschutzniveau durch den PDPO ist ein detailliertes TIA mit NSL-Risikoanalyse zwingend. Hongkong kann nicht mehr wie ein sicheres Drittland behandelt werden.

FAQ

Häufige Fragen zu Drittlandtransfers.

Verwandte Themen

Als Drittland gilt jedes Land außerhalb des Europäischen Wirtschaftsraums (EWR), also außerhalb der EU plus Norwegen, Island und Liechtenstein. Jede Übermittlung personenbezogener Daten in ein Drittland ist ein Drittlandtransfer und erfordert eine eigene Rechtsgrundlage nach Art. 44 ff. DSGVO. Selbst ein einzelnes E-Mail an einen Empfänger in den USA fällt darunter. Auch die bloße Zugriffsmöglichkeit eines Drittlandes auf in der EU gespeicherte Daten kann als Transfer gewertet werden.

Ein Transfer Impact Assessment ist eine Einzelfallprüfung, ob das Schutzniveau im Empfängerland dem der DSGVO tatsächlich gleichwertig ist. Es ist seit dem Schrems-II-Urteil des EuGH bei SCCs-gestützten Transfers Pflicht. Das TIA bewertet insbesondere staatliche Zugriffsrechte, die Unabhängigkeit der Justiz und praktische Rechtsdurchsetzbarkeit im Empfängerland. Der EDSA hat in seinen Empfehlungen 01/2020 einen sechs­stufigen Prüfprozess beschrieben.

Ja, wenn der Anbieter am EU-US Data Privacy Framework (DPF) teilnimmt und für die relevante Verarbeitungsart zertifiziert ist. Die DPF-Zertifizierung kann unter dataprivacyframework.gov überprüft werden. Nicht-zertifizierte US-Anbieter erfordern weiterhin SCCs mit TIA. Angesichts laufender EuGH-Verfahren (NOYB-Klage) empfiehlt sich eine kontinuierliche Beobachtung der Situation.

Ein Widerruf des Beschlusses (wie beim Privacy Shield 2020) bedeutet, dass laufende Datentransfers sofort einer neuen Rechtsgrundlage bedürfen. In der Praxis ist eine Übergangszeit zur Implementierung von SCCs möglich, aber die Transfers dürfen nicht einfach fortgesetzt werden. Unternehmen sollten für ihre wesentlichen Drittlandtransfers immer eine Ausweichlösung (SCCs als Backup) vorbereitet haben.

Unerlaubte Drittlandtransfers können mit Bußgeldern bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 2 DSGVO). Das bislang höchste Bußgeld für einen Drittlandtransfer hat die niederländische AP im April 2026 gegen Yango (Taxi-App) verhängt: 100 Millionen Euro für Übermittlungen nach Russland trotz formal verwendeter SCCs. Daneben drohen Anordnungen zur Einstellung des Transfers und Schadensersatzansprüche betroffener Personen.

Drittlandtransfer professionell gestalten.

Checkmate Experts begleitet Unternehmen bei SCCs, TIA und der Auswahl geeigneter Transfermechanismen.

Beratung anfragen