Datenschutz Informationssicherheit KI-Compliance Unternehmens-Compliance
Ratgeber

Drittlandübermittlung nach Russland und China: SCCs allein reichen nicht.

Das Yango-Bußgeld der niederländischen Datenschutzbehörde zeigt: Standardvertragsklauseln schützen nicht, wenn lokales Recht Behördenzugriff erzwingt und Verschlüsselungsschlüssel im Zielland liegen.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Hochrisikostaaten ohne Angemessenheitsbeschluss.

Für eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU muss ein angemessenes Schutzniveau sichergestellt sein. Die EU hat Angemessenheitsbeschlüsse für eine begrenzte Anzahl von Ländern erlassen. Für Russland und China bestehen keine solchen Beschlüsse.

Ohne Angemessenheitsbeschluss sind Transfermechanismen nach Art. 46 DSGVO erforderlich, am häufigsten Standardvertragsklauseln (SCCs). Diese sind jedoch keine absolute Freigabe. Das Schrems-II-Urteil des EuGH (C-311/18, 2020) hat klargestellt: SCCs müssen von einem Transfer Impact Assessment (TIA) begleitet werden, das prüft, ob das Schutzniveau im Zielland faktisch eingehalten werden kann.

Genau daran scheitern Transfers nach Russland und China regelmäßig. Beide Länder haben Gesetze erlassen, die inländische Unternehmen zur Zusammenarbeit mit staatlichen Sicherheitsbehörden und zur Herausgabe von Daten verpflichten. Diese Verpflichtungen lassen sich vertraglich nicht wegbedingen.

Hintergrund

Art. 44 bis 49 DSGVO regeln Drittlandübermittlungen. Art. 46 Abs. 2 lit. c erlaubt SCCs als Transfermechanismus. Ergänzend gelten die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDSA) zum TIA sowie der EuGH-Beschluss Schrems II (C-311/18).

Leitentscheidung 2026

AP Niederlande vs. Yango: 100 Millionen Euro Bußgeld.

Die Autoriteit Persoonsgegevens (AP, niederländische Datenschutzbehörde) hat am 1. April 2026 gegen MLU B.V., die europäische Muttergesellschaft der Taxi-App Yango und Tochter des russischen Technologiekonzerns Yandex, ein Bußgeld von 100 Millionen Euro verhängt. Es ist das zweithöchste DSGVO-Bußgeld in der Geschichte der Verordnung.

Yango hatte personenbezogene Daten finnischer und norwegischer Nutzer auf Servern in Russland gespeichert und verarbeitet. Die Datenkategorien waren besonders sensibel: Führerscheinscans, genaue Standortverläufe, Fahrten- und Zeitstempeldaten, Chatverläufe, Kontodaten und Sozialversicherungsnummern.

Das Unternehmen hatte SCCs eingesetzt. Die Behörde kam dennoch zu dem Ergebnis, dass kein wirksamer Schutz bestand. Drei Mängel waren ausschlaggebend.

Falscher SCC-Typ gewählt

Die verwendeten SCCs deckten eine Auftragsverarbeitungsbeziehung ab. Die russische Einheit war jedoch als gemeinsamer Verantwortlicher einzustufen. Der gewählte Transfermechanismus war damit auf die tatsächliche Datenverarbeitungsstruktur nicht anwendbar.

Verschlüsselungsschlüssel in Russland

Verschlüsselung schützt nur dann vor staatlichem Zugriff, wenn die Schlüssel außerhalb des Zugriffsbereichs lokaler Behörden liegen. Im Fall Yango wurden die Schlüssel auf russischen Servern verwaltet, sodass die Verschlüsselung keinen effektiven Schutz bot.

Russisches Recht schlägt Vertragsrecht

Das russische Yarovaya-Paket verpflichtet Telekommunikations- und Internetdienste zur Vorratsdatenspeicherung und zum Zugang durch den FSB. Diese gesetzliche Pflicht kann durch privatrechtliche Vereinbarungen nicht außer Kraft gesetzt werden.

Interessenkonflikt in der Geschäftsleitung

Dieselbe Person war gleichzeitig Direktor der niederländischen und der russischen Einheit. Dieser Interessenkonflikt untergrub die organisatorische Trennung, die für eine wirksame Umsetzung der SCCs erforderlich gewesen wäre.

Praxistipp

Das Urteil ist kein Einzelfall. Es systematisiert, warum Datentransfers nach Russland unter der DSGVO strukturell problematisch sind. Jeder dieser Mängel ist eigenständig bußgeldrelevant. Unternehmen mit russischen oder chinesischen Konzerneinheiten, Subdienstleistern oder Cloud-Standorten müssen ihre Transfermechanismen überprüfen.

Pressemitteilung der AP (englisch) →

Länderspezifisches Risiko

Warum SCCs strukturell versagen.

Russland: Yarovaya-Paket

Das Yarovaya-Gesetzespaket (2016/2018) verpflichtet Internet- und Telekommunikationsdienste, Kommunikationsdaten bis zu sechs Monate zu speichern und dem FSB auf Anforderung zugänglich zu machen. Für Metadaten gilt eine dreijährige Aufbewahrungspflicht. Eine Weigerung ist strafbewehrt. SCCs können diesen staatlichen Zugriff vertraglich nicht ausschließen.

  • Datenspeicherungspflicht auf russischen Servern für bestimmte Dienste
  • FSB-Zugriff auf Verschlüsselungsschlüssel und Inhaltsdaten
  • Keine gerichtliche Vorabkontrolle bei Datenzugriffen der Sicherheitsdienste

China: DSL und PIPL

Das chinesische Data Security Law (DSL, 2021) und das Personal Information Protection Law (PIPL, 2021) verpflichten Unternehmen in China zur Kooperation mit Sicherheitsbehörden und zur Datenweitergabe auf Anordnung. Das PIPL verlangt zusätzlich eine Sicherheitsbewertung durch die Cyberspace Administration of China (CAC) vor grenzüberschreitenden Übermittlungen.

  • Pflicht zur Datenweitergabe an chinesische Sicherheitsbehörden
  • CAC-Sicherheitsbewertung vor grenzüberschreitenden Übermittlungen
  • Lokalisierungspflicht für kritische Infrastruktur- und Sensitivdaten

Technische Schutzmaßnahmen

Technische Maßnahmen können staatlichen Zugriff in bestimmten Konstellationen faktisch ausschließen. Voraussetzung ist, dass die Schlüsselverwaltung vollständig außerhalb des Ziellandes liegt und die empfangende Partei keinen Zugriff auf Klartextdaten hat. Das Yango-Urteil zeigt, was dabei schiefgehen kann.

  • Verschlüsselung nur wirksam, wenn Schlüssel nicht im Zielland liegen
  • End-to-End-Verschlüsselung mit kundenseitigem Schlüsselmanagement als Ansatz
  • Pseudonymisierung vor Übermittlung: Zuordnung nur beim Sender möglich

Organisatorische Risiken

Auch korrekt aufgesetzte SCCs können scheitern, wenn die Trennlinie zwischen europäischem und ausländischem Konzernunternehmen faktisch nicht besteht. Gemeinsame Führungspersonen, geteilte IT-Infrastruktur und konzerninterner Datenzugriff können die SCC-Schutzwirkung aufheben.

  • Keine personellen Überschneidungen zwischen EU- und Risikoland-Einheit
  • Getrennte IT-Systeme ohne Cross-Access
  • Kein gemeinsames Single-Sign-On oder konsolidiertes Identity Management
Handlungsbedarf

Was Unternehmen jetzt tun müssen.

01

Drittlandtransfers inventarisieren

Alle Verarbeitungen mit Bezug zu russischen oder chinesischen Einheiten, Subdienstleistern oder Hosting-Standorten identifizieren. Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist der Ausgangspunkt.

02

Transfer Impact Assessment durchführen

Das TIA muss das Rechtssystem des Ziellandes auf behördliche Zugriffsrechte, Datenlokalisierungspflichten und fehlende Rechtsschutzmöglichkeiten prüfen. Für Russland und China ist das Ergebnis typischerweise negativ.

03

Technische Maßnahmen bewerten

Prüfen, ob zusätzliche technische Maßnahmen staatlichen Zugriff faktisch verhindern. Entscheidend: Wo liegen die Verschlüsselungsschlüssel, wer hat Administratorzugriff auf die Infrastruktur?

04

Transfer aussetzen oder umstrukturieren

Ist kein wirksamer Schutz umsetzbar, muss der Transfer gemäß Art. 44 DSGVO ausgesetzt oder der Verarbeitungsweg umstrukturiert werden. Die Entscheidung und ihre Grundlage sind zu dokumentieren.

FAQ

Häufige Fragen zur Drittlandübermittlung.

Verwandte Themen

SCCs sind ein vertragliches Instrument zwischen den beteiligten Unternehmen. Sie können nicht verhindern, dass Behörden des Ziellandes auf Basis lokalen Rechts Zugriff auf die Daten verlangen. Russlands Yarovaya-Paket und das chinesische Data Security Law verpflichten Unternehmen zur Datenweitergabe an Sicherheitsbehörden. Diese Pflicht ist stärker als jede privatrechtliche Vereinbarung. SCCs müssen deshalb durch technische Maßnahmen ergänzt werden, die staatlichen Zugriff faktisch unmöglich machen. Ist das nicht umsetzbar, sind SCCs allein keine wirksame Rechtsgrundlage.

Besonders riskant sind Daten, die Behörden für Überwachungszwecke nutzen könnten: Standortdaten, Kommunikationsinhalte, biometrische Merkmale, Ausweiskopien, Finanz- und Kontodaten sowie Daten mit Bezug zu politisch oder religiös aktiven Personen. Das Yango-Bußgeld betraf unter anderem Führerscheinscans, genaue Standortverläufe, Chatnachrichten und Sozialversicherungsnummern.

Ein Transfer Impact Assessment (TIA) ist eine strukturierte Prüfung, ob im Zielland ein angemessenes Datenschutzniveau besteht. Vor jeder Übermittlung in ein Drittland ohne Angemessenheitsbeschluss ist ein TIA Pflicht, wenn SCCs als Transfermechanismus genutzt werden. Das TIA muss das Rechtssystem des Ziellandes bewerten, insbesondere Geheimdienstzugriffe, Datenlokalisierungspflichten und fehlende Rechtsschutzmöglichkeiten.

Ja. Entscheidend ist nicht nur, wer der Vertragspartner ist, sondern wo die Daten tatsächlich verarbeitet werden und wer technisch Zugriff hat. Ein europäischer SaaS-Anbieter, der Subdienstleister in China oder Russland einsetzt oder dort Verschlüsselungsschlüssel verwaltet, überträgt faktisch Daten dorthin. Die Verantwortung für das TIA verbleibt beim Verantwortlichen.

Wenn das TIA ergibt, dass kein angemessenes Schutzniveau besteht und technische Maßnahmen dies nicht kompensieren können, muss der Transfer nach Art. 44 DSGVO ausgesetzt werden. Eine Ausnahme nach Art. 49 DSGVO (z. B. Einwilligung, Vertragsdurchführung) kann in Einzelfällen greifen, ist aber als Dauergrundlage für systematische Transfers nicht geeignet.

Datentransfers rechtskonform aufsetzen und dokumentieren.

Wir prüfen Ihre Drittlandtransfers, erstellen TIAs und begleiten die Umstrukturierung.

Kostenloses Erstgespräch buchen