SimpleAct Logo
DSGVO · Art. 44–49

Drittlandtransfer & Standardvertragsklauseln

Sobald personenbezogene Daten die EU verlassen – etwa über US-Cloud-Dienste – gelten besondere Anforderungen nach Kapitel V der DSGVO. SimpleAct dokumentiert Transfers, Garantien und Transfer Impact Assessments an einem Ort.

Kostenlos starten DSGVO-Compliance ansehen

Was ist ein Drittlandtransfer?

Ein Drittlandtransfer liegt vor, wenn personenbezogene Daten an ein Land außerhalb der EU/des EWR oder an eine internationale Organisation übermittelt werden. Das betrifft in der Praxis fast jedes Unternehmen, das gängige Cloud-, Marketing- oder Analyse-Tools US-amerikanischer Anbieter nutzt. Nach Art. 44 ff. DSGVO ist ein solcher Transfer nur zulässig, wenn ein angemessenes Datenschutzniveau durch geeignete Garantien sichergestellt ist.

Zulässige Transfermechanismen

Angemessenheitsbeschluss (Art. 45)
Für Länder mit anerkannt angemessenem Datenschutzniveau – z. B. über das EU-US Data Privacy Framework für zertifizierte US-Unternehmen.
Standardvertragsklauseln (Art. 46)
Die von der EU-Kommission bereitgestellten SCC sind das häufigste Instrument für Transfers in Länder ohne Angemessenheitsbeschluss.
Transfer Impact Assessment
Ergänzend zu den SCC ist zu prüfen, ob das Recht des Ziellandes das Schutzniveau in der Praxis untergräbt – und ob Zusatzmaßnahmen nötig sind.
Binding Corporate Rules (Art. 47)
Verbindliche interne Datenschutzregeln für Übermittlungen innerhalb eines Konzerns, von der Aufsichtsbehörde genehmigt.

Drittland-Transfers DSGVO-konform absichern

  • Alle Datenflüsse in Drittländer identifizieren und erfassen
  • Je Transfer den passenden Mechanismus festlegen (SCC, Angemessenheit …)
  • Standardvertragsklauseln abschließen und versionieren
  • Transfer Impact Assessment (TIA) durchführen und dokumentieren
  • Erforderliche Zusatzmaßnahmen festlegen (z. B. Verschlüsselung)
  • Transfers im Verarbeitungsverzeichnis vermerken
  • Mechanismen regelmäßig auf Aktualität prüfen

Häufige Fragen zum Drittlandtransfer

Ist die Nutzung von US-Cloud-Diensten erlaubt?

Ja, wenn ein gültiger Transfermechanismus greift. Für nach dem EU-US Data Privacy Framework zertifizierte US-Anbieter besteht ein Angemessenheitsbeschluss; andernfalls sind SCC plus TIA erforderlich.

Was sind Standardvertragsklauseln (SCC)?

Von der EU-Kommission vorformulierte Vertragsklauseln, die ein angemessenes Datenschutzniveau vertraglich absichern. Sie sind unverändert zu übernehmen und um konkrete Angaben zu ergänzen.

Brauche ich zusätzlich zu SCC ein TIA?

In der Regel ja. Seit dem Schrems-II-Urteil muss geprüft werden, ob das Recht des Ziellandes die Garantien der SCC praktisch aushebelt – und ob ergänzende Maßnahmen nötig sind.

Zählt schon der Fernzugriff als Transfer?

Ja. Bereits der Zugriff auf in der EU gespeicherte Daten aus einem Drittland heraus – etwa durch einen Support-Dienstleister – gilt als Übermittlung im Sinne der DSGVO.

Drittland-Transfers mit SimpleAct steuern

Transfers, Standardvertragsklauseln und Transfer Impact Assessments zentral dokumentieren – auskunftsfähig gegenüber Aufsichtsbehörden.

Jetzt kostenlos starten

Weiterführende Themen

DSGVO-ComplianceDatenschutz-FolgenabschätzungVerarbeitungsverzeichnisDSGVO-Modul
Yannick Heisler

Yannick Heisler

Vertrieb · Persönliche Beratung

Drittlandtransfer & Standardvertragsklauseln nach DSGVO – Leitfaden | SimpleAct | SimpleAct