Kowoll Protects Logo +49 7071 770371

Glossar

Drittland-Übermittlung

Übermittlung personenbezogener Daten in Länder außerhalb von EU/EWR — z.B. USA, UK, Indien.

Definition

Eine “Drittland-Übermittlung” liegt vor, wenn personenbezogene Daten in ein Land außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) übertragen werden. Drittländer sind aus EU-Sicht z.B. die USA, das Vereinigte Königreich (nach Brexit, derzeit mit Angemessenheitsbeschluss), die Schweiz (mit Angemessenheitsbeschluss), Indien, China, Singapur.

Drittland-Übermittlungen sind nach Art. 44 ff. DSGVO besonderen Anforderungen unterworfen. Sie sind nur zulässig, wenn ein angemessenes Schutzniveau im Drittland besteht oder geeignete Garantien vereinbart werden.

In der Praxis

Drittland-Konstellationen in fast jedem KMU:

  • Microsoft 365 (Server teils in den USA)
  • Google Workspace (USA)
  • Mailchimp, HubSpot, Salesforce (USA)
  • AWS, Google Cloud, Azure (potenziell weltweit)
  • LinkedIn (USA)
  • WhatsApp Business (USA / Meta)
  • KI-Tools wie ChatGPT, Claude (USA)
  • Hosting bei US-Anbietern

Es gibt drei Wege, eine Drittland-Übermittlung abzusichern:

  1. Angemessenheitsbeschluss der EU-Kommission (Art. 45): z.B. UK, Schweiz, Japan, Südkorea, USA (für Anbieter im “EU-US Data Privacy Framework” / DPF)
  2. Geeignete Garantien (Art. 46): typischerweise Standardvertragsklauseln (SCCs) + Risikobewertung
  3. Ausnahmen (Art. 49): nur in Einzelfällen — Einwilligung, Vertragserfüllung, lebenswichtige Interessen

Seit Schrems II (Juli 2020) müssen bei SCCs zusätzlich technische Maßnahmen geprüft werden — das DPF (seit 2023) hat die Lage für US-Anbieter teilweise entspannt.

Was Sie tun müssen

Für jeden Drittland-Dienstleister:

  • Prüfen, ob Angemessenheitsbeschluss vorliegt — US-Anbieter müssen DPF-zertifiziert sein
  • Wenn kein DPF: SCCs abschließen UND eine “Transfer Impact Assessment” (TIA) durchführen
  • AVV zusätzlich erforderlich, wenn der Drittland-Anbieter Auftragsverarbeiter ist
  • Zusätzliche TOMs prüfen — Verschlüsselung, Pseudonymisierung, ggf. EU-Region beim Cloud-Anbieter wählen
  • Im Verarbeitungsverzeichnis Drittland-Übermittlung dokumentieren
  • In der Datenschutzerklärung gegenüber Betroffenen transparent machen

Wer US-Cloud-Dienste nutzt (was praktisch jedes KMU tut), sollte mindestens einmal jährlich den DPF-Status der Anbieter prüfen — der DPF kann durch EU-Gerichte wieder gekippt werden. Bei Kowoll-Mandanten ist die Drittland-Prüfung Teil des jährlichen Reviews — siehe Leistungen.

Verwandte Begriffe und Seiten