- DSGVO Kapitel V: Übermittlung personenbezogener Daten an Nicht-EWR-Länder sind eingeschränkt, es sei denn, ein gültiger Übertragungsmechanismus ist vorhanden
- Drei Hauptmechanismen: Angemessenheitsentscheidung, Standardvertragsklauseln (SCCs), Bindung Corporate Rules (BCRs)
- Verwenden eines US SaaS-Tools, das die personenbezogenen Daten der EU verarbeitet, die wahrscheinlich eine Übertragung beinhalten — überprüfen Sie Ihre DPA
- Das EU-US Data Privacy Framework (DPF) bietet einen neuen Angemessenheitsmechanismus für US-Unternehmen, die unter ihm zertifiziert sind
Eine grenzüberschreitende Datenübermittlung liegt immer dann vor, wenn personenbezogene Daten in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) gesendet oder von dort aus abgerufen werden. Dazu gehört das Senden einer Kundendatei an einen US-Kollegen, die Nutzung eines in den USA gehosteten Cloud-Speichers oder die Gewährung von Zugriff auf Ihr CRM für ein Supportteam außerhalb des EWR. Bei der Einschränkung geht es nicht um Grenzen an sich – es geht darum, den Schutz sicherzustellen, den die DSGVO auf Reisen mit den Daten bietet.
Verwandter HubSecure-Kaufpfad
Compliance-CRM-Leitfaden Compliance-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Warum besteht die Beschränkung
Die Übermittlungsbeschränkungen der DSGVO bestehen, da nicht alle Länder über Datenschutzstandards verfügen, die denen der EU entsprechen. Wenn personenbezogene Daten den EWR verlassen, müssen die Rechte der betroffenen Person und die Pflichten des Verantwortlichen weiterhin gelten. Die Transfermechanismen sind die rechtlichen Instrumente, die dies ermöglichen.
Entscheidungen der Angemessenheit
Eine Angemessenheitsentscheidung ist eine Feststellung der Europäischen Kommission, dass ein Nicht-EWR-Land ein im Wesentlichen gleichwertiges Datenschutzniveau bietet. Zu den Ländern mit Angemessenheitsbeschlüssen gehören das Vereinigte Königreich (nach dem Brexit), Japan, Neuseeland, Kanada (Handelsorganisationen), die Schweiz, Südkorea und Israel. Überweisungen in geeignete Länder können ohne zusätzliche Schutzmaßnahmen erfolgen.
Das im Juli 2023 verabschiedete EU-US Data Privacy Framework (DPF) bietet einen neuen Angemessenheitsmechanismus für Übermittlungen an US-Unternehmen, die sich im Rahmen des DPF selbst zertifiziert haben. Bevor Sie einen US-Anbieter nutzen, prüfen Sie auf der US-DPF-Website, ob dieser DPF-zertifiziert ist.
Wichtig: Angemessenheitsbeschlüsse können vom Gerichtshof der EU für ungültig erklärt werden. Durch die Schrems-I- und Schrems-II-Urteile wurden die Safe-Harbor- und Privacy-Shield-Rahmenwerke ungültig. Die DPF steht vor anhaltenden rechtlichen Herausforderungen. Organisationen, die sich ausschließlich auf den DPF verlassen, sollten in ihren DPAs Fallback-SCCs beibehalten.
Standardvertragsklauseln (SCCs)
Standardvertragsklauseln sind von der Europäischen Kommission genehmigte Mustervertragsklauseln, die den Parteien der Übermittlung DSGVO-äquivalente Verpflichtungen auferlegen. Sie sind der am weitesten verbreitete Transfermechanismus für Organisationen ohne Angemessenheitsbeschluss. Die SCCs 2021 ersetzen die alten Klauseln von 2010 und decken vier Transferszenarien ab:
- Controller an Controller (z. B. Weitergabe von Kundendaten an ein Partnerunternehmen in den USA)
- Verantwortlicher an Auftragsverarbeiter (z. B. Nutzung eines US-Cloud-Dienstes zur Speicherung von EU-Kundendaten)
- Auftragsverarbeiter an Auftragsverarbeiter (z. B. wenn Ihr Auftragsverarbeiter einen US-amerikanischen Unterauftragsverarbeiter beauftragt)
- Auftragsverarbeiter an Verantwortlichen (z. B. ein Auftragsverarbeiter, der Daten an den Verantwortlichen zurücksendet)
Standardvertragsklauseln müssen ohne Änderung der Kernklauseln in den zugrunde liegenden Vertrag integriert werden. Sie müssen außerdem eine Transfer Impact Assessment (TIA) durchführen, um zu beurteilen, ob der rechtliche Schutz im Zielland die Wirksamkeit der Standardvertragsklauseln beeinträchtigt.
Verbindliche Unternehmensregeln (BCRs)
BCRs sind von einer EU-Aufsichtsbehörde genehmigte interne Datenschutzrichtlinien, die es multinationalen Konzernen ermöglichen, personenbezogene Daten innerhalb der Gruppe an Nicht-EWR-Unternehmen zu übermitteln. BCRs sind zeitaufwändig und teuer in der Beschaffung und werden hauptsächlich von großen multinationalen Unternehmen genutzt. Für die meisten KMU sind SCCs praktischer.
Praktische Schritte für regulierte Unternehmen
- Überprüfen Sie Ihren Technologie-Stack – identifizieren Sie jeden Anbieter, der personenbezogene Daten aus der EU verarbeitet oder darauf zugreifen könnte, und wo sich seine Server befinden
- Überprüfen Sie die DPAs – enthält die DPA des Anbieters SCCs oder verweist sie auf die DPF-Zertifizierung?
- Führen Sie TIAs durch – für Übermittlungen in die USA und andere Länder mit weitreichenden staatlichen Zugangsgesetzen
- Dokumentieren Sie alles – Ihr RoPA muss alle Transfers und die vorhandenen Sicherheitsmaßnahmen aufzeichnen
- Bevorzugen Sie in Singapur gehostete Anbieter – wenn es gleichwertige Produkte gibt, beseitigen in Singapur gehostete Dienste das Übertragungsproblem
Zählt der Fernzugriff durch Nicht-EWR-Mitarbeiter als Versetzung?
Ja. Wenn ein Nicht-EWR-Mitarbeiter aus der Ferne auf im EWR gespeicherte personenbezogene Daten zugreifen kann, handelt es sich um eine Übertragung, auch wenn die Daten selbst den EWR nicht physisch verlassen. Es gelten die gleichen Übertragungsmechanismen.
Was ist eine Transferfolgenabschätzung?
Bei einer TIA wird beurteilt, ob die Gesetze und Praktiken im Empfängerland die wirksame Funktionsweise der SCCs verhindern – beispielsweise, ob die Geheimdienste des Landes weitreichende Befugnisse zum Zugriff auf Daten haben. Wenn die TIA Probleme feststellt, müssen Sie ergänzende Maßnahmen ergreifen (zusätzliche Verschlüsselung, Datenminimierung, vertragliche Schutzmaßnahmen) oder die Übertragung stoppen.
Vom ersten Tag an auf DSGVO-Konformität ausgelegt
HubSecure wird derzeit in Singapur ausgerichtet, die EU-Infrastruktur (Frankfurt) wird im dritten Quartal 2026 verfügbar sein. Jedes DPA enthält EU-Standardvertragsklauseln und eine Zusammenfassung der Transferfolgenabschätzung. Wir sind transparent in Bezug auf unsere Struktur – HubSecure Holding LLC, Wyoming – und bieten unseren Kunden die Verträge, die sie benötigen, um heute konform zu bleiben.
Unsere Sicherheitsseite ansehenOffizielle Quellen und weiterführende Literatur
Nutzen Sie diese öffentlichen Quellen, um den regulatorischen Hintergrund und die Terminologie zu überprüfen. Bei den Inhalten von HubSecure handelt es sich um Produkthinweise, nicht um Rechtsberatung.
Hinweise zur Glaubwürdigkeit
Dieser Leitfaden dient der Produkt- und Betriebsbewertung und stellt keine Rechtsberatung dar. Bestätigen Sie bei Compliance-Verpflichtungen die Anforderungen mit einem qualifizierten Berater oder der zuständigen Aufsichtsbehörde.
Verwandte HubSecure-Referenzen: Sicherheit · DPA · Unterauftragsverarbeiter · AML/KYC-Glossar · RBAC-Glossar
Überprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien