Drittlandtransfer
Ein Drittlandtransfer ist die Übermittlung personenbezogener Daten aus der EU oder dem EWR in ein Land außerhalb dieser Gebiete. Er unterliegt besonderen datenschutzrechtlichen Anforderungen gemäß DSGVO-Kapitel V, um das europäische Schutzniveau auch im Zielland sicherzustellen.
Ausführliche Erklärung
Von einem Drittlandtransfer spricht man, wenn ein Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten in ein Land übermittelt, das weder der Europäischen Union noch dem Europäischen Wirtschaftsraum (Island, Liechtenstein, Norwegen) angehört. Der Europäische Datenschutzausschuss definiert drei kumulative Kriterien: Der Datenexporteur muss für die jeweilige Verarbeitung der DSGVO unterliegen, er übermittelt Daten an einen anderen Verantwortlichen oder Auftragsverarbeiter, und dieser Datenimporteur befindet sich in einem Drittland.
Für KMU ist das Thema hochrelevant, sobald cloudbasierte Software, Webdienste oder internationale Dienstleister eingesetzt werden. Die bloße Tatsache, dass ein Tool „in der Cloud" läuft, bedeutet oft einen Drittlandtransfer – etwa in die USA, nach Indien oder andere Nicht-EU-Standorte. Die DSGVO verlangt für solche Transfers eine zweistufige Prüfung: Zunächst muss die Datenverarbeitung selbst rechtmäßig sein (z. B. auf Basis eines Vertrags oder berechtigter Interessen), und zusätzlich muss ein zulässiges Transferinstrument gemäß Kapitel V vorliegen.
Drei Hauptwege legitimieren einen Drittlandtransfer: Ein Angemessenheitsbeschluss der EU-Kommission (z. B. für Japan, Kanada, Schweiz, UK oder – mit Einschränkungen – USA unter dem EU-US Data Privacy Framework), geeignete Garantien wie Standardvertragsklauseln oder Binding Corporate Rules, oder Ausnahmetatbestände nach Art. 49 DSGVO wie Einwilligung oder Vertragserforderlichkeit. Letztere sind jedoch eng auszulegen und nicht für regelmäßige Übermittlungen geeignet.
Seit dem „Schrems II"-Urteil des EuGH vom Juli 2020 reichen Standardvertragsklauseln allein nicht mehr aus. Unternehmen müssen zusätzlich eine Datentransfer-Folgenabschätzung (Transfer Impact Assessment) durchführen und prüfen, ob das Datenschutzniveau im Zielland durch staatliche Zugriffsmöglichkeiten gefährdet ist. Falls ja, sind ergänzende technische oder organisatorische Maßnahmen nötig – etwa Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung. Datenschutzaufsichtsbehörden prüfen dies mittlerweile koordiniert und verhängen bei Verstößen empfindliche Bußgelder.
Praxisbeispiel
Eine oberösterreichische Steuerberatungskanzlei mit 12 Mitarbeitenden nutzt ein US-amerikanisches CRM-System zur Mandatenverwaltung. Da der Anbieter Serverzugriff von den USA aus hat, liegt ein Drittlandtransfer vor. Die Kanzlei prüft zunächst, ob der Anbieter am EU-US Data Privacy Framework teilnimmt. Falls nicht, müssen aktuelle Standardvertragsklauseln abgeschlossen und ein Transfer Impact Assessment dokumentiert werden, um die Rechtmäßigkeit nachzuweisen.