DSGVO Artikel 44-49: Drittlandtransfer #

Was ist ein Drittlandtransfer? #

Drittland: Ein Land außerhalb der EU/EWR (z. B. USA, China, Singapur)

Drittlandtransfer: Das Übertragen von Personendaten in diese Länder

Problem: Länder außerhalb EU haben oft weniger Datenschutz. Die sagt: Du darfst nur transferieren, wenn das Drittland ein “angemessenes Schutzniveau” hat.

Welche Länder sind “angemessen”? #

EU-Kommission hat folgende Länder als angemessen zertifiziert:

  • Schweiz
  • Japan
  • Südkorea
  • Vereinigtes Königreich (UK) — provisorisch
  • Argentinien
  • Kanada
  • Uruguay
  • Neuseeland

Bewusst NICHT auf der Liste:

  • ❌ USA (wegen , Privacy Shield wurde aufgehoben)
  • ❌ China
  • ❌ Indien
  • ❌ Australien

Aber: EU-US DPF erlaubt wieder US-Transfers (seit Juli 2023), mit DPF-Zertifikat.

Transfers ohne Angemessenheitsbeschluss (Art. 46–49) #

Wenn das Land nicht “angemessen” ist, brauchen Sie eines dieser Instrumente:

1. Standard Contractual Clauses (SCC)

Was ist das? Vertragliche Klauseln, die der Auftragsverarbeiter (z. B. AWS) unterschreibt. Diese sagen: “Wir halten -Standards ein, auch wenn Drittland nicht tut.”

Problem: Schrems II hat gezeigt, dass SCCs nicht immer reichen ( überschreibt Vertrag).

Wann nutzen: Z. B. AWS mit SCC ist “wahrscheinlich okay”, aber nicht 100% rechtssicher.

2. Binding Corporate Rules (BCR)

Was ist das? Interne Konzernrichtlinien (für Konzerne mit mehreren Standorten). Der Konzern verpflichtet sich, überall gleiche Datenschutz-Standards zu halten.

Wann nutzen: Nur für Konzerne (nicht KMU), und nur wenn alle Standorte -Anforderungen erfüllen.

3. Adequacy Decisions (für Australien, Kanada, etc.)

Was ist das? Ein Beschluss der EU-Kommission, dass das Land angemessenes Schutzniveau hat.

Wann nutzen: Wenn Ihr Drittland auf der Liste ist (Schweiz, Japan, UK, etc.).

DSGVO Artikel 28: Auftragsverarbeitung #

Was ist Auftragsverarbeiter? #

Verantwortlicher: Das Unternehmen, das Daten sammelt (z. B. Sie)

Auftragsverarbeiter: Das Unternehmen, das Daten für Sie verarbeitet (z. B. Cloud-Provider)

Beispiel:

  • Sie sammeln Kundendaten (Verantwortlicher)
  • Sie speichern sie bei AWS S3 (Auftragsverarbeiter)
  • AWS darf die Daten NUR gemäß Ihrer Anweisungen verarbeiten

Anforderungen für Auftragsverarbeitung #

Sie müssen mit dem Auftragsverarbeiter einen Vertrag abschließen (Data Processing Agreement, DPA):

Wichtige Punkte im DPA:

  • [ ] Zweck und Art der Verarbeitung
  • [ ] Sicherheitsmaßnahmen (Krypto, Zugriffskontrolle)
  • [ ] Ort der Verarbeitung (Cloud-Region)
  • [ ] Dauer der Verarbeitung
  • [ ] Recht des Verantwortlichen auf Audits
  • [ ] Löschung nach Vertragsenende
  • [ ] Unterauftragsverarbeiter (wenn AWS sub-contractor nutzt)

Große Clouds haben DPA-Templates:

  • AWS hat “Data Processing Addendum”
  • Microsoft Azure hat “Data Processing Supplement”
  • Google Cloud hat “Data Processing Amendment”

Wichtig: Ohne DPA verstößt Sie gegen Art. 28.

“Angemessenes Schutzniveau” — Was bedeutet das? #

Die sagt, Daten dürfen nur in Länder mit “angemessenem Schutzniveau” transferiert werden.

Was ist “angemessen”?

  • Ähnliche Datenschutz-Gesetze wie
  • Transparenz (Benutzer sollen wissen, wer auf Daten zugreift)
  • Kontrollierte Zugriffsrechte (nicht Blanko-Zugriffsrechte für Geheimdienste)
  • Recht auf Beschwerde gegen Regierungs-Zugriffe
  • Enforcement (wer setzt Datenschutz durch?)

USA problematisch, weil:

  • erlaubt Geheimdiensten Massenüberwachung
  • ❌ Keine echte Transparenz über Zugriffe
  • ❌ Keine effektive Beschwerdemöglichkeit für Betroffene
  • ✅ Aber: EU-US DPF (seit 2023) soll das verbessern

Praktische Implikationen #

Szenario 1: Kundendaten bei AWS US #

Was ist legal?

  • Mit DPF-Zertifikat (AWS hat das): Ja, aktuell legal
  • Mit Standard Contractual Clauses (allein): Wahrscheinlich, aber rechtsunsicher
  • Ohne irgendwelche Maßnahmen: ❌ Nein, illegal

RTC: 6–18 Monate, wenn Datenschutzbehörde kontrolliert und findet, dass es falsch war.

Szenario 2: Kundendaten bei europäischer Cloud (z. B. Scaleway) #

Was ist legal?

  • ✅ Ja, automatisch okay (europäisches Unternehmen, EU-Datenschutz)
  • Nur DPA erforderlich (Standard-Vorlage)

Szenario 3: Kundendaten bei chinesischer Cloud (z. B. Alibaba Cloud China) #

Was ist legal?

  • ❌ Ohne spezielle Angemessenheits-Beschluss nein
  • Nur möglich mit SCC ODER BCR, aber: China Datenschutz-Risiko sehr hoch
  • Empfehlung: Nicht machen

Häufige Fragen #

Reicht ein DPA aus, um US-Cloud zu nutzen? Nein. Ein DPA regelt nur, wie der Cloud-Provider Ihre Daten behandelt. Es schützt nicht vor . Sie brauchen auch:

  • DPF-Zertifikat (AWS hat), oder
  • Standard Contractual Clauses + zusätzliche Schutzmaßnahmen

Was ist eine zusätzliche Schutzmaßnahme? Z. B.:

  • Encryption at Rest (mit Keys, die Sie halten)
  • Pseudonymisierung (Namen entfernen, nur Nummern speichern)
  • Data Minimization (nur notwendige Daten speichern)

Was passiert, wenn ich nicht -konform bin? Bußgelder bis 4% des globalen Jahresumsatzes (kann Millionen EUR sein). Plus: Betroffene können Sie verklagen.

Sind deutsche Cloud-Provider sicherer? Ja, automatisch -konform. Aber: Teurer (30–50% mehr als AWS). Trade-off zwischen Kosten und Sicherheit.

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.