DSGVO: Internationale Datenübermittlungen — SVK, Angemessenheit und das DPF

Internationale Datenübermittlungen gehören zu den komplexesten Bereichen der DSGVO-Compliance, und für SaaS-Unternehmen sind sie nahezu unvermeidlich. Wenn Sie AWS-US-Regionen nutzen, E-Mails über Mailchimp versenden, Analysen mit Amplitude verfolgen, Zahlungen über Stripe abwickeln oder irgendetwas auf einer US-basierten Plattform hosten, überschreiten personenbezogene Daten Grenzen — und die DSGVO hat strenge Regeln darüber, wann und wie das geschehen darf.

Kapitel V der DSGVO (Artikel 44–50) legt fest, dass personenbezogene Daten nur dann außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn angemessene Schutzmaßnahmen bestehen. Die Verordnung bietet mehrere Mechanismen zur Herstellung dieser Schutzmaßnahmen, und die Wahl des richtigen für jeden Datenfluss ist ein kritischer Teil Ihres Compliance-Programms.

Dieser Leitfaden behandelt die verfügbaren Übermittlungsmechanismen, wie sie in der Praxis für SaaS-Unternehmen funktionieren und was Sie dokumentieren müssen.

Warum internationale Übermittlungen wichtig sind

Die Übermittlungsbeschränkungen der DSGVO bestehen, weil Datenschutzgesetze außerhalb des EWR möglicherweise nicht das gleiche Schutzniveau bieten. Wenn personenbezogene Daten den EWR verlassen, können sie ausländischer Regierungsüberwachung, schwächeren Datenschutzregelungen oder unzureichender Durchsetzung unterliegen — all das könnte den von der DSGVO gewährten Schutz untergraben.

Für SaaS-Unternehmen ist das keine abstrakte Sorge. Ihr Anbieter-Stack umfasst mit ziemlicher Sicherheit US-basierte Dienste. Ihre Infrastruktur kann sich über mehrere Kontinente erstrecken. Ihre Kunden können global sein. Jeder dieser Datenflüsse braucht eine gültige Rechtsgrundlage für die Übermittlung.

Übermittlungsmechanismus 1: Angemessenheitsbeschlüsse

Wie es funktioniert

Die Europäische Kommission kann feststellen, dass ein Land (oder ein Sektor innerhalb eines Landes) ein „angemessenes” Datenschutzniveau bietet. Sobald ein Angemessenheitsbeschluss vorliegt, können Daten in dieses Land genauso frei fließen wie innerhalb des EWR — ohne zusätzliche Schutzmaßnahmen.

Derzeit als angemessen anerkannte Länder

Stand 2026 hat die Europäische Kommission Angemessenheitsbeschlüsse erlassen für:

• Andorra, Argentinien, Kanada (kommerzielle Organisationen unter PIPEDA), Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Neuseeland, Republik Korea, Schweiz, Vereinigtes Königreich, Uruguay

Und für die Vereinigten Staaten bietet das EU-US Data Privacy Framework einen sektorspezifischen Angemessenheitsbeschluss (unten im Detail behandelt).

Angemessenheit in der Praxis nutzen

Wenn Ihr Anbieter in einem als angemessen anerkannten Land ansässig ist und dort Daten verarbeitet, können Sie sich ohne zusätzliche vertragliche Schutzmaßnahmen auf den Angemessenheitsbeschluss stützen. Sie sollten jedoch:

• Überprüfen, dass die Verarbeitung des Anbieters tatsächlich im angemessenen Land stattfindet (nicht an ein nicht-angemessenes Land ausgelagert)
• Änderungen von Angemessenheitsbeschlüssen überwachen (die Kommission kann sie widerrufen)
• Den Angemessenheitsbeschluss als Übermittlungsmechanismus in Ihrem VVT dokumentieren

Übermittlungsmechanismus 2: Das EU-US Data Privacy Framework (DPF)

Hintergrund

Das EU-US Data Privacy Framework ersetzte den Privacy Shield (vom Gerichtshof der Europäischen Union in der Schrems-II-Entscheidung 2020 für ungültig erklärt). Das DPF wurde von der Europäischen Kommission im Juli 2023 als Angemessenheitsbeschluss angenommen und ermöglicht Datenübermittlungen an US-Organisationen, die sich unter dem Framework selbst zertifiziert haben.

Wie es funktioniert

US-Organisationen können sich über die International Trade Administration des US-Handelsministeriums für das DPF selbst zertifizieren. Zertifizierte Organisationen verpflichten sich zur Einhaltung einer Reihe von Datenschutzprinzipien (Benachrichtigung, Wahlmöglichkeit, Verantwortlichkeit bei Weitergabe, Sicherheit, Datenintegrität, Zweckbindung, Zugang und Rechtsbehelf/Durchsetzung/Haftung).

DPF-Zertifizierung prüfen

Bevor Sie sich auf das DPF als Übermittlungsmechanismus stützen, überprüfen Sie, ob Ihr spezifischer Anbieter tatsächlich zertifiziert ist:

1. Prüfen Sie die Data Privacy Framework List des US-Handelsministeriums
2. Stellen Sie sicher, dass die Zertifizierung aktuell ist (nicht abgelaufen oder zurückgezogen)
3. Bestätigen Sie, dass die Zertifizierung den Typ der Daten abdeckt, die Sie übermitteln (das DPF unterscheidet zwischen HR-Daten und Nicht-HR-Daten)

Praktische Überlegungen

DPF ist anbieterspezifisch. Der Angemessenheitsbeschluss deckt Übermittlungen an zertifizierte Organisationen ab, nicht alle US-Übermittlungen. Wenn ein Anbieter nicht DPF-zertifiziert ist, benötigen Sie einen anderen Mechanismus.

DPF kann angefochten werden. Datenschutzaktivisten haben bereits Anfechtungen gegen das Framework eingereicht. Obwohl es Stand 2026 besteht, deutet die Geschichte der US-EU-Datentransferabkommen (Safe Harbor 2015 für ungültig erklärt, Privacy Shield 2020 für ungültig erklärt) darauf hin, dass die Langlebigkeit des DPF nicht garantiert ist. SVK als Backup zu haben, ist ratsam.

Unterauftragsverarbeiter-Ketten. Selbst wenn Ihr primärer Anbieter DPF-zertifiziert ist, überprüfen Sie, ob dessen Unterauftragsverarbeiter ebenfalls zertifiziert sind oder durch einen alternativen Übermittlungsmechanismus abgedeckt werden.

Übermittlungsmechanismus 3: Standardvertragsklauseln (SVK)

Wie SVK funktionieren

Standardvertragsklauseln sind von der Europäischen Kommission vorab genehmigte Vertragsbestimmungen, die Datenschutzgarantien für internationale Übermittlungen bieten. Durch die Aufnahme von SVK in Ihren Vertrag mit einem Datenempfänger außerhalb des EWR verpflichten sich beide Parteien zu bestimmten Datenschutzpflichten.

Die aktuellen SVK

Die Europäische Kommission hat im Juni 2021 neue SVK angenommen (die älteren Versionen ablösend). Die neuen SVK sind modular aufgebaut, mit vier Szenarien:

Modul 1: Verantwortlicher an Verantwortlichen. Für Übermittlungen zwischen zwei Verantwortlichen — z. B. Weitergabe von Kundendaten an eine Partnerorganisation außerhalb des EWR.

Modul 2: Verantwortlicher an Auftragsverarbeiter. Das gängigste Modul für SaaS-Unternehmen — für Übermittlungen an Auftragsverarbeiter, die Daten in Ihrem Auftrag außerhalb des EWR verarbeiten. Dies deckt Ihre Beziehung zu US-basierten Anbietern ab, wenn Sie der Verantwortliche sind.

Modul 3: Auftragsverarbeiter an Auftragsverarbeiter. Für Übermittlungen zwischen Auftragsverarbeitern — wenn Ihr Auftragsverarbeiter einen Unterauftragsverarbeiter außerhalb des EWR beauftragt.

Modul 4: Auftragsverarbeiter an Verantwortlichen. Für seltenere Szenarien, in denen ein Auftragsverarbeiter Daten an einen Verantwortlichen außerhalb des EWR zurücküberträgt.

SVK in der Praxis

Integration mit AVVs. SVK werden typischerweise als Anlage in Ihren Auftragsverarbeitungsvertrag aufgenommen. Die meisten großen SaaS-Anbieter nehmen SVK standardmäßig in ihren AVV auf.

Ergänzende Maßnahmen. Seit Schrems II reichen SVK allein möglicherweise nicht aus. Sie müssen beurteilen, ob die Gesetze des Empfängerlandes den von den SVK gebotenen Schutz untergraben, und gegebenenfalls ergänzende Maßnahmen implementieren. Diese Bewertung wird als Transfer Impact Assessment formalisiert (siehe unten).

Können nicht geändert werden. Die SVK sind standardisiert — Sie können ihre Kernklauseln nicht ändern. Sie können zusätzliche Klauseln (z. B. kommerzielle Bedingungen) hinzufügen, solange diese den Schutzbestimmungen der SVK nicht widersprechen.

Übermittlungsmechanismus 4: Verbindliche interne Datenschutzvorschriften (BCRs)

BCRs sind interne Datenschutzrichtlinien, die von einer multinationalen Unternehmensgruppe für die Übermittlung personenbezogener Daten innerhalb der Gruppe angenommen werden. Sie müssen von der zuständigen Aufsichtsbehörde genehmigt werden.

BCRs sind primär für große Konzerne mit Niederlassungen in mehreren Ländern relevant. Für die meisten SaaS-Unternehmen sind SVK und das DPF die praktischen Mechanismen. Wenn Sie Teil einer Unternehmensgruppe mit BCRs sind, können Sie diese für konzerninterne Übermittlungen nutzen.

Transfer Impact Assessments

Warum sie notwendig sind

Die Schrems-II-Entscheidung hat festgelegt, dass Sie vor der Nutzung von SVK (oder BCRs) für Übermittlungen beurteilen müssen, ob der Rechtsrahmen des Ziellandes einen Schutz bietet, der dem innerhalb der EU garantierten Schutz „im Wesentlichen gleichwertig” ist. Wenn dies nicht der Fall ist, müssen Sie ergänzende Maßnahmen implementieren, um die Lücke zu schließen — oder die Übermittlung einstellen.

Wie Sie ein TIA durchführen

Schritt 1: Ihre Übermittlung kennen. Identifizieren Sie die übermittelten Daten, den Zweck, den Empfänger und das Zielland.

Schritt 2: Den Übermittlungsmechanismus identifizieren. Welches SVK-Modul gilt? Ist das DPF eine Alternative?

Schritt 3: Die Gesetze des Ziellandes bewerten. Hat das Land Überwachungsgesetze, die den Empfänger zur Offenlegung personenbezogener Daten zwingen könnten? Gibt es wirksame Rechtsbehelfe für betroffene Personen? Zu bewertende Schlüsselbereiche:

• Staatlicher Datenzugang (Überwachungsgesetze, Anfragen der Strafverfolgungsbehörden)
• Datenschutzgesetzgebung und -durchsetzung
• Rechtsstaatlichkeit und richterliche Unabhängigkeit
• Internationale Verpflichtungen zum Datenschutz

Schritt 4: Bewerten, ob der Übermittlungsmechanismus wirksam ist. Bieten die SVK angesichts der Gesetze des Ziellandes ausreichenden Schutz? Wenn Regierungsbehörden den Empfänger zur Offenlegung von Daten zwingen könnten, die die SVK-Schutzbestimmungen überschreiten, ist der Mechanismus allein nicht wirksam.

Schritt 5: Ergänzende Maßnahmen identifizieren, falls erforderlich. Diese können sein:

• Technisch: Verschlüsselung, bei der der Empfänger den Schlüssel nicht besitzt, Pseudonymisierung, geteilte Verarbeitung
• Organisatorisch: Strenge Zugriffskontrollen, Transparenzberichte, Richtlinien für Regierungsanfragen
• Vertraglich: Zusätzliche Verpflichtungen zur Anfechtung von Regierungsanfragen, Benachrichtigungspflichten

Schritt 6: Die Bewertung dokumentieren. Zeichnen Sie Ihre Analyse, Schlussfolgerungen und eventuelle ergänzende Maßnahmen auf. Diese Dokumentation weist Rechenschaftspflicht nach.

Praktische Hinweise für US-Übermittlungen

Für Übermittlungen in die Vereinigten Staaten — das häufigste Ziel für SaaS-Unternehmen — hängt die Analyse vom Mechanismus ab:

DPF-zertifizierte Anbieter: Der Angemessenheitsbeschluss adressiert die in Schrems II aufgeworfenen Bedenken (einschließlich US-Überwachungsreformen durch Executive Order 14086). Für Übermittlungen an DPF-zertifizierte Organisationen ist kein zusätzliches TIA erforderlich. Beobachten Sie jedoch Anfechtungen des Frameworks.

SVK an nicht-DPF-zertifizierte US-Anbieter: Sie benötigen ein TIA. Die ergänzenden Maßnahmen sollten das Risiko des US-Regierungszugriffs adressieren. Verschlüsselung bei der Übertragung und im Ruhezustand, wobei die Schlüssel von Ihnen (dem Verantwortlichen) kontrolliert werden, ist die stärkste technische Maßnahme.

Was in Ihrem VVT zu dokumentieren ist

Für jede internationale Übermittlung sollte Ihr Verzeichnis der Verarbeitungstätigkeiten enthalten:

• Das Zielland
• Den Übermittlungsmechanismus (Angemessenheit, DPF, SVK-Modul, BCRs)
• Den Empfänger (Anbietername und Rolle)
• Die übermittelten Datenkategorien
• Verweis auf das TIA (wenn SVK verwendet werden)
• Verweis auf ergänzende Maßnahmen (falls zutreffend)

Häufige Fallstricke für SaaS-Unternehmen

Annahme, dass alle US-Anbieter vom DPF abgedeckt sind. Das DPF ist freiwillig (Opt-in). Nicht alle US-Unternehmen haben sich zertifiziert. Überprüfen Sie den Status jedes Anbieters einzeln.

Unterauftragsverarbeiter-Übermittlungen vergessen. Ihr Anbieter kann in der EU sein, aber seine Unterauftragsverarbeiter möglicherweise nicht. Prüfen Sie die Unterauftragsverarbeiterlisten Ihrer Anbieter, um festzustellen, wohin die Daten tatsächlich gehen.

Nicht aktualisieren, wenn Anbieter sich ändern. Wenn ein Anbieter seine Hosting-Region ändert, einen Unterauftragsverarbeiter in einem neuen Land hinzufügt oder seine DPF-Zertifizierung verliert, muss Ihr Übermittlungsmechanismus möglicherweise aktualisiert werden.

Mitarbeiterdatenübermittlungen ignorieren. Wenn Sie US-basierte HR-Plattformen, Gehaltsabrechnungsanbieter oder Benefits-Verwaltungen nutzen, werden Mitarbeiterdaten international übermittelt. Diese Übermittlungen benötigen dieselbe Rechtsgrundlage wie Kundendatenübermittlungen.

Das Vereinigte Königreich als EWR behandeln. Seit dem Brexit ist das Vereinigte Königreich ein „Drittland” für DSGVO-Zwecke. Die EU hat einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen (gültig Stand 2026), sodass Übermittlungen frei erfolgen können — aber wenn dieser Angemessenheitsbeschluss ausläuft oder widerrufen wird, benötigen Sie SVK.

Wie GRCTrail Ihre Übermittlungen kartiert

GRCTrail bietet Transparenz über Ihre internationalen Datenflüsse:

Anbieterverzeichnis mit Übermittlungs-Mapping. Jeder Anbieter in Ihrem Verzeichnis enthält seine Datenverarbeitungsorte, Übermittlungsmechanismen und den DPF-Zertifizierungsstatus. Sehen Sie auf einen Blick, welche Anbieter Daten international übermitteln und unter welchem Mechanismus.

Verknüpft mit Ihrem VVT. Internationale Übermittlungen werden automatisch in Ihrem Verzeichnis der Verarbeitungstätigkeiten dokumentiert, verknüpft mit den relevanten Anbieterdatensätzen und AVV-Einträgen.

Zertifizierungs-Monitoring. Verfolgen Sie den DPF-Zertifizierungsstatus für Ihre US-Anbieter. Erhalten Sie Warnungen, wenn die Zertifizierung eines Anbieters abläuft oder sich ändert.

Kartieren Sie Ihre internationalen Datenflüsse →

Verwandte Leitfäden

• Auftragsverarbeitungsverträge (AVV) — Verträge, die Auftragsverarbeiterbeziehungen regeln
• DSGVO-Compliance-Checkliste — Das vollständige Compliance-Framework
• DSGVO-Bußgelder und Sanktionen — Die Kosten nicht-konformer Übermittlungen
• Verzeichnis der Verarbeitungstätigkeiten (VVT) — Dokumentation Ihrer Verarbeitung

Starten Sie mit GRCTrail →