Secrails LogoSECRAILS
Secrails LogoSECRAILS
Anmelden
Zurück zum BlogDatenschutz & Datensicherheit

Grenzüberschreitende Datenübermittlung: DSGVO-Regeln, Transfer Impact Assessments und was 2026 wirklich funktioniert

secrails··9 Min.
GDPRData PrivacyComplianceInternational Data TransferTransfer Impact Assessment
Illustration grenzüberschreitender Datenübermittlung mit verschlüsseltem Datenfluss zwischen Kontinenten, DSGVO-Compliance-Schild und TIA-Checkliste

Grenzüberschreitende Datenübermittlung 2026: Der Stand der Dinge

Metas Strafe von 1,2 Milliarden Euro aus dem Jahr 2023 hat die Art und Weise verändert, wie multinationale Unternehmen über grenzüberschreitende Datenübermittlungen nachdenken. Drei Jahre später ist das Durchsetzungsklima noch schärfer — die Aufsichtsbehörden koordinieren sich besser, und der EU–US-Datenschutzrahmen lebt unter dem Schatten einer möglichen Ungültigkeitserklärung.

Wenn Sie Cloud-Infrastruktur betreiben, die personenbezogene EU-Daten verarbeitet, sind die rechtlichen Mechanismen der internationalen Datenübermittlung keine abstrakte Compliance-Übung. Sie sind tragend. Die koordinierten EDPB-Durchsetzungsmaßnahmen 2026 haben explizit Datenübermittlungen in Cloud-Umgebungen ins Visier genommen.

Warum DSGVO-konforme Drittlandtransfers strukturell schwierig sind

Kapitel V der DSGVO existiert, weil der Datenschutz nicht an der EU-Grenze endet. Das strukturelle Problem: Der Großteil der weltweiten Cloud-Infrastruktur läuft über US-amerikanische Hyperscaler. Auch wenn Ihre primäre Region eu-west-1 ist, überschreiten Metadaten, Telemetrie und Support-Zugriffe routinemäßig Grenzen. Verantwortliche, die diese Datenflüsse nicht kartiert haben, agieren blind.

Artikel 44 DSGVO legt die Grundlage klar fest: Übermittlungen in Drittländer sind nur zulässig, wenn die Bedingungen des Kapitels V erfüllt sind. Die zulässigen Übermittlungsmechanismen umfassen:

  • Angemessenheitsbeschlüsse — die Europäische Kommission hat festgestellt, dass das Zielland angemessenen Schutz bietet
  • Standardvertragsklauseln (SCCs) — die aktualisierten SCCs von 2021
  • Verbindliche interne Datenschutzvorschriften (BCRs) — genehmigte konzerninterne Übermittlungsmechanismen
  • Enge Ausnahmen nach Artikel 49

Angemessenheitsbeschlüsse: Die aktuelle Karte

Mitte 2026 bestehen Angemessenheitsbeschlüsse für das Vereinigte Königreich, die Schweiz, Kanada (teilweise), Japan, Südkorea, Neuseeland, Israel, Argentinien und weitere Länder. Angemessenheit ist kein dauerhafter Status — Gerichte fechten Beschlüsse an, und politische Änderungen können Neubewertungen auslösen. China, Indien und die meisten südostasiatischen Märkte haben keinen Angemessenheitsbeschluss.

Standardvertragsklauseln: Was sie wirklich erfordern

Die SCCs von 2021 ersetzten die ursprünglichen Klauseln durch eine modulare Struktur für vier Übermittlungsszenarien. SCCs sind keine einmalige Unterschriftsübung. Seit Schrems II reicht das bloße Vorhandensein unterzeichneter SCCs nicht aus — Sie müssen auch beurteilen, ob die SCCs im Zielland tatsächlich eingehalten werden können. Genau dafür dient das Transfer Impact Assessment.

Transfer Impact Assessment nach DSGVO: Der Sechs-Schritte-Rahmen

Die EDPB-Empfehlungen 01/2020 legen eine Sechsschritte-Methodik fest. Ein Transfer Impact Assessment ist keine optionale Übung — es ist eine Voraussetzung für die rechtliche Wirksamkeit des Mechanismus.

Schritt 1: Datenflüsse kartieren

Tools wie Cloud Inventory können Infrastrukturendpunkte aufdecken, die in manueller Dokumentation nicht auftauchen würden.

Schritt 2 bis 6: Mechanismus, Rechtslage, Maßnahmen, Verfahren, Neubewertung

Identifizieren Sie den anzuwendenden Übermittlungsmechanismus und dokumentieren Sie ihn. Bewerten Sie das Rechtssystem des Drittlands — insbesondere Überwachungsgesetze wie US FISA Section 702 oder Chinas Nationales Sicherheitsgesetz. Wenn SCCs allein keinen ausreichenden Schutz gewährleisten können, sind ergänzende Maßnahmen erforderlich: technische (Ende-zu-Ende-Verschlüsselung, Pseudonymisierung), vertragliche (erweiterte Benachrichtigungspflichten) und organisatorische (Datensparsamkeit, Zugriffskontrollen). Eine CSPM-Lösung hilft dabei, die Verschlüsselungskonfigurationen in allen Umgebungen zu validieren. Bewerten Sie regelmäßig neu — ein TIA aus dem Jahr 2023 deckt Sie 2026 nicht ab.

DSGVO-Datenübermittlungsvertrag: Was hineingehört

Ein DSGVO-Datenübermittlungsvertrag umfasst mehr als die SCCs. Er beinhaltet typischerweise den Auftragsverarbeitungsvertrag nach Artikel 28, das anwendbare SCC-Modul, vertraglich vereinbarte ergänzende Maßnahmen und Erklärungen des Datenimporteurs. Die Anforderungen des Artikels 28 sind nicht verhandelbar. Zu beachten: Datenqualität ist eines der Grundprinzipien der DSGVO — der Grundsatz der Richtigkeit nach Artikel 5 Absatz 1 Buchstabe d. Für Organisationen mit komplexen Verarbeiterketten ist ein zentralisierter Compliance-Ansatz weit wartbarer.

Grenzüberschreitende Datenübermittlungsvorschriften jenseits der DSGVO

Chinas PIPL, Brasiliens LGPD, Indiens DPDP Act 2023 — alle haben eigene Anforderungen. Policy-as-Code-Ansätze werden hier operativ wertvoll: Datenspeicherungsbeschränkungen als durchsetzbare Infrastrukturrichtlinien zu kodieren verhindert Verstöße, bevor sie zu regulatorischer Exposition führen.

Häufige Fehler und wie man sie vermeidet

Unvollständige Unterauftragsverarbeiter-Kartierung, veraltete SCC-Vorlagen (die Klauseln von 2001 und 2010 sind ungültig), Boilerplate-TIAs ohne echte rechtliche Analyse, fehlendes laufendes Monitoring — diese Muster tauchen immer wieder in Durchsetzungsentscheidungen auf. Credentials und API-Schlüssel im Code, die Verbindungen zu Drittlanddiensten herstellen, stellen undokumentierte Datenflüsse dar. Secret Detection erkennt diese, bevor sie zu Durchsetzungsexponaten werden. Bauen Sie Auslöser für das laufende Monitoring ein: jedes neue Drittanbieter-Onboarding, jede Änderung der Unternehmensstruktur eines Importeurs und jede öffentliche Offenlegung von Behördenzugriffsanfragen an Ihre Importeure sollten eine Neubewertung auslösen.

EU–US-Datenschutzrahmen: Aktueller Status

Der DPF ist seit Juli 2023 in Kraft und Mitte 2026 weiterhin gültig. Die rechtlichen Herausforderungen durch noyb schreiten jedoch voran, und ein EuGH-Urteil ist im Zeitraum 2026–2027 möglich. Die operative Empfehlung bleibt: Nutzen Sie den DPF als primären Mechanismus für US-Übermittlungen, führen Sie aber SCCs parallel als Fallback-Option aus. Die Compliance-Lösungen von SECRAILS integrieren diese operativen Signale mit Ihrer dokumentierten Compliance-Posture.

Frequently Asked Questions

Was ist eine grenzüberschreitende Datenübermittlung nach der DSGVO?

Eine grenzüberschreitende Datenübermittlung nach der DSGVO liegt vor, wenn personenbezogene Daten von EU-Bürgern in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, von dort abgerufen oder dort gespeichert werden. Dies löst die Anforderungen von Kapitel V der DSGVO aus, das verlangt, dass angemessene Schutzmaßnahmen vorhanden sind — durch einen Angemessenheitsbeschluss, Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder enge Ausnahmen nach Artikel 49.

Ist ein Transfer Impact Assessment nach der DSGVO verpflichtend?

Ja. Bei Verwendung von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften ist ein Transfer Impact Assessment im Rahmen der Schrems-II-Pflicht erforderlich — bestätigt durch die EDPB-Empfehlungen 01/2020. Das TIA muss bewerten, ob das Rechtssystem des Ziellands den Datenimporteur daran hindern würde, die vertraglichen Schutzmaßnahmen einzuhalten. Ein oberflächliches Vorlagen-TIA wird der Prüfung durch Aufsichtsbehörden nicht standhalten.

Kann ich Standardvertragsklauseln nach Schrems II noch verwenden?

Ja — SCCs bleiben als Übermittlungsmechanismus gültig, aber Schrems II hat die Bedingung hinzugefügt, dass Sie ein Transfer Impact Assessment durchführen müssen, um zu verifizieren, dass die SCCs im Zielland tatsächlich eingehalten werden können. Wenn lokale Überwachungsgesetze die SCCs außer Kraft setzen würden, sind ergänzende Maßnahmen erforderlich. Nur die von der Europäischen Kommission herausgegebenen SCCs von 2021 sind derzeit gültig — die Versionen von 2001 und 2010 sind ungültig.

Was ist der EU–US-Datenschutzrahmen und ist es 2026 sicher, sich darauf zu verlassen?

Der EU–US-Datenschutzrahmen, der im Juli 2023 verabschiedet wurde, ist ein Angemessenheitsbeschluss, der Übermittlungen an zertifizierte US-Organisationen abdeckt. Mitte 2026 ist er noch gültig, aber rechtliche Herausforderungen von noyb schreiten durch EU-Gerichte voran, und ein EuGH-Urteil ist im Zeitraum 2026–2027 möglich. Best Practice ist es, den DPF als primären Mechanismus zu nutzen und gleichzeitig ausgeführte SCCs als Fallback zu behalten.

Wie unterscheiden sich die grenzüberschreitenden Datenübermittlungsvorschriften in China und Indien von der DSGVO?

Chinas Datenschutzgesetz für personenbezogene Daten erfordert eine Sicherheitsbewertung für ausgehende Übermittlungen, die Volumenschwellenwerte überschreiten, sowie eine Standardvertragseinreichung bei der chinesischen Cyberspace-Verwaltungsbehörde. Indiens Digital Personal Data Protection Act 2023 verwendet einen Blocklist-Ansatz — die Regierung benennt eingeschränkte Länder, anstatt positive Angemessenheitsfeststellungen zu treffen. Beide Regime können direkte Konflikte mit EU-zentrierten Datenmodellen erzeugen und erfordern jurisdiktionsspezifische Rechtsanalysen.

Schluss mit Rätselraten bei der Datenübermittlungs-Compliance

Automatisieren Sie Ihre Compliance-Posture für DSGVO, PIPL und internationale Datenübermittlungsrahmen ohne manuellen Aufwand.

Compliance-Lösungen entdecken