Nexvyra

Drittlandtransfer nach Schrems II – DSGVO Kapitel V und EU-US Data Privacy Framework

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-05-31 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉
Datenschutz DSGVO Kapitel V Schrems II Data Privacy Framework Deutschland / EU
Status: in Kraft
Kurzantwort Eine Übermittlung personenbezogener Daten in ein Drittland (Staat außerhalb des EWR) ist nach Kapitel V der DSGVO (Art. 44–49) nur zulässig, wenn neben einer allgemeinen Rechtsgrundlage ein gültiges Übermittlungsinstrument vorliegt. Im Urteil Schrems II (EuGH, Rs. C-311/18, 16.07.2020) erklärte der Gerichtshof den „EU-US Privacy Shield" für ungültig; Standardvertragsklauseln (Art. 46 DSGVO) blieben gültig, müssen aber durch eine Einzelfallprüfung und gegebenenfalls zusätzliche Maßnahmen abgesichert werden. Seit dem Angemessenheitsbeschluss (EU) 2023/1795 vom 10.07.2023 können Übermittlungen an im EU-US Data Privacy Framework selbstzertifizierte US-Unternehmen wieder ohne weitere Garantien erfolgen. Der DPF wurde am 03.09.2025 vom Gericht der EU (Rs. T-553/23, Latombe) bestätigt; eine Übermittlung an nicht zertifizierte US-Empfänger ist weiterhin auf ein anderes Instrument nach Kapitel V zu stützen.

Kernfakten

PunktWert
Rechtsgrundlage DrittlandtransferVerordnung (EU) 2016/679, Kapitel V, Art. 44–49
GrundsatzArt. 44 DSGVO – Schutzniveau der DSGVO darf nicht untergraben werden
AngemessenheitsbeschlussArt. 45 DSGVO – kein weiteres Instrument nötig
Geeignete GarantienArt. 46 DSGVO – u. a. Standardvertragsklauseln (SCC), verbindliche interne Datenschutzvorschriften (BCR)
Ausnahmen für bestimmte FälleArt. 49 DSGVO – z. B. ausdrückliche Einwilligung, Vertragserfüllung; eng auszulegen
Schrems-II-UrteilEuGH, Rs. C-311/18, Urteil vom 16.07.2020
Folge Schrems IIPrivacy Shield ungültig; SCC nur mit Einzelfallprüfung und ggf. zusätzlichen Maßnahmen
EU-US Data Privacy FrameworkDurchführungsbeschluss (EU) 2023/1795 vom 10.07.2023
US-ReformgrundlageExecutive Order 14086; Data Protection Review Court (DPRC)
Gerichtliche Bestätigung DPFGericht der EU (EuG), Rs. T-553/23 (Latombe), Urteil vom 03.09.2025 – Klage abgewiesen
Übermittlung an Nicht-DPF-Empfänger in USAweiterhin SCC + Transfer-Folgenabschätzung + ggf. zusätzliche Maßnahmen

Geltungsbereich

Kapitel V der DSGVO erfasst jede Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – also an Empfänger außerhalb des Europäischen Wirtschaftsraums (EU-Mitgliedstaaten, Island, Liechtenstein, Norwegen). Betroffen sind sowohl Verantwortliche als auch Auftragsverarbeiter (Art. 44 DSGVO). Eine „Übermittlung" liegt auch beim Fernzugriff aus einem Drittland auf in der EU gespeicherte Daten sowie bei der Nutzung von Cloud-Diensten mit Sitz oder Subdienstleistern im Drittland vor.

Die Prüfung erfolgt zweistufig: Zunächst muss die Verarbeitung die allgemeinen Anforderungen der DSGVO erfüllen (Rechtsgrundlage nach Art. 6, Transparenz, Zweckbindung). Zusätzlich muss für die Übermittlung selbst ein gültiges Instrument nach Kapitel V vorliegen – ein Angemessenheitsbeschluss (Art. 45), geeignete Garantien (Art. 46) oder eine Ausnahme (Art. 49).

Übermittlungsinstrumente nach Kapitel V

Was Schrems II entschieden hat

Mit Urteil vom 16. Juli 2020 (Rs. C-311/18) erklärte der Europäische Gerichtshof den Angemessenheitsbeschluss zum EU-US Privacy Shield für ungültig. Begründung war, dass die US-amerikanischen Überwachungsprogramme keinen den EU-Grundrechten gleichwertigen Schutz und keinen wirksamen Rechtsschutz für Betroffene boten.

Die Standardvertragsklauseln nach Art. 46 DSGVO erklärte der EuGH grundsätzlich für weiterhin gültig. Zugleich verpflichtete er Datenexporteure, vor einer Übermittlung zu prüfen, ob im Empfängerland ein gleichwertiges Schutzniveau tatsächlich gewährleistet werden kann (sogenannte Transfer-Folgenabschätzung). Ist das nicht der Fall, müssen zusätzliche Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung, vertragliche und organisatorische Vorkehrungen) ergriffen werden; andernfalls ist die Übermittlung auszusetzen.

EU-US Data Privacy Framework (Stand 2026)

Mit Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023 stellte die EU-Kommission fest, dass die USA für Datenübermittlungen an Organisationen, die im EU-US Data Privacy Framework selbstzertifiziert sind, ein angemessenes Schutzniveau bieten. Grundlage sind US-Reformen, insbesondere die Executive Order 14086 und die Einrichtung eines Data Protection Review Court (DPRC) als Rechtsbehelfsinstanz für EU-Bürger.

Für Übermittlungen an DPF-zertifizierte Empfänger gilt damit der Angemessenheitsbeschluss nach Art. 45 DSGVO: Es ist kein zusätzliches Instrument nach Art. 46 und keine ergänzende Maßnahme erforderlich. Ob ein US-Unternehmen zertifiziert ist, lässt sich über die offizielle DPF-Liste prüfen. Übermittlungen an nicht zertifizierte US-Empfänger müssen weiterhin auf ein anderes Instrument nach Kapitel V (in der Regel SCC nebst Transfer-Folgenabschätzung und ggf. zusätzlichen Maßnahmen) gestützt werden.

Am 3. September 2025 wies das Gericht der Europäischen Union (EuG) in der Rechtssache T-553/23 (Latombe) eine Nichtigkeitsklage gegen den DPF-Angemessenheitsbeschluss ab; der Beschluss bleibt damit in Kraft. Das Urteil kann noch vor dem Europäischen Gerichtshof angefochten werden, und die EU-Kommission ist verpflichtet, die Entwicklung der US-Rechtslage fortlaufend zu überwachen.

Häufige Fehler / Missverständnisse

Quellen

Stand:
2026-05-31
Gültig ab:
2023-07-10 (Angemessenheitsbeschluss EU-US DPF); Kapitel V DSGVO seit 2018-05-25
Status:
aktuell
Quellenautorität:
A (EUR-Lex, BfDI, EDPB)
Lizenz:
CC BY 4.0