Drittlandtransfer nach Schrems II – DSGVO Kapitel V und EU-US Data Privacy Framework
Status: in KraftKernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage Drittlandtransfer | Verordnung (EU) 2016/679, Kapitel V, Art. 44–49 |
| Grundsatz | Art. 44 DSGVO – Schutzniveau der DSGVO darf nicht untergraben werden |
| Angemessenheitsbeschluss | Art. 45 DSGVO – kein weiteres Instrument nötig |
| Geeignete Garantien | Art. 46 DSGVO – u. a. Standardvertragsklauseln (SCC), verbindliche interne Datenschutzvorschriften (BCR) |
| Ausnahmen für bestimmte Fälle | Art. 49 DSGVO – z. B. ausdrückliche Einwilligung, Vertragserfüllung; eng auszulegen |
| Schrems-II-Urteil | EuGH, Rs. C-311/18, Urteil vom 16.07.2020 |
| Folge Schrems II | Privacy Shield ungültig; SCC nur mit Einzelfallprüfung und ggf. zusätzlichen Maßnahmen |
| EU-US Data Privacy Framework | Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023 |
| US-Reformgrundlage | Executive Order 14086; Data Protection Review Court (DPRC) |
| Gerichtliche Bestätigung DPF | Gericht der EU (EuG), Rs. T-553/23 (Latombe), Urteil vom 03.09.2025 – Klage abgewiesen |
| Übermittlung an Nicht-DPF-Empfänger in USA | weiterhin SCC + Transfer-Folgenabschätzung + ggf. zusätzliche Maßnahmen |
Geltungsbereich
Kapitel V der DSGVO erfasst jede Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – also an Empfänger außerhalb des Europäischen Wirtschaftsraums (EU-Mitgliedstaaten, Island, Liechtenstein, Norwegen). Betroffen sind sowohl Verantwortliche als auch Auftragsverarbeiter (Art. 44 DSGVO). Eine „Übermittlung" liegt auch beim Fernzugriff aus einem Drittland auf in der EU gespeicherte Daten sowie bei der Nutzung von Cloud-Diensten mit Sitz oder Subdienstleistern im Drittland vor.
Die Prüfung erfolgt zweistufig: Zunächst muss die Verarbeitung die allgemeinen Anforderungen der DSGVO erfüllen (Rechtsgrundlage nach Art. 6, Transparenz, Zweckbindung). Zusätzlich muss für die Übermittlung selbst ein gültiges Instrument nach Kapitel V vorliegen – ein Angemessenheitsbeschluss (Art. 45), geeignete Garantien (Art. 46) oder eine Ausnahme (Art. 49).
Übermittlungsinstrumente nach Kapitel V
- Angemessenheitsbeschluss (Art. 45 DSGVO): Die EU-Kommission stellt fest, dass ein Drittland ein der EU im Wesentlichen gleichwertiges Datenschutzniveau bietet. Dann ist keine zusätzliche Genehmigung erforderlich. Solche Beschlüsse bestehen u. a. für die Schweiz, das Vereinigte Königreich, Japan, Kanada (kommerzieller Bereich) sowie – für selbstzertifizierte Unternehmen – die USA über das DPF.
- Geeignete Garantien (Art. 46 DSGVO): Fehlt ein Angemessenheitsbeschluss, kommen insbesondere Standardvertragsklauseln (SCC) der EU-Kommission und verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR, Art. 47) in Betracht.
- Ausnahmen für bestimmte Fälle (Art. 49 DSGVO): Etwa ausdrückliche Einwilligung, Erfüllung eines Vertrags oder wichtige Gründe des öffentlichen Interesses. Diese Ausnahmen sind nach Erwägungsgrund 111 und der Auslegung der Aufsichtsbehörden eng auszulegen und nicht für regelmäßige, systematische oder dauerhafte Übermittlungen geeignet.
Was Schrems II entschieden hat
Mit Urteil vom 16. Juli 2020 (Rs. C-311/18) erklärte der Europäische Gerichtshof den Angemessenheitsbeschluss zum EU-US Privacy Shield für ungültig. Begründung war, dass die US-amerikanischen Überwachungsprogramme keinen den EU-Grundrechten gleichwertigen Schutz und keinen wirksamen Rechtsschutz für Betroffene boten.
Die Standardvertragsklauseln nach Art. 46 DSGVO erklärte der EuGH grundsätzlich für weiterhin gültig. Zugleich verpflichtete er Datenexporteure, vor einer Übermittlung zu prüfen, ob im Empfängerland ein gleichwertiges Schutzniveau tatsächlich gewährleistet werden kann (sogenannte Transfer-Folgenabschätzung). Ist das nicht der Fall, müssen zusätzliche Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung, vertragliche und organisatorische Vorkehrungen) ergriffen werden; andernfalls ist die Übermittlung auszusetzen.
EU-US Data Privacy Framework (Stand 2026)
Mit Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023 stellte die EU-Kommission fest, dass die USA für Datenübermittlungen an Organisationen, die im EU-US Data Privacy Framework selbstzertifiziert sind, ein angemessenes Schutzniveau bieten. Grundlage sind US-Reformen, insbesondere die Executive Order 14086 und die Einrichtung eines Data Protection Review Court (DPRC) als Rechtsbehelfsinstanz für EU-Bürger.
Für Übermittlungen an DPF-zertifizierte Empfänger gilt damit der Angemessenheitsbeschluss nach Art. 45 DSGVO: Es ist kein zusätzliches Instrument nach Art. 46 und keine ergänzende Maßnahme erforderlich. Ob ein US-Unternehmen zertifiziert ist, lässt sich über die offizielle DPF-Liste prüfen. Übermittlungen an nicht zertifizierte US-Empfänger müssen weiterhin auf ein anderes Instrument nach Kapitel V (in der Regel SCC nebst Transfer-Folgenabschätzung und ggf. zusätzlichen Maßnahmen) gestützt werden.
Am 3. September 2025 wies das Gericht der Europäischen Union (EuG) in der Rechtssache T-553/23 (Latombe) eine Nichtigkeitsklage gegen den DPF-Angemessenheitsbeschluss ab; der Beschluss bleibt damit in Kraft. Das Urteil kann noch vor dem Europäischen Gerichtshof angefochten werden, und die EU-Kommission ist verpflichtet, die Entwicklung der US-Rechtslage fortlaufend zu überwachen.
Häufige Fehler / Missverständnisse
- „Standardvertragsklauseln allein genügen für die USA": Falsch für nicht im DPF zertifizierte Empfänger. Nach Schrems II sind SCC durch eine Transfer-Folgenabschätzung und gegebenenfalls zusätzliche Maßnahmen zu ergänzen.
- „Das DPF deckt jede US-Datenübermittlung ab": Nein – der Angemessenheitsbeschluss greift nur, wenn der konkrete US-Empfänger selbstzertifiziert ist und die Übermittlung in seinen Zertifizierungsumfang fällt.
- „Einwilligung nach Art. 49 ist der einfachste Dauerweg": Die Ausnahmen des Art. 49 DSGVO sind eng auszulegen und nicht für regelmäßige, dauerhafte Übermittlungen vorgesehen.
- „Privacy Shield gilt noch": Der Privacy Shield ist seit dem Schrems-II-Urteil vom 16.07.2020 ungültig; er wurde durch das DPF abgelöst.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) – Kapitel V, Art. 44–49, Volltext (EUR-Lex, CELEX:32016R0679):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10. Juli 2023 (EU-US Data Privacy Framework), Volltext (EUR-Lex, CELEX:32023D1795):: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32023D1795
- BfDI – Auswirkungen des Schrems-II-Urteils, Datenübermittlungen in die USA:: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html
- BfDI – Internationale Datenübermittlung (Übermittlung in Drittländer):: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Internationaler_Datentransfer.html
- EDPB – EU-U.S. Data Privacy Framework, FAQ für europäische Bürger (Version 2.0, 2026):: https://www.edpb.europa.eu/system/files/2026-01/edpb_dpf_faq-for-individuals_v2_en.pdf
- US Department of Commerce – EU-U.S. Data Privacy Framework, Program Overview (offizielle Zertifizierungsliste):: https://www.dataprivacyframework.gov/Program-Overview