Drittlandtransfer-Check

Internationale Datentransfers rechtlich vorprüfen

Q: Wann liegt ein Drittlandtransfer nahe?

Ein Drittlandtransfer kann relevant sein, wenn personenbezogene Daten in ein Land außerhalb des EWR übermittelt werden oder ein Empfänger beziehungsweise Supportteam außerhalb des EWR Zugriff auf personenbezogene Daten erhält. Das gilt besonders bei Cloud-, SaaS-, Tracking-, Support-, HR-, CRM- und Konzernkonstellationen.

Q: Welche Schnittstellen sind häufig wichtig?

Drittlandtransfers berühren oft weitere Themen wie DSFA bei hohem Risiko, TDDDG bei Tracking und Endgerätezugriffen, NIS2 oder BSIG bei Security- und Incident-Prozessen, AI Act bei KI-Tools, Data Act bei Datenzugangsmodellen, DSA bei Plattformen sowie vertragliche Audit- und Nachweispflichten gegenüber Kunden.

Dieser Checker hilft Unternehmen, SaaS-Anbietern, Plattformen, Agenturen und digitalen Geschäftsmodellen dabei, Drittlandtransfers nach DSGVO strukturiert einzuordnen: Empfänger, Zielländer, Transfermechanismus, Schutzmaßnahmen, Dokumentation und akuter Handlungsdruck.

DSGVO Kapitel V SCC & TIA EU-US DPF Cloud & SaaS Subprozessoren

Wofür ist der Check gedacht?

Der Drittlandtransfer-Check liefert eine erste Orientierung, ob bei Cloud-Tools, Supportzugriffen, internationalen Konzernen, Tracking, Subprozessoren oder direkten Empfängern außerhalb des EWR zusätzlicher Prüfbedarf besteht. Er ersetzt keine Einzelfallberatung, hilft aber bei Priorisierung, Unterlagenvorbereitung und Mandatsanfrage.

Einordnung, ob ein Drittlandtransfer oder Drittlandzugriff naheliegt.
Prüfung, ob ein tragfähiger Transfermechanismus dokumentiert ist.
Hinweise zu TIA, SCC, DPF, BCR, AVV, TOMs und Transparenzpflichten.
Kopierbarer Kurzüberblick für eine strukturierte Anfrage an ITMR.

Transferlandkarte

Vom Datenfluss zur Transferentscheidung

Ein belastbarer Drittlandtransfer beginnt nicht mit Vertragsmustern, sondern mit einem überprüfbaren Datenfluss: Wer greift auf welche Daten zu, aus welchem Land, in welcher Rolle und mit welchen Garantien?

Orientierung: noch nicht bewertet Starten Sie den Fragebogen, um Transfermechanismus, Schutzmaßnahmen und Handlungsdruck einzuordnen.

Ablauf

In fünf Schritten zur ersten Risikoeinordnung

Transfer-Situation erfassen

Cloud, SaaS, Support, Konzernzugriff, Tracking, Subprozessor oder direkter Empfänger.

Mechanismus prüfen

Angemessenheitsbeschluss, EU-US DPF, SCC, BCR oder eng auszulegende Ausnahme.

Datenrisiko bewerten

Datenarten, Sensibilität, Umfang, Beschäftigtendaten, Security-Logs und Vertraulichkeit.

Schutzmaßnahmen abgleichen

TIA, SCC-Modul, AVV, Subprozessoren, Verschlüsselung, Pseudonymisierung und Zugriffskontrolle.

Priorität ableiten

Go-live, laufender Betrieb, Audit, Behörde, Beschwerde, Incident oder präventive Prüfung.

Einordnung

Was dieser Check leistet

Der Check verbindet datenschutzrechtliche Transferlogik mit praktischen Dokumentationsanforderungen für digitale Geschäftsmodelle. Er berücksichtigt insbesondere DSGVO-Accountability, AVV/DPA, Subprozessoren, SCC/TIA, EU-US Data Privacy Framework, technische Zusatzmaßnahmen, Datenschutzhinweise, VVT, DSFA-Schnittstellen und laufendes Monitoring.

Wann liegt ein Drittlandtransfer nahe?

Ein Drittlandtransfer kann bereits relevant sein, wenn personenbezogene Daten in ein Land außerhalb des EWR übermittelt werden oder ein Empfänger beziehungsweise Supportteam außerhalb des EWR Zugriff auf personenbezogene Daten erhält. Das gilt besonders bei Cloud-, SaaS-, Tracking-, Support-, HR-, CRM- und Konzernkonstellationen.

Warum reichen Vertrag oder AVV allein häufig nicht?

Ein AVV regelt Auftragsverarbeitung, ersetzt aber keinen Transfermechanismus nach Kapitel V DSGVO. Je nach Konstellation braucht es etwa Angemessenheitsbeschluss, EU-US DPF, Standardvertragsklauseln, Binding Corporate Rules oder eine eng begründete Ausnahme. Bei SCC ist regelmäßig zusätzlich zu prüfen, ob Zielland, Empfänger und Zugriffsmöglichkeiten praktisch beherrschbar sind.

Welche Schnittstellen sind häufig wichtig?

Drittlandtransfers berühren oft weitere Themen: DSFA bei hohem Risiko, TDDDG bei Tracking und Endgerätezugriffen, NIS2/BSIG bei Security- und Incident-Prozessen, AI Act bei KI-Tools, Data Act bei Datenzugangsmodellen, DSA bei Plattformen sowie vertragliche Audit- und Nachweispflichten gegenüber Kunden.

Wo liegen die Grenzen des Checks?

Der Checker ersetzt keine Prüfung des konkreten Datenflusses, Empfängers, Ziellands, Vertragswerks und technischen Zugriffskonzepts. Besonders bei sensiblen Daten, US-Bezug, Behördenkontakt, Datenpanne, Beschäftigtendaten, KI-Tools oder laufender Audit-Anfrage sollte die Bewertung einzelfallbezogen vertieft werden.

Interaktiver Check

Drittlandtransfer-Risiko einschätzen

Beantworten Sie die folgenden Fragen. Am Ende erhalten Sie eine vorläufige Einordnung mit Gründen, Prüfpunkten, Unterlagenliste und kopierbarem Kurzüberblick.

Schritt 1 von 5

1. Welche Transfer-Situation soll geprüft werden? Cloud-, SaaS- oder IT-Tool mit DrittlandbezugMicrosoft 365, Google, AWS, Salesforce, HubSpot, Atlassian, OpenAI, CRM, Support-, HR-, Marketing- oder Projekttool. Auftragsverarbeiter oder Subprozessor im DrittlandDienstleister, Hosting, Support, Entwicklung, Wartung, Analyse oder Unterauftragnehmer außerhalb des EWR. Remote-Zugriff oder Support aus DrittlandAdmin-, Support-, Wartungs-, Entwickler- oder Sicherheitszugriff von außerhalb des EWR. Konzerninterner DatentransferMutter-, Tochter-, Shared-Service-, HR-, CRM-, Finance- oder IT-Zugriff innerhalb einer internationalen Unternehmensgruppe. Website, Tracking, Marketing oder eingebundene DrittanbieterAnalytics, Ads, Pixel, CDN, Fonts, Chatbot, Video, Social Plugins, Newsletter oder Tag-Management. Direkte Übermittlung an Empfänger im DrittlandKunde, Partner, Berater, Anwalt, Behörde, Versicherung, Plattform, Dienstleister oder Geschäftspartner außerhalb des EWR. Unklar, ob ein Drittlandtransfer vorliegtDatenflüsse, Hosting, Support, Subprozessoren oder Empfänger sind noch nicht vollständig bekannt.

2. Worauf soll der Transfer gestützt werden? AngemessenheitsbeschlussEmpfängerland oder bestimmter Sektor ist von der EU-Kommission als angemessen anerkannt. EU-US Data Privacy FrameworkUS-Empfänger ist zertifiziert und der konkrete Transfer fällt in den zertifizierten Anwendungsbereich. Standardvertragsklauseln / SCCEU-Standardvertragsklauseln sind abgeschlossen oder sollen abgeschlossen werden. Binding Corporate Rules / BCRKonzerninterne verbindliche Datenschutzregeln liegen vor oder sollen genutzt werden. Art.-49-AusnahmeEinwilligung, Vertragserforderlichkeit, Rechtsansprüche, öffentliches Interesse oder Ausnahmefall. Nur Vertrag, AVV oder AnbieterbedingungenEs gibt zwar einen Vertrag, aber kein klarer Transfermechanismus ist dokumentiert. Unklar / noch nicht geprüftTransfermechanismus, Zielland oder Zertifizierung sind nicht verifiziert.

3. Welche Daten und Risiken sind betroffen?

Bitte markieren Sie alles, was zutrifft.

Normale personenbezogene DatenName, E-Mail, Telefonnummer, Accountdaten, Kunden-, Nutzer- oder Kontaktdaten. Beschäftigten-, Bewerber- oder HR-DatenPersonalakten, Lohnabrechnung, Bewerbungen, Leistungsdaten, Arbeitszeiten oder interne Kommunikation. Besondere Kategorien oder sehr sensible DatenGesundheit, Religion, politische Meinung, Gewerkschaft, biometrische Daten, Kinder, Patienten oder besonders schutzbedürftige Personen. Zugangsdaten, Logs oder Security-DatenPasswörter, Tokens, IP-Adressen, Adminzugriffe, Logfiles, Telemetrie, Sicherheitsereignisse. Geschäftsgeheimnisse oder vertrauliche KommunikationQuellcode, Verträge, Strategien, Mandanten-/Patientenkommunikation, M&A oder interne Dokumente. Großer Umfang oder laufende SynchronisierungViele Betroffene, CRM-Sync, HR-System, Data Warehouse, Tracking, Plattformbetrieb oder dauerhafter API-Zugriff. Pseudonymisierte, verschlüsselte oder stark minimierte DatenIdentifizierende Daten sind getrennt, verschlüsselt, gehasht, tokenisiert oder technisch stark reduziert. Nur anonyme DatenKein Personenbezug mehr herstellbar; keine Re-Identifizierung realistisch. Unklar / Datenarten nicht inventarisiertEs ist noch nicht bekannt, welche Daten übertragen oder zugänglich gemacht werden.

5. Gibt es konkreten Handlungsdruck?

Bitte markieren Sie alles, was zutrifft.

Tool, Vertrag oder Transfer soll kurzfristig live gehenBeschaffung, Rollout, SaaS-Start, Vendor-Freigabe oder Vertragsunterzeichnung steht bevor. Transfer läuft bereits produktivTool, Tracking, Support, Subprozessor oder Konzernzugriff ist bereits aktiv. Neuer Subprozessor, neues Zielland oder neue SupportstrukturAnbieter meldet neue Unterauftragnehmer, US-Support, Cloud-Region oder internationale Zugriffsmöglichkeit. Kunde, Einkauf, DSB oder Auditor verlangt NachweiseFragebogen, Vendor Assessment, AVV-Prüfung, Audit, Konzernprüfung oder Datenschutzfreigabe. Aufsichtsbehörde, Beschwerde oder BetroffenenanfrageBehörde, DSB, Betriebsrat, Kunde oder Betroffener fragt konkret nach Drittlandtransfer. Datenpanne, Zugriff, Leak oder SicherheitsvorfallUnbefugter Zugriff, Supportzugriff, Fehlkonfiguration, Datenabfluss oder Anbieterincident. DSFA, sensibles Projekt oder BetriebsratsthemaHR, Überwachung, KI, Tracking, Gesundheitsdaten, Beschäftigtendaten oder umfangreiche Profilbildung. Präventive PrüfungKein akuter Fall, aber Transferinventar, SCC, TIA oder Toolstack sollen sauber dokumentiert werden.

Risiken & Fristen

Typische Prüfpunkte bei Drittlandtransfers

Situation	Risikohinweis	Typische Maßnahme	Priorität
US-Tool oder US-Support	DPF-Zertifizierung, SCC und konkrete Zugriffssituation müssen zusammenpassen.	DPF-Scope, Anbietername, Subprozessoren, SCC/TIA und TOMs prüfen.	Vor Go-live und bei Anbieteränderung
SCC ohne TIA	Standardvertragsklauseln sind wichtig, ersetzen aber keine Transferprüfung der praktischen Risiken.	TIA mit Datenarten, Zielland, Empfänger, Zugriffen und Zusatzmaßnahmen dokumentieren.	Kurzfristig
Tracking und Marketing	Endgerätezugriff, personenbezogene IDs und Drittanbieter können Datenschutz- und TDDDG-Risiken verbinden.	CMP, Consent-Logs, Anbieter, Datenflüsse, Datenschutzhinweise und Drittländer prüfen.	Laufend und bei Kampagnenwechsel
Datenpanne oder Zugriffsvorfall	Bei personenbezogener Datenschutzverletzung kann eine 72h-Prüfung zur Aufsichtsmeldung relevant werden.	Breach-Triage, Logs, Empfänger, Drittlandzugriff, Betroffenenrisiko und Kommunikation sichern.	Sofort
Betroffenenanfrage	Betroffenenrechte sind regelmäßig innerhalb eines Monats zu bearbeiten.	Empfänger, Garantien, Datenkategorien und Informationsstand dokumentieren.	Fristkontrolle
KI-, HR- oder Security-Tool	Sensible Daten, Beschäftigtendaten, Überwachung, KI und Security-Logs erhöhen die Anforderungen.	DSFA-Schnittstelle, Betriebsrat, Rollen, Zugriffskonzept, KI-/Vendor-Prüfung und TOMs klären.	Vor produktivem Einsatz

Nächste sinnvolle Schritte

Drittlandtransfer konkret prüfen lassen

Wenn ein Tool kurz vor dem Rollout steht, ein Kunde Nachweise verlangt, ein Subprozessorwechsel angekündigt wurde oder bereits ein Vorfall im Raum steht, sollte die Transferprüfung nicht nur abstrakt, sondern anhand der konkreten Unterlagen erfolgen.

Anfrage an ITMR senden

Rechtlicher Orientierungshinweis

Dieser Drittlandtransfer-Check ist eine strukturierte Erstorientierung für typische Konstellationen digitaler Geschäftsmodelle. Er ersetzt keine rechtliche Prüfung des Einzelfalls. Maßgeblich sind der konkrete Datenfluss, die beteiligten Parteien, Rollen, Zielländer, Vertragsunterlagen, technischen Schutzmaßnahmen, aktuelle Behörden- und Gerichtspraxis sowie laufende Entwicklungen etwa zum EU-US Data Privacy Framework, zu SCC/TIA-Anforderungen und zu angrenzenden Digitalregulierungen.