Datenübermittlung Art. 44 DSGVO: Praxisleitfaden

Datenübermittlung nach Artikel 44 DSGVO: Ein praktischer Leitfaden für 2026

Inhaltsverzeichnis

• Einleitung und Ziel dieses Leitfadens
• Art. 44 DSGVO in Klartext — Was bedeutet “Datenübermittlung”?
• Wann liegen grenzüberschreitende Datenübermittlungen vor?
• Übersicht der zulässigen Übertragungsmechanismen
  • Angemessenheitsbeschlüsse — Einschätzung und Grenzen
  • Standardvertragsklauseln — Auswahlkriterien und Anpassungen
  • Bindende Unternehmensregeln — Aufbau und Genehmigungsschritte
  • Sonstige Instrumente und vertragliche Ergänzungen
• Transfer Impact Assessment (TIA) — Schritt für Schritt mit Vorlage
  • Datenkategorien und Risikobewertung
  • Technische und organisatorische Schutzmaßnahmen
  • Dokumentation und Entscheidungsprotokoll
• Konkrete Umsetzungsmaßnahmen für IT und Sicherheit
• Sektorspezifische Praxisbeispiele (Gesundheitswesen, Cloud, Wohnungsgenossenschaften)
• Checkliste für Verantwortliche vor und nach der Übermittlung
• Häufige Praxisfälle und Lösungswege
• Nachweispflichten, Auditvorbereitung und Behördenkommunikation
• Rechtliche Risiken, Durchsetzungspraktiken und Bußgeldaspekte
• Weiterführende amtliche Quellen und Vorlagen
• FAQ — Kurzantworten zu typischen Fragen

Einleitung und Ziel dieses Leitfadens

In einer digitalisierten und global vernetzten Wirtschaft ist der Austausch personenbezogener Daten über die Grenzen der Europäischen Union hinaus unumgänglich. Ob es um die Nutzung von Cloud-Diensten, die Zusammenarbeit in internationalen Konzernen oder die Beauftragung von Dienstleistern in Drittländern geht – die Datenübermittlung nach Artikel 44 DSGVO ist eine zentrale Herausforderung für Unternehmen. Die rechtlichen Rahmenbedingungen sind komplex und wurden durch das “Schrems II”-Urteil des Europäischen Gerichtshofs (EuGH) maßgeblich verschärft.

Dieser Leitfaden richtet sich an Datenschutzbeauftragte, Compliance-Verantwortliche, Rechtsabteilungen und IT-Manager. Er bietet eine praxisorientierte Hilfestellung, um die Anforderungen von Kapitel V der Datenschutz-Grundverordnung (DSGVO) zu verstehen und rechtssicher umzusetzen. Ziel ist es, Ihnen eine fundierte Entscheidungsgrundlage für die Wahl des passenden Übermittlungsinstruments an die Hand zu geben und den Prozess des Transfer Impact Assessments (TIA) verständlich zu machen.

Art. 44 DSGVO in Klartext — Was bedeutet “Datenübermittlung”?

Artikel 44 DSGVO fungiert als Torwächter für den Schutz personenbezogener Daten bei der Übermittlung in sogenannte Drittländer (Staaten außerhalb der EU und des EWR) oder an internationale Organisationen. Der Grundsatz ist einfach: Das hohe Schutzniveau der DSGVO darf durch eine Übermittlung nicht untergraben werden. Jede Weitergabe von Daten muss daher auf einer soliden rechtlichen Grundlage stehen, die sicherstellt, dass die Daten im Zielland einen im Wesentlichen gleichwertigen Schutz genießen.

Eine “Datenübermittlung” im Sinne dieses Kapitels liegt vor, wenn ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an einen Empfänger in einem Drittland übermittelt, sodass dieser darauf zugreifen kann. Entscheidend ist nicht der physische Transport, sondern die Möglichkeit des Zugriffs aus einem Drittland. Dies schließt auch den Fernzugriff (Remote Access) zu Wartungszwecken auf Server ein, die sich innerhalb der EU befinden.

Wann liegen grenzüberschreitende Datenübermittlungen vor?

In der Praxis tritt eine Datenübermittlung nach Artikel 44 DSGVO häufiger auf, als man zunächst vermuten würde. Typische Szenarien umfassen:

• Nutzung von Cloud- und SaaS-Anbietern: Einsatz von Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) oder Platform-as-a-Service (PaaS) von Anbietern mit Hauptsitz oder Serverstandorten in den USA, Indien oder anderen Drittländern.
• Konzerninterner Datenaustausch: Eine deutsche Muttergesellschaft teilt Mitarbeiter- oder Kundendaten mit ihrer Tochtergesellschaft in den USA, der Schweiz oder Japan.
• Auslagerung von Geschäftsprozessen: Ein Unternehmen beauftragt einen externen Dienstleister in einem Drittland mit Aufgaben wie Kundensupport, IT-Wartung oder Lohnbuchhaltung.
• Remote-Zugriff: Ein IT-Administrator aus einem Drittland greift zur Systemwartung auf einen Server zu, der in Deutschland steht. Auch dies gilt als Übermittlung.

Übersicht der zulässigen Übertragungsmechanismen

Die DSGVO sieht in den Artikeln 45 bis 49 verschiedene Instrumente vor, um eine Datenübermittlung zu legitimieren. Die Wahl des richtigen Mechanismus hängt vom Zielland, der Art der Übermittlung und der Unternehmensstruktur ab.

Angemessenheitsbeschlüsse — Einschätzung und Grenzen

Der einfachste Weg ist die Übermittlung in ein Land, für das die EU-Kommission einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen hat. Dies bestätigt, dass das Datenschutzniveau des Drittlandes dem der EU im Wesentlichen entspricht. Für Datenübermittlungen in diese Länder sind keine weiteren Garantien erforderlich.

Länder mit Angemessenheitsbeschluss sind unter anderem:

• Andorra
• Argentinien
• Großbritannien (UK)
• Israel
• Japan
• Kanada (nur für kommerzielle Organisationen)
• Neuseeland
• Schweiz
• Südkorea
• Uruguay
• USA (im Rahmen des EU-U.S. Data Privacy Framework für zertifizierte Unternehmen)

Grenzen: Angemessenheitsbeschlüsse können von der EU-Kommission oder durch Gerichtsentscheidungen (wie beim Privacy Shield) aufgehoben werden. Zudem gelten sie teilweise nur für bestimmte Sektoren. Eine regelmäßige Prüfung der Gültigkeit ist daher unerlässlich.

Standardvertragsklauseln — Auswahlkriterien und Anpassungen

Fehlt ein Angemessenheitsbeschluss, sind Standardvertragsklauseln (SVK), auf Englisch Standard Contractual Clauses (SCC), gemäß Art. 46 DSGVO das am häufigsten genutzte Instrument. Hierbei handelt es sich um von der EU-Kommission genehmigte Vertragsvorlagen, die der Datenimporteur und der Datenexporteur abschließen.

Wichtige Aspekte bei der Nutzung von SVK:

• Modulare Struktur: Die aktuellen SVK (von 2021) sind modular aufgebaut und decken verschiedene Konstellationen ab (Verantwortlicher zu Verantwortlichem, Verantwortlicher zu Auftragsverarbeiter etc.). Das richtige Modul muss sorgfältig ausgewählt werden.
• Kein Selbstläufer: Seit dem “Schrems II”-Urteil reicht der bloße Abschluss der SVK nicht aus. Verantwortliche müssen zusätzlich ein Transfer Impact Assessment (TIA) durchführen, um zu prüfen, ob die Klauseln im Drittland auch tatsächlich eingehalten werden können.
• Ergänzende Maßnahmen: Falls das TIA ergibt, dass das Recht des Drittlandes (z. B. durch Überwachungsgesetze) den Schutz der SVK untergräbt, müssen zusätzliche technische, organisatorische oder vertragliche Maßnahmen ergriffen werden.

Bindende Unternehmensregeln — Aufbau und Genehmigungsschritte

Bindende Unternehmensregeln (BCR), auf Englisch Binding Corporate Rules, nach Art. 47 DSGVO sind die “Königsklasse” für konzerninterne Datenübermittlungen. Es handelt sich um ein internes Regelwerk, das von allen Unternehmen einer Gruppe verbindlich eingehalten wird und sicherstellt, dass konzernweite Datenflüsse in Drittländer DSGVO-konform sind.

Merkmale von BCR:

• Hoher Aufwand: Die Erstellung und Genehmigung von BCR ist ein komplexer und zeitaufwändiger Prozess, der die enge Abstimmung mit einer federführenden Datenschutzaufsichtsbehörde erfordert.
• Großer Nutzen: Einmal genehmigt, ermöglichen BCR einen flexiblen und rechtssicheren Datenaustausch innerhalb der gesamten Unternehmensgruppe, ohne für jede Übermittlung neue Verträge abschließen zu müssen.
• Ideal für multinationale Konzerne: BCR eignen sich vor allem für große, international agierende Unternehmensgruppen mit regelmäßigem und umfangreichem konzerninternem Datentransfer.

Sonstige Instrumente und vertragliche Ergänzungen

Neben den genannten Hauptinstrumenten gibt es weitere Möglichkeiten nach Art. 46 DSGVO, wie genehmigte Verhaltensregeln oder Zertifizierungsmechanismen, die in der Praxis jedoch noch eine untergeordnete Rolle spielen. Für spezifische, nicht wiederkehrende Fälle sieht Art. 49 DSGVO Ausnahmetatbestände vor, z. B. die ausdrückliche Einwilligung der betroffenen Person oder die Erfüllung eines Vertrags. Diese Ausnahmen sind jedoch restriktiv auszulegen und eignen sich nicht für systematische Datenübermittlungen.

Transfer Impact Assessment (TIA) — Schritt für Schritt mit Vorlage

Das Transfer Impact Assessment ist eine verpflichtende Risikobewertung, die bei der Nutzung von SVK oder BCR durchgeführt werden muss. Ziel ist es, zu dokumentieren, ob das Schutzniveau im Drittland dem der EU entspricht und ob zusätzliche Maßnahmen erforderlich sind.

Schritt 1: Datenkategorien und Risikobewertung

Zunächst müssen Sie die Übermittlung genau beschreiben:

• Beteiligte Parteien: Wer ist der Datenexporteur und wer der Datenimporteur?
• Zweck der Übermittlung: Wofür werden die Daten im Drittland verarbeitet?
• Art der Daten: Welche Kategorien personenbezogener Daten werden übermittelt (z. B. Kontaktdaten, Gesundheitsdaten, Finanzdaten)?
• Risikobewertung: Wie hoch ist das Risiko für die Rechte und Freiheiten der betroffenen Personen bei einem unbefugten Zugriff (z. B. gering bei öffentlichen Geschäftsadressen, sehr hoch bei Patientendaten)?

Schritt 2: Analyse des Drittlandes und ergänzende Schutzmaßnahmen

Dieser Schritt ist der Kern des TIA:

• Rechtslage im Drittland: Prüfen Sie, ob Gesetze im Zielland existieren, die den Datenimporteur zur Herausgabe von Daten an Behörden verpflichten (z. B. Überwachungsgesetze wie FISA 702 in den USA).
• Praktische Erfahrungen: Gibt es Berichte über behördliche Zugriffe in der betreffenden Branche?
• Identifizierung von Schutzlücken: Stellen Sie fest, ob die Rechtslage des Drittlandes die vertraglichen Garantien der SVK untergräbt.
• Festlegung ergänzender Maßnahmen: Falls Lücken bestehen, müssen Sie Maßnahmen ergreifen, um diese zu schließen.
  • Technische Maßnahmen: Starke Ende-zu-Ende-Verschlüsselung, bei der der Importeur keinen Zugriff auf die Schlüssel hat; Pseudonymisierung.
  • Organisatorische Maßnahmen: Transparenzberichte, klare interne Prozesse zur Behandlung von Behördenanfragen.
  • Vertragliche Maßnahmen: Verpflichtung des Importeurs, die Rechtmäßigkeit von Anfragen zu prüfen und den Exporteur zu informieren.

Schritt 3: Dokumentation und Entscheidungsprotokoll

Alle Schritte, Analysen und Entscheidungen müssen lückenlos dokumentiert werden. Diese Dokumentation dient als Nachweis gegenüber den Aufsichtsbehörden.

Ihre TIA-Dokumentation sollte Folgendes enthalten:

Abschnitt	Inhalt
1. Beschreibung des Transfers	Datenexporteur, Datenimporteur, Drittland, Datenkategorien, Zweck.
2. Genutztes Übermittlungsinstrument	Z. B. Standardvertragsklauseln (Modul X).
3. Analyse der Rechtslage im Drittland	Relevante Gesetze, behördliche Zugriffsmöglichkeiten.
4. Identifizierte Risiken	Bewertung, ob die Garantien des Instruments durch die Rechtslage beeinträchtigt werden.
5. Implementierte ergänzende Maßnahmen	Konkrete Beschreibung der technischen, organisatorischen und vertraglichen Maßnahmen.
6. Abschließende Bewertung	Begründete Entscheidung, dass die Datenübermittlung unter den getroffenen Maßnahmen zulässig ist.

Konkrete Umsetzungsmaßnahmen für IT und Sicherheit

Die IT-Abteilung spielt eine entscheidende Rolle bei der Umsetzung der im TIA festgelegten Schutzmaßnahmen. Dazu gehören:

• Verschlüsselung: Implementierung starker Verschlüsselung während der Übertragung (TLS 1.3) und im Ruhezustand (at-rest). Bei sensiblen Daten sollte eine Ende-zu-Ende-Verschlüsselung angestrebt werden.
• Zugriffsmanagement: Strenge Kontrolle der Zugriffsrechte, um sicherzustellen, dass nur autorisierte Personen auf die Daten zugreifen können (Need-to-know-Prinzip).
• Datenminimierung und Pseudonymisierung: Übermittlung von nur so vielen Daten wie für den Zweck unbedingt erforderlich. Wo möglich, sollten Daten vor der Übermittlung pseudonymisiert werden.
• Audit-Logs: Detaillierte Protokollierung aller Zugriffe auf die übermittelten Daten zur Nachverfolgung und Kontrolle.

Sektorspezifische Praxisbeispiele

• Gesundheitswesen: Eine deutsche Forschungseinrichtung übermittelt pseudonymisierte Patientendaten für eine klinische Studie an eine US-Universität. Als Instrument werden SVK genutzt. Das TIA stellt ein hohes Risiko durch US-Überwachungsgesetze fest. Als ergänzende Maßnahme wird eine vertragliche Verpflichtung der Universität zur Anfechtung von Behördenanfragen sowie eine hochmoderne Verschlüsselung, deren Schlüssel ausschließlich bei der deutschen Einrichtung verbleibt, implementiert.
• Cloud-Dienste: Ein mittelständisches Unternehmen nutzt ein CRM-System eines US-Anbieters, der sich dem EU-U.S. Data Privacy Framework unterworfen hat. Die Übermittlung stützt sich auf diesen Angemessenheitsbeschluss. Eine zusätzliche TIA ist für diese Übermittlung nicht erforderlich, aber die Zertifizierung des Anbieters muss regelmäßig überprüft werden.
• Wohnungsgenossenschaften: Eine Genossenschaft nutzt einen E-Mail-Dienstleister in der Schweiz für den Versand von Newslettern an Mitglieder. Da für die Schweiz ein Angemessenheitsbeschluss vorliegt, ist die Datenübermittlung nach Artikel 44 DSGVO ohne weitere Garantien zulässig.

Checkliste für Verantwortliche vor und nach der Übermittlung

Vor der Übermittlung:

• [ ] Identifizieren Sie alle Datenflüsse in Drittländer.
• [ ] Prüfen Sie, ob für das Zielland ein Angemessenheitsbeschluss existiert.
• [ ] Falls nein: Wählen Sie ein geeignetes Instrument (meist SVK).
• [ ] Schließen Sie die SVK mit dem Datenimporteur ab.
• [ ] Führen Sie ein sorgfältiges Transfer Impact Assessment (TIA) durch.
• [ ] Implementieren Sie die im TIA festgelegten ergänzenden Maßnahmen.
• [ ] Dokumentieren Sie den gesamten Prozess lückenlos.

Nach der Übermittlung:

• [ ] Überwachen Sie die Rechtslage im Drittland kontinuierlich.
• [ ] Überprüfen Sie die Wirksamkeit der ergänzenden Maßnahmen regelmäßig.
• [ ] Aktualisieren Sie Ihr TIA bei wesentlichen Änderungen (z. B. neue Gesetze, neue Subunternehmer).

Häufige Praxisfälle und Lösungswege

• Unterauftragsverarbeiter (Sub-processors): Wenn Ihr Auftragsverarbeiter in einem Drittland weitere Subunternehmer einsetzt, muss auch für diese “Weitertransfers” eine gültige Rechtsgrundlage nach Art. 44 ff. DSGVO bestehen. Dies muss im Rahmen der SVK (Modul 3) und des TIA berücksichtigt werden.
• Weitertransfers: Übermittelt der ursprüngliche Datenimporteur die Daten an ein weiteres Unternehmen in einem anderen Drittland, muss auch diese Kette von Übermittlungen abgesichert sein. Die SVK enthalten hierfür spezifische Klauseln zur Andockung (Docking Clause).
• Notfälle: In seltenen Ausnahmefällen, z. B. zum Schutz lebenswichtiger Interessen einer Person, kann eine Übermittlung nach Art. 49 DSGVO ohne die üblichen Garantien erfolgen. Dies ist jedoch keine Lösung für den Regelbetrieb.

Nachweispflichten, Auditvorbereitung und Behördenkommunikation

Gemäß der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) müssen Sie jederzeit nachweisen können, dass Ihre Datenübermittlungen rechtmäßig sind. Halten Sie daher folgende Dokumente stets aktuell und griffbereit für eine Prüfung durch die Aufsichtsbehörde:

• Eine Übersicht aller Datenübermittlungen in Drittländer im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO).
• Die abgeschlossenen Standardvertragsklauseln oder den Nachweis über genehmigte BCR.
• Die vollständige Dokumentation aller durchgeführten Transfer Impact Assessments (TIA).
• Nachweise über die Implementierung der ergänzenden technischen und organisatorischen Maßnahmen.

Rechtliche Risiken, Durchsetzungspraktiken und Bußgeldaspekte

Verstöße gegen die Vorschriften zur Datenübermittlung nach Artikel 44 DSGVO gehören zu den schwerwiegendsten Datenschutzverstößen. Die Aufsichtsbehörden können nicht nur die Übermittlung untersagen, was ganze Geschäftsmodelle gefährden kann, sondern auch empfindliche Bußgelder verhängen. Diese können bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher der Beträge höher ist.

Weiterführende amtliche Quellen und Vorlagen

Für vertiefende Informationen und offizielle Leitlinien empfehlen wir die Webseiten der deutschen Datenschutzbehörden und anerkannter Verbände:

• BfDI – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: https://www.bfdi.bund.de
• DSK – Datenschutzkonferenz der Aufsichtsbehörden: https://www.datenschutzkonferenz-online.de
• BvD – Berufsverband der Datenschutzbeauftragten Deutschlands e.V.: https://www.bvdnet.de/de/home
• GDD – Gesellschaft für Datenschutz und Datensicherheit e.V.: https://www.gdd.de

Weiterführende Beiträge

• Datenübermittlung und Gesundheitsdatenschutz: Praxisleitfaden
• Datenschutz in der Gesundheitsvorsorge – Praxisleitfaden
• Datenschutz bei Gesundheitsdaten: Praxisleitfaden von MUNAS Consulting
• Datenschutz in der Gesundheitsbranche: Praxisleitfaden für Kliniken
• DSGVO und Gesundheitsdaten: Praxisleitfaden zu Art.9-Konformität

FAQ — Kurzantworten zu typischen Fragen

Was ist ein “Drittland” im Sinne der DSGVO?

Ein Drittland ist jeder Staat, der nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR – dazu gehören Island, Liechtenstein und Norwegen) ist.

Ist Großbritannien (UK) ein Drittland?

Ja, seit dem Brexit ist das Vereinigte Königreich ein Drittland. Es gibt jedoch einen Angemessenheitsbeschluss der EU-Kommission, sodass Datenübermittlungen dorthin weiterhin ohne zusätzliche Garantien möglich sind.

Benötige ich immer ein Transfer Impact Assessment (TIA)?

Ein TIA ist rechtlich zwingend erforderlich, wenn Sie eine Datenübermittlung auf Standardvertragsklauseln (SVK) oder Bindende Unternehmensregeln (BCR) stützen. Bei Übermittlungen auf Basis eines Angemessenheitsbeschlusses ist es nicht notwendig.

Ich nutze nur Server innerhalb der EU. Bin ich sicher vor Art. 44 DSGVO?

Nicht zwangsläufig. Wenn Ihr Dienstleister oder dessen Mitarbeiter aus einem Drittland auf die auf EU-Servern gespeicherten Daten zugreifen können (z. B. für Support oder Wartung), stellt auch dieser Fernzugriff eine relevante Datenübermittlung dar, die abgesichert werden muss.