Teil unserer Compliance & Regulation-Serie
Den vollständigen Leitfaden lesenVorschriften zur grenzüberschreitenden Datenübertragung: Steuerung internationaler Datenströme
85 % der weltweiten Unternehmen übertragen personenbezogene Daten grenzüberschreitend, doch nur 34 % verfügen über dokumentierte Übertragungsmechanismen. Nachdem Schrems II das EU-US-Datenschutzschild im Jahr 2020 ungültig machte, wurden grenzüberschreitende Datenübermittlungen zu einem der komplexesten Bereiche des Datenschutzrechts. Das EU-US-Datenschutzrahmenwerk stellte teilweise die Rechtssicherheit für US-Übertragungen wieder her, aber die breitere Landschaft globaler Beschränkungen für die Datenübermittlung nimmt weiter zu.
Dieser Leitfaden bildet den aktuellen Stand der Vorschriften zur grenzüberschreitenden Datenübertragung ab und bietet praktische Umsetzungshinweise für international tätige Unternehmen.
Wichtige Erkenntnisse
- Die EU erkennt nur 15 Länder an, die einen „angemessenen“ Datenschutz bieten – für alle anderen Übermittlungen sind zusätzliche Mechanismen erforderlich
- Standardvertragsklauseln (Standard Contractual Clauses, SCCs) sind der gebräuchlichste Übertragungsmechanismus, erfordern jedoch jetzt zusätzliche Folgenabschätzungen für die Übertragung
- Die Anforderungen an die Datenlokalisierung nehmen zu: China, Russland, Indien und Saudi-Arabien beschränken die Ausfuhr bestimmter Daten aus dem Land
- Das EU-US-Datenschutzrahmenwerk bietet einen Übertragungsmechanismus für US-Unternehmen, die sich selbst zertifizieren
Transfermechanismus-Hierarchie
Gemäß der DSGVO können personenbezogene Daten den EWR nur über einen dieser Mechanismen verlassen (der Einfachheit halber):
1. Angemessenheitsentscheidungen
Die Europäische Kommission hat festgestellt, dass diese Länder angemessenen Schutz bieten:
| Land/Gebiet | Datum der Angemessenheitsentscheidung | Status |
|---|---|---|
| Andorra | 2010 | Aktiv |
| Argentinien | 2003 | Aktiv |
| Kanada (PIPEDA) | 2001 | Aktiv (nur gewerblicher Bereich) |
| Färöer-Inseln | 2010 | Aktiv |
| Guernsey | 2003 | Aktiv |
| Israel | 2011 | Aktiv |
| Insel Man | 2004 | Aktiv |
| Japan | 2019 | Aktiv |
| Jersey | 2008 | Aktiv |
| Neuseeland | 2012 | Aktiv |
| Republik Korea | 2022 | Aktiv |
| Schweiz | 2000 | Aktiv |
| Vereinigtes Königreich | 2021 | Aktiv (bis Juni 2025, voraussichtliche Verlängerung) |
| Uruguay | 2012 | Aktiv |
| Vereinigte Staaten | 2023 (DPF) | Aktiv (nur DPF-Teilnehmer) |
Wenn Ihre Daten in ein geeignetes Land gehen: Es ist kein zusätzlicher Übertragungsmechanismus erforderlich. Verarbeiten Sie es wie eine Intra-EWR-Überweisung.
Wenn nicht auf der Liste: Sie benötigen einen der folgenden Mechanismen.
2. Standardvertragsklauseln (SCCs)
Der am häufigsten verwendete Übertragungsmechanismus. SCCs sind vorab genehmigte Vertragsvorlagen, die den Datenimporteur an DSGVO-äquivalente Schutzmaßnahmen binden.
Vier Module (verwenden Sie das entsprechende Modul):
| Modul | Parteien | Szenario |
|---|---|---|
| Modul 1 | Controller zu Controller | Weitergabe von Kundendaten an einen ausländischen Partner |
| Modul 2 | Verantwortlicher an Auftragsverarbeiter | Verwendung eines ausländischen Cloud-Anbieters oder SaaS-Anbieters |
| Modul 3 | Prozessor zu Prozessor | Ihr Auftragsverarbeiter nutzt einen fremden Unterauftragsverarbeiter |
| Modul 4 | Auftragsverarbeiter zum Verantwortlichen | Ausländischer Verantwortlicher beauftragt in der EU ansässigen Auftragsverarbeiter |
Implementierungsschritte:
- Identifizieren Sie alle Datenübermittlungen außerhalb des EWR
- Wählen Sie für jede Übertragung das entsprechende SCC-Modul aus
- Vervollständigen Sie die Anhänge (Datenkategorien, Sicherheitsmaßnahmen, Unterauftragsverarbeiter)
- Führen Sie für jedes Empfängerland eine Transfer Impact Assessment (TIA) durch
- Signieren Sie die SCCs mit dem Datenimporteur
- Implementieren Sie alle in der TIA genannten ergänzenden Maßnahmen
3. Verbindliche Unternehmensregeln (BCRs)
Für multinationale Unternehmen, die Daten zwischen Konzerneinheiten übertragen. BCRs werden von einer federführenden Aufsichtsbehörde genehmigt und bieten einen Rahmen für gruppeninterne Übertragungen weltweit.
Vorteile: Deckt nach der Genehmigung alle Konzerneinheiten und alle Übertragungsszenarien ab Nachteile: 12–24-monatiger Genehmigungsprozess, erhebliche Kosten (über 100.000 USD), nur für Gruppenunternehmen
4. EU-US-Datenschutzrahmen (DPF)
US-Unternehmen können sich im Rahmen des DPF selbst zertifizieren und so einen angemessenen Übertragungsmechanismus bereitstellen:
- Firmenregistrierung beim US-Handelsministerium
- Das Unternehmen veröffentlicht eine DPF-konforme Datenschutzrichtlinie
- Das Unternehmen verpflichtet sich zu den DPF-Grundsätzen (Benachrichtigung, Wahl, Weiterleitung, Sicherheit, Datenintegrität, Zugriff, Rückgriff).
- Jährliche Neuzertifizierung erforderlich
Einschränkung: Deckt nur Übertragungen an DPF-zertifizierte Unternehmen ab. Überprüfen Sie die DPF-Liste, bevor Sie sich auf diesen Mechanismus verlassen.
Transfer Impact Assessments (TIAs)
Bei Bedarf
Nach Schrems II sind TIAs für alle SCC-basierten Überweisungen in nicht adäquate Länder erforderlich. Die TIA prüft, ob die Gesetze des Empfangslandes den Schutz der Standardvertragsklauseln untergraben.
TIA-Framework
| Bewertungselement | Schlüsselfragen |
|---|---|
| Datenmerkmale | Welche Daten? Wie empfindlich? Volumen? |
| Gesetze des Empfangslandes | Staatliche Überwachungsgesetze? Zwangszugang? |
| Rechtlicher Schutz | Unabhängige Justiz? Datenschutzbehörde? |
| Praxiserfahrung | Hat der Importeur Zugangsanfragen der Regierung erhalten? |
| Ergänzende Maßnahmen | Können technische Maßnahmen rechtliche Risiken negieren? |
TIA-Ergebnisentscheidungsbaum
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
Ergänzende Maßnahmen
| Messen | Wirksamkeit | Anwendungsfall |
|---|---|---|
| Verschlüsselung (vom Kunden gehaltene Schlüssel) | Hoch | Daten im Ruhezustand und während der Übertragung |
| Pseudonymisierung | Hoch | Analytik, Berichterstattung |
| Geteilte Verarbeitung | Mittel | Sensible Felder werden nur im EWR verarbeitet |
| Vertragliche Beschränkungen | Niedrig-mittel | Zusätzliche Verpflichtungen des Importeurs |
| Prüfungsrechte | Niedrig | Überprüfung, nicht Prävention |
Anforderungen an die Datenlokalisierung
Länder mit Datenlokalisierungsgesetzen
| Land | Anforderung | Geltungsbereich | Strafe |
|---|---|---|---|
| China (PIPL + CSL) | Kritische Daten und wichtige Daten müssen in China gespeichert werden; Sicherheitsbewertung für ausgehende Überweisungen | Breit | Bis zu 5 % Umsatz |
| Russland (Bundesgesetz 242-FZ) | Die erstmalige Verarbeitung und Speicherung der Daten russischer Staatsbürger muss in Russland erfolgen | Russische Staatsbürgerdaten | Sperrung von Diensten |
| Indien (DPDP-Gesetz) | Kritische personenbezogene Daten müssen in Indien verarbeitet werden (Regeln stehen noch aus) | Zu definieren | Bis zu INR 250 crore |
| Saudi-Arabien (PDPL) | Sensible Daten erfordern möglicherweise eine lokale Verarbeitung; Übertragungsbeschränkungen | Persönliche Daten | Bis zu SAR 5M |
| Vietnam (PDPD) | Wichtige Daten, die im Inland gespeichert werden müssen; TIA für grenzüberschreitende Überweisungen | Daten vietnamesischer Staatsbürger | Verwaltungsstrafen |
| Indonesien (PDP-Gesetz) | Daten des Regierungssektors erfordern möglicherweise eine lokale Verarbeitung | Regierungsdaten | Verwaltungssanktionen |
| Türkei (KVKK) | Die Übertragung erfordert eine Zustimmung oder eine bestimmte Rechtsgrundlage + Genehmigung des Vorstands | Persönliche Daten | VERSUCHEN SIE 1,8 M |
Auswirkungen auf die Cloud-Architektur
Die Datenlokalisierung beeinflusst Entscheidungen zur Cloud-Infrastruktur:
| Szenario | Architekturimplikation |
|---|---|
| China-Lokalisierung | Separate Cloud-Region in China (AWS China, Alibaba Cloud) |
| Russland-Lokalisierung | Lokale Server oder lokaler Cloud-Anbieter |
| Nur-EU-Verarbeitung | Wählen Sie EU-Cloud-Regionen aus; Sicherstellen, dass keine Datenreplikation in Nicht-EU-Regionen erfolgt |
| Multiregional mit Einschränkungen | Hub-and-Spoke-Architektur mit regionalen Datenbanken |
Praktische Umsetzung für gängige Szenarien
Szenario 1: EU-Unternehmen nutzt US-SaaS
Übertragungsmechanismus: Überprüfen Sie zunächst, ob der Anbieter DPF-zertifiziert ist. Wenn ja, liefert DPF die Basis. Wenn nicht, implementieren Sie SCCs (Modul 2: Controller to Processor).
Szenario 2: Globales Unternehmen mit zentralisierter Personalabteilung
Übertragungsmechanismus: BCRs für gruppeninterne Übertragungen oder SCCs zwischen jedem Entitätspaar. Implementieren Sie TIAs für Überweisungen in Hochrisikoländer.
Szenario 3: E-Commerce, der EU-Kunden über die US-Infrastruktur bedient
Übertragungsmechanismus: SCCs zwischen Ihrem EU-Unternehmen (oder Ihrem EU-Vertreter) und Ihrer US-Infrastruktur. Verschlüsseln Sie Kundendaten mit Schlüsseln, die in der EU gespeichert sind.
Szenario 4: Odoo ERP für länderübergreifende Operationen
Übertragungsmechanismus: Bei Hosting in der EU erfolgen Übertragungen, wenn: (1) Mitarbeiter in Nicht-EU-Ländern auf das System zugreifen (Fernzugriff ist eine Übertragung), (2) Daten an Nicht-EU-Backup-Standorte repliziert werden, (3) Support-Mitarbeiter in Nicht-EU-Ländern auf Kunden-/Mitarbeiterdaten zugreifen. Implementieren Sie SCCs für jeden Zugriffspunkt und verwenden Sie Odoo-Zugriffsgruppen, um die Datensichtbarkeit nach geografischen Gesichtspunkten einzuschränken.
Compliance-Checkliste
- Alle grenzüberschreitenden Datenübermittlungen abbilden (welche Daten, wo, an wen, warum)
- Überprüfen Sie den Angemessenheitsstatus jedes Aufnahmelandes
- Implementierung geeigneter Transfermechanismen (SCCs, DPF, BCRs) für nicht adäquate Länder
- Vollständige Transferfolgenabschätzungen für SCC-basierte Transfers
- Implementieren Sie ergänzende Maßnahmen, wenn TIAs Risiken identifizieren
- Aktualisieren Sie die Datenschutzrichtlinien, um internationale Überweisungen offenzulegen
- Übertragungsbestimmungen in Lieferanten-DPAs aufnehmen
- Überprüfen Sie die Transfermechanismen jährlich oder wenn sich die Gesetze des Empfängerlandes ändern
- Führen Sie eine Dokumentation aller Transferbeurteilungen und -entscheidungen
Häufig gestellte Fragen
Kann man sich sicher auf das EU-US-Datenschutzabkommen verlassen?
Das DPF ist aktuell gültig und stellt eine Rechtsgrundlage für Übertragungen an zertifizierte US-Unternehmen dar. Es steht jedoch vor einer rechtlichen Anfechtung (La Quadrature du Net), ähnlich derjenigen, die Safe Harbor und Privacy Shield für ungültig erklärt hat. Umsichtige Organisationen nutzen den DPF, verfügen aber auch über SCCs als Backup-Übertragungsmechanismus. Wenn der DPF ungültig wird, können Sie auf SCCs zurückgreifen, ohne den Datenfluss zu unterbrechen.
Was passiert, wenn wir Daten ohne einen gültigen Mechanismus übertragen?
Nicht autorisierte Übermittlungen stellen einen direkten Verstoß gegen die DSGVO dar und können mit Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Über Bußgelder hinaus können Aufsichtsbehörden die Aussetzung von Datenübermittlungen anordnen, was zu Störungen des Geschäftsbetriebs führen kann. Meta wurde im Jahr 2023 wegen unbefugter EU-US-Übertragungen mit einer Geldstrafe von 1,2 Milliarden Euro belegt – die höchste DSGVO-Strafe aller Zeiten.
Decken Standardvertragsklauseln alle Arten von Datenübertragungen ab?
SCCs decken die meisten kommerziellen Datenübertragungsszenarien über vier Module ab. Standardvertragsklauseln eignen sich jedoch nicht für Übermittlungen durch Behörden, die in Ausübung hoheitlicher Befugnisse handeln. In diesen Fällen können internationale Abkommen oder besondere Ausnahmen gemäß Artikel 49 gelten.
Wie wirken sich grenzüberschreitende Anforderungen auf unseren Odoo-Einsatz aus?
Wenn Ihre Odoo-Instanz in der EU gehostet wird und von Mitarbeitern oder Partnern außerhalb der EU darauf zugegriffen wird, stellt jeder Remote-Zugriffspunkt eine Datenübertragung dar. Implementieren Sie Odoo-Zugriffsgruppen, um sicherzustellen, dass Nicht-EU-Benutzer nur die Daten sehen können, die sie benötigen. Nutzen Sie VPN-Verbindungen für den verschlüsselten Fernzugriff. Wenn Sie Odoo außerhalb der EU hosten, implementieren Sie SCCs mit dem Hosting-Anbieter und stellen Sie die Datenbankverschlüsselung sicher. Die Odoo-Infrastrukturdienste von ECOSIRE umfassen Compliance-bewusste Bereitstellungskonfigurationen.
Was als nächstes kommt
Die Einhaltung grenzüberschreitender Datenübertragungen ist ein Teil des Data-Governance-Puzzles. Kombinieren Sie es mit Data-Governance-Grundlagen, Vendor-Vertragsmanagement für DPAs mit internationalen Anbietern und Mitarbeiterdatenschutz für Mitarbeiterdatenübertragungen.
Kontaktieren Sie ECOSIRE für grenzüberschreitende Compliance-Beratung und internationale Datenflusskartierung.
Herausgegeben von ECOSIRE – hilft Unternehmen dabei, Daten sicher und konform über Grenzen hinweg zu übertragen.
Geschrieben von
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
Verwandte Artikel
Migration von Zoho zu Odoo: Schritt-für-Schritt-Anleitung zur Datenübertragung
Vollständiger Migrationsleitfaden von Zoho zu Odoo, der CRM-, Bücher-, Inventar- und HR-Modulzuordnung, API-Export, Datentransformation und Teststrategien umfasst.
Buchhaltung mit mehreren Währungen: Einrichtung und Best Practices
Vollständiger Leitfaden zur Einrichtung der Buchhaltung in mehreren Währungen, zur Neubewertung von Devisen, zur Umrechnung im Vergleich zu Transaktionsgewinnen und zu Best Practices für internationale Unternehmen.
China PIPL Compliance: Leitfaden zur grenzüberschreitenden Datenübertragung
Vollständiger Leitfaden zum chinesischen Gesetz zum Schutz personenbezogener Daten (PIPL) mit Verarbeitungsregeln, grenzüberschreitenden Übertragungsmechanismen, CAC-Durchsetzung und Compliance-Schritten.
Mehr aus Compliance & Regulation
Cybersicherheit für E-Commerce: Schützen Sie Ihr Unternehmen im Jahr 2026
Vollständiger E-Commerce-Cybersicherheitsleitfaden für 2026. PCI DSS 4.0, WAF-Einrichtung, Bot-Schutz, Zahlungsbetrugsprävention, Sicherheitsheader und Reaktion auf Vorfälle.
ERP für die chemische Industrie: Sicherheit, Compliance und Chargenverarbeitung
Wie ERP-Systeme SDS-Dokumente, REACH- und GHS-Konformität, Chargenverarbeitung, Qualitätskontrolle, Gefahrgutversand und Formelmanagement für Chemieunternehmen verwalten.
ERP für den Import-/Exporthandel: Mehrwährung, Logistik und Compliance
Wie ERP-Systeme Akkreditive, Zolldokumente, Incoterms, Gewinn- und Verlustrechnungen in mehreren Währungen, Containerverfolgung und Zollberechnung für Handelsunternehmen verwalten.
Nachhaltigkeits- und ESG-Reporting mit ERP: Compliance Guide 2026
Navigieren Sie im Jahr 2026 mit ERP-Systemen zur Einhaltung der ESG-Reporting-Compliance. Deckt CSRD, GRI, SASB, Scope 1/2/3-Emissionen, CO2-Tracking und Odoo-Nachhaltigkeit ab.
Checkliste zur Prüfungsvorbereitung: Bereiten Sie Ihre Bücher vor
Vollständige Checkliste für die Prüfungsvorbereitung, die die Vorbereitung des Jahresabschlusses, die Begleitdokumentation, die Dokumentation der internen Kontrollen, die PBC-Listen der Prüfer und allgemeine Prüfungsfeststellungen umfasst.
Australischer GST-Leitfaden für E-Commerce-Unternehmen
Vollständiger australischer GST-Leitfaden für E-Commerce-Unternehmen, der die ATO-Registrierung, den Schwellenwert von 75.000 US-Dollar, Importe von geringem Wert, BAS-Einzahlung und GST für digitale Dienste abdeckt.