2026-04-03
DSGVO Artikel 46 und Drittlandübermittlungen: Was Sie konkret tun müssen
Bisher über 2 Milliarden Euro Bußgelder. Wer personenbezogene Daten außerhalb des EWR überträgt, muss die Anforderungen des DSGVO-Artikels 46 kennen -- und verstehen, was sich seit Schrems II geändert hat.
Jedes Unternehmen, das US-amerikanische Cloud-Dienste nutzt, überträgt personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums. Damit gehört DSGVO-Artikel 46 zu den folgenreichsten Vorschriften der Verordnung für den alltäglichen Geschäftsbetrieb. Die Aufsichtsbehörden haben seit 2023 Bußgelder von über 2 Milliarden Euro speziell für Übermittlungsverstöße verhängt. Meta allein zahlte 1,2 Milliarden Euro. Das ist kein theoretisches Risiko.
Was Artikel 46 tatsächlich vorschreibt
Artikel 46 regelt die Übermittlung personenbezogener Daten in Länder, für die kein EU-Angemessenheitsbeschluss vorliegt -- also Länder, deren Datenschutzniveau die Europäische Kommission nicht als ausreichend anerkannt hat. Er listet die rechtlichen Instrumente auf, mit denen solche Übermittlungen zulässig gemacht werden können:
Ohne Genehmigung der Aufsichtsbehörde:
- Standardvertragsklauseln (SCCs), die von der Europäischen Kommission erlassen wurden
- Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) für konzerninterne Übermittlungen
- Genehmigte Verhaltensregeln mit verbindlichen Zusagen des Datenimporteurs
- Genehmigte Zertifizierungsmechanismen mit verbindlichen Zusagen
Mit Genehmigung der Aufsichtsbehörde:
- Individuell zwischen den Parteien ausgehandelte Vertragsklauseln
- Verwaltungsvereinbarungen zwischen Behörden
Die Anforderung, die durch alle diese Instrumente hindurchläuft: Im Zielland müssen durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsbehelfe tatsächlich verfügbar sein.
Die Schrems-Urteile: Warum sich die Regeln immer wieder ändern
Zwei Gerichtsverfahren, angetrieben vom österreichischen Datenschutzaktivisten Max Schrems, haben die Praxis dieser Übermittlungen grundlegend verändert.
Schrems I (Oktober 2015) erklärte das EU-US-Safe-Harbor-Abkommen für ungültig. Der Gerichtshof stellte fest, dass US-Überwachungsprogramme -- die Snowden 2013 enthüllt hatte -- bedeuteten, dass das Selbstzertifizierungssystem des Safe Harbor keinen mit dem EU-Recht gleichwertigen Schutz gewährleisten konnte.
Schrems II (Juli 2020) erklärte den Nachfolger, das EU-US-Privacy-Shield, für ungültig. Der Gerichtshof befand, dass die US-Geheimdienstdatenerhebung nach FISA Section 702 und Executive Order 12333 nach wie vor über das nach EU-Maßstäben verhältnismäßige Maß hinausgeht. Der im Rahmen des Privacy Shield geschaffene Ombudsmann-Mechanismus besaß weder Unabhängigkeit noch Bindungswirkung.
Der Gerichtshof erklärte die Standardvertragsklauseln nicht für ungültig, knüpfte ihre Nutzung jedoch an eine entscheidende Bedingung: Vor Verwendung der SCCs muss der Datenexporteur im Einzelfall prüfen, ob die Rechtsordnung des Ziellandes es dem Importeur tatsächlich erlaubt, die Klauseln einzuhalten. Falls nicht, sind ergänzende Maßnahmen erforderlich. Können keine ergänzenden Maßnahmen die Lücke schließen, muss die Übermittlung eingestellt werden.
Die aktuelle Lage: der EU-US-Datenschutzrahmen
Der dritte Versuch eines stabilen Übermittlungsmechanismus für die USA, der EU-US Data Privacy Framework (DPF), erhielt am 10. Juli 2023 seinen Angemessenheitsbeschluss. Auf US-Seite stützt er sich auf Executive Order 14086 (Oktober 2022), die Verhältnismäßigkeitsgrenzen für die Signalaufklärung einführte und einen Data Protection Review Court (DPRC) als Rechtsbehelfsinstanz für EU-Bürgerinnen und -Bürger schuf.
Über 2.800 Organisationen verfügen über aktive DPF-Zertifizierungen. Die erste regelmäßige Überprüfung der Europäischen Kommission (Oktober 2024) kam zu dem Schluss, dass die US-Behörden die notwendigen Strukturen umgesetzt haben.
Der DPF steht jedoch auf wackeligem Fundament:
Das PCLOB-Problem. Am 27. Januar 2025 wurden drei Mitglieder des Privacy and Civil Liberties Oversight Board entlassen, wodurch das Gremium das für seine Beschlussfähigkeit erforderliche Quorum von drei Mitgliedern verlor. Das PCLOB überwacht, ob US-Geheimdienste die Datenschutzverpflichtungen des DPF einhalten. Ein Bundesbezirksgericht in Washington entschied im Mai 2025, die Entlassungen seien rechtswidrig, und ordnete die Wiedereinsetzung an -- die Regierung legte jedoch Berufung ein. Stand April 2026 ist die Aufsichtsfunktion des Gremiums weiterhin eingeschränkt.
Rechtliche Anfechtungen. Der französische Abgeordnete Philippe Latombe (zugleich CNIL-Mitglied) reichte im September 2023 eine Klage gegen den DPF ein. Das Gericht der Europäischen Union wies sie im September 2025 ab, doch Latombe legte im Oktober 2025 Rechtsmittel beim EuGH ein. Dieses Verfahren ist noch anhängig. NOYB (Schrems' Organisation) hat signalisiert, eine umfassendere Klage einreichen zu wollen.
Das Risiko der Exekutivanordnung. Die US-Rechtsgrundlage des DPF ist eine Exekutivanordnung, kein Gesetz. Jeder künftige Präsident kann sie einseitig widerrufen, was den Angemessenheitsbeschluss sofort untergraben würde.
Standardvertragsklauseln: das wichtigste Übermittlungsinstrument
Die Europäische Kommission hat die aktuellen SCCs am 4. Juni 2021 erlassen. Alle Verträge müssen diese Fassung verwenden (die Frist zur Umstellung alter SCCs lief am 27. Dezember 2022 ab).
Die SCCs bestehen aus vier Modulen für internationale Übermittlungen:
- Modul 1: Verantwortlicher an Verantwortlichen
- Modul 2: Verantwortlicher an Auftragsverarbeiter
- Modul 3: Auftragsverarbeiter an Auftragsverarbeiter
- Modul 4: Auftragsverarbeiter an Verantwortlichen
Der Klauseltext darf nicht verändert werden. Man unterzeichnet ihn unverändert. Was viele Unternehmen jedoch übersehen: Klausel 14 der SCCs verpflichtet Sie, vor Beginn der Übermittlung eine Transfer Impact Assessment (TIA) durchzuführen. Die SCCs sind kein Dokument, das man einmal unterzeichnet und dann vergisst.
Transfer Impact Assessments: der Schritt, den die meisten Unternehmen überspringen
Eine TIA ist eine dokumentierte Bewertung, ob die Rechtsordnung des Ziellandes es dem Datenimporteur erlaubt, seine vertraglichen Verpflichtungen aus den SCCs tatsächlich zu erfüllen. Die CNIL veröffentlichte am 31. Januar 2025 ihren abschließenden praktischen TIA-Leitfaden, der auf sechs Schritten aufbaut.
Was bewertet werden muss:
- Die Überwachungs- und Behördenzugriffsgesetze im Zielland
- Ob diese Gesetze den Schutz aus den SCCs außer Kraft setzen
- Welche ergänzenden Maßnahmen (technischer, organisatorischer, vertraglicher Art) die Lücke schließen können
- Ob die ergänzenden Maßnahmen tatsächlich wirksam sind
Lautet die Antwort auf Schritt 4 "Nein", darf die Übermittlung nicht stattfinden. Punkt.
Die meisten Unternehmen, die SCCs mit US-Cloud-Anbietern unterzeichnen, führen niemals eine TIA durch. Genau das hat Meta das Bußgeld von 1,2 Milliarden Euro eingebracht. Die irische DPC stellte fest, dass Meta für US-Übermittlungen auf SCCs setzte, es jedoch versäumte, angesichts dessen, was Schrems II über das US-Überwachungsrecht festgestellt hatte, angemessene ergänzende Maßnahmen umzusetzen.
Ergänzende Maßnahmen: die Empfehlungen des EDSA
Die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDSA), finalisiert am 18. Juni 2021, unterscheiden drei Kategorien:
Technische Maßnahmen sind am wirksamsten. Verschlüsseln Sie Daten mit Schlüsseln, die ausschließlich der Exporteur (oder eine Einrichtung in einem Angemessenheitsland) hält, sodass der Importeur sie auch auf behördliche Anordnung hin nicht entschlüsseln kann. Pseudonymisieren Sie Daten, wobei nur der Exporteur die Re-Identifizierungsschlüssel hält. Nutzen Sie aufgeteilte Verarbeitung, sodass keine einzelne Einrichtung den vollständigen Datensatz einsehen kann.
Organisatorische Maßnahmen umfassen interne Richtlinien zur Steuerung von Datenübermittlungen, die Minimierung der übertragenen Datenkategorien und -mengen sowie Mitarbeiterschulungen.
Vertragliche Maßnahmen verpflichten den Importeur, transparent über Behördenzugriffsanfragen zu berichten, unverhältnismäßige Anfragen anzufechten und den Exporteur unverzüglich zu benachrichtigen.
Der EDSA war unmissverständlich: Für manche Länder können keine ergänzenden Maßnahmen ausreichen. Kommt man zu diesem Schluss, darf die Übermittlung nicht stattfinden.
Die Vollstreckungsbilanz
Die Aufsichtsbehörden machen keine leeren Drohungen. Die Bußgelder für Übermittlungsverstöße gehören zu den höchsten, die jemals nach der DSGVO verhängt wurden:
| Datum | Unternehmen | Bußgeld | Sachverhalt |
|---|---|---|---|
| Mai 2023 | Meta | 1,2 Mrd. EUR | US-Übermittlungen über SCCs ohne angemessene ergänzende Maßnahmen |
| Juli 2024 | Uber | 290 Mio. EUR | EU-Fahrerdaten (Standort, Ausweise, Straf-/Gesundheitsakten) wurden 27 Monate lang ohne Schutzmaßnahmen in die USA übermittelt |
| Mai 2025 | TikTok | 530 Mio. EUR | EWR-Nutzerdaten ohne Überprüfung der SCC-Wirksamkeit nach China übermittelt; Daten auch auf chinesischen Servern gespeichert, obwohl das Gegenteil behauptet wurde |
Das Meta-Bußgeld erging nach einem bindenden EDSA-Beschluss vom April 2023. Das TikTok-Bußgeld umfasste 485 Millionen Euro allein für den Verstoß gegen Artikel 46 Absatz 1, zuzüglich 45 Millionen Euro für einen Transparenzverstoß nach Artikel 13.
Der CLOUD-Act-Konflikt
Das US-Recht schafft einen direkten Konflikt mit der DSGVO. Der CLOUD Act (2018) verpflichtet US-amerikanische Unternehmen, auf gültige US-Behördenanforderung hin Daten herauszugeben, unabhängig davon, wo diese Daten physisch gespeichert sind. Ihre Daten können sich in einem Rechenzentrum in Frankfurt befinden, und ein US-Gerichtsbeschluss kann den US-amerikanischen Betreiber dennoch zur Herausgabe zwingen.
DSGVO-Artikel 48 besagt, dass Übermittlungen aufgrund von Gerichtsbeschlüssen aus Drittländern rechtswidrig sind, sofern kein internationales Abkommen sie erlaubt. Ein solches Abkommen zwischen der EU und den USA existiert für diesen Zweck nicht. Unternehmen, die zwischen diesen beiden Rechtsordnungen stehen, sind mit einem Rechtskonflikt konfrontiert, der keine saubere Lösung hat.
Das ist bedeutsam, weil rund 97 % des europäischen Cloud-Infrastrukturmarkts von nicht-europäischen Anbietern kontrolliert werden -- in erster Linie AWS, Google Cloud und Microsoft Azure.
Was europäische Unternehmen jetzt tun sollten
Wenn Sie sich auf den DPF stützen: Betrachten Sie ihn nicht als dauerhaft. Der Angemessenheitsbeschluss könnte durch ein künftiges EuGH-Urteil, den Widerruf einer Exekutivanordnung oder eine negative Überprüfung für ungültig erklärt werden. Entwickeln Sie einen Ausweichplan.
Wenn Sie SCCs verwenden: Führen Sie Ihre TIA durch. Dokumentieren Sie sie. Setzen Sie ergänzende Maßnahmen um. Die TIA ist nicht optional -- sie ist in Klausel 14 der SCCs selbst verankert. Der CNIL-Leitfaden vom Januar 2025 bietet einen praktischen Rahmen.
Ziehen Sie europäische Alternativen in Betracht. Wenn Sie personenbezogene Daten vollständig im EWR mit europäischen Anbietern verarbeiten können, gilt Artikel 46 nicht. Es gibt keine TIA durchzuführen, keine ergänzenden Maßnahmen umzusetzen, kein Risiko, dass ein Schrems III Ihre Rechtsgrundlage zunichte macht. Das Übermittlungsproblem verschwindet. Das ist das strukturelle Argument für europäische SaaS- und Cloud-Anbieter, jenseits jeder einzelnen Regulierungsfrist.
Kartieren Sie Ihre Datenflüsse. Schritt 1 des sechsstufigen Fahrplans des EDSA besteht darin zu wissen, wohin Ihre Daten fließen. Viele Unternehmen entdecken bei dieser Übung, dass personenbezogene Daten über Unterauftragsverarbeiter in Drittländer gelangen, von denen sie nichts wussten.
Überprüfen Sie regelmäßig. Die Rechtslage ändert sich. Die Stabilität des DPF hängt von US-politischen Entscheidungen ab. Neue EuGH-Urteile können die Anforderungen über Nacht verschieben. Eine TIA aus dem Jahr 2023 spiegelt die Realität im Jahr 2026 möglicherweise nicht mehr wider.
Den vollständigen Text von DSGVO-Artikel 46 finden Sie unter gdpr-info.eu/art-46-gdpr. Die Empfehlungen des EDSA zu ergänzenden Maßnahmen sind unter edpb.europa.eu verfügbar. Den TIA-Leitfaden der CNIL finden Sie unter cnil.fr.