Kurzbeitrag : Praxisfälle zum Datenschutzrecht XL: Drittlandübermittlungen im Konzern : aus der RDV 3/2026, Seite 153 bis 157

Nach dem EDSA liegt eine Drittlandübermittlung vor, wenn die nachfolgenden Kriterien erfüllt sind:^[4]

1. Ein Verantwortlicher oder Auftragsverarbeiter („Exporteur“) unterliegt für die betreffende Verarbeitung der DS‑GVO.
2. Der Exporteur legt personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, durch Übertragung oder auf andere Weise gegenüber einem anderen Verantwortlichen oder Auftragsverarbeiter oder gegenüber gemeinsam Verantwortlichen („Importeur“) offen.
3. Der Importeur befindet sich in einem Drittland, unabhängig davon, ob dieser Importeur für die betreffende Verarbeitung gem. Art. 3 der DS‑GVO unterliegt, oder der Importeur ist eine internationale Organisation.

Bei Vorliegen dieser Voraussetzungen ist der Anwendungsbereich der Art. 44 ff. DS‑GVO eröffnet.

Nach Art. 44 S. 1 Hs. 1 DS‑GVO ist jede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn der Verantwortliche bzw. der Auftragsverarbeiter die in den Art.  44 ff. DS‑GVO niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen der Verordnung eingehalten werden. Hieraus folgt, dass Drittlandübermittlungen einer Zwei-Stufen-Prüfung unterliegen: Zunächst ist auf der ersten Stufe zu prüfen, ob die Datenübermittlung die allgemeinen Voraussetzungen der DS‑GVO erfüllt. Insbesondere muss die Übermittlung den Anforderungen des Art. 5 DS‑GVO entsprechen und durch einen Erlaubnistatbestand gerechtfertigt sein. Auf der zweiten Stufe sind die besonderen Voraussetzungen der Art. 44 ff. DS‑GVO zu prüfen. Danach sind entweder ein Angemessenheitsbeschluss der EU-Kommission für das jeweilige Drittland, in das die Daten übermittelt werden sollen (Art. 45 DS‑GVO), oder geeignete Garantien (Art. 46 DS‑GVO) erforderlich. Sofern ein Ausnahmetatbestand vorliegt (Art. 49 DS‑GVO), ist die Drittlandübermittlung ausnahmsweise auch ohne Angemessenheitsbeschluss oder geeignete Garantien zulässig.

2. Rechtmäßigkeit der Datenübermittlung von U an M

a) Drittlandübermittlung

Die von M geforderte Übermittlung personenbezogener Daten stellt eine Drittlandübermittlung nach den Art. 44 ff. DS‑GVO dar, da U in Deutschland, also in der EU, ansässig ist (Exporteur), und die Daten gegenüber M offengelegt werden sollen, die in den USA und somit außerhalb der EU ansässig ist (Importeur). Demzufolge müsste die Datenübermittlung auf der ersten Stufe die allgemeinen Voraussetzungen der DS‑GVO erfüllen, d.h., sie muss durch einen Erlaubnistatbestand gerechtfertigt sein. Eine Einwilligung soll laut Sachverhalt nicht eingeholt werden, so dass nur ein Rückgriff auf einen gesetzlichen Erlaubnistatbestand in Betracht kommt.

Da von dem geplanten Datentransfer Kundendaten betroffen sind und mit Kunden regelmäßig eine Vertragsbeziehung besteht, könnte zunächst Art. 6 Abs. 1 S. 1 lit. b) DS‑GVO als möglicher Erlaubnistatbestand in Erwägung gezogen werden. Allerdings reicht das Bestehen einer vertraglichen Beziehung allein nicht, um die Rechtmäßigkeit auf diese Rechtsgrundlage zu stützen. Vielmehr ist darüber hinausgehend erforderlich, dass die Verarbeitung der personenbezogenen Daten für die Erfüllung des jeweiligen Vertrags objektiv notwendig ist. Maßgeblich ist, ob ohne die betreffende Datenverarbeitung die Vertragserfüllung nicht oder nicht ordnungsgemäß möglich wäre. Daran fehlt es hier. Die Vermittlung von Finanzdienstleistungen durch U setzt eine Übermittlung der Kundendaten an M nicht voraus. Die Datenübermittlung kann damit nicht auf Art. 6 Abs. 1 S. 1 lit. b) DS‑GVO gestützt werden.

Als Erlaubnistatbestand für die Datenverarbeitung kommt im Ergebnis nur die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO in Betracht.

b) Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO als Rechtsgrundlage?

aa) Allgemeines

Eine Datenverarbeitung kann auf Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Tatbestand enthält folgende drei zentrale Voraussetzungen, die kumulativ vorliegen müssen:^[5]

1. Der Verantwortliche oder ein Dritter verfolgt ein berechtigtes Interesse mit der Verarbeitung.
2. Die Verarbeitung ist zur Wahrung der berechtigten Interessen erforderlich.
3. Die Interessen bzw. Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen nicht die berechtigten Interessen des Verantwortlichen oder des Dritten.

Die Anwendung des Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO verlangt somit eine umfassende Interessenabwägung im Einzelfall. Dabei trifft den Verantwortlichen im Rahmen der Rechenschaftspflicht aus Art. 5 Abs. 2 DS‑GVO die Obliegenheit, die Einhaltung der datenschutzrechtlichen Vorgaben nachzuweisen und insbesondere die tragenden Erwägungen der Interessenabwägung nachvollziehbar darzulegen.^[6]

bb) Interessenabwägung im Einzelnen

Zunächst muss also der Verantwortliche oder ein Dritter mit der Verarbeitung ein berechtigtes Interesse verfolgen. Dazu zählen sowohl rechtliche als auch tatsächliche, wirtschaftliche oder ideelle Interessen.^[7]

Als berechtigtes Interesse eines Dritten ist hier das wirtschaftliche Interesse der Muttergesellschaft M an der Umsetzung der geplanten globalen Datenstrategie und dem Aufbau einer zentralen Datenplattform in den USA zu berücksichtigen.

Hinweis: Die DS‑GVO fasst die Unternehmen eines Konzerns nicht als „datenschutzrechtliche Einheit“ zusammen. Vielmehr sind die einzelnen Konzerngesellschaften aus datenschutzrechtlicher Sicht grundsätzlich eigenständige Verantwortliche und im Verhältnis zueinander als „Dritte“ i.S.v. Art. 4 Nr. 10 DS‑GVO anzusehen.^[8] Die DS‑GVO kennt kein allgemeines Konzernprivileg; auch Datenübermittlungen zwischen konzernverbundenen Unternehmen bedürfen einer entsprechenden Rechtsgrundlage. Allerdings erkennt Erwägungsgrund 48 DS‑GVO ausdrücklich an, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Gruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Teilweise wird im Zusammenhang mit Erwägungsgrund 48 von einem sog. „kleinen Konzernprivileg“ gesprochen.^[9]

Erwägungsgrund 48 DS‑GVO erfasst nicht alle Übermittlungen personenbezogener Daten innerhalb von Unternehmensgruppen, sondern ausschließlich solche, die „internen Verwaltungszwecken“ dienen. Dies betrifft beispielsweise die Zentralisierung bestimmter Funktionen innerhalb eines Konzerns, wie etwa der IT, zur Effizienzsteigerung.^[10] Ermöglicht werden sollen vor allem typische Backoffice- und Steuerungsfunktionen, nicht jedoch eine wirtschaftliche Nutzung personenbezogener Daten durch verbundene Unternehmen.

Hier beabsichtigt M, die Kundendaten von U zu Analysezwecken sowie zur Entwicklung KI-basierter Empfehlungssysteme zu verwenden. Die geplante Verarbeitung ist damit auf die Optimierung der Geschäftstätigkeit und die Förderung der wirtschaftlichen Interessen des Konzerns insgesamt gerichtet. Es handelt sich folglich nicht mehr um rein interne Verwaltungszwecke, sodass Erwägungsgrund 48 DS‑GVO vorliegend nicht einschlägig ist.

Zwar führt das Fehlen der Einschlägigkeit von Erwägungsgrund 48 DS‑GVO nicht dazu, dass ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO per se ausgeschlossen ist. Denn den Erwägungsgründen kommt keine eigenständige normative Wirkung zu; sie dienen lediglich als Auslegungshilfe für die verbindlichen Regelungen der DS‑GVO, insbesondere deren Artikel.^[11] Allerdings darf die gesetzgeberische Intention, kein umfassendes Konzernprivileg vorzusehen und Datenübermittlungen zwischen verbundenen Unternehmen grundsätzlich Übermittlungen zwischen nicht verbundenen Unternehmen gleich zu behandeln, nicht durch den Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO unterlaufen werden.

Berücksichtigt man im vorliegenden Fall zusätzlich, dass es sich bei den betroffenen Daten um sensible Informationen handelt – insbesondere bei den Daten zum Nutzungsverhalten und zur Bonität –, ist insgesamt davon auszugehen, dass die Datenübermittlung nicht auf Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO gestützt werden kann, da die schutzwürdigen Interessen der betroffenen Personen das berechtigte wirtschaftliche Interesse der Muttergesellschaft M an einer globalen Datenstrategie überwiegen. Darüber hinaus stellt sich die Frage, ob für die von der Konzernmutter verfolgten Zwecke nicht bereits anonymisierte oder zumindest pseudonymisierte Daten ausreichen, in welchem Fall eine Verarbeitung personenbezogener bzw. unmittelbar personenbeziehbarer Daten bereits vorgelagert wegen mangelnder Erforderlichkeit im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO ausscheiden würde.

3. Ergebnis

Die von M geforderte Datenübermittlung von U an M ist nicht rechtmäßig, da sie nicht auf Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO gestützt werden kann. Somit scheitert die Drittlandübermittlung bereits auf erster Stufe an den allgemeinen Vorgaben der DS‑GVO.

Hinweis: Im Hinblick auf die geplante Datenübermittlung ist zudem von einer Zweckänderung auszugehen, sofern die Übermittlung an M nicht bereits von den bei der Datenerhebung festgelegten Verarbeitungszwecken (Art. 13 Abs. 1 lit. c) DS‑GVO) erfasst ist. Die Zulässigkeit der Zweckänderung richtet sich nach Art. 6 Abs. 4 DS‑GVO.^[12] Der Verantwortliche hat die betroffenen Personen zudem vor der zweckändernden Weiterverarbeitung gem. Art. 13 Abs. 3 DS‑GVO über den neuen Verarbeitungszweck zu informieren.

III. Ergänzende Hinweise

Wie dargestellt, scheitert die Datenübermittlung in die USA im vorliegenden Fall bereits auf der ersten Stufe: Es fehlt unabhängig vom Drittlandbezug bereits an einer Rechtsgrundlage für die Datenverarbeitung.

Wäre eine entsprechende Rechtsgrundlage zu bejahen gewesen, so hätte sich auf der zweiten Stufe die Frage gestellt, unter welchen Voraussetzungen die Art. 44 ff. DS‑GVO eine Übermittlung in ein Drittland erlauben. Zentrale Gesamtanforderung ist insoweit, dass das durch die DS‑GVO gewährleistete Schutzniveau durch die Übermittlung nicht unterlaufen wird. Zur Sicherstellung dieses Schutzniveaus sehen die Art. 44 ff. DS‑GVO verschiedene Mechanismen vor, die nachfolgend näher erläutert werden.

1. Angemessenheitsbeschluss, Art. 45 DS‑GVO

Die Übermittlung personenbezogener Daten in Drittländer ist nach Art. 45 DS‑GVO auf der zweiten Stufe zulässig, wenn die EU-Kommission für das betreffende Drittland einen Angemessenheitsbeschluss erlassen hat. Dabei handelt es sich um einen Beschluss, der dem jeweiligen Drittland ein angemessenes Schutzniveau für den Schutz personenbezogener Daten attestiert. Liegt ein solcher Angemessenheitsbeschluss vor, bedarf es nach Art. 45 Abs. 1 S. 2 DS‑GVO keiner gesonderten Genehmigung für Datenübermittlungen in dieses Drittland, sodass die Übermittlung ohne weitere zusätzliche

Garantien zulässig ist. Das Verfahren für den Erlass, die Änderung und den Widerruf von Angemessenheitsbeschlüssen ist in Art.  45 DS‑GVO geregelt. Derzeit gibt es entsprechende Beschlüsse unter anderem für Argentinien, Kanada, Japan, Schweiz, das Vereinigte Königreich und die USA.^[13] Der für die USA geltende Angemessenheitsbeschluss wird als „EU-US Data Privacy Framework“ bezeichnet. Er ist nicht der erste Beschluss dieser Art in Bezug auf die USA, da die Vorgängerregelungen „Safe Harbour“ und „Privacy Shield“ durch die Urteile „Schrems I“ und „Schrems II“ des EuGH für unwirksam erklärt wurden. Der Gerichtshof begründete dies damit, dass diese Regelungen keinen im Wesentlichen gleichwertigen Schutz personenbezogener Daten im Vergleich zur DS‑GVO gewährleisteten.^[14]Das nun geltende „EU-US Data Privacy Framework“ adressiert insbesondere Zugriffe durch US-Sicherheitsbehörden und sieht einen Rechtsschutz für EU-Bürger vor. Zentrale Voraussetzung ist zudem, dass sich US-Unternehmen als Datenimporteure beim USHandelsministerium zertifizieren lassen.^[15]

2. Geeignete Garantien, Art. 46 DS‑GVO

Liegt kein Angemessenheitsbeschluss nach Art.  45 DS‑GVO vor, können Drittlandübermittlungen auf geeignete Garantien im Sinne des Art. 46 DS‑GVO gestützt werden. Erforderlich ist dabei insbesondere, dass den betroffenen Personen durchsetzbare Rechte sowie wirksame Rechtsbehelfe zur Verfügung stehen, sodass ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet ist. Zu den geeigneten Garantien zählen insbesondere verbindliche interne Datenschutzvorschriften sowie von der EU-Kommission erlassene Standarddatenschutzklauseln.

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) bieten Unternehmen einer Unternehmensgruppe sowie Gruppen mit gemeinsamer wirtschaftlicher Tätigkeit die Möglichkeit, personenbezogene Daten in Drittländer zu übermitteln, Art.  46 Abs.  2 lit.  b) DS‑GVO. Nach Art.  47 Abs.  1 DS‑GVO müssen die BCR für alle betroffenen Unternehmen rechtlich bindend sein, den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten einräumen und die in Art. 47 Abs. 2 DS‑GVO näher geregelten Anforderungen erfüllen. Zudem bedarf es einer Genehmigung durch die zuständige Aufsichtsbehörde. Das Vorliegen genehmigter BCR führt jedoch nicht dazu, dass personenbezogene Daten innerhalb eines Konzerns pauschal frei ausgetauscht werden dürfen. Ein Konzernprivileg kennt die DS‑GVO, wie bereits dargestellt,^[16] nicht. Vielmehr stellen BCR – ebenso wie andere geeignete Garantien – lediglich sicher, dass die Anforderungen der zweiten Stufe der Drittlandübermittlung erfüllt sind. Auf der ersten Stufe ist weiterhin eine Rechtsgrundlage für die jeweilige Datenverarbeitung erforderlich.^[17]

Die in der Praxis bedeutsamste Garantie für Drittlandübermittlungen stellen die Standarddatenschutzklauseln der EU-Kommission im Sinne des Art. 46 Abs. 2 lit. c) DS‑GVO dar. Dabei handelt es sich um von der Kommission vorformulierte Vertragsklauseln, die zwischen dem Datenexporteur und dem Datenimporteur vereinbart werden. Durch ihre Verwendung verpflichtet sich der Datenimporteur zur Einhaltung der datenschutzrechtlichen Grundprinzipien der DS‑GVO. Die Standarddatenschutzklauseln wurden insbesondere im Anschluss an die „Schrems II“-Entscheidung überarbeitet und im Jahr 2021 neu gefasst.^[18]Sie sind modular aufgebaut und erfassen verschiedene Übermittlungskonstellationen, insbesondere zwischen zwei Verantwortlichen, zwischen Verantwortlichem und Auftragsverarbeiter sowie zwischen zwei Auftragsverarbeitern. Nach den Vorgaben der Datenschutzkonferenz (DSK) müssen Unternehmen im Rahmen der Nutzung von Standarddatenschutzklauseln zudem ein sog. Transfer Impact Assessment durchführen und dokumentieren, dass im konkreten Einzelfall ein im Wesentlichen gleichwertiges Datenschutzniveau im Drittland gewährleistet ist.^[19]

3. Ausnahmen, Art. 49 DS‑GVO

Sind weder ein Angemessenheitsbeschluss noch geeignete Garantien nach Art. 46 DS‑GVO gegeben, kommt eine Drittlandübermittlung ausnahmsweise nach Art. 49 Abs. 1 DS‑GVO in Betracht. Dies gilt insbesondere in folgenden Fällen:

• die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde (lit. a)), ▪ die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich (lit. b)),
• die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich (lit. c)),
• die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig (lit. d)) oder
• die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich (lit. e)). Angesichts ihres Ausnahmecharakters sind diese Tatbestände eng auszulegen. Gleich-wohl kommt Art. 49 DS‑GVO in der Praxis erhebliche Bedeutung zu, da die Vorschrift in Fällen fehlender Angemessenheitsbeschlüsse und geeigneter Garantien ein rechtliches Vakuum verhindern soll.^[20]

*RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016. RA Dr. Johannes Zhou ist bei der Kanzlei FPS in Frankfurt a.M. im IT- und Datenschutzrecht tätig

_{[1] Taeger/Gabel/Gabel, 5. Aufl. 2026, DS‑GVO Art. 44 Rn. 1.}

_{[2] Taeger/Gabel/Gabel, 5. Aufl. 2026, DS‑GVO Art. 44 Rn. 5 ff.}

_{[3] Europäische Kommission, Pressemitteilung, 19.12.2025, abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/de/ip_25_3059}

_{[4] EDSA, Leitlinie 5/2021 über das Zusammenspiel zwischen der Anwendung des Artikels 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DS‑GVO, Version 2.0, 14.2.2023, S. 3.}

_{[5] EDSA, Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, Version 1.0, 8.10.2024, S. 2}

_{[6] Ähnlich Kühling/Buchner/Buchner/Petri, 4. Aufl. 2024, DS‑GVO Art. 6 Rn. 149 m.w.N.; a.A. Paal/Pauly/Frenzel, 4. Aufl. 2026, DS‑GVO Art. 6 Rn. 31.}

_{[7] Vgl. etwa Kühling/Buchner/Buchner/Petri, 4. Aufl. 2024, DS‑GVO Art. 6 Rn. 146a.}

_{[8] König, Beschäftigtendatenschutz, 2020, § 5 Rn. 169}

_{[9] Wurzberger, ZD 2017, 258 (260); Traut, RDV 2016, 312 (313)}

_{[10] Kühling/Buchner/Buchner/Petri, 4. Aufl. 2024, DS‑GVO Art. 6 Rn. 168.}

_{[11] Sydow/Marsch/Kreße, 3. Aufl. 2022, DS‑GVO Art. 81 Rn. 8.}

_{[12] Siehe zu den Voraussetzungen des Art. 6 Abs. 4 DS‑GVO Zhou, EuDIR 2026, 124}

_{[13] Siehe die Übersicht zu den Angemessenheitsbeschlüssen der Europäischen Kommission, abrufbar unter: https://datenschutz.hessen.de/datenschutz/internationaler-datentransfer/angemessenheitsbeschluesse-der-europaeischen-kommission.}

_{[14] EuGH, Urt. v. 6.10.2015 – C-362/14 (Schrems I); Urt. v. 16.7.2020 – C-311/18 (Schrems II)}

_{[15] Taeger/Gabel/Gabel, 5. Aufl. 2026, DS‑GVO Art. 45 Rn. 13.}

_{[16] Vgl. II.2.b)bb).}

_{[17] Ehmann/Selmayr/Zerdick, 3. Aufl. 2024, DS‑GVO Art. 47 Rn. 5}

_{[18] Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4.6.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.}

_{[19] Datenschutzkonferenz, Pressemitteilung vom 21.6.2021, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf.}

_{[20] EuGH, Urt. v. 16.7.2020 – C-311/18 (Schrems II); Taeger/Gabel/Gabel, 5. Aufl. 2026, DS‑GVO Art. 49 Rn. 3}