Drittlandtransfer
Auch: Datentransfer in Drittländer · Auslandsübermittlung
Ein Drittlandtransfer liegt vor, wenn personenbezogene Daten – etwa von Interessenten, Käufern oder Verkäufern – an Empfänger in Staaten außerhalb der EU/EWR übermittelt werden, für die kein automatisch gleichwertiges Datenschutzniveau gilt. Solche Übermittlungen sind nur zulässig, wenn zusätzliche Garantien vorliegen.
Ausführliche Erklärung
Kapitel V der DSGVO (Art. 44 ff.) errichtet für Datenübermittlungen in Drittländer ein eigenes, gestuftes Schutzsystem, das über die allgemeinen Rechtsgrundlagen des Art. 6 DSGVO hinaus zusätzlich erfüllt sein muss:
- Angemessenheitsbeschluss (Art. 45 DSGVO): Die EU-Kommission hat für bestimmte Länder ein angemessenes Schutzniveau festgestellt (u. a. Schweiz, Vereinigtes Königreich sowie – seit 2023 unter dem EU-US Data Privacy Framework – zertifizierte US-Unternehmen). Für Übermittlungen dorthin sind keine weiteren Garantien nötig.
- Geeignete Garantien (Art. 46 DSGVO): Fehlt ein Angemessenheitsbeschluss, kommen etwa EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwischen dem Makler und dem Empfänger in Betracht.
- Ausnahmen für Einzelfälle (Art. 49 DSGVO): U. a. ausdrückliche Einwilligung der betroffenen Person nach vorheriger Information über die Risiken, oder Erforderlichkeit zur Erfüllung eines Vertrags mit der betroffenen Person.
Für Maklerbüros ist das Thema vor allem bei der Wahl von Cloud-Software relevant: Viele CRM-Systeme, E-Mail-Marketing-Tools, Foto-/Video-Speicherdienste oder KI-gestützte Exposé-Generatoren nutzen Server oder Mutterkonzerne in den USA. Entscheidend ist nicht der Firmensitz des Anbieters allein, sondern wo die Daten tatsächlich verarbeitet werden und ob der Anbieter unter das EU-US Data Privacy Framework zertifiziert ist oder Standardvertragsklauseln anbietet. Vor Einsatz eines neuen Tools sollte der Makler daher prüfen (bzw. sich vom Anbieter schriftlich bestätigen lassen), auf welcher Grundlage ein etwaiger Drittlandtransfer erfolgt – dies ist Teil der Sorgfaltspflichten bei der Auswahl von Auftragsverarbeitern (Art. 28 Abs. 1 DSGVO).
Beispiel aus der Praxis
Ein Maklerbüro nutzt ein amerikanisches Cloud-Tool zur automatischen Erstellung von Exposé-Texten, bei dem Interessentendaten in die USA übermittelt werden. Der Anbieter ist unter dem EU-US Data Privacy Framework zertifiziert, sodass die Übermittlung ohne zusätzliche Garantien zulässig ist – wäre er es nicht, müsste das Büro zusätzlich Standardvertragsklauseln vereinbaren oder auf einen europäischen Anbieter ausweichen.
Rechtsgrundlage
- Art. 44 DSGVO – Allgemeiner Grundsatz: Drittlandübermittlungen nur unter den Bedingungen dieses Kapitels.
- Art. 45 DSGVO – Übermittlung auf Grundlage eines Angemessenheitsbeschlusses.
- Art. 46 DSGVO – Übermittlung vorbehaltlich geeigneter Garantien (z. B. Standardvertragsklauseln).
- Art. 49 DSGVO – Ausnahmen für bestimmte Fälle (u. a. Einwilligung, Vertragserfüllung).