---
name: drittlandstransfer-tia-scc
description: "Drittlandstransfer: Verhandlung, Vergleich und Eskalation im Datenschutzrecht: 1. Welche Rolle hat die fragende Person und wer ist Gegenüber? 2. Welches konkrete Ziel soll erreicht oder verhindert werden? 3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?..."
---

# Drittlandstransfer: Verhandlung, Vergleich und Eskalation

## Spezialwissen: Drittlandstransfer: Verhandlung, Vergleich und Eskalation
- **Normen-/Quellenanker:** DSGVO, BDSG, TDDDG, PIA, DPIA, AVV, Art. 15, Art. 33, Art. 44, US, DPF, SCC.

## Fallweichen
Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:

1. Welche Rolle hat die fragende Person und wer ist Gegenüber?
2. Welches konkrete Ziel soll erreicht oder verhindert werden?
3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?

## Arbeitsworkflow
1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **Drittlandstransfer** prüfen.
3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.

## Transfermechanik (Art. 44 ff. DSGVO)
- **Stufe 1 — Angemessenheitsbeschluss (Art. 45):** UK, Japan, Schweiz, Israel u. a.; für USA das EU-US Data Privacy Framework (DPF) seit Durchführungsbeschluss vom 10.07.2023. Selbstzertifizierung des Empfängers prüfen (dataprivacyframework.gov).
- **Stufe 2 — Geeignete Garantien (Art. 46):** Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914), Binding Corporate Rules, genehmigte Verhaltensregeln.
- **Stufe 3 — Ausnahmen (Art. 49):** Nur restriktiv, kein dauerhafter Transfer.

## Transfer Impact Assessment (TIA)
Nach EuGH "Schrems II" (Urteil vom 16.07.2020, C-311/18) prüfen, ob die SCC im Empfängerland faktisch greifen: Zugriffsrechte staatlicher Stellen, FISA 702, Executive Order 12333, Rechtsschutz. EDSA-Empfehlungen 01/2020 als Methodik. Zusätzliche Maßnahmen wie kundenseitig gehaltene Verschlüsselungsschlüssel oder Pseudonymisierung dokumentieren.

## Verhandlungs-Trade-off
- US-Anbieter ohne DPF-Zertifizierung: SCC + TIA + technische Maßnahmen sind nötig. Reine Vertragsklauseln ohne TIA reichen den Aufsichtsbehörden nicht.
- Eskalationsstufen bei Streit: Konzern-DSB, dann Aufsichtsbehörde am Hauptsitz (One-Stop-Shop Art. 56), zuletzt Klage nach Art. 79 oder Beschwerde nach Art. 77.