---
name: dsfa-fuer-internationale-datentransfers
description: "DSFA bei internationalen Datentransfers nach Kapitel V DSGVO: Integration der Transfer Impact Assessment (TIA) in die DSFA, Pruefung Angemessenheit SCC BCR Ausnahmen Art. 49. Output: erweiterte DSFA-Sektion für Drittlandbezug."
---

# DSFA bei internationalen Datentransfers

## Wann dieses Modul hilft

- Bei Auftragsverarbeiter mit Sitz oder Unterauftrag im Drittland
- Bei eigener Niederlassung im Drittland
- Bei US-Cloud-Diensten (auch bei EU-Hosting wegen Zugriffsmoeglichkeit US-Behörden)
- Bei Konzernintern-Transfers ueber Landesgrenzen
- Bei KI-Anbietern mit Training oder Inferenz im Drittland
- Bei nationalen Sicherheitsgesetzen des Drittlands (z. B. CLOUD Act, FISA 702, China DSL)

## Rechtlicher Rahmen

- Art. 44 DSGVO Grundsatz: jeder Transfer muss eine Rechtsgrundlage in Kapitel V haben.
- Art. 45 DSGVO Angemessenheitsbeschluss der Kommission.
- Art. 46 DSGVO geeignete Garantien (SCC, BCR, Verhaltensregeln, Zertifizierungen).
- Art. 47 DSGVO Binding Corporate Rules.
- Art. 49 DSGVO Ausnahmen für besondere Faelle (Einwilligung, Vertragserfuellung, öffentliche Interessen).
- Schrems II — EuGH Urt. v. 16.07.2020, C-311/18 — Transfer-Pruefungspflicht; TIA erforderlich. (Aktenzeichen verifiziert; sonstige Folgeentscheidungen verifizierungspflichtig.)
- EDSA Leitlinien 04/2022 zu personenbezogenen Datentransfers (Nutzer sollte Aktualitaet prüfen).
- Angemessenheitsbeschluss EU-US Data Privacy Framework (DPF) 10.07.2023, Implementing Decision (EU) 2023/1795.
- SCC Implementing Decision (EU) 2021/914 vom 04.06.2021 mit Modulen 1 bis 4.

## Ablauf 6-Schritte-Methodik

1. **Verarbeitungsbeschreibung.** Welche Daten gehen wohin, an wen, in welcher Form, wie oft, in welchem Umfang?
2. **Verhaeltnismaessigkeitspruefung.** Ist der Drittlandtransfer für den Zweck erforderlich, oder gaebe es EU-Alternativen?
3. **Risikoanalyse.**
 - Drittlandrecht: Zugriffsbefugnisse von Behörden, Rechtsbehelfe Betroffener.
 - Anbieter-Risiko: Branche, Datentyp, Subunternehmer.
 - Daten-Risiko: Sensitivitaet, Aggregation, Identifizierbarkeit.
4. **Massnahmen.**
 - Rechtsgrundlage: Angemessenheitsbeschluss, SCC mit passendem Modul, BCR, Ausnahme Art. 49.
 - Ergaenzende Massnahmen nach EDSA Empfehlungen 01/2020 (verifizierungspflichtig): technisch (Verschluesselung, Schluesselhoheit), vertraglich (Information ueber Behördenanfragen), organisatorisch (Audit, Schulung).
5. **Restrisiko.** Pruefung ob die ergaenzenden Massnahmen das Schutzniveau auf das EU-Niveau anheben oder ob das Restrisiko hoch bleibt.
6. **Konsultation / Genehmigung.** DSB-Anhörung; bei verbleibendem hohem Restrisiko Art. 36 DSGVO Vorabkonsultation; bei US-Anbietern Pruefung DPF-Zertifizierung.

## Mustertext / Template (Transfer-Sektion einer DSFA)

```
TRANSFER IMPACT ASSESSMENT [DATUM]
(Erweiterung der DSFA Sektion 4 / Anlage zur DSFA)

Verantwortlicher: [NAME]
Empfaenger im Drittland: [Name, Land, Konzernverbund]
Sub-AVs: [Liste mit Land]

1. Transferbeschreibung
- Datenkategorien: [...]
- Datenmenge: [...]
- Betroffenenkreise: [...]
- Uebermittlungsweg: [API / SFTP / DB-Replikation]
- Verschluesselung: [Transport / Ruhe / Ende-zu-Ende]
- Schluesselhoheit: [EU / Drittland / Hybrid]

2. Rechtsgrundlage des Transfers
[ ] Angemessenheitsbeschluss Art. 45 DSGVO: [Land, Beschlussdatum]
[ ] SCC Modul: [1 C-C / 2 C-P / 3 P-P / 4 P-C], Datum [...]
[ ] BCR: [Genehmigung, Datum]
[ ] Ausnahme Art. 49 Abs. 1 lit. [a/b/c/...] mit Begruendung
[ ] DPF-Zertifizierung Empfaenger: ja / nein, Stand [Datum]

3. Drittlandrechtspruefung
- Zugriffsbefugnisse Behörden: [CLOUD Act / FISA 702 / Section 702 / China DSL / Russland TK-Gesetz]
- Rechtsbehelfe Betroffener: [vorhanden / nicht aequivalent]
- Aufsichtsstruktur: [unabhaengig / nicht unabhaengig]
- Pruefung Schrems-II-Standard erfuellt: ja / nein
- Quelle: [EDSA-Länderbericht, Anbietererklaerung, Stand]

4. Ergaenzende Massnahmen
- Technisch:
 [ ] Ende-zu-Ende-Verschluesselung mit EU-Schluesselhoheit
 [ ] Pseudonymisierung vor Transfer
 [ ] Tokenisierung
 [ ] Split-Processing (sensitive Felder in EU)
- Vertraglich:
 [ ] Transparenz-Pflicht ueber Behördenanfragen
 [ ] Audit-Recht
 [ ] Loeschpflicht nach Vertragsende
- Organisatorisch:
 [ ] Anbieterschulung Datenschutz
 [ ] Notfallplan bei Behördenzugriff

5. Restrisikobewertung
[GRUEN / GELB / ORANGE / ROT]
Begruendung: [...]

6. Entscheidung
[ ] Transfer zulaessig — Massnahmen umgesetzt
[ ] Transfer zulaessig mit Auflagen
[ ] Vorabkonsultation Art. 36 DSGVO erforderlich
[ ] Transfer nicht zulaessig — Alternative pruefen

7. Ueberwachung
- Naechste Re-Pruefung: [Datum]
- Trigger: [Schrems-III-Folgeurteil / DPF-Status-Aenderung / Anbieterwechsel]

Unterschrift Verantwortlicher: ____________________
Unterschrift DSB: ____________________
```

## Typische Fehler

- TIA wird separat vom DSFA-Prozess gefuehrt — Schnittstellen gehen verloren.
- US-Cloud mit EU-Hosting wird als reiner EU-Verarbeitung behandelt — Zugriffsbefugnis US-Behörden uebersehen.
- SCC-Modul falsch gewaehlt (C-P statt C-C oder umgekehrt).
- Ergaenzende Massnahmen werden nur rechtlich, nicht technisch dokumentiert.
- Ausnahme Art. 49 wird als Daueroption verwendet, obwohl sie nur für Einzelfaelle gedacht ist.
- Re-Pruefung nach Schrems-Folgeurteil unterbleibt.
- DPF-Zertifizierung des Anbieters wird nicht jaehrlich nachgeprueft.

## Quellen Stand 06/2026

- Art. 44 bis 49 DSGVO
- EuGH Urt. v. 16.07.2020, C-311/18 (Schrems II)
- Durchfuehrungsbeschluss (EU) 2021/914 vom 04.06.2021 (SCC)
- Durchfuehrungsbeschluss (EU) 2023/1795 vom 10.07.2023 (DPF)
- EDSA Leitlinien 04/2022 (Aktualitaet pruefen)
- EDSA Empfehlungen 01/2020 zu ergaenzenden Massnahmen (Aktualitaet pruefen)
- Rechtsprechung: weitere Entscheidungen nicht aus Modellwissen zitieren; vor Ausgabe verifizieren
- Literatur: Kommentar- und Aufsatzfundstellen nur bei eigener Quelle