Internationale Datentransfers: DSGVO-Compliance in der globalen Cloud

Internationale Übermittlungen personenbezogener Daten — jede Übertragung personenbezogener Daten in ein Land oder eine internationale Organisation außerhalb des Europäischen Wirtschaftsraums (EWR) — werden durch Kapitel V der EU-Datenschutz-Grundverordnung (DSGVO, Artikel 44–49) geregelt. Eine Übermittlung darf nur stattfinden, wenn das Zielland von einem Angemessenheitsbeschluss profitiert (Artikel 45) oder wenn der Exporteur geeignete Garantien wie Standardvertragsklauseln (SCCs — Kommissionsbeschluss 2021/914), Binding Corporate Rules (BCRs) oder ein Transfer Impact Assessment (TIA) implementiert, das einen gleichwertigen Schutz bestätigt. Das EU-US Data Privacy Framework (Kommissionsbeschluss 2023/1795) bietet derzeit eine Angemessenheitsgrundlage für Transfers an zertifizierte US-Organisationen. Das Schrems-II-Urteil des EuGH (Rechtssache C-311/18, Juli 2020) hat das frühere Privacy Shield für ungültig erklärt und erfordert eine Einzelfallbewertung der Rechtssysteme von Drittländern für alle auf Standardvertragsklauseln basierenden Transfers.

Die Globalisierung von Technologiediensten hat internationale Übermittlungen personenbezogener Daten zur täglichen Realität für die große Mehrheit spanischer Unternehmen gemacht, unabhängig von ihrer Größe. Die Nutzung eines beliebigen US-Cloud-Dienstes, einer CRM-Plattform, eines Analysetools oder einer Verwaltungssoftware mit Servern außerhalb des EWR umfasst internationale Transfers, die durch Kapitel V der DSGVO geregelt werden. Das Problem ist, dass viele Organisationen diese Transfers ohne gültige Garantien durchführen — und ohne es zu wissen.

Diese Dienstleistung ist Teil unserer Rechtsberatungspraxis.

Das Erbe von Schrems II

Das Schrems-II-Urteil des EuGH war ein Wendepunkt, dessen volle Auswirkungen von der spanischen Unternehmensgemeinschaft noch nicht vollständig verarbeitet wurden. Die Ungültigerklärung des Privacy Shield und die Anforderung, ein Transfer Impact Assessment durchzuführen, um zu überprüfen, ob Standardvertragsklauseln im Zielland praktisch wirksam sind, verwandelten eine relativ unkomplizierte Übung in eine komplexere rechtliche und technische Analyse. Unternehmen, die einfach die Standardvertragsklauseln von 2021 in ihre Anbieterverträge kopiert haben, ohne das entsprechende TIA durchzuführen, sind weiterhin nicht compliant.

Die Standardvertragsklauseln von 2021 führten modulare Klauseln ein, die vier Verarbeitungsszenarien abdecken (Verantwortlicher zu Verantwortlichem, Verantwortlicher zu Auftragsverarbeiter, Auftragsverarbeiter zu Verantwortlichem und Auftragsverarbeiter zu Auftragsverarbeiter) und ersetzen die drei früheren Klauselsätze. Diese strukturelle Änderung bedeutet, dass Organisationen, die ihre internationalen Transferverträge überprüfen, nicht nur sicherstellen müssen, dass neue Standardvertragsklauseln vorhanden sind, sondern dass für jede spezifische Transferbeziehung das richtige Modul und Addendum verwendet wird.

Was das Audit offenbart

Die vollständige Kartierung internationaler Transfers ist der unverzichtbare Ausgangspunkt. In unserer Erfahrung identifizieren Organisationen typischerweise 30 bis 50 Prozent mehr Transfers, als sie anfangs annahmen: Unterauftragsverarbeiter, die der Hauptanbieter in Drittländern einsetzt, technische Support-Tools mit Fernzugriff von außerhalb des EWR oder Backup-Lösungen in nicht-europäischen Cloud-Regionen, die der Anbieter standardmäßig aktiviert. Jeder dieser Datenflüsse erfordert eine eigene Garantie — Unterauftragsverarbeiter-Transfers sind durch die Standardvertragsklauseln des Hauptverarbeiters nur dann abgedeckt, wenn diese Klauseln ausdrücklich die Unterauftragsvergabe genehmigen und gleichwertige Pflichten in der gesamten Kette auferlegen.

Für multinationale Gruppen sind Binding Corporate Rules die strukturelle Lösung, die es ermöglicht, gruppeninterne Transfers kohärent zu verwalten, ohne mit jeder Gruppengesellschaft separat Standardvertragsklauseln abschließen zu müssen. Das Genehmigungsverfahren ist komplex, aber das Ergebnis ist ein rechtlich robustes Instrument, das von allen europäischen Aufsichtsbehörden anerkannt wird. In einem Kontext, in dem die regulatorische Compliance zunehmend ein Wettbewerbsdifferenzierungsmerkmal ist, ist ein prüffähiges und dokumentiertes internationales Transfersystem ein echter Vorteil in Due-Diligence-Verfahren und institutionellen Kundenbeziehungen.

Regelungsrahmen: DSGVO Kapitel V, Standardvertragsklauseln 2021 und EU-US Data Privacy Framework

DSGVO Artikel 44–49: Artikel 44 legt den Grundsatz fest: Kein Transfer ohne geeignete Garantie oder Angemessenheitsbeschluss. Artikel 45 (Angemessenheitsbeschlüsse): Die EU-Kommission hat für folgende Länder/Regionen Angemessenheitsbeschlüsse erlassen: Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada (kommerzielle Organisationen), Neuseeland, Schweiz, Südkorea, Uruguay und das EU-US Data Privacy Framework für zertifizierte US-Unternehmen. Artikel 46 (Geeignete Garantien): Standardvertragsklauseln (SCCs), Binding Corporate Rules (BCRs), genehmigte Verhaltensregeln, genehmigte Zertifizierungsmechanismen. Artikel 47 (BCRs): Binding Corporate Rules müssen von mindestens einer EU-Datenschutzbehörde genehmigt werden; die Genehmigung gilt dann in der gesamten EU (One-Stop-Shop-Mechanismus).

Standardvertragsklauseln 2021 (Kommissionsbeschluss 2021/914): Vier Module, die verschiedene Transferszenarien abdecken: Modul 1 (Verantwortlicher zu Verantwortlichem), Modul 2 (Verantwortlicher zu Auftragsverarbeiter), Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter), Modul 4 (Auftragsverarbeiter zu Verantwortlichem). Organisationen müssen für jeden Transfer das korrekte Modul verwenden — ein falsches Modul schafft eine Compliance-Lücke, auch wenn SCCs vorhanden sind.

Transfer Impact Assessment (TIA): Nach Schrems II verlangt die AEPD (und der Europäische Datenschutzausschuss, EDPB) für SCCs-basierte Transfers in Länder ohne Angemessenheitsbeschluss eine Einzelfallbewertung der Rechtsordnung des Drittlandes. Das TIA muss folgendes beurteilen: Gibt es im Zielland Gesetze, die US-NSA-ähnlichen Massenüberwachungszugang ermöglichen? Welche wirksamen Rechtsmittel haben betroffene Personen? Sind die SCCs im Zielland faktisch durchsetzbar? Das TIA muss dokumentiert und auf Anfrage der AEPD vorgelegt werden können.

EU-US Data Privacy Framework (DPF — Kommissionsbeschluss 2023/1795): Erlaubt Transfers an US-Unternehmen, die sich beim US-Handelsministerium zertifiziert haben. Das DPF ist nach dem Schrems-II-Urteil und dem Ende des Privacy Shield der dritte Versuch eines rechtlich stabilen EU-US-Datentransferrahmens. Die politische Haltbarkeit des DPF wird von Datenschutzexperten diskutiert; Unternehmen sollten als Backup-Strategie SCCs mit TIA für kritische US-Transfers aufrechterhalten.

Praxisbeispiel: Kartierung und Absicherung internationaler Datentransfers für ein Spanisches E-Commerce-Unternehmen

Ein spanisches E-Commerce-Unternehmen mit 120 Mitarbeitern und 18 Mio. EUR Umsatz nutzt folgende Dienste mit internationalem Datentransfer: Shopify (Canada + US Server), Google Analytics (US), Mailchimp (US), Zendesk (US), AWS (Serverstandorte EU, aber US-Muttergesellschaft mit FISA 702-Zugangspotenzial), Stripe (US/IE), ein CRM-System mit US-Entwicklerteam.

Audit-Ergebnis: Sieben aktive internationale Datentransfers identifiziert; nur Stripe (mit DPF-Zertifizierung) hatte eine dokumentierte Transfergrundlage. Shopify und AWS hatten SCCs ohne TIA. Google Analytics wurde ohne jede Transfergrundlage genutzt — ein direkter DSGVO-Verstoß.

Maßnahmen:

1. Google Analytics: Wechsel auf Server-Side-Analytics mit EU-Hosting oder auf eine europäische Alternative (Matomo) — keine personenbezogenen Daten mehr in den USA.
2. Shopify, AWS, Mailchimp, Zendesk, CRM: SCCs aktiviert; TIA durchgeführt und dokumentiert; Subprozessorlisten verifiziert.
3. Stripe: DPF-Zertifizierung verifiziert; als Transfergrundlage dokumentiert.
4. Vendor-Management-Prozess implementiert: Alle neuen SaaS-Dienste werden vor Aktivierung auf internationale Transfers geprüft.

Ergebnis: Vollständige DSGVO-konforme Absicherung aller internationalen Datentransfers. Dokumentation für potenziellen AEPD-Audit vorbereitet. Gesamtkosten: 8.500 EUR (Audit und Implementierungsbegleitung).

Betroffene Sektoren

Technologie und SaaS: Unternehmen, die Cloud-Infrastruktur nutzen oder bereitstellen, haben häufig komplexe internationale Transfer-Ketten — oft ohne vollständiges Bewusstsein dafür. Subprozessoren der verwendeten SaaS-Plattformen können weitere Transfers erzeugen.

E-Commerce und Einzelhandel: Nutzung von US-E-Commerce-Plattformen, Marketing-Automation-Tools und Zahlungsanbietern erzeugt systemische internationale Transfers von Kundendaten.

Pharma und Life Sciences: Klinische Studien mit internationaler Datenerhebung; Forschungskooperationen mit Universitäten außerhalb der EU; Reporting an globale Mutterkonzerne.

Finanzdienstleistungen: Reporting an globale Regulatoren außerhalb der EU; gruppeninterne Transfers für Risikomanagement und Compliance; Swift-Transaktionen.

Unternehmensgrößen-Segmentierung

KMU (unter 50 Mitarbeiter): Typisches Profil: 3–5 internationale Datentransfers (CRM, E-Mail-Marketing, Cloud-Buchhaltung). Empfohlen: Transfer-Mapping + SCCs-Aktivierung + vereinfachtes TIA. Kosten: 2.000–5.000 EUR (einmalig).

Mittlere Unternehmen (50–249 Mitarbeiter): 10–30 internationale Transfers; mehrere Abteilungen nutzen unterschiedliche Tools ohne zentrale Kontrolle. Umfassendes Transfer-Mapping-Projekt notwendig. Kosten: 5.000–15.000 EUR (Audit und Implementierung).

Konzerne und multinationale Gruppen: BCR-Antrag als strukturelle Lösung für gruppeninterne Transfers; Koordination mit den Lead-Supervisory-Authority-Behörden nach dem One-Stop-Shop-Mechanismus. Kosten: 20.000–60.000 EUR+ (BCR-Antragsprozess dauert 12–24 Monate).

Häufige Fehler bei internationalen Datentransfers

1. Kein Transfer Impact Assessment für SCCs-basierte Transfers: Das TIA ist seit Schrems II obligatorisch. Viele Unternehmen haben die SCCs aus 2021 in ihre Verträge aufgenommen, aber das TIA nie durchgeführt. Ohne dokumentiertes TIA sind die SCCs formal vorhanden, aber die Compliance-Anforderung ist nicht erfüllt.

2. Subprozessoren der Anbieter nicht berücksichtigen: Ein SaaS-Anbieter in der EU nutzt möglicherweise US-Subprozessoren für bestimmte Dienste (Support, Analytics, Backup). Diese Transfers werden oft übersehen, weil der Hauptvertrag mit einem EU-Unternehmen besteht.

3. DPF-Zertifizierung des US-Anbieters nicht verifizieren: Das DPF gilt nur für tatsächlich zertifizierte US-Unternehmen. Die Zertifizierung ist optional und muss jährlich erneuert werden. Eine veraltete oder nie vorhandene Zertifizierung macht den Transfer unzulässig.

4. Keine systematische Überprüfung neuer Dienste: Unternehmen implementieren kontinuierlich neue SaaS-Dienste ohne systematische Datenschutzprüfung. Der Schatten-IT-Bestand (nicht offiziell genehmigte Tools, die Mitarbeiter nutzen) erzeugt oft die größten Compliance-Risiken.

5. Transfergrundlagen nicht dokumentieren: Die AEPD erwartet im Prüfungsfall, dass das Unternehmen für jeden internationalen Transfer die Rechtsgrundlage sofort nachweisen kann. Fehlende Dokumentation ist selbst eine DSGVO-Verletzung.

Nächste Schritte: Internationales Transfer-Mapping

Der erste Schritt ist ein Transfer-Mapping-Audit: vollständige Identifizierung aller internationalen Datentransfers, Bewertung der aktuellen Rechtsgrundlagen und Identifizierung von Compliance-Lücken. Kontaktieren Sie unser Datenschutzteam über das Kontaktformular oder unser Madrider Büro.

Länderanalyse: Risikoeinschätzung wichtiger Transfer-Destinationen

Vereinigte Staaten: Das EU-US Data Privacy Framework bietet für DPF-zertifizierte US-Unternehmen eine Angemessenheitsgrundlage. Für nicht-zertifizierte US-Unternehmen oder US-Behörden: SCCs + TIA erforderlich. Das TIA für die USA muss die FISA-702-Massenüberwachungsbefugnisse und Executive Order 14086 (Redress-Mechanismus) berücksichtigen. Das DPF könnte unter einem veränderten politischen Klima gefährdet sein — eine SCCs-Backup-Strategie ist prudent.

China: China hat kein Angemessenheitsbeschluss der EU-Kommission. Chinas Cybersicherheitsgesetz (2017) und Datensicherheitsgesetz (2021) können chinesische Behörden zum Datenzugang verpflichten. TIA für China-Transfers muss diese Zugangsmöglichkeiten berücksichtigen. Für kritische personenbezogene Daten ist eine Datenlokalisierungsstrategie (EU-Server) zu erwägen.

Indien: Kein Angemessenheitsbeschluss; Indien hat 2023 seinen Digital Personal Data Protection Act (DPDPA) verabschiedet, der Ähnlichkeiten mit der DSGVO aufweist, aber noch keine EU-Angemessenheitsentscheidung erhalten hat. SCCs + TIA für Indien-Transfers; das TIA sollte die indischen Sicherheitsbehörden-Zugangsbefugnisse bewerten.

Vereinigtes Königreich post-Brexit: Das UK hat nach dem Brexit einen eigenen Angemessenheitsbeschluss von der EU-Kommission erhalten (Beschluss 2021/1772), der bis 27. Juni 2025 gilt und derzeit unter Überprüfung steht. Transfers in das UK sind derzeit ohne zusätzliche Garantien möglich, aber die Entwicklung des UK-Datenschutzrechts (UK GDPR) sollte beobachtet werden.

Schweiz: Angemessenheitsbeschluss vorhanden (seit 2000, zuletzt überprüft 2021). Transfers in die Schweiz sind für die große Mehrheit der Anwendungsfälle ohne zusätzliche Garantien möglich.

Binding Corporate Rules (BCR): Implementierungsprozess

BCRs sind das robusteste Instrument für gruppeninterne Datentransfers in multinationalen Konzernen. Der Implementierungsprozess ist komplex aber erheblich lohnenswert:

Phase 1 — BCR-Design (3–6 Monate): Vollständige Kartierung aller gruppeninternen Datentransfers; Entwurf des BCR-Dokuments nach den Anforderungen des EDPB (Leitlinien 1/2022 für Controller-BCRs; Leitlinien 2/2022 für Processor-BCRs); Definition des Anwendungsbereichs (welche Gruppengesellschaften und Datenkategorien).

Phase 2 — Antrag bei der Lead Supervisory Authority (6–12 Monate): Einreichung des BCR-Antrags bei der federführenden Aufsichtsbehörde (typischerweise die Behörde des EU-Sitzstaates des Konzerns oder der Hauptdatenverarbeitungseinheit). Die AEPD ist für Konzerne mit spanischem Sitz die zuständige Behörde. Prüfung und Genehmigung durch die Lead Authority in Abstimmung mit den anderen betroffenen EU-Aufsichtsbehörden.

Phase 3 — Implementierung und Governance (nach Genehmigung): Interne Schulungen aller betroffenen Gruppengesellschaften; Implementierung des BCR in Verträge; Einrichtung des internen Compliance-Mechanismus (Beschwerdeverfahren, Audit-Rechte); jährliche Überprüfung und Aktualisierung.

Für wen lohnen sich BCRs: Konzerne mit mehr als 5 Gruppengesellschaften in mehreren Ländern und signifikanten gruppeninternen Datenflüssen. Unter dieser Schwelle sind SCCs-basierte Lösungen kosteneffizienter.

Zukunft der internationalen Datentransfers: Anstehende Entwicklungen

EUDPR (EU Data Processing Regulation): Die EU arbeitet an einer Überarbeitung des Rahmens für internationale Datentransfers, die die administrative Last der TIAs reduzieren und BCR-ähnliche Instrumente vereinfachen soll.

Angemessenheitsentscheidungen in Prüfung: Mehrere Länder befinden sich im Angemessenheitsevaluierungsprozess, darunter Indien, Kenia und Argentinien (letzteres hat einen vorläufigen Beschluss). Neue Angemessenheitsentscheidungen würden Transfers in diese Länder erheblich vereinfachen.

DPF-politische Risiken: Das EU-US DPF hängt von der politischen Kontinuität des US-Redress-Mechanismus nach Executive Order 14086 ab. Veränderungen in der US-Innenpolizey könnten das DPF gefährden — ein Risiko, das Unternehmen mit kritischen US-Transfers im Auge behalten sollten.

Wir überwachen die Entwicklungen in diesem Bereich aktiv und informieren unsere Mandanten, wenn Änderungen ihre Transferstrategie betreffen.

Betroffene Branchen und typische Transfer-Szenarien

Cloud-Software und SaaS-Anbieter: Wenn ein spanischer SaaS-Anbieter seinen Kunden Daten in Systemen mit US-Infrastruktur verarbeitet, ist er Auftragsverarbeiter und muss sicherstellen, dass die Transfers mit seinen eigenen Kunden-Verarbeitungsverträgen vereinbar sind. Die SCCs müssen das Auftragsverarbeiter-zu-Auftragsverarbeiter-Modul (Modul 3) abdecken, wenn Unterauftragnehmer in Drittländern eingesetzt werden.

Personaldienstleistungen und HR-Outsourcing: HR-Daten (Lohnabrechnung, Leistungsdaten, medizinische Informationen) sind besonders schützenswert. Wenn ein Unternehmen seine Lohnabrechnung an einen Anbieter mit Systemzugang aus Indien oder den Philippinen auslagert, sind internationale Transfers unvermeidlich.

Pharmaunternehmen und klinische Studien: Klinische Studien erfordern oft internationale Datenübertragungen an Sponsoren oder Contract Research Organizations (CROs) in den USA oder Asien. Die AEPD hat spezifische Leitlinien für den Datentransfer in klinischen Studien veröffentlicht.

Banken und Finanzdienstleistungen: SWIFT-Transaktionen; Übermittlung von Kontodaten an ausländische Regulatoren (US FinCEN, FATCA); gruppeninterne Transfers von Risikodaten und Compliance-Informationen an globale Compliance-Zentren.

Dokumentation und AEPD-Audit-Vorbereitung

Die AEPD kann jederzeit eine Prüfung der internationalen Transfer-Compliance einleiten — entweder proaktiv (als Teil ihrer Aufsichtstätigkeit) oder reaktiv (auf Beschwerde einer betroffenen Person). Die erforderliche Dokumentation umfasst:

Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 DSGVO): Muss alle internationalen Transfers mit Angabe des Empfängerlandes, der Rechtsgrundlage und der geeigneten Garantien dokumentieren.

Standardvertragsklauseln-Dokumentation: Vollständig ausgefüllte SCCs für jeden Transfer; korrekte Modul-Auswahl dokumentiert; SCCs von autorisierten Personen unterzeichnet.

Transfer Impact Assessments: Dokumentiertes TIA für jeden SCCs-basierten Transfer in Länder ohne Angemessenheitsbeschluss. Das TIA muss: das anwendbare Recht des Drittlandes bewerten; die Zugangsmöglichkeiten von Behörden analysieren; die faktische Wirksamkeit der SCCs im Zielland beurteilen; und ggf. ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung, Datenlokalisierung) definieren.

Lieferantenverträge: Vollständige Verarbeitungsverträge (Artikel 28 DSGVO) mit allen Subprozessoren, einschließlich Genehmigung für internationale Transfers.

Wir erstellen, organisieren und pflegen die gesamte Transfer-Compliance-Dokumentation für unsere Mandanten — in einem Format, das für eine AEPD-Prüfung sofort vorzeigbar ist.

Kosten und Zeitrahmen für die Transfer-Compliance

Transfer-Mapping-Audit (einmalig): 3.000–8.000 EUR für eine vollständige Kartierung aller internationalen Datentransfers, Bewertung der Rechtsgrundlagen und Erstellung eines Maßnahmenplans. Typische Dauer: 4–6 Wochen.

SCCs-Implementierung und TIA-Erstellung: 500–1.500 EUR pro Transfer-Route (inkl. korrekter Modul-Auswahl, TIA-Durchführung und Dokumentation). Für ein typisches KMU mit 5–10 Transfer-Routen: 3.000–8.000 EUR.

BCR-Antragsprozess: 25.000–60.000 EUR für den vollständigen Antragsprozess (Design, AEPD-Einreichung, Überarbeitung nach Behördenanfragen). Zeitrahmen: 12–24 Monate. Nur für multinationale Konzerne mit signifikanten gruppeninternen Transfers empfohlen.

Laufende Transfer-Compliance-Überwachung (jährlich): 1.500–4.000 EUR für jährliche Überprüfung der Transfer-Inventars, Aktualisierung der Dokumentation bei neuen Diensten oder Rechtsänderungen.

Kontaktieren Sie unser Datenschutzteam für eine kostenlose Ersteinschätzung Ihrer Transfer-Compliance-Situation.

Schnittstelle mit dem AI Act: Internationale KI-Datentransfers

Der AI Act schafft eine neue Dimension für internationale Datentransfers: KI-Modelle werden häufig durch Datenübertragung an US-basierte API-Dienste (OpenAI, Anthropic, Google Gemini) genutzt. Wenn diese APIs personenbezogene Daten verarbeiten, sind sie internationale Datentransfers nach DSGVO Kapitel V.

Für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, müssen sowohl die DSGVO-Transferanforderungen als auch die AI-Act-Konformitätsbewertung koordiniert werden. Das bedeutet: die SCCs mit dem API-Anbieter müssen die Verarbeitung für den konkreten KI-Anwendungsfall abdecken; das TIA muss die potenziellen Zugriffsmöglichkeiten US-amerikanischer Behörden auf die Trainingsdaten oder Inferenzdaten berücksichtigen; und die AI-Act-Dokumentation muss die Datentransfer-Compliance als Bestandteil der technischen Dokumentation enthalten.

Wir beraten zu dieser komplexen Schnittmenge zwischen DSGVO-Transferrecht und AI-Act-Compliance und entwickeln koordinierte Compliance-Lösungen, die beide Anforderungen effizient abdecken.

DSGVO-Ausnahmen für internationale Datentransfers (Artikel 49)

In bestimmten Situationen kann ein Transfer ohne Angemessenheitsbeschluss oder geeignete Garantien stattfinden — wenn eine der Ausnahmen nach Artikel 49 DSGVO greift. Diese Ausnahmen sind eng auszulegen und können nur sporadisch, nicht systematisch genutzt werden:

Ausdrückliche Einwilligung (Art. 49.1.a): Wenn die betroffene Person ausdrücklich in den Transfer eingewilligt hat und über das bestehende Risiko (kein Angemessenheitsbeschluss, keine geeigneten Garantien) informiert wurde. Geeignet für: gelegentliche Transfers von Mitarbeiterdaten ins Ausland auf deren ausdrücklichen Wunsch.

Vertragserfüllung (Art. 49.1.b und c): Wenn der Transfer zur Erfüllung eines Vertrags mit der betroffenen Person oder im Interesse der betroffenen Person erforderlich ist. Klassisches Beispiel: Hotelbuchung für einen Mitarbeiter in einem Drittland — die Übertragung der Buchungsdaten an das Hotel ist zur Vertragserfüllung erforderlich.

Lebenswichtige Interessen (Art. 49.1.f): In medizinischen Notfällen kann ein Transfer zur Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich sein.

Diese Ausnahmen ersetzen keine systematische Transfer-Compliance-Strategie. Wir analysieren für unsere Mandanten, welche Ausnahmen in ihren spezifischen Situationen anwendbar sind und wo SCCs oder andere Garantien notwendig bleiben.

Geografische Abdeckung: Transfer-Compliance für Unternehmen in ganz Spanien

Unser Datenschutz-Team betreut Unternehmen aus Madrid, Málaga, Las Palmas und anderen spanischen Standorten bei ihrer internationalen Transfer-Compliance. Für multinationale Konzerne mit spanischer Tochtergesellschaft koordinieren wir mit Datenschutzkanzleien in Deutschland, Frankreich, den Niederlanden und dem Vereinigten Königreich, um kohärente gruppenweite Transfer-Compliance-Strategien zu entwickeln.

Die AEPD ist die zuständige Aufsichtsbehörde für Unternehmen mit Hauptniederlassung in Spanien. Bei grenzüberschreitenden Verarbeitungen kann der One-Stop-Shop-Mechanismus (Art. 56 DSGVO) relevant werden — wir beraten zur strategischen Wahl der Lead Supervisory Authority für multinationale Konzerne.

Reaktion auf AEPD-Ermittlungen und behördliche Anfragen

Wenn die AEPD eine Überprüfung von Transfer-Compliance einleitet — ob reaktiv auf eine Beschwerde oder proaktiv als Aufsichtsmaßnahme — sind die ersten 72 Stunden entscheidend. Unsere Reaktionsstrategie umfasst:

Sofortige Bestandsaufnahme: Vollständiges Inventar aller betroffenen Transfers; Identifikation der anwendbaren Rechtsgrundlagen; Bewertung der Dokumentationslage.

Behördenkommunikation: Koordinierte, vollständige und fristgerechte Antwort auf AEPD-Anfragen. Unvollständige oder verspätete Antworten können die Ermittlung eskalieren und Bußgelder auslösen.

Sanierungsplan: Falls die Ermittlung Compliance-Lücken aufdeckt, entwickeln wir einen Sanierungsplan mit klaren Fristen, den wir der AEPD proaktiv vorlegen — als Nachweis guten Glaubens, der bei der Bußgeldbemessung positiv berücksichtigt wird (Artikel 83 Abs. 2 DSGVO: kooperatives Verhalten mindert die Sanktion).

Kontaktieren Sie unser Datenschutz-Team für eine kostenlose Ersteinschätzung Ihrer Transfer-Compliance-Situation oder bei einer laufenden AEPD-Überprüfung.