Internationale Datentransfers - Haltestelle für den Digital Omnibus

2026, 1   Da sich die EU-Kommission vorgenommen hat, mit dem „Digital Omnibus“ eine Vielzahl digitaler Rechtsakte zu überarbeiten, wäre ihr Entwurf v. 19.11.2025 der ideale Moment gewesen, eine der größten regulatorischen Baustellen anzupacken: die internationalen Datentransfers nach Kapitel V DS-GVO. Umso bemerkenswerter ist es, dass weder der Vorschlag der EU-Kommission (Europäische Kommission, Proposal for a Regulation on simplifying of the digital legislation („Digital Omnibus Regulation“), COM(2025) 837 final) noch das begleitende Staff Working Document (Europäische Kommission, Commission Staff Working Document - Impact Assessment Accompanying the Digital Omnibus Regulation, SWD(2025) 836 final) einen Ansatz enthalten, um die komplexe und für viele Unternehmen schwer handhabbare Rechtslage wenigstens etwas zu entlasten. Der Digital Omnibus fährt an der wichtigen Haltestelle „Internationale Datentransfers“ vorbei. Ob er später dort noch einmal vorbeikommt, ist ungewiss.

Prekäre Lage bei den TIA

Gerade für kleine und mittlere Unternehmen (KMU) mit internationalem Bezug ist die derzeitige Lage prekär. Die nach Schrems II (EuGH MMR 2020, 597 mAnm Hoeren = ZD 2020, 511 mAnm Moos/Rothkegel) etablierten Transfer Impact Assessments (TIAs) stützen sich auf die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) 01/2020 (EDPB, Recommendations 01/2020 on Measures that Supplement Transfer Tools to Ensure Compliance with the EU Level of Protection of Personal Data, rev. 18.6.2021) und den TIA-Leitfaden der französischen Datenschutzbehörde CNIL (Commission Nationale de l'Informatique et des Libertés - CNIL, Guide sur l'analyse d'impact transferts de données, Finalfassung 2025). Diese Dokumente bieten zwar eine wertvolle Orientierung, verlangen jedoch Einschätzungen, die viele KMU vielfach weder selbst leisten noch von Experten vor Ort einkaufen können.

Der Aufwand der TIAs erklärt sich vor allem daraus, dass der EDSA in seinen Empfehlungen 01/2020 einen Prüfungsmaßstab festgelegt hat, der faktisch eine vollwertige Grundrechtsprüfung auf Drittstaatsebene verlangt. Die Unternehmen müssen nicht nur die jeweiligen Transferinstrumente - etwa Standard Contractual Clauses (SCC) - bewerten, sondern zusätzlich das gesamte Überwachungs- und Rechtsdurchsetzungssystem des Empfängerstaats analysieren. Der EDSA verlangt hierfür einen sechsstufigen Prüfprozess, der u.a. eine detaillierte Ermittlung der einschlägigen Überwachungsgesetze, der Zugriffsbefugnisse der Nachrichtendienste, der Kontrollmechanismen sowie der tatsächlichen Rechtsschutzmöglichkeiten umfasst. Diese Anforderungen sind - aus Sicht des EDSA konsequent - auf die Maßstäbe aus der Rs. Schrems II zurückgeführt. Für KMU bedeutet dies jedoch, dass sie Analysen erstellen müssen, die in vielen Ländern selbst mithilfe von ortsansässigen Experten kaum zu bewältigen sind. Viele KMU sehen sich mit enormen Schwierigkeiten konfrontiert, wenn es zB um die Bewertung ausländischer Geheimdienstbefugnisse oder tatsächlicher Zugriffswahrscheinlichkeiten auf Daten geht. Viele Verfasser einer TIA fragen sich, ob die EU-Mitgliedstaaten selbst in allen Fällen die Vorgaben der TIAs erfüllen.

Die CNIL hat diese Logik in ihrem „Guide sur l'analyse d'impact de transferts de données“ noch weiter operationalisiert und verlangt u.a. eine Bewertung der realen Wahrscheinlichkeit eines Zugriffs - sowie der technischen Wirksamkeit der eigenen Maßnahmen. Hinzu kommt, dass die CNIL ausdrücklich empfiehlt, mehrere technische Maßnahmen zu kombinieren (Verschlüsselung, Schlüsselverwaltung außerhalb des Drittlands, Datenminimierung, Isolation), was den Aufwand gerade für kleinere IT-Strukturen massiv erhöht.

Bemerkenswert ist zudem, dass weder der EDSA noch nationale Behörden bislang eine realistische Einschätzung dazu liefern, wie viele dieser Prüfungen tatsächlich notwendig sind. In vielen Szenarien - etwa rein technischer Cloud-Services oder global arbeitender Supporteinheiten - wird eine Vollprüfung verlangt, obwohl ein staatlicher Zugriff auf die Daten kaum möglich oder praktisch ausgeschlossen ist. Die Kosten- und Komplexitätslast führen dazu, dass TIAs in der Praxis - wenn überhaupt - oft nur rudimentär und nach Schema F durchgeführt werden, um das gewünschte Ergebnis („Transfer erlaubt“) zu unterfüttern.

Genau hier muss die DS-GVO-Reform ansetzen: Sie soll die TIAs nicht abschaffen, aber dort entschlacken, wo die reale, von der EU dokumentierte Gefahrenlage dies erlaubt. Dazu gibt es zwei Wege:

Risikobasierte Vorgaben für TIAs

Eine erste und verhältnismäßige Anpassung bestünde in einem risikobasierten „Safe Harbour“ für niedrigschwellige Transfers. Die DS-GVO kennt risikoadaptierte Mechanismen bereits an mehreren Stellen (Art. 24, 25, 32 DS-GVO); nur in Kapitel V DS-GVO fehlt eine explizit risikoabhängig abgestufte Regelung. Ein Safe Harbour bedeutet konkret: Behördlich definierte, an der Praxis orientierte Mindeststandards für bestimmte Übermittlungsszenarien, die Unternehmen - insbesondere KMU - durch einfache Selbstzertifizierung erfüllen können. Ein solcher, klar umgrenzter Rechtsrahmen ließe sich dort anwenden, wo das Zugriffsrisiko ausländischer Behörden faktisch vernachlässigbar ist, etwa bei starker Ende-zu-Ende-Verschlüsselung oder rein technischen Unterstützungsleistungen. Ein ergänzender Erwägungsgrund könnte die Kommission oder den EDSA mit einem niedrigen Zugriffsrisiko ausdrücklich ermächtigen, für Transfers ein vereinfachtes Modell der Selbstzertifizierung festzulegen.

TIA-Module für bestimmte Länder

Zusätzlich könnte ein DS-GVO-Zusatz die EU-Kommission ermächtigen, Szenarien-bezogene TIA-Vorlagen zB für möglichst viele Empfängerländer zu veröffentlichen - analog zum modularen System der SCC (Durchführungsbeschluss (EU) 2021/914 v. 4.6.2021). Für bestimmte Empfängerländer könnten unionsweit einheitliche TIA-Module bereitgestellt werden. Art. 46 Abs. 2 lit. c und lit. d DS-GVO eröffnen diese Möglichkeit bereits heute. Rein formal könnte die EU-Kommission solche Module wohlmöglich sogar ohne Änderung des DS-GVO-Wortlauts erlassen; ein klarstellender Erwägungsgrund würde jedoch die Rechtssicherheit erheblich stärken und Skepsis bei der Rechtssicherheit ausräumen.

Diese neuen Aufgaben muss die EU-Kommission auch nicht selbst erledigen: Eine Lösung könnte in der stärkeren Einbindung der Zertifizierungsstellen nach Art. 42 DS-GVO bestehen. Diese Stellen prüfen bereits heute die Einhaltung datenschutzrechtlicher Anforderungen, zertifizieren Prozesse, Produkte und Dienste und überwachen deren Compliance. Ihre unabhängige Rolle eignet sich besonders, die Mechanismen des Art. 46 DS-GVO zu ergänzen: Eine Zertifizierung bei TIA-Modulen kann die Wirksamkeit technischer und organisatorischer Maßnahmen unabhängig bestätigen - genau das, was in der Rs. Schrems II als „effektive Garantien“ verlangt wird. Eine solche Verifikationsinstanz zB bei den TIAs würde gerade KMU entlasten und gleichzeitig das unionsweite Vertrauen in einheitliche Transfermechanismen stärken.

Kein Rundumschlag bei der Angemessenheit des Datenschutzniveaus mehr

Auch der Mechanismus der sektoralen bzw. funktionalen Angemessenheit des Datenschutzniveaus des Empfängerlands gehört auf den Prüfstand. Das gegenwärtige System ist zu langwierig und aufwändig. Das Vereinigte Königreich setzt seit 28.6.2021 auf ein flexibleres Modell (Data Protection (Adequacy) Regulations 2021). Australien schlägt in seinem Privacy Act Review Report (02/2023) explizit risikobasierte und zweckbezogene Transferregeln vor. Japan und die EU haben mit dem Angemessenheitsbeschluss v. 23.1.2019 (dazu Fujiwara/Geminn/Roßnagel ZD 2019, 204; ergänzt 2021: Roßnagel/Geminn ZD 2021, 487) ein abgestuftes System geschaffen. Auch die USA bewegen sich mit ihrer National Strategy to Ensure Trusted and Secure Cross-Border Data Flows (10/2023) in Richtung funktionaler Differenzierung (s. Spies ZD-Aktuell 2025, 01100).

Klarstellungen bei den „Derogations“ zur besseren Nutzbarkeit

Zumindest verdient Art. 49 DS-GVO eine präzisierende Klarstellung. In der Vollzugspraxis wird er als nahezu untaugliche Notlösung behandelt, obwohl weder Wortlaut („Derogations“ heißt „Abweichungen“, nicht „Ausnahmen“) noch Systematik dies verlangen. EuGH-Richter von Danwitz hat am „Data Protection Day Europe“ am 28.1.2021 ausdrücklich betont, die Derogations seien „nicht unendlich eng“ zu lesen und dürften nicht so restriktiv verstanden werden, dass jede Übermittlung praktisch ausgeschlossen sei (u.a. dokumentiert bei IAPP, Bericht v. 5.2.2021). Ein Erwägungsgrund, der verdeutlicht, dass Art. 49 DS-GVO für klar umrissene und von flankierenden Maßnahmen begleitete Übermittlungen offensteht, würde weder das Schutzniveau absenken noch den Sinn und Zweck der Vorschrift verwässern - aber die bestehende Rechtsunsicherheit verringern. Art. 49 DS-GVO wäre auch ein Ort, eine Ermächtigung für Formulare vorzusehen, die der Verantwortliche individuell als Vertragsbestandteile für den Datentransfer übernehmen kann.

Keine Schwächung der Datenhoheit

Keine dieser Anpassungen durch den Omnibus wird die europäische Datenhoheit schwächen. Im Gegenteil: Ein klarer, differenzierter und realistisch umsetzbarer Rechtsrahmen stärkt die europäische Position. Die eigentlichen Risiken für ein hohes Datenschutzniveau entstehen weniger durch maßvolle Entlastungen als durch Überkomplexität, Rechtsunsicherheit und divergierende Behördenpraxis. Ein risikoadaptierter Safe Harbour, szenarienbezogene TIA-Module, eine praxistaugliche Auslegung des Art. 49 DS-GVO und eine stärkere Einbindung der Art. 42-Zertifizierungsstellen verbinden hohes Schutzniveau mit praktischer Umsetzbarkeit - vor allem für KMU. Besonders TIA-Module wären hilfreich, um zu einer vereinheitlichten EU-weiten Position beim Datenexport zu kommen. EU-weite Formulare mindern das Risiko, dass große Unternehmen ein (Bundes-)Land gegen ein anderes beim Thema Datentransfer ausspielen.

Wenn der Digital Omnibus den Anspruch erhebt, Bürokratie abzubauen, dann sollte er an der Haltestelle „Internationale Datentransfers“ nicht vorbeifahren. Eine maßvolle, risikoorientierte und „Schrems-feste“ Nachjustierung von Kapitel V DS-GVO wäre kein Rückschritt, sondern überfällige Rechtsfortbildung.

Washington DC, im Januar 2026