Drittland
Land außerhalb des EWR — Kapitel V DSGVO
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Drittland-Übermittlung (Art. 44 DSGVO) ist nur unter besonderen Voraussetzungen zulässig: Angemessenheitsbeschluss (Art. 45), geeignete Garantien (Art. 46, z.B. SCC), oder Ausnahmetatbestände (Art. 49).
Was ist Drittland?
Länder mit Angemessenheitsbeschluss (Stand 04/2026):
- Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Jersey, Kanada (kommerziell), Neuseeland, Schweiz, Uruguay, Großbritannien, Südkorea (eingeschränkt), Japan
- USA: nur unter DPF (Data Privacy Framework) — Risiko erhöht durch Trump-EO 01/2025
Praxisbeispiel
Sie nutzen einen Cloud-Anbieter mit Servern in Indien. Indien ist Drittland ohne Angemessenheitsbeschluss. Pflicht: SCC 2021/914 + TIA + zusätzliche Maßnahmen (Verschlüsselung).
Häufig gestellte Fragen
Ist UK noch Drittland?
Ja, seit Brexit. Aber Angemessenheitsbeschluss bis 27.06.2025 verlängert. Stand 04/2026: weiter gültig.
Reicht Verschlüsselung?
Hilft, aber ersetzt nicht SCC. EDSA Empfehlung 01/2020.
Was ist mit Schweiz?
Sonderstatus: nicht EWR, aber Angemessenheitsbeschluss. CH-DSG harmonisiert mit DSGVO.