AI PlaybookEU

Art. 44–49 DSGVO – Drittlandtransfers bei KI-Diensten

Wann liegt ein Drittlandtransfer nach Art. 44–49 DSGVO vor? Angemessenheitsbeschlüsse, Standardvertragsklauseln (SCC), Transfer Impact Assessment (TIA) und praktische Einordnung für Cloud- und LLM-Nutzung.

11. Februar 20264 min read
DSGVODrittlandtransferSCCTIAEU-US Data Privacy FrameworkKI-Cloud

Überblick

Viele KI-Systeme basieren auf Cloud-Infrastruktur oder externen API-Diensten. Sobald personenbezogene Daten an Anbieter außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermittelt werden, liegt ein sogenannter Drittlandtransfer vor.

Art. 44–49 DSGVO regeln die Voraussetzungen für solche Transfers. Gerade bei der Nutzung von US-amerikanischen KI-Anbietern, Cloud-Diensten oder LLM-APIs stellt sich regelmäßig die Frage: Ist das datenschutzrechtlich zulässig?

Dieser Beitrag erläutert:

  • Wann ein Drittlandtransfer vorliegt
  • Welche rechtlichen Mechanismen zulässig sind
  • Rolle des EU-US Data Privacy Framework
  • Standardvertragsklauseln (SCC)
  • Transfer Impact Assessment (TIA)
  • KI-spezifische Fragestellungen

Wann liegt ein Drittlandtransfer vor?

Ein Drittlandtransfer liegt vor, wenn:

  • personenbezogene Daten
  • an einen Empfänger außerhalb der EU/des EWR
  • übermittelt oder zugänglich gemacht werden

Dies kann erfolgen durch:

  • Cloud-Speicherung
  • API-Aufrufe
  • Remote-Zugriffe
  • Support-Dienstleistungen

Missverständnis

Ein Drittlandtransfer liegt auch dann vor, wenn Daten zwar in der EU gespeichert sind, aber ein Zugriff aus einem Drittland möglich ist.

Typische KI-Szenarien

SzenarioDrittlandtransfer?
Nutzung eines US-LLM per APIJa
EU-Cloud-Anbieter mit US-MuttergesellschaftEinzelfallprüfung
On-Premise-Modell ohne externen ZugriffNein
EU-Anbieter mit Sub-Processor in DrittlandJa

Rechtsmechanismen für Drittlandtransfers

Die DSGVO erlaubt Drittlandtransfers nur, wenn ein angemessenes Schutzniveau gewährleistet ist.

Angemessenheitsbeschluss (Art. 45)

Die EU-Kommission kann feststellen, dass ein Drittland ein angemessenes Datenschutzniveau bietet.

Beispiel:

  • EU-US Data Privacy Framework (DPF)

Voraussetzung:

  • Der konkrete Anbieter ist zertifiziert.

DPF prüfen

Nicht jeder US-Anbieter ist automatisch DPF-zertifiziert. Eine individuelle Prüfung ist erforderlich.

Standardvertragsklauseln (SCC) – Art. 46

SCC sind von der EU-Kommission genehmigte Vertragsmuster.

Sie regeln:

  • Datenschutzpflichten
  • Betroffenenrechte
  • Haftung
  • Sicherheitsmaßnahmen

SCC sind der häufigste Mechanismus bei KI-Cloud-Diensten.

Transfer Impact Assessment (TIA)

Nach dem Schrems-II-Urteil ist zusätzlich zu prüfen:

  • Ob im Drittland staatliche Zugriffsmöglichkeiten bestehen
  • Ob diese mit EU-Grundrechten vereinbar sind
  • Ob zusätzliche Schutzmaßnahmen erforderlich sind

Das TIA dokumentiert diese Prüfung.

Schrems II – Bedeutung für KI

Der EuGH stellte klar:

  • SCC allein reichen nicht immer aus
  • Es ist eine Risikoprüfung erforderlich

Relevanz bei KI:

  • Große US-Cloud-Anbieter
  • Trainingsdatenverarbeitung
  • API-basierte LLM-Nutzung

Zusätzliche Schutzmaßnahmen

Technische Maßnahmen können sein:

  • Ende-zu-Ende-Verschlüsselung
  • Pseudonymisierung vor Übertragung
  • Datenminimierung
  • Zugriffsbeschränkungen

Organisatorische Maßnahmen:

  • Vertragskontrolle
  • Sub-Processor-Transparenz
  • Audit-Rechte

API-Aufruf an ein US-LLM – ist das ein Transfer?

Ja, wenn:

  • personenbezogene Daten im Prompt enthalten sind
  • das Modell diese verarbeitet
  • eine Speicherung oder Protokollierung erfolgt

Daher sollten geprüft werden:

  • Logging-Policies
  • Speicherfristen
  • Trainingsverwendung
  • Sub-Processor-Ketten

Prompt-Inhalte

Personenbezogene Daten in Prompts können einen Drittlandtransfer auslösen.

Ausnahmefälle (Art. 49)

In Ausnahmefällen sind Transfers zulässig:

  • ausdrückliche Einwilligung
  • Vertragserfüllung
  • Geltendmachung von Rechtsansprüchen

Diese Ausnahmen sind restriktiv auszulegen und nicht als Dauerlösung gedacht.

Verbindung zum EU AI Act

Der AI Act verlangt zusätzlich:

  • Transparenz bei Datenquellen
  • Risikomanagement
  • Dokumentation

Drittlandtransfers können Teil der Daten-Governance-Pflichten sein.

Praktische Umsetzung

Schritt 1 – Transfer-Inventur

  • Welche KI-Dienste werden genutzt?
  • Wo befinden sich Server?
  • Wer hat Zugriff?

Schritt 2 – Rechtsmechanismus prüfen

  • DPF-Zertifizierung vorhanden?
  • SCC abgeschlossen?
  • TIA durchgeführt?

Schritt 3 – Technische Schutzmaßnahmen

  • Verschlüsselung implementiert?
  • Pseudonymisierung vor API-Call?

Schritt 4 – Dokumentation

  • Verzeichnis der Verarbeitungstätigkeiten aktualisieren
  • Drittlandtransfer dokumentieren
  • Vertragsunterlagen archivieren

Typische Fehler

FehlerRisiko
Keine Prüfung von Sub-ProcessorVerstoß gegen Art. 28 & 44
Verlass auf SCC ohne TIASchrems-II-Risiko
Ungeprüfte API-PromptsUnkontrollierter Datentransfer
Fehlende DokumentationVerstoß gegen Rechenschaftspflicht

Governance-Empfehlung

Drittlandtransfers sollten:

  • regelmäßig auditiert werden
  • Bestandteil der KI-Architekturprüfung sein
  • mit Sicherheits- und Compliance-Teams abgestimmt werden

Gerade bei generativer KI ist Transparenz über Datenflüsse entscheidend.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Identifizieren Sie alle KI-bezogenen Drittlandtransfers.
  2. Prüfen Sie DPF-Zertifizierungen oder SCC.
  3. Führen Sie ein Transfer Impact Assessment durch.
  4. Implementieren Sie technische Schutzmaßnahmen.
  5. Aktualisieren Sie Ihre Datenschutzhinweise entsprechend.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

DSGVO & KI

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO im Detail – mit besonderem Fokus auf KI-Systeme, Einwilligung, berechtigtes Interesse und Zweckänderung bei Modelltraining.

Lesen

DSGVO & KI

Art. 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Wann ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei KI-Systemen erforderlich? Struktur, Ablauf, KI-spezifische Risiken und Verbindung zum EU AI Act.

Lesen

EU AI Act

GPAI-Modelle nach Art. 51–56 EU AI Act

Was sind General Purpose AI (GPAI)-Modelle nach dem EU AI Act? Überblick über Definition, Pflichten für Anbieter, systemisches Risiko, FLOPs-Schwelle und praktische Auswirkungen für Unternehmen, die LLMs nutzen.

Lesen