Internationale Datentransfers: EDSA genehmigt aktualisiertes Datenschutzsiegel und schafft erstmals praktisch nutzbares Transferinstrument

Ein neuer Rahmen für Zertifizierung und internationale Datentransfers

Für internationale Datentransfers sieht die Datenschutz-Grundverordnung (DSGVO) genehmigte Zertifizierungsmechanismen als mögliche Transfergrundlage vor. Ein entsprechendes, praxistaugliches System fehlte jedoch seit ihrem Inkrafttreten.

Der Europäische Datenschutzausschuss (EDSA) hat diese Lücke am 15. April 2026 mit zwei Stellungnahmen geschlossen:

  • Stellungnahme 14/2026: Der EDSA genehmigte die aktualisierten Kriterien (Version 82) des bestehenden Europrivacy-Zertifizierungssystems als Europäisches Datenschutzsiegel nach Art. 42 Abs. 5 DSGVO.
  • Stellungnahme 15/2026 : Der EDSA genehmigte eine spezifische Erweiterung der Europrivacy-Zertifizierungskriterien, die gemäß Art. 46 Abs. 2 lit. f DSGVO als Transfermechanismus für internationale Datenübermittlungen genutzt werden kann.

Was ist Europrivacy?

Europrivacy ist ein allgemeines Zertifizierungssystem für Verantwortliche und Auftragsverarbeiter zum Nachweis der Einhaltung der DSGVO. Über Erweiterungen können Unternehmen darüber hinaus die Einhaltung weiterer regulatorischer Anforderungen zertifizieren lassen, etwa der ePrivacy-Richtlinie, des Data Acts sowie nationaler Datenschutzgesetze wie nDSG (Schweiz), UK GDPR oder CCPA (USA).

Als Europäisches Datenschutzsiegel ist die Zertifizierung in allen Mitgliedstaaten der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) anerkannt, ohne dass separate nationale Verfahren erforderlich sind. Die Zertifizierung selbst erfolgt durch akkreditierte Stellen auf Grundlage der vom EDSA genehmigten Kriterien.

Zertifizierung als Transferinstrument nach Art. 46 DSGVO

Das Europrivacy-Zertifizierungssystem richtete sich bislang an Verantwortliche und Auftragsverarbeiter, die der DSGVO unterliegen, sei es, weil sie im EWR ansässig sind oder weil sie gemäß Art. 3 Abs. 2 DSGVO in deren Anwendungsbereich fallen.

Die Erweiterung adressiert gezielt Unternehmen außerhalb der EU bzw. des EWR, die nicht unmittelbar der DSGVO unterfallen. Für diese Unternehmen erfüllt die Zertifizierung eine doppelte Funktion: Sie dient als Nachweis der Datenschutz-Compliance und zugleich als rechtliche Grundlage für internationale Datenübermittlungen nach Art. 46 Abs. 2 lit. f DSGVO.

Der entscheidende Unterschied zu klassischen Transfermechanismen wie Standardvertragsklauseln liegt dabei in der Qualität der Absicherung: Während SCCs allein auf vertraglichen Zusicherungen beruhen, setzt die Zertifizierung auf eine vorgelagerte, unabhängige Prüfung der Datenschutzorganisation des Importeurs, ergänzt durch vertragliche Verpflichtungen und eine laufende Überwachung. Das Schutzniveau wird damit nicht nur vertraglich zugesichert, sondern vorab überprüft und fortlaufend überwacht.

Umsetzung in der Praxis

Der Datenimporteur muss vorab eine unabhängige Prüfung seiner Datenschutzorganisation durchlaufen, verbindliche Datenschutzverpflichtungen gegenüber dem EWR-Exporteur übernehmen und die Zertifizierung dauerhaft aufrechterhalten.

Die Zertifizierung ist vertraglich einzubinden, und betroffene Personen sind über die genutzte Transfergrundlage zu informieren. Bestandteil des Zertifizierungsverfahrens ist zudem eine rechtliche Bewertung, ob das Recht im Empfängerland die Einhaltung der DSGVO-Grundsätze ermöglicht. Der Datenimporteur muss diese Analyse fortlaufend aktualisieren und relevante Änderungen dem Exporteur unverzüglich mitteilen.

Bei Vorliegen einer gemeinsamen Verantwortlichkeit wird die Zertifizierung als Transfergrundlage ausgeschlossen.

Was Importeur und Exporteur beachten müssen

Für den Datenimporteur bringt die Zertifizierung konkrete Pflichten mit sich, die über das gesetzliche Mindestmaß hinausgehen. So verlangen die erweiterten Zertifizierungskriterien die Benennung eines Datenschutzbeauftragten, unabhängig davon, ob Art. 37 DSGVO dies im konkreten Fall vorschreibt. Zudem ist die Datenverarbeitung unmittelbar an die Gültigkeit der Zertifizierung gebunden. Entfällt diese, sind die übermittelten Daten unverzüglich zu löschen oder an den Exporteur zurückzugeben.

Die Zertifizierung des Importeurs entbindet den Exporteur nicht von seiner eigenen Verantwortung für die Rechtmäßigkeit des Transfers. Er muss aktiv prüfen, ob die Zertifizierung den konkreten Transfer inhaltlich abdeckt, und ein eigenständiges Transfer Impact Assessment (TIA) durchführen. Die im Zertifizierungsverfahren enthaltene Drittlandanalyse kann dabei als Ausgangspunkt dienen, ersetzt die eigene Prüfung jedoch nicht. Die rechtliche Verantwortung für die Transferentscheidung verbleibt beim Exporteur.

Bedeutung für die Praxis

Mit der Genehmigung der neuen Transferkomponente durch den EDSA steht erstmals ein zertifizierungsbasiertes Instrument für internationale Datentransfers zur Verfügung. Die Zertifizierung ermöglicht es Unternehmen, die Einhaltung datenschutzrechtlicher Anforderungen nachzuweisen und zugleich eine rechtliche Grundlage für internationale Datentransfers zu schaffen.

Allerdings wurden Zertifizierungen im Datenschutz bislang nur vereinzelt genutzt. Gründe hierfür könnten insbesondere im organisatorischen und finanziellen Aufwand sowie in einer teilweise noch unzureichenden Datenschutzreife vieler Unternehmen liegen. Vor diesem Hintergrund bleibt abzuwarten, ob sich die Zertifizierung neben Standardvertragsklauseln und Binding Corporate Rules (BCR) in der Praxis etabliert. Entscheidend wird sein, ob Unternehmen darin einen klaren Mehrwert gegenüber bestehenden Lösungen sehen.

Unternehmen sollten daher prüfen, ob und inwieweit eine Zertifizierung sinnvoll in ihre Transferstrategie integriert werden kann.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Wir verarbeiten Ihre personenbezogenen Daten zur Bearbeitung Ihrer Anfrage. Weitere Informationen finden Sie in unserer Datenschutzinformation .

Inhalt