Grenzüberschreitender Datenaustausch ist komplex, aber unvermeidlich. Besonders für Fahrzeugbewertungen, bei denen personenbezogene Daten international geteilt werden, gelten strenge Datenschutzvorgaben. Die DSGVO bildet dabei die Grundlage, ergänzt durch branchenspezifische und internationale Regelungen.
Wichtige Punkte:
- DSGVO und Kapitel V: Regelt, wann Daten sicher in Drittländer übermittelt werden dürfen.
- Rechtsgrundlagen: Vertragserfüllung, berechtigtes Interesse oder Einwilligung (Art. 6 DSGVO).
- Drittländer: Angemessenheitsbeschlüsse (z. B. Japan, Schweiz, USA) oder Standardvertragsklauseln (SCCs) erforderlich.
- Dokumentation: Transfer Impact Assessments (TIAs) und Verzeichnisse von Verarbeitungstätigkeiten sind Pflicht.
- Neue Vorschriften: Der EU Data Act (ab 2025) und die NIS-2-Richtlinie erhöhen die Anforderungen.
Fazit:
Für eine sichere Datenübermittlung sind klare Prozesse, technische Schutzmaßnahmen (z. B. Verschlüsselung) und rechtliche Absicherungen essenziell. Datenschutz ist kein einmaliger Schritt, sondern ein kontinuierlicher Prozess.
Rechtliche Grundlagen für den grenzüberschreitenden Datenaustausch bei Fahrzeugbewertungen
Wichtige DSGVO-Artikel für den Datenaustausch
Im Bereich der Fahrzeugbewertungen regeln spezifische Artikel der DSGVO, wie ein rechtssicherer Datentransfer erfolgen kann. Bevor Daten grenzüberschreitend ausgetauscht werden, muss die Verarbeitung der Daten zunächst rechtmäßig sein. Erst danach greifen die speziellen Anforderungen aus Kapitel V der DSGVO.
Für Fahrzeugbewertungen kommen vor allem drei zentrale Rechtsgrundlagen in Frage: Vertragserfüllung (Art. 6 Abs. 1 lit. b), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Wenn mehrere Akteure, wie etwa Gutachterplattformen und Versicherer, gemeinsam über die Verarbeitung entscheiden, kann zusätzlich Artikel 26 für gemeinsame Verantwortlichkeit relevant sein. Sollte ein Sachverständiger Dienste außerhalb der EU einbinden, ist ein Auftragsverarbeitungsvertrag gemäß Artikel 28 erforderlich.
Typische Szenarien bei Fahrzeugbewertungen
Diese rechtlichen Grundlagen finden sich in der Praxis in verschiedenen Szenarien wieder. Je nach Situation gelten unterschiedliche Kombinationen aus Verarbeitungsgrundlage und Übermittlungsinstrument. Die folgende Tabelle zeigt Beispiele:
| Szenario | Rechtsgrundlage (Art. 6) | Übermittlungsinstrument (Kapitel V) |
|---|---|---|
| Gutachten an EU-Versicherer | Vertrag (lit. b) oder berechtigtes Interesse (lit. f) | Nicht erforderlich (EU/EWR-intern) |
| Daten an US-Plattform | Vertrag (lit. b) | Angemessenheitsbeschluss (Data Privacy Framework) oder SCCs |
| Telematikdaten an Nicht-EU-Hersteller | Berechtigtes Interesse (lit. f) | SCCs plus Transfer Impact Assessment (TIA) |
| Ein Einzelfallbericht für ausländische Käufer | Einwilligung (lit. a) | Ausnahme nach Art. 49 DSGVO |
"In the absence of an adequacy decision or appropriate safeguards, the GDPR allows for some exceptions in specific situations... these should only be used as a last resort." – European Data Protection Board
Ausnahmen nach Artikel 49 DSGVO, wie die ausdrückliche Einwilligung oder die Notwendigkeit zur Vertragserfüllung, dürfen nur in seltenen Einzelfällen genutzt werden. Sie sind ausdrücklich nicht als Standardlösung vorgesehen.
Dokumentations- und Compliance-Anforderungen
Für den grenzüberschreitenden Datenaustausch ist eine lückenlose Dokumentation unerlässlich. Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Artikel 30 DSGVO dient als zentraler Ausgangspunkt, da es sämtliche Empfänger, Länder und die eingesetzten Übermittlungsinstrumente erfasst. Darüber hinaus verlangt das Rechenschaftsprinzip gemäß Artikel 5 DSGVO, dass Sachverständige ihre Datenschutz-Compliance jederzeit gegenüber den Aufsichtsbehörden nachweisen können.
"The assessment of the selected transfer instrument should be carried out with due diligence and thoroughly documented, as you are accountable to the data protection supervisory authorities for this under Art. 5 GDPR." – Österreichische Datenschutzbehörde (DSB)
Zusätzlich sind Fahrzeugeigentümer gemäß Artikel 13 und 14 DSGVO aktiv darüber zu informieren, wenn ihre Daten – wie Fahrzeugidentifikationsnummern, Gutachtenfotos oder Telematikdaten – in ein Drittland übermittelt werden. Dabei muss die zugrunde liegende Rechtsgrundlage klar und verständlich dargestellt werden. Diese präzise Dokumentation ist die Grundlage für alle weiteren internationalen Übermittlungsprozesse.
sbb-itb-d35113a
Internationaler Datentransfer: DSGVO und darüber hinaus
DSGVO Drittlandübermittlung: Rechtsgrundlagen & Instrumente im Überblick
Im Anschluss an die rechtlichen Grundlagen des Datenaustauschs werfen wir nun einen genaueren Blick auf internationale Datenübertragungen und wie diese spezifischen Regelungen das Vertrauen im grenzüberschreitenden Datenaustausch stärken.
Übermittlungen innerhalb der EU/des EWR
Für den Datentransfer innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR), der Länder wie Norwegen, Island und Liechtenstein umfasst, sind keine zusätzlichen Genehmigungen erforderlich. Solche Übertragungen gelten als inländische Transfers und unterliegen lediglich den allgemeinen DSGVO-Regeln. Das macht die Zusammenarbeit zwischen beispielsweise deutschen Gutachtern und Versicherern in Österreich oder den Niederlanden unkomplizierter. Anders sieht es bei Übermittlungen in Länder außerhalb dieser Region aus.
Übermittlungen in Drittländer
Sobald Fahrzeugdaten die Grenzen der EU oder des EWR verlassen, gelten strengere Vorgaben. Die gesetzlichen Anforderungen sind dabei klar strukturiert:
| Übermittlungsgrundlage | Rechtsgrundlage | Zusätzliche Anforderungen |
|---|---|---|
| Angemessenheitsbeschluss | Art. 45 DSGVO | Keine – jedoch kontinuierliche Überwachung des Status |
| Standardvertragsklauseln (SCC) / BCR | Art. 46 DSGVO | Transfer Impact Assessment (TIA) notwendig |
| Ausnahmen | Art. 49 DSGVO | Nur in Ausnahmefällen; strenger Notwendigkeitstest |
Länder, für die ein Angemessenheitsbeschluss der EU-Kommission vorliegt – darunter Japan, die Schweiz, das Vereinigte Königreich und US-Unternehmen, die dem EU‑US Data Privacy Framework (DPF) unterliegen – gelten als sicher. Für alle anderen Drittländer sind Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) erforderlich. Seit 2021 gibt es modulare SCCs, die Transfers zwischen Verantwortlichen und Auftragsverarbeitern in vier verschiedenen Konstellationen abdecken.
"SCCs and other transfer tools under Art. 46 GDPR do not work in a vacuum." – European Data Protection Board
Diese strengen Anforderungen an Drittlandübermittlungen wurden besonders durch das EuGH-Urteil Schrems II hervorgehoben.
Schrems II und Transfer Impact Assessments
Das EuGH-Urteil in der Rechtssache Schrems II (C‑311/18) hat die Anforderungen an internationale Datenübertragungen erheblich verschärft. Der EU‑US Privacy Shield wurde für ungültig erklärt, und SCCs allein reichen seitdem oft nicht mehr aus. Stattdessen müssen Exporteure für jede Übertragung ein Transfer Impact Assessment (TIA) durchführen. Dabei wird geprüft, ob die Gesetze des Empfängerlandes die Wirksamkeit der gewählten Schutzmaßnahmen beeinträchtigen.
"Exporters are responsible for checking on a case-by-case basis... whether the law or practice of the third country affects the effectiveness of the appropriate safeguards contained in the Art. 46 GDPR transfer instruments." – European Data Protection Board (EDPB)
Falls das TIA ein erhöhtes Risiko aufzeigt, müssen zusätzliche Schutzmaßnahmen implementiert werden. Dazu gehören beispielsweise Ende-zu-Ende-Verschlüsselung mit Schlüsseln, die ausschließlich in der EU verbleiben, oder die Pseudonymisierung der Fahrzeugdaten vor der Übertragung. Sollten keine ausreichenden Schutzmaßnahmen möglich sein, muss der Datentransfer ausgesetzt oder gestoppt werden. Alle Schritte des TIA müssen lückenlos dokumentiert werden, um gegenüber den Aufsichtsbehörden die Rechenschaftspflicht nach Art. 5 DSGVO zu erfüllen.
Kraftfahrzeugspezifische Vorschriften und neue Standards
Neben den allgemeinen Grundsätzen der DSGVO rücken zunehmend branchenspezifische Regelungen in den Fokus, insbesondere im Zusammenhang mit vernetzten Fahrzeugen. Diese neuen Standards bringen zusätzliche Anforderungen mit sich, die sowohl Hersteller als auch Dienstleister betreffen.
UN-Regelung Nr. 169 und Ereignisdatenspeicher
Moderne Fahrzeuge sind häufig mit Ereignisdatenspeichern (EDR) ausgestattet, die im Falle eines Unfalls relevante Daten wie Geschwindigkeit, Bremsaktivitäten und Gurtnutzung aufzeichnen. Diese Daten werden gemäß Art. 4 DSGVO als personenbezogen eingestuft, da sie über die Fahrzeugidentifikationsnummer (FIN) oder Standortinformationen einer Person zugeordnet werden können.
Bei der grenzüberschreitenden Übermittlung dieser Daten, etwa an ausländische Versicherer, sind die Vorgaben aus Kapitel V der DSGVO strikt einzuhalten. Dazu gehören auch Technische und Organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO, wie etwa die Verschlüsselung der Daten und der Einsatz strenger Zugriffskontrollen.
Ein weiterer wichtiger Punkt ist der Zugang zu Fahrzeugdaten, der durch neue gesetzliche Regelungen konkretisiert wird.
Der EU Data Act und der Zugang zu Fahrzeugdaten
Mit der Verordnung (EU) 2023/2854, bekannt als EU Data Act, werden klare Vorgaben für den Zugang zu Fahrzeugdaten vernetzter Fahrzeuge geschaffen. Ab dem 12. September 2025 müssen Fahrzeughersteller (OEMs) auf Anfrage Dritten, wie Werkstätten, Versicherern oder Gutachtern, den Zugang zu diesen Daten gewähren. Ein Jahr später, ab dem 12. September 2026, müssen neue Fahrzeuge so konzipiert sein, dass Nutzer standardmäßig Zugriff auf die Fahrzeugdaten haben.
„The Act requires automakers to open their data ecosystems to third parties under fair and transparent conditions - fundamentally changing how many automakers manage vehicle-generated data." – Sahas Katta, CEO & Co-Founder, Smartcar
Der Data Act ergänzt die DSGVO, ersetzt sie jedoch nicht. Während die DSGVO weiterhin für personenbezogene Fahrzeugdaten gilt, regelt der Data Act den Zugang zu nicht-personenbezogenen und gemischten Datensätzen. Hersteller müssen die Daten in maschinenlesbaren und übertragbaren Formaten bereitstellen, beispielsweise über APIs oder Standards wie ISO ExVe.
Cybersicherheit und die NIS-2-Richtlinie
Die NIS-2-Richtlinie bringt neue Anforderungen für Fahrzeughersteller und deren Zulieferer mit sich. Diese werden als „wichtige Einrichtungen“ eingestuft und müssen umfassende Maßnahmen zur Cybersicherheit umsetzen. Besonders im Bereich vernetzter Fahrzeuge spielt dies eine zentrale Rolle, da nicht nur die Unternehmen selbst, sondern auch die gesamte Lieferkette betroffen ist. Plattformen, die EDR- oder Telematikdaten verarbeiten, müssen sowohl Cybersicherheits- als auch Datenschutzanforderungen berücksichtigen.
„Keeping track of developments across jurisdictions has become both more important and more challenging for organisations operating internationally." – DLA Piper
Bis 2026 entsteht eine regulatorische Schnittmenge: DSGVO, Data Act und NIS-2 greifen ineinander und bilden ein einheitliches Regelwerk. Dies stellt Gutachterplattformen und Automobilunternehmen vor wachsende Anforderungen in Sachen Compliance.
Ein Beispiel für die praktische Umsetzung dieser Vorschriften ist die CUBEE Sachverständigen AG, die zeigt, wie durch konsequente Einhaltung der Regeln eine sichere und effiziente Fahrzeugbegutachtung möglich wird.
Praktische Compliance-Schritte für Gutachter und Plattformen
Die regulatorischen Anforderungen der DSGVO und der NIS-2 mögen zunächst komplex erscheinen, doch in der Praxis lassen sie sich in klare, umsetzbare Maßnahmen übersetzen. Ein systematisches und vorausschauendes Vorgehen ist der Schlüssel, um die Vorgaben beider Regelwerke effektiv umzusetzen. Folgende Schritte bieten Orientierung für Gutachter und Plattformen.
Datensparsamkeit und Zweckbindung
Die Prinzipien der DSGVO, insbesondere Datensparsamkeit und Zweckbindung, sollten die Grundlage aller Maßnahmen bilden. Das bedeutet: Erheben Sie nur die Daten, die wirklich notwendig sind. Für grenzüberschreitende Fahrzeugbegutachtungen reichen in der Regel die Fahrzeugidentifikationsnummer (FIN), Schadensfotos und Kontaktdaten aus. Zusätzliche personenbezogene Daten, die nicht direkt mit dem Gutachtenauftrag zusammenhängen, sollten vermieden werden.
„Die Voraussetzungen für die Übermittlung müssen zusätzlich zur allgemeinen Einhaltung anderer DSGVO-Vorschriften eingehalten werden." – European Data Protection Board (EDPB)
Ein aktuelles Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist essenziell. Es dient nicht nur der Dokumentation internationaler Datenflüsse und Rechtsgrundlagen, sondern bildet auch die Basis für Transfer Impact Assessments und Datenschutz-Folgenabschätzungen.
Diese Schritte sind Teil eines umfassenden Konzepts, das auf einen sicheren und DSGVO-konformen Datenaustausch abzielt.
Technische und organisatorische Maßnahmen
Technische Schutzmaßnahmen spielen eine zentrale Rolle in der DSGVO-Compliance. Nach Art. 32 DSGVO sind Unternehmen verpflichtet, geeignete Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Dazu gehören:
- Ende-zu-Ende-Verschlüsselung, bei der der Datenimporteur keinen Zugriff auf die Entschlüsselungsschlüssel hat,
- Pseudonymisierung von Halterdaten vor deren Übermittlung,
- und die Nutzung hochgesicherter Datenspeicher (Data Privacy Vaults) innerhalb der EU, die nur über gesicherte APIs zugänglich sind.
„The core principle is that personal data should only be transferred to countries that provide an 'adequate' level of protection, equivalent to that offered within the EU." – Robert Dougherty, GDPR Compliance Expert, Kiteworks
Für die Übermittlung in Drittländer sind die Standardvertragsklauseln (SCC) der EU-Kommission ein bewährtes Mittel. Verwenden Sie stets die aktualisierten SCC-Module (Stand 27.12.2022) und orientieren Sie sich an den entsprechenden Richtlinien .
Diese Maßnahmen sind ein zentraler Bestandteil eines umfassenden Konzepts für den sicheren grenzüberschreitenden Datenaustausch.
Harmonisierte Standards in Gutachter-Workflows
Neben technischen Lösungen sind standardisierte Prozesse entscheidend, um Compliance-Risiken zu minimieren. Plattformen, die einheitliche Workflows etablieren, können Datenschutzanforderungen von Anfang an integrieren, statt sie später aufwendig nachzubessern.
| Standard/Mechanismus | Einsatz im Gutachterwesen | Vorteil |
|---|---|---|
| SCC Modul 1 (C2C) | Datenaustausch zwischen unabhängigen Gutachterbüros | Keine Genehmigung der Aufsichtsbehörde erforderlich |
| SCC Modul 2 (C2P) | Nutzung einer zentralen SaaS-Plattform | Standardisiert Auftragsverarbeiterpflichten |
| Binding Corporate Rules (BCRs) | Große internationale Gutachtergruppen | Hohe Vertrauensbasis; deckt alle internen Datenflüsse ab |
| Transfer Impact Assessment (TIA) | Jede Übermittlung in Nicht-Adäquanzländer (z. B. China) | Erfüllt die Anforderungen der „Schrems II"-Compliance |
Für den Einsatz von US-Dienstleistern oder Cloud-Anbietern ist es sinnvoll, deren Zertifizierungsstatus im EU-US Data Privacy Framework zu prüfen. Eine Zertifizierung kann zusätzliche Anforderungen wie SCCs oder TIAs für spezifische Datenflüsse überflüssig machen. Die öffentliche Zertifizierungsdatenbank finden Sie unter dataprivacyframework.gov.
Diese Schritte sind ein wichtiger Baustein für ein umfassendes Konzept, das den sicheren grenzüberschreitenden Datenaustausch gewährleistet.
Fazit: Compliance und Vertrauen im grenzüberschreitenden Datenaustausch
Die Einhaltung der DSGVO im internationalen Datenaustausch ist kein einmaliger Akt, sondern ein fortwährender Prozess. Für einige Zielländer sind spezifische Garantien erforderlich, was die Notwendigkeit umfassender Schutzmaßnahmen betont. Bis Mai 2026 hat die Europäische Kommission Angemessenheitsbeschlüsse für 15 Länder und Territorien erlassen, darunter das Vereinigte Königreich, Japan, die Schweiz und die USA (für zertifizierte DPF-Teilnehmer). Für andere Zielländer sind weiterhin geeignete Garantien wie modulare Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) unerlässlich.
Ein weiterer zentraler Punkt ist Transparenz. Die frühzeitige Information der Betroffenen gemäß Art. 13 DSGVO stärkt das Vertrauen und erleichtert die Einhaltung der Compliance-Anforderungen. Diese Offenheit bildet die Grundlage, um datenschutzkonforme Abläufe im Alltag zu gewährleisten.
"The protection offered by the General Data Protection Regulation (GDPR) travels with the data, meaning that the rules protecting personal data continue to apply regardless of where the data lands." – European Commission
Datenschutz muss in jedem Prozess verankert sein. Für digitalisierte Plattformen wie die CUBEE Sachverständigen AG heißt das, Datenschutz von Anfang an mitzudenken. Privacy by Design und Privacy by Default sind keine optionalen Features, sondern regulatorische Anforderungen, die das Vertrauen von Kunden und Partnern stärken.
"Der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfordert eine ständige Wachsamkeit über das Schutzniveau der personenbezogenen Daten." – Österreichische Datenschutzbehörde (DSB)
Wer Datenflüsse systematisch dokumentiert, TIAs (Transfer Impact Assessments) regelmäßig aktualisiert und technische Schutzmaßnahmen konsequent umsetzt, sichert nicht nur die Compliance, sondern baut auch Vertrauen bei Versicherern, Werkstätten und Fahrzeughaltern auf.
FAQs
Wann benötige ich SCCs für einen Datentransfer in ein Drittland statt eines Angemessenheitsbeschlusses?
Standardvertragsklauseln (SCCs) werden benötigt, wenn ein Datentransfer in ein Drittland erfolgt, für das kein Angemessenheitsbeschluss der EU vorliegt oder wenn ein solcher Beschluss nicht angewendet werden kann.
In solchen Situationen bieten SCCs eine rechtliche Grundlage, um den Schutz personenbezogener Daten beim internationalen Datentransfer sicherzustellen. Sie stellen sicher, dass die Datenverarbeitung auch außerhalb der EU den Anforderungen der DSGVO entspricht.
Was ist ein Transfer Impact Assessment (TIA) und wer muss es erstellen?
Ein Transfer Impact Assessment (TIA) prüft, wie sich eine internationale Datenübermittlung auf den Schutz personenbezogener Daten auswirkt. Es spielt eine wichtige Rolle, insbesondere wenn EU-Standardvertragsklauseln (SCC) verwendet werden. Verantwortliche sind verpflichtet, ein solches Assessment durchzuführen, um sicherzustellen, dass alle Datenschutzvorschriften eingehalten werden.
Welche neuen Pflichten bringen der EU Data Act (ab 12.09.2025) und NIS-2 für Fahrzeugdaten mit sich?
Ab dem 12. September 2025 tritt der EU Data Act in Kraft und bringt erhebliche Veränderungen für den Umgang mit Daten vernetzter Fahrzeuge. Ziel ist es, Innovation und Wettbewerb zu fördern, indem der Zugang zu diesen Daten erleichtert wird. Fahrzeughalter profitieren von mehr Kontrolle über ihre Daten. Diese können beispielsweise für Reparaturen, Wartungsarbeiten oder die Entwicklung neuer Dienste genutzt werden.
Parallel dazu wird die NIS-2-Richtlinie ab 2024/2025 die Sicherheitsanforderungen für Fahrzeugdaten verschärfen. Durch diese Maßnahmen soll die Cybersicherheit gestärkt und Cyberangriffe auf vernetzte Fahrzeuge verhindert werden.
Verwandte Blogbeiträge
- Datenweitergabe bei KFZ-Gutachten: Was ist erlaubt?
- Wie schützen KFZ-Gutachter Kundendaten bei internationalem Austausch?
- Wie beeinflusst GDPR die KFZ-Bewertung in Europa?
- Internationale Datenschutzstandards für KFZ-Versicherungen erklärt