Datenschutz: Neue Pflicht zur Nennung ausländischer Empfänger

Ab sofort müssen Unternehmen bei Datenübermittlungen ins Ausland konkrete Empfänger nennen – eine Verschärfung, die viele überrascht. Die neue „VVT-Präzision“ beendet jahrelange Praxis und zwingt Tausende Firmen zur sofortigen Überarbeitung ihrer Dokumentation.

Ende der Pauschaleinträge für Drittländer

Bisher genügte es, in das Verzeichnis von Verarbeitungstätigkeiten (VVT) grobe Kategorien wie „Cloud-Anbieter“ oder „IT-Dienstleister“ einzutragen – selbst bei Datenflüssen in Länder wie die USA, Indien oder Großbritannien. Diese Praxis ist seit dem Jahreswechsel 2025/2026 obsolet. Unter der neuen Führung der Datenschutzkonferenz (DSK) durch den baden-württembergischen Landesdatenschutzbeauftragten gilt nun: Für jeden Empfänger in einem Drittland muss der vollständige, rechtliche Name im VVT stehen.

Hintergrund ist eine strengere Auslegung von Artikel 30 der DSGVO. Sie leitet sich aus einem Grundsatzurteil des Europäischen Gerichtshofs (Rechtssache C-154/21) ab. „Die Aufsichtsbehörden verlangen jetzt, dass das VVT als funktionaler Fahrplan der Datenflüsse dient“, erklärt eine Compliance-Expertin einer Münchner Kanzlei. „Das Risiko eines Transfers zu einem ‚US-Cloud-Anbieter‘ lässt sich nur bewerten, wenn klar ist, ob es sich um AWS, Microsoft oder einen Nischenanbieter mit anderer Rechtslage handelt.“

Lücken im Verarbeitungsverzeichnis können jetzt gezielte Prüfungen und Bußgelder nach sich ziehen – vor allem seit der Einführung der „VVT‑Präzision“. Eine praxisnahe Excel‑Vorlage nach Art. 30 DSGVO hilft Ihnen, Empfänger, Drittland und Übermittlungsgrundlage strukturiert zu erfassen und Ihr VVT prüfungssicher zu machen. Inklusive Schritt‑für‑Schritt‑Anleitung und Feldern für Transfer‑Folgenabschätzungen – spart Stunden bei der Inventur und verhindert „Geister‑Transfers“. Jetzt die Excel‑Vorlage für Ihr Verarbeitungsverzeichnis herunterladen

Verknüpfung mit Transfer-Folgenabschätzungen

Die präzise Benennung ist eng mit den strengen Vorgaben für internationale Datenübermittlungen nach Kapitel V der DSGVO verknüpft. Regulatoren fordern nun den „VVT-Sync“: Die Einträge im Verarbeitungsverzeichnis müssen mit den durchgeführten Transfer-Folgenabschätzungen (TFA) übereinstimmen.

Konkret muss für jeden Drittlandempfänger nun festgehalten werden:
* Spezifische Identität: Der vollständige Firmenname (z.B. „Salesforce.com, Inc.“).
* Standort: Das konkrete Drittland.
* Übermittlungsgrundlage: Die Rechtsgrundlage (z.B. „Angemessenheitsbeschluss“ oder „Standardvertragsklauseln“).

Erst diese Details ermöglichen den Aufsichtsbehörden sogenannte „Büroprüfungen“. Sie können so überprüfen, ob für den genannten Empfänger tatsächlich ein gültiger Übermittlungsmechanismus wie das EU-US Data Privacy Framework vorliegt. Ziel ist es, „Geister-Transfers“ zu unterbinden – also die Nutzung von Tools, die in der offiziellen Dokumentation unerwähnt bleiben.

Baden-Württemberg setzt auf Durchsetzung

Der Zeitpunkt der Verschärfung ist kein Zufall. Seit dem 1. Januar 2026 führt das LfDI Baden-Württemberg den Vorsitz der DSK. Die Behörde ist für ihre technische Expertise und strenge Haltung bei internationalen Datenflüssen bekannt.

Die Strategie für 2026 zielt auf die „Prüfbarkeit“ digitaler Lieferketten. Berichten zufolge plant die DSK automatisierte Abgleiche zwischen öffentlichen Datenschutzerklärungen und internen VVTs. Werden in der Erklärung konkrete Partner genannt, das interne Verzeichnis bleibt aber vage, kann dies eine tiefergehende Untersuchung auslösen. Die „VVT-Präzision“ soll sicherstellen, dass das interne Hauptdokument genauso transparent ist wie die Informationen für Betroffene.

Herausforderung für die Wirtschaft

Die Reaktion in Unternehmen ist hektisch. Vor allem für KMU stellt die Neuregelung eine erhebliche administrative Hürde dar. Viele nutzen Dutzende SaaS-Tools wie Slack, Zoom oder Trello, oft ohne zentrale Übersicht.

„Die Bürokratielast ist erheblich“, räumt ein Compliance-Berater für den Mittelstand ein. „Früher war ‚Kommunikationstools‘ im VVT ein Sicherheitsnetz. Jetzt muss jeder einzelne Anbieter inventarisiert, sein Hauptsitz geprüft und namentlich aufgeführt werden.“ Für ein mittelständisches Unternehmen könne das die Identifizierung von 50 bis 100 verschiedenen Empfängern in Drittländern bedeuten.

Datenschutz-Advokaten halten diese Last für notwendig. Ihrer Ansicht nach verschleiern pauschale Kategorien Risiken. Nur die konkrete Benennung ermögliche eine echte Risikobewertung.

Ausblick: Erste Prüfungen noch im ersten Quartal erwartet

Unternehmen sollten umgehend ihre VVTs überprüfen und die Spalte zu Drittländern aktualisieren. Experten empfehlen ein dreistufiges Vorgehen:
1. Inventur: Liste aller Dienstleister und Unterauftragsverarbeiter erstellen.
2. Filter: Alle mit Sitz außerhalb von EU/EWR isolieren.
3. Aktualisierung: Pauschaleinträge im VVT durch spezifische Firmennamen ersetzen.

Bereits im ersten Quartal 2026 rechnen Beobachter mit den ersten gezielten Anfragen der Aufsichtsbehörden. Diese werden likely Auszüge des VVT zu den Bereichen Marketing und IT-Infrastruktur anfordern. Unternehmen, die weiterhin pauschale Kategorien für US- oder asiatische Anbieter nennen, geraten mit der neuen Präzisionsstrategie aus Baden-Württemberg leicht ins Visier der Regulatoren. Das Jahr 2026 wird damit zum Jahr der verbindlichen Klarheit darüber, wohin personenbezogene Daten fließen – und wer sie genau erhält.

PS: Kostenlose, editierbare Vorlage für Ihr Verarbeitungsverzeichnis – sofort einsatzfähig und geprüft auf Art. 30 DSGVO. Ideal für KMU, die ihre VVT‑Spalten zu Drittlandsempfängern schnell aktualisieren müssen: fertige Felder für Empfängernamen, Standort und Übermittlungsgrundlage plus kurze Anleitung zur Verzahnung mit Ihrer Datenschutz‑Folgenabschätzung. So sind Sie bei Behördenanfragen besser vorbereitet. Jetzt prüfungssichere VVT‑Vorlage sichern