Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Datenschutz & Compliance Glossar

DSGVO Drittstaatentransfer - Internationale Datenweitergabe rechtssicher gestalten

DSGVO Kapitel V regelt die Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU/EWR. Rechtsgrundlagen sind: Angemessenheitsbeschlüsse (z.B. EU-US DPF seit 2023), Standardvertragsklauseln (SCCs), Binding Corporate Rules und Ausnahmen nach Art. 49. US-Cloud-Dienste (AWS, Azure, Google, Salesforce) sind seit dem EU-US Data Privacy Framework wieder legal nutzbar.

DSGVO Drittstaatentransfer ist für viele Unternehmen ein praktisches Problem: der gewünschte Cloud-Dienst sitzt in den USA, die DSGVO stellt hohe Anforderungen an Datentransfers dorthin. Nach dem EU-US Data Privacy Framework (2023) ist die Lage klarer geworden - aber es gibt weiterhin Fallstricke.

Warum Drittstaatentransfer geregelt ist

Das Grundproblem: DSGVO gilt für die Verarbeitung von EU-Bürgerdaten. Nicht-EU-Länder haben meist niedrigere Datenschutzstandards.

Ohne Regulierung würde ein EU-Unternehmen Daten an eine US-Cloud senden, US-Behörden hätten Zugriff, und der betroffene EU-Bürger hätte kein Klagerecht gegen US-Behörden - der DSGVO-Schutz wäre faktisch ausgehebelt.

Art. 44 DSGVO - Grundprinzip:

„Eine Übermittlung personenbezogener Daten, die verarbeitet werden oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland oder eine internationale Organisation ist nur dann erlaubt wenn…” - eine Rechtsgrundlage aus Art. 45-49 vorliegt.

Was ist ein Drittland?

  • Jeder Staat, der kein EU/EWR-Mitglied ist
  • EWR = EU + Norwegen, Island, Liechtenstein
  • Nach dem Brexit gilt auch das UK als Drittland (Angemessenheitsbeschluss jedoch vorhanden)

Rechtsgrundlagen für Drittstaatentransfers

Stufe 1: Angemessenheitsbeschluss (Art. 45) - einfachste Lösung

Die EU-Kommission beschließt, dass ein bestimmtes Land ein „angemessenes Schutzniveau” bietet. Der Transfer ist dann ohne weitere Maßnahmen erlaubt.

Angemessene Länder (Stand 2025):

  • Andorra, Argentinien, Kanada (kommerziell), Färöer
  • Guernsey, Israel, Isle of Man, Japan, Jersey
  • Neuseeland, Schweiz, Südkorea, Vereinigtes Königreich
  • Uruguay, USA (nur DPF-zertifizierte Unternehmen!)

EU-US Data Privacy Framework (DPF) - seit Juli 2023:

  • Nachfolger von Privacy Shield (2020 durch Schrems II gekippt)
  • US-Unternehmen können sich zertifizieren: dpf.gov
  • Zertifizierte Unternehmen: AWS, Microsoft Azure, Google Cloud, Salesforce, HubSpot, Slack, Zoom, etc.
  • Überprüfen: dpf.gov/s/search
  • Risiko Schrems III: Max Schrems (NOYB) hat DPF angefochten - als Vorsichtsmaßnahme empfiehlt sich die zusätzliche Verwendung von SCCs

Stufe 2: Standardvertragsklauseln (SCCs) - häufigste Praxis

  • Von der EU-Kommission genehmigte Vertragsklauseln
  • Stellen rechtlich sicher, dass der Empfänger DSGVO-Standards einhält
  • Aktuelle Version: SCCs 2021 (seit Juni 2021; ältere Versionen sind ungültig!)
  • Erfordern Abschluss mit dem Cloud-Provider

AWS SCCs einrichten:

  • Das AWS Customer Agreement enthält ein Data Processing Addendum (DPA), das SCCs automatisch umfasst - kein separater Vertragsabschluss nötig
  • Prüfen: aws.amazon.com/compliance/gdpr-center

Microsoft Azure SCCs:

  • Online Services DPA + EU SCCs
  • Automatisch bei Azure-Nutzung aktiviert

Transfer Impact Assessment (TIA) für SCCs:

  • Pflicht: prüfen, ob SCCs tatsächlich schützen
  • Für USA: FISA 702, EO 12333 - NSA-Zugriff möglich?
  • Für DPF-zertifizierte US-Unternehmen ist das TIA faktisch obsolet
  • Für andere Länder: individuelles TIA erforderlich

Stufe 3: Binding Corporate Rules (BCRs) - für Konzerne

  • Konzern-interne Datenschutzregeln, genehmigt von der zuständigen Aufsichtsbehörde (Lead-DPA)
  • Ermöglicht Transfer zwischen Konzerngesellschaften weltweit
  • Aufwand: 2-3 Jahre, mehrere 100.000 EUR - nur für große Konzerne geeignet

Stufe 4: Ausnahmen nach Art. 49 - nur für Einzelfälle

  • Ausdrückliche Einwilligung des Betroffenen (keine Dauerlösung!)
  • Vertragserfüllung (z. B. Hotelbuchung in den USA)
  • Lebenswichtige Interessen
  • Wichtiges öffentliches Interesse
  • Rechtsansprüche
  • Öffentlich zugängliche Register

Wichtig: Art. 49 ist keine Dauerlösung für regelmäßige Transfers!

Praktische Umsetzung

Checkliste für US-Cloud-Dienste

  1. Dienstleister prüfen: DPF-Zertifizierung auf dpf.gov/s/search nachschlagen. Wenn zertifiziert, ist der Transfer grundsätzlich erlaubt; andernfalls sind SCCs erforderlich.
  2. DPA/AVV abschließen: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Meist im Kundenbereich verfügbar (AWS: aws.amazon.com/agreement/; Google: Admin-Konsole → Datenschutz & Sicherheit → DPA).
  3. SCCs prüfen: Sind SCCs Teil des DPA? Nur die neuen Module (2021) sind gültig. Für DPF-zertifizierte US-Anbieter empfohlen, aber nicht zwingend.
  4. Verarbeitungsverzeichnis aktualisieren: Dienstleister als Auftragsverarbeiter eintragen, Datenkategorie, Zweck und Drittland-Transfer dokumentieren.
  5. Datenschutzerklärung aktualisieren: Hinweis auf Übermittlung in die USA auf Basis des EU-US DPF oder der Standardvertragsklauseln aufnehmen.

Häufige Fallen

1. Google Analytics (Universal Analytics)

  • IP-Adressen in den USA = Drittstaatentransfer
  • Lösung: Google Analytics 4 + Server-Side-Tagging
  • Alternative: Plausible Analytics (EU-Server, kein Transfer)

2. Google Fonts per URL eingebunden

  • Bayerische Datenschutzbehörde: Google Fonts-Direktlinks = DSGVO-Verstoß
  • Lösung: Fonts lokal hosten (einfach: npm install fontsource)
  • LG München: 100 EUR Schadensersatz für Google Fonts-Direktlink

3. US-E-Mail-Provider (Mailchimp, Mailgun)

  • Empfänger-E-Mail-Adressen = personenbezogene Daten = Transfer
  • DPF-Zertifizierung und DPA prüfen
  • Alternative: EU-Hosting (Brevo ehemals Sendinblue, CleverReach)

4. Support-Tools mit Screen-Sharing

  • Zendesk, Freshdesk, Intercom: US-Unternehmen
  • Kundendaten fließen in das Support-Tool
  • DPA + DPF/SCCs prüfen

5. LinkedIn-Recruitment-Tool

  • LinkedIn: US-Unternehmen (Microsoft), DPF-zertifiziert
  • Bewerberdaten (ggf. besondere Kategorien nach Art. 9): extra Sorgfalt erforderlich

Neue Entwicklungen (2024-2025)

EU-US Data Privacy Framework - Stand 2025

  • Status: In Kraft seit 10. Juli 2023
  • Schrems-III-Risiko: Max Schrems (NOYB) hat das DPF angefochten; der EuGH könnte es kippen (wie Privacy Shield 2020)
  • Empfehlung: SCCs zusätzlich zum DPF nutzen (Doppelabsicherung: wenn DPF fällt, greifen die SCCs)

US CLOUD Act

  • US-Behörden können Daten von US-Unternehmen fordern - auch wenn diese auf EU-Servern gespeichert sind
  • Betroffen: AWS, Azure, Google (US-Muttergesellschaften)
  • Das DPF enthält Schutzklauseln, aber der CLOUD Act bleibt problematisch
  • Alternative für hochsensible Daten: EU-only Cloud (OVH, IONOS, Hetzner) - keine US-Muttergesellschaft, kein CLOUD-Act-Risiko

EU Cloud Act (geplant)

  • Die EU arbeitet an einem eigenen Rahmen für den Behördenzugriff auf Cloud-Daten
  • EUCS (EU Cybersecurity Certification Scheme): hoher Level = nur EU-Anbieter
  • Status 2025: noch in Entwicklung

UK GDPR

  • Nach dem Brexit hat das UK eine eigene GDPR-Variante
  • EU → UK: Angemessenheitsbeschluss vorhanden (bis 2025 erneuert)
  • UK → Drittstaaten: UK-eigene SCCs (“IDTA” - International Data Transfer Agreement)

AWARE7 Leistungen zum Thema

ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide

22 min Lesezeit

DSGVO und IT-Sicherheit: Technische Anforderungen, TOMs und Umsetzung

14 min Lesezeit

Verwandte Begriffe

Cloud Security - Sicherheit in AWS, Azure und GCP Compliance (IT-Sicherheits-Compliance) DSGVO (Datenschutz-Grundverordnung) Auftragsverarbeitungsvertrag (AVV / DPA) TOMs (Technisch-organisatorische Maßnahmen)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung