SendMeSafe
Registrieren
Alle Beiträge
compliance

Sicherer Datentransfer USA–EU: DSGVO-konform zwischen zwei Welten

Wie übermitteln Sie Daten DSGVO-konform zwischen den USA und der EU? Schrems II, Standardvertragsklauseln, EU-US Data Privacy Framework und der praktische Workflow mit SendMeSafe -- inkl. Tipps zur US-Firmengründung.

21. Mai 20266 min read
DSGVOUSAInternationaler DatentransferSchrems IICompliance

Sicherer Datentransfer USA–EU: DSGVO-konform zwischen zwei Welten

Wer geschäftlich mit den USA arbeitet -- sei es als deutsche Firma mit US-Kunden, als Berater mit Mandanten beiderseits des Atlantiks oder als Gründer einer US-Tochtergesellschaft -- steht früher oder später vor der Frage: Wie übertrage ich Dokumente und personenbezogene Daten rechtssicher zwischen den USA und der EU?

Die Antwort ist seit dem Schrems-II-Urteil komplexer geworden, aber keineswegs unlösbar. Dieser Artikel zeigt, worauf es ankommt -- und wie Sie mit dem richtigen Workflow auch internationale Datenflüsse DSGVO-konform absichern.

Warum der Datentransfer USA–EU so kompliziert ist

Die DSGVO behandelt jede Übermittlung personenbezogener Daten in ein Land außerhalb der EU bzw. des EWR als „Drittlandtransfer" (Kapitel V DSGVO). Die USA gelten datenschutzrechtlich als Drittland, in dem das Schutzniveau historisch nicht automatisch dem europäischen entspricht.

Drei Eckpfeiler bestimmen die aktuelle Rechtslage:

  1. Schrems II (2020): Der EuGH erklärte das Privacy-Shield-Abkommen für ungültig. US-Überwachungsgesetze (insbesondere FISA 702 und Executive Order 12333) seien mit europäischen Grundrechten unvereinbar.
  2. Standardvertragsklauseln (SCC): Bleiben weiter zulässig, müssen aber durch ein Transfer Impact Assessment (TIA) und ggf. zusätzliche Schutzmaßnahmen ergänzt werden.
  3. EU-US Data Privacy Framework (DPF, seit Juli 2023): Der Angemessenheitsbeschluss erlaubt Datenübermittlungen an zertifizierte US-Unternehmen ohne SCC -- vorausgesetzt, der Empfänger ist im DPF-Register gelistet.

Das DPF erleichtert vieles, ist aber kein Freifahrtschein: Es gilt nur für zertifizierte Empfänger, und auch hier wird bereits eine dritte Klage („Schrems III") vorbereitet.

Die 4 Pflichten beim Datentransfer in die USA

1. Rechtsgrundlage für den Transfer dokumentieren

Bevor auch nur ein Byte über den Atlantik geht, müssen Sie klären, auf welcher Grundlage Sie übermitteln:

  • Angemessenheitsbeschluss (DPF): Empfänger ist auf der offiziellen Liste unter dataprivacyframework.gov zertifiziert? Dann reicht das in vielen Fällen.
  • Standardvertragsklauseln (Modul 1–4): Schriftlich abschließen, intern dokumentieren. Achtung: Die Auswahl des Moduls hängt davon ab, ob Sie an einen Verantwortlichen, Auftragsverarbeiter oder Sub-Prozessor übermitteln.
  • Binding Corporate Rules: Für Konzernsachverhalte, aufwendig in der Genehmigung.
  • Ausnahmen nach Art. 49 DSGVO: Z. B. ausdrückliche Einwilligung -- nur für Einzelfälle, nicht für regelmäßige Transfers geeignet.

2. Transfer Impact Assessment durchführen

Auch unter dem DPF wird empfohlen (und unter SCC ist es Pflicht), ein TIA zu erstellen. Geprüft wird:

  • Welche Datenkategorien werden übermittelt? (Stammdaten, Gesundheitsdaten, Finanzdaten ...)
  • Welche Rechtslage gilt beim Empfänger? Gibt es Zugriffsbefugnisse staatlicher Stellen?
  • Welche technischen und organisatorischen Maßnahmen (TOM) reduzieren das Risiko?

Das Ergebnis wird schriftlich festgehalten -- spätestens bei einer Behördenanfrage müssen Sie es vorlegen können.

3. Technische Schutzmaßnahmen umsetzen

Die DSGVO verlangt nach Art. 32 ein „dem Risiko angemessenes Schutzniveau". Beim Transatlantik-Transfer heißt das in der Praxis:

  • Ende-zu-Ende- oder zumindest serverseitige Verschlüsselung bei Übertragung und Speicherung.
  • Datenminimierung: Übermitteln Sie nur, was wirklich nötig ist -- keine Sammelversände mit Vorrats-PII.
  • Zugangsbeschränkung: Passwortgeschützte, ablaufende Links statt offener Mail-Anhänge.
  • Audit-Trail: Lückenlose Protokollierung, wer welche Datei wann hochgeladen oder abgerufen hat.
  • Speicherort kontrollieren: Server in der EU bzw. Hosting bei einem europäischen Anbieter mit klar geregelten Subprozessor-Beziehungen.

4. Auftragsverarbeitungsvertrag und Informationspflichten

Wenn ein externer Anbieter für Sie Daten verarbeitet (z. B. ein Filesharing-Dienst), brauchen Sie einen AVV nach Art. 28 DSGVO. Außerdem müssen Sie die betroffenen Personen in der Datenschutzerklärung darüber informieren, dass Daten in die USA übermittelt werden und auf welcher Rechtsgrundlage das geschieht.

Typische Fehler in der Praxis

In über 60 % der Fälle, in denen Aufsichtsbehörden Bußgelder wegen Drittlandtransfers verhängt haben, ging es nicht um exotische Konstellationen, sondern um Klassiker:

  • Google Drive-, Dropbox- oder WeTransfer-Links an US-Empfänger, ohne dass die Rechtsgrundlage geprüft wurde.
  • E-Mail mit Anhang an US-Adressen über Mailserver ohne durchgängige Transportverschlüsselung.
  • CC-Verteiler, bei denen versehentlich ein US-Empfänger drinhängt -- formal ein Drittlandtransfer.
  • Kein TIA dokumentiert, obwohl SCC oder DPF herangezogen werden.
  • Veraltete Datenschutzerklärung, die US-Empfänger gar nicht erwähnt.

Der praktische Workflow mit SendMeSafe

SendMeSafe ist explizit auf Workflows ausgelegt, die DSGVO-Anforderungen auch bei internationaler Kommunikation einhalten:

  • Hosting in der EU (Hetzner Cloud, Standort Deutschland/Finnland) -- die Daten verlassen den europäischen Rechtsraum nicht für die Speicherung.
  • Verschlüsselte Upload- und Share-Links mit Passwort, Ablaufdatum und Download-Limit. US-Geschäftspartner laden Dateien einfach über einen Link hoch -- ohne Konto, ohne Tool-Installation.
  • AVV verfügbar für alle Geschäftskunden, abrufbar direkt im Dashboard.
  • Vollständiger Audit-Trail über Uploads, Downloads, Zugriffe -- jederzeit exportierbar für Behördenanfragen.
  • TOM-Dokumentation und Subprozessor-Liste als Anhang zum AVV.

Konkret: Wenn Ihre US-Tochter Ihnen Rechnungen oder Vertragsentwürfe schickt, geben Sie einen passwortgeschützten Upload-Link heraus. Der Link läuft nach 7 Tagen ab, Downloads werden geloggt, und die Datei liegt verschlüsselt auf einem EU-Server. Für umgekehrte Versände nutzen Sie Share-Links mit denselben Schutzmechanismen.

Sonderfall: Sie gründen ein Unternehmen in den USA

Viele deutsche Unternehmer denken inzwischen über eine Gesellschaftsgründung in den USA nach -- sei es für besseren Zugang zum amerikanischen Markt, für Vorteile bei der Kapitalbeschaffung, für Plattform-Vertrieb (Amazon, Stripe, SaaS-Marktplätze) oder schlicht für die rechtliche Trennung von US-Geschäft und deutschem Heimatmarkt.

Sobald Sie aber eine LLC oder Inc. in Delaware, Wyoming oder Florida betreiben, wird der Datenfluss zwischen Mutter und Tochter zur konzerninternen Drittlandübermittlung. Das ist juristisch lösbar -- aber nicht trivial:

  • Sie brauchen eine saubere gesellschaftsrechtliche Struktur, idealerweise mit klaren Verantwortlichkeiten zwischen DE-Mutter und US-Tochter.
  • Sie benötigen einen Datenübermittlungsvertrag (SCC Modul 1 oder Binding Corporate Rules), wenn die Tochter nicht DPF-zertifiziert ist.
  • Sie sollten die US-Gesellschaft so aufstellen, dass sie selbst DPF-zertifizierbar ist -- das spart später viel Aufwand.

Wir bei SendMeSafe arbeiten in solchen Fällen mit einem spezialisierten Partner zusammen: REVIS-1 berät bei der US-Firmengründung -- von der Wahl des Bundesstaats über EIN-Antrag und Registered Agent bis hin zur Banking-Anbindung. Der Vorteil der Kombination: Sie bekommen eine US-Struktur, die von Anfang an datenschutzkonform mit der deutschen Muttergesellschaft kommunizieren kann -- und einen Übertragungs-Workflow, der diese Kommunikation in der Praxis absichert.

Checkliste: Sind Sie bereit für DSGVO-konformen USA-Datenverkehr?

  • Rechtsgrundlage pro Empfänger dokumentiert (DPF-Liste geprüft? SCC abgeschlossen?)
  • Transfer Impact Assessment schriftlich vorhanden
  • AVV mit dem genutzten Übertragungsdienst geschlossen
  • Übertragungsweg verschlüsselt (TLS + at-rest), Speicherort EU bevorzugt
  • Audit-Trail aktiviert, Aufbewahrung der Logs geregelt
  • Datenschutzerklärung erwähnt USA-Empfänger und Rechtsgrundlage
  • Mitarbeitende geschult: keine Schatten-IT für US-Versände
  • Bei US-Tochter: gesellschaftsrechtliche und datenschutzrechtliche Verträge synchron

Fazit

DSGVO-konformer Datentransfer zwischen den USA und der EU ist kein Hexenwerk, aber er verlangt klare Strukturen: eine geprüfte Rechtsgrundlage, technische Absicherung der Übertragung, ein dokumentiertes TIA und einen Übertragungsweg, der das alles in der Praxis abbildet.

Mit SendMeSafe sichern Sie den eigentlichen Datenfluss verschlüsselt, protokolliert und auf EU-Servern ab. Und wenn Sie parallel über eine US-Gesellschaftsgründung nachdenken, bringt unser Partner REVIS-1 die rechtliche und steuerliche Struktur ins Spiel -- so dass beide Welten von Anfang an sauber zusammenarbeiten.

Jetzt SendMeSafe testen und Ihren ersten DSGVO-konformen USA-EU-Datentransfer in 5 Minuten aufsetzen.

Bereit für sichere Dateiübertragung?

Testen Sie SendMeSafe 14 Tage kostenlos. Keine Kreditkarte erforderlich.

Kostenlos starten