Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
DrittlandtransferData Privacy FrameworkUS-Cloud

Drittlandtransfer USA DSGVO: DPF, SCC & Schrems 2026

Drittlandtransfer USA DSGVO prüfen: Wann reicht das Data Privacy Framework, wann brauchen Sie SCC + TIA? Praxis-Anleitung für Hamburger KMU mit US-Cloud.

Jens Hagel
Jens Hagel
Co-Founder · IT-Unternehmer
05. Juni 2026

Inhalt in Kürze

  • US-Cloud ist nach Kapitel V DSGVO erlaubt, wenn der Anbieter unter dem Data Privacy Framework (DPF) zertifiziert ist – Status prüfen auf dataprivacyframework.gov/list.
  • Ist der Anbieter nicht DPF-zertifiziert, brauchen Sie Standardvertragsklauseln (SCC) + Transfer Impact Assessment (TIA) plus ergänzende Maßnahmen wie Verschlüsselung.
  • Das EuG bestätigte das DPF am 3. September 2025 (Rechtssache T-533/23) – es bleibt gültig, ein Rechtsmittel und „Schrems III“ sind aber nicht ausgeschlossen.
  • Der US-CLOUD Act wirkt auch bei EU-Hosting eines US-Konzerns – dagegen helfen nur technische Maßnahmen (BYOK, Pseudonymisierung), kein Angemessenheitsbeschluss.

Stand: Juni 2026 · Autor: Jens Hagel · Lesezeit: 10 Minuten

„Wir hosten doch in Frankfurt – das ist doch DSGVO-konform, oder?“ Diesen Satz höre ich in Hamburger Erstgesprächen fast wöchentlich, oft von IT-Leitern, die AWS, Microsoft 365, HubSpot und Mailchimp parallel im Einsatz haben. Die unbequeme Wahrheit: Der Server-Standort allein entscheidet nichts. Sobald ein US-Konzern dahintersteht, sind Sie mitten im Drittlandtransfer USA DSGVO – und müssen nachweisen, auf welcher Rechtsgrundlage Daten in die USA fließen dürfen. Dieser Artikel zeigt Ihnen, wann das DPF reicht, wann Sie SCC und ein TIA brauchen und wie Sie konkret prüfen.

Hamburg-Kontext:

Hamburg ist Software- und Reederei-Stadt zugleich. SaaS-Anbieter aus der HafenCity verarbeiten Kundendaten in US-Clouds, Reedereien aus dem Hafen tauschen Crew- und Fracht-Daten weltweit. Genau hier schaut der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI, Ludwig-Erhard-Straße 22) bei Prüfungen auf die Drittland-Dokumentation. Wer den DPF-Status seiner Tools belegen kann, nimmt einer Anfrage die Spitze.

Drittlandtransfer USA DSGVO: Der Rechtsrahmen in Kapitel V

Fangen wir nüchtern an. Sobald personenbezogene Daten ein Drittland erreichen – also ein Land außerhalb von EU/EWR, und die USA gehören dazu – greift Kapitel V der DSGVO (Art. 44–49) (dsgvo-gesetz.de). Der Grundsatz: Ein solcher Transfer ist nur zulässig, wenn ein angemessenes Datenschutzniveau sichergestellt ist. Dafür kennt die DSGVO drei Pfade.

  • Angemessenheitsbeschluss (Art. 45). Die EU-Kommission bescheinigt einem Land oder Mechanismus ein gleichwertiges Schutzniveau. Für die USA ist das seit Juli 2023 das EU-U.S. Data Privacy Framework.
  • Geeignete Garantien (Art. 46). Vor allem die Standardvertragsklauseln (SCC) – plus, seit „Schrems II“, ein Transfer Impact Assessment und ergänzende Maßnahmen.
  • Ausnahmen (Art. 49). Etwa ausdrückliche Einwilligung oder Vertragserfüllung – nur für Einzelfälle, nicht für regelmäßige, massenhafte Transfers.

Wichtig zur Einordnung: Der „Verantwortliche“ nach Art. 4 DSGVO sind Sie, nicht der US-Anbieter. Sie müssen den Rechtsgrund für jeden Transfer kennen, dokumentieren und im Zweifel der Aufsichtsbehörde vorlegen. Das ist die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

Das Wichtigste: Server-Standort „EU“ heißt nicht automatisch „kein Drittlandtransfer“. Entscheidend ist, wer Zugriff hat – ein US-Mutterkonzern macht aus einem Frankfurt-Hosting einen Drittlandbezug.

Das EU-U.S. Data Privacy Framework: Wie es funktioniert

Das EU-U.S. Data Privacy Framework (DPF) ist seit dem 10. Juli 2023 in Kraft – als Angemessenheitsbeschluss der EU-Kommission, gestützt auf die US-Executive-Order 14086 (Gesellschaft für Datenschutz). Es ist der Nachfolger des 2020 gekippten Privacy Shield, oft „Privacy Shield 2.0“ genannt.

Der Mechanismus ist eine Selbstzertifizierung: Ein US-Unternehmen verpflichtet sich gegenüber dem US-Handelsministerium auf die DPF-Datenschutzgrundsätze und wird in eine öffentliche Liste eingetragen. Erst dann profitieren Sie als europäischer Datenexporteur vom Angemessenheitsbeschluss. Der Beschluss verfolgt laut BfDI einen sektoralen Ansatz – er gilt nur für die zertifizierten Organisationen, nicht pauschal für „die USA“.

Der entscheidende Praxis-Schritt: Prüfen Sie die Liste. Die offizielle Quelle ist dataprivacyframework.gov/list. Achten Sie auf zwei Dinge:

  1. Status „Active“: Eine Zertifizierung kann ausgelaufen oder zurückgezogen sein. Nur „Active“ trägt den Transfer.
  2. Abgedeckte Daten: Manche Firmen zertifizieren nur „Non-HR Data“. Verarbeiten Sie auch Beschäftigtendaten (HR), muss „HR Data“ ausdrücklich mitabgedeckt sein.

Große Anbieter wie Microsoft, Amazon Web Services und Google haben Konzerneinheiten unter dem DPF zertifiziert. Verlassen Sie sich aber nicht auf den Markennamen, sondern prüfen Sie die exakte Rechtsentität, mit der Ihr Vertrag besteht – Konzerne haben Dutzende Tochtergesellschaften, und nicht jede ist gelistet.

Restrisiko DPF: Droht ein „Schrems III“?

Hier wird es ehrlich, denn das DPF steht auf wackeligen Beinen – seine Vorgänger Safe Harbor (2015) und Privacy Shield (2020) wurden beide vom EuGH gekippt. Die gute Nachricht zuerst: Das Gericht der Europäischen Union (EuG) hat am 3. September 2025 in der Rechtssache T-533/23 (Latombe) eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss abgewiesen – das DPF bleibt wirksam (GSK Stockmann). Der Kläger hatte unter anderem gerügt, das neue Data Protection Review Court sei nicht unabhängig genug; das EuG folgte dem nicht.

Die schlechte Nachricht: Es ist nicht das letzte Wort. Gegen das EuG-Urteil ist ein Rechtsmittel zum EuGH möglich, und der Datenschutzaktivist Max Schrems hat eine eigene Klage angekündigt – Stichwort „Schrems III“ (GvW). Zusätzliche Unsicherheit kommt aus den USA selbst: Personalwechsel im Aufsichtsgremium PCLOB könnten die Grundlagen der Executive Order schwächen (Ecovis).

Konsequenz für die Praxis:

Verlassen Sie sich nie ausschließlich auf das DPF. Kippt der Beschluss, fällt über Nacht die Rechtsgrundlage weg – wie 2020 beim Privacy Shield. Schließen Sie deshalb parallel SCC ab (sie liegen den meisten US-AVV ohnehin bei) und halten Sie ein TIA vor. So bleibt Ihr Transfer auch bei einem „Schrems III“ tragfähig.

Kein DPF? Dann SCC + Transfer Impact Assessment

Ist Ihr Anbieter nicht auf der DPF-Liste – das betrifft viele kleinere SaaS-Tools –, brauchen Sie geeignete Garantien nach Art. 46 DSGVO. In der Praxis sind das die Standardvertragsklauseln (SCC) in der 2021er-Fassung der EU-Kommission.

SCC allein genügen seit „Schrems II“ aber nicht. Sie müssen zusätzlich ein Transfer Impact Assessment (TIA) durchführen: eine Einzelfallprüfung, ob das Recht und die Praxis im Zielland (USA) das europäische Schutzniveau aushöhlen – konkret durch Überwachungsgesetze wie FISA 702 (dr-datenschutz.de). Kommt das TIA zu dem Ergebnis, dass ein Restrisiko bleibt, sind ergänzende Maßnahmen Pflicht.

MechanismusRechtsgrundlageWann nutzenZusatzaufwand
Angemessenheitsbeschluss (DPF)Art. 45 DSGVOAnbieter ist DPF-zertifiziert („Active“)Status prüfen + dokumentieren
Standardvertragsklauseln (SCC)Art. 46 DSGVOAnbieter nicht DPF-zertifiziertTIA + ergänzende Maßnahmen
AusnahmenArt. 49 DSGVOEinzelfall (Einwilligung, Vertrag)Nicht für regelmäßige Transfers

Der Bundesverband der Datenschutzbeauftragten (BvD) und mehrere Aufsichtsbehörden stellen TIA-Muster bereit – ein guter Startpunkt, der die Prüfung aber nicht ersetzt. Verknüpfen Sie das fertige TIA und die SCC anschließend mit der betroffenen Verarbeitung in Ihrem Verzeichnis der Verarbeitungstätigkeiten (VVT).

Ergänzende technische Maßnahmen

Diese Maßnahmen reduzieren das Restrisiko so weit, dass ein Transfer auch bei kritischem TIA tragbar wird:

  • Verschlüsselung im Transit und at-rest. Standard, aber allein selten ausreichend, wenn der Anbieter selbst entschlüsseln kann.
  • BYOK / clientseitige Verschlüsselung. Sie behalten den Schlüssel (Bring Your Own Key), der Anbieter sieht nur Chiffrat. Wirkt auch gegen behördlichen Zugriff.
  • Pseudonymisierung. Personenbezug wird vor der Übermittlung herausgelöst, sodass übermittelte Daten ohne Zusatzwissen niemandem zuzuordnen sind.
  • EU-Region / EU Data Boundary. Datenhaltung in der EU als organisatorischer Schutzwall – senkt das Risiko, beseitigt es bei US-Konzernen aber nicht.

Der US-CLOUD Act: Warum EU-Hosting nicht alles löst

Hier liegt der häufigste Denkfehler. Der US-CLOUD Act (seit 2018) verpflichtet US-Unternehmen, auf Anordnung US-amerikanischer Behörden Daten herauszugeben – unabhängig vom Speicherort (Heise). Das heißt: Auch wenn Ihre AWS-Daten in Frankfurt liegen, kann die US-Mutter zur Herausgabe verpflichtet werden.

Und entscheidend: Das DPF löst dieses Problem nicht. Das Framework regelt die Zulässigkeit der Übermittlung zwischen Unternehmen – nicht den staatlichen Zugriff über den CLOUD Act (Kiteworks). Wer dieses Risiko reduzieren will, kommt um technische Maßnahmen nicht herum: clientseitige Verschlüsselung mit eigenem Schlüssel, Pseudonymisierung – oder gleich einen Anbieter ohne US-Konzernbezug.

10.07.2023
DPF in Kraft
03.09.2025
EuG bestätigt DPF
Art. 44–49
Kapitel V DSGVO
CLOUD Act
trotz EU-Hosting

Konkrete Tool-Beispiele und EU-Alternativen

Theorie hilft wenig, wenn Sie vor Ihrer Tool-Liste sitzen. Hier eine sachliche Einordnung der gängigsten Verdächtigen – mit dem klaren Hinweis: Den DPF-Status müssen Sie pro Anbieter selbst auf der Liste verifizieren, denn Zertifizierungen ändern sich.

  • Microsoft 365 / Azure. Microsoft-Einheiten sind DPF-gelistet, dazu gibt es die EU Data Boundary. Trotzdem bleibt eine eigene Konfiguration und Dokumentation nötig – wie in unserer Microsoft-365-Checkliste beschrieben.
  • Amazon Web Services / Google Cloud. DPF-Zertifizierung plus EU-Regionen verfügbar. Prüfen Sie die konkrete Vertragsentität und ob Support-/Diagnosedaten in der EU bleiben.
  • HubSpot, Mailchimp, Klaviyo. US-Marketing-Tools. Prüfen Sie den DPF-Status genau; ist er offen, brauchen Sie SCC + TIA. Für viele KMU ist hier eine EU-Alternative der einfachere Weg.
  • EU-Alternative Brevo. Der französische Anbieter Brevo (ehemals Sendinblue) hostet in der EU – das vermeidet den Drittlandtransfer ganz und spart das TIA. Keine pauschale Empfehlung, aber für reines E-Mail-Marketing oft die pragmatische Lösung.
Tipp für Reedereien:

Im Hamburger Hafen fließen Crew-, Fracht- und Agentur-Daten regelmäßig in Drittländer – nicht nur in die USA. Hier reicht das DPF nicht, weil es nur US-Transfers abdeckt. Für Indien, Singapur oder die Philippinen brauchen Sie SCC + TIA. Mehr dazu auf unserer Branchenseite für Reedereien.

So prüfen Sie Ihre US-Tools: Die 6 Schritte

Das ist der Ablauf, den wir bei Hamburger Mandanten Schritt für Schritt durchgehen:

  1. Datenflüsse und Tools inventarisieren. Listen Sie alle Cloud-Dienste, SaaS-Tools und Dienstleister auf, die personenbezogene Daten verarbeiten.
  2. Drittland-Tools identifizieren. Markieren Sie jeden Anbieter mit US-Bezug – auch bei EU-Hosting, wenn die Mutter in den USA sitzt.
  3. DPF-Status prüfen. Jeden US-Anbieter auf dataprivacyframework.gov/list auf „Active“ checken – inklusive der richtigen Datenkategorie (HR / Non-HR).
  4. SCC + TIA für nicht zertifizierte Anbieter. Standardvertragsklauseln abschließen, Transfer Impact Assessment dokumentieren.
  5. Ergänzende Maßnahmen ergreifen. Verschlüsselung, BYOK, Pseudonymisierung oder EU-Region je nach Risiko.
  6. Im VVT dokumentieren. Rechtsgrundlage, DPF-Nachweis oder SCC/TIA jeder Verarbeitung im Verzeichnis zuordnen – das ist Ihre Rechenschaftspflicht.

Vergessen Sie dabei nicht den passenden Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Drittlandgarantien und AVV gehen Hand in Hand – wie Sie einen AVV richtig prüfen, zeigt unser AVV-Leitfaden mit Muster. Und sobald US-Tools auf Ihrer Website laufen, gehören die Transfers transparent in die Datenschutzerklärung.

Aus der Praxis

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant konnte datenschutzkonform eine Umfrage an seine Kunden schicken. Genau so soll Arbeit mit einem Datenschutzbeauftragten stattfinden.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Genau solche Fälle sehen wir beim Drittlandtransfer ständig: Ein Hamburger SaaS-Anbieter will Mailchimp nutzen, ist unsicher, ob das geht – und nach einem kurzen Check des DPF-Status und der Datenkategorien ist klar, was zu tun ist. Pragmatisch, nicht dogmatisch.

Fazit / Ihr nächster Schritt

US-Cloud ist nicht verboten – aber sie verlangt Disziplin. Prüfen Sie den DPF-Status jedes US-Tools, sichern Sie nicht zertifizierte Anbieter mit SCC + TIA + technischen Maßnahmen ab, und denken Sie beim CLOUD Act über reines EU-Hosting hinaus. Wer das sauber im VVT dokumentiert, ist auch bei einer HmbBfDI-Anfrage oder einem möglichen „Schrems III“ auf der sicheren Seite.

Für Hamburger SaaS- und IT-Unternehmen, die viele US-Tools im Stack haben, lohnt sich der strukturierte Blick eines externen DSB – mehr dazu auf unserer Branchenseite für IT & SaaS.

US-Cloud rechtssicher nutzen – ohne Tool-Verbote.

Wir inventarisieren Ihre Datenflüsse, prüfen jeden US-Anbieter auf DPF, SCC und CLOUD-Act-Risiko und dokumentieren alles im VVT. Als externer DSB ab 79 € netto/Monat, in 7 Werktagen startklar. Lernen Sie uns im kostenlosen 15-Minuten-Erstgespräch kennen.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Ist die Nutzung von US-Cloud-Diensten nach der DSGVO erlaubt?

Ja, unter Bedingungen. Ist der US-Anbieter unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, dient der Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als Rechtsgrundlage. Ist er nicht zertifiziert, brauchen Sie Standardvertragsklauseln (SCC) plus ein Transfer Impact Assessment (TIA) und in der Regel ergänzende Maßnahmen wie Verschlüsselung. Den DPF-Status prüfen Sie auf dataprivacyframework.gov/list.

Was ist der Unterschied zwischen DPF und SCC?

Das Data Privacy Framework ist ein Angemessenheitsbeschluss nach Art. 45 DSGVO – ist Ihr Anbieter zertifiziert, ist der Transfer ohne Zusatzaufwand zulässig. Standardvertragsklauseln nach Art. 46 DSGVO sind ein Vertragsinstrument für nicht zertifizierte Anbieter; sie verlangen zusätzlich ein Transfer Impact Assessment und meist ergänzende technische Maßnahmen.

Löst das Data Privacy Framework das CLOUD-Act-Risiko?

Nein. Das DPF regelt die Zulässigkeit der Datenübermittlung, nicht den behördlichen Zugriff über den US-CLOUD Act. Ein US-Mutterkonzern kann auch bei EU-Hosting verpflichtet werden, Daten an US-Behörden herauszugeben. Dagegen helfen technische Maßnahmen wie clientseitige Verschlüsselung mit eigenem Schlüssel (BYOK) und Pseudonymisierung.

Ist das Data Privacy Framework noch gültig?

Ja. Das Gericht der EU (EuG) hat die Nichtigkeitsklage gegen den Angemessenheitsbeschluss am 3. September 2025 abgewiesen (Rechtssache T-533/23, Latombe). Das DPF bleibt damit wirksam. Ein Rechtsmittel zum EuGH und ein mögliches „Schrems III“ sind aber nicht ausgeschlossen – planen Sie SCC als Fallback ein.

Wie prüfe ich, ob ein US-Tool DSGVO-konform ist?

Inventarisieren Sie zuerst alle Tools mit US-Bezug. Prüfen Sie dann jeden Anbieter auf dataprivacyframework.gov/list auf den Status „Active“ für „EU-U.S. Data Privacy Framework“. Ist er gelistet, dokumentieren Sie das im Verzeichnis der Verarbeitungstätigkeiten. Ist er nicht gelistet, schließen Sie SCC ab, erstellen ein TIA und ergänzen technische Maßnahmen.

Welche EU-Alternativen gibt es zu US-Marketing-Tools?

Für E-Mail-Marketing und CRM gibt es europäische Anbieter wie Brevo (Frankreich), die innerhalb der EU hosten und so den Drittlandtransfer ganz vermeiden. Das spart das TIA und reduziert das CLOUD-Act-Risiko. Eine pauschale Empfehlung gibt es aber nicht – die Wahl hängt von Funktionsumfang, Subprozessoren und Ihrem konkreten Datenfluss ab.

Recherche-Stand: verifiziert am 6. Juni 2026 über dsgvo-gesetz.de (Kapitel V), dataprivacyframework.gov, BfDI, GSK Stockmann (EuG-Urteil T-533/23), Heise und Kiteworks (CLOUD Act).

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot