Datenschutz & Compliance

US-Cloud und DSGVO: Wann wird's problematisch — und was tun?

7 Min. Lesezeit
Kurze Antwort

Nach Schrems II (2020) wurde der EU-US Privacy Shield für ungültig erklärt. Das EU-US Data Privacy Framework (2023) bietet eine neue Basis, ist aber rechtlich nicht endgültig sicher. Lösung: Standardvertragsklauseln (SCC) + Transfer Impact Assessment oder europäische Alternativen.

Schrems II hat 2020 die Rechtsgrundlage für transatlantische Datentransfers weggefegt. Wer heute noch US-Dienste ohne Absicherung einsetzt, betreibt das auf eigenes Risiko.

Was Schrems II konkret bedeutet

Am 16. Juli 2020 kippte der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil den EU-US Privacy Shield — das bis dahin wichtigste Instrument für legale Datentransfers in die USA. Der Grund: US-Geheimdienste können nach US-Recht (FISA 702, EO 12333) auf Daten von EU-Bürgern zugreifen, ohne dass diese dagegen klagen können. Das widerspricht den Grundrechten der EU-Datenschutz-Grundverordnung.

Das Problem ist nicht abstrakt. Jedes Mal wenn Ihre Webseite Google Fonts via CDN lädt, wird die IP-Adresse des Besuchers an US-Server übertragen. Jedes Mal wenn Sie Mailchimp oder HubSpot nutzen, landen Kontaktdaten Ihrer Kunden auf US-Servern. Jedes Mal wenn Ihr Team Dropbox oder Google Drive nutzt, verlassen Unternehmensdaten die EU — oft ohne jede vertragliche Absicherung für den Datentransfer.

Seit 2023 gibt es mit dem EU-US Data Privacy Framework (DPF) ein neues Abkommen. Es ist besser als der Privacy Shield und enthält erstmals einen Rechtsbehelfsmechanismus für EU-Bürger. Dennoch haben Datenschutzorganisationen bereits neue Klagen angekündigt — eine rechtliche Endgültigkeit ist nicht garantiert. Wer auf Nummer sicher gehen will, setzt auf Standardvertragsklauseln (SCC) und europäische Alternativen.

Typische Dienste mit US-Datentransfer

  • Google Fonts via CDN: IP-Übertragung bei jedem Seitenaufruf — lokal hosten ist Pflicht
  • Google Analytics 4: Nutzerdaten auf US-Servern — Einwilligung + SCC erforderlich
  • Mailchimp: Kontaktdaten und E-Mail-Inhalte in den USA — SCC prüfen oder Alternative nutzen
  • HubSpot CRM: Kundendaten in US-Cloud — DPF-Zertifizierung prüfen, SCC abschließen
  • Dropbox / Google Drive: Dokumente und Anhänge auf US-Servern — europäische Alternativen erwägen
  • Zoom / Microsoft Teams: Metadaten und Gesprächsinhalte — Verarbeitungsort in Vertragseinstellungen prüfen
  • AWS / Azure / GCP ohne EU-Region: Auch bei US-Anbieter mit EU-Rechenzentrum gelten US-Zugriffsmöglichkeiten
  • Facebook Pixel / LinkedIn Insight: Tracking-Daten in US-Cloud — ohne Einwilligung nicht zulässig

Standardvertragsklauseln (SCC): Was sie leisten und was nicht

Standardvertragsklauseln sind von der EU-Kommission vorformulierte Vertragsklauseln, die Datentransfers in Drittländer absichern sollen. Sie wurden nach Schrems II überarbeitet (neue SCC seit 2021) und sind aktuell das wichtigste Instrument für legale US-Transfers. Jeder US-Anbieter, der DSGVO-konform operieren will, sollte diese SCCs mit Ihnen abschließen — oder zumindest anbieten.

Aber: SCCs allein reichen nicht. Nach Schrems II müssen Unternehmen zusätzlich ein Transfer Impact Assessment (TIA) durchführen. Das ist eine Risikoabschätzung, die prüft, ob die SCCs im Zielland (also den USA) tatsächlich wirksam sind — oder ob US-Behördenzugriffe die vertraglichen Schutzversprechen aushebeln können. Für viele US-Dienste ist das Ergebnis dieser Prüfung unbequem.

Das EU-US Data Privacy Framework vereinfacht die Situation für zertifizierte US-Unternehmen: Wer auf der DPF-Liste steht (abrufbar unter dataprivacyframework.gov), gilt als sicherer Empfänger — SCCs sind dann nicht zwingend nötig. Allerdings läuft die DPF-Zertifizierung jährlich aus und muss erneuert werden. Prüfen Sie den Status Ihrer Anbieter daher regelmäßig.

Vorsicht bei US-Cloud-Diensten, die behaupten, mit einem EU-Rechenzentrum sei alles in Ordnung: US-Behörden können nach dem CLOUD Act auch auf Daten zugreifen, die auf Servern in Europa liegen, wenn das Unternehmen unter US-Jurisdiktion steht. Ein EU-Standort schützt also nicht automatisch vor US-Behördenzugriffen. Das betrifft explizit auch Microsoft Azure, AWS und Google Cloud — auch wenn die Daten physisch in Frankfurt oder Amsterdam liegen.

So gehen Sie beim Datentransfer-Check vor

  1. Datentransfer-Inventur erstellen

    Erfassen Sie alle eingesetzten digitalen Dienste und Tools — von der Webseite über CRM bis zur internen Kommunikation. Kennzeichnen Sie jeden Dienst mit Firmensitz und Serverstandort. Schon diese Liste ist für viele Unternehmen eine Überraschung: Es finden sich schnell 20–30 US-Dienste im Einsatz.

  2. DPF-Zertifizierung prüfen

    Rufen Sie dataprivacyframework.gov auf und prüfen Sie, ob Ihre US-Anbieter dort gelistet und aktuell zertifiziert sind. Nicht alle US-Unternehmen sind DPF-zertifiziert — und Zertifizierungen können auslaufen. Legen Sie sich einen jährlichen Reminder an.

  3. SCCs abschließen und Auftragsverarbeitung regeln

    Für nicht-DPF-zertifizierte US-Dienste: Schließen Sie aktualisierte Standardvertragsklauseln (Modul 2: Controller-to-Processor) ab. Gleichzeitig ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht — viele Anbieter stellen diesen online bereit.

  4. Transfer Impact Assessment durchführen

    Auch mit SCCs müssen Sie dokumentieren, warum Sie den Transfer für vertretbar halten. Das TIA bewertet das Rechtssystem des Ziellandes und mögliche Behördenzugriffe. Für reine Anonymisierung oder Pseudonymisierung von Daten vor dem Transfer kann das Risiko erheblich sinken.

  5. Europäische Alternativen evaluieren

    Für besonders sensible Daten oder wenn SCCs/DPF keine ausreichende Sicherheit bieten: Wechseln Sie auf europäische Alternativen. Für Analytics: Matomo (selbst gehostet) oder Plausible (EU-Server). Für E-Mail-Marketing: Brevo (FR) oder Cleverreach (DE). Für Cloud-Speicher: Nextcloud (selbst gehostet) oder Strato HiDrive.

  6. Webseite bereinigen: Google Fonts lokal hosten

    Bindend seit einem Urteil des LG München (2022): Google Fonts dürfen nicht via CDN eingebunden werden. Laden Sie alle Schriftdateien herunter, hosten Sie sie auf Ihrem eigenen Server und binden Sie sie per lokalem CSS ein. Das ist in wenigen Stunden erledigt und schließt eine der häufigsten Abmahnfallen.

Der schnellste Einstieg: Analysieren Sie Ihre Webseite mit dem Browser-Netzwerk-Tab auf externe Requests. Alles was an *.google.com, *.facebook.com, *.amazonaws.com oder ähnliche US-Domains geht, sollte auf den Prüfstand. Tools wie Blacklight (themarkup.org) zeigen Ihnen innerhalb von Sekunden, welche Tracker und US-Dienste Ihre Webseite einbindet — kostenlos und ohne Installation. INREMA prüft das im Rahmen jeder Webseiten-Umsetzung und eliminiert problematische Einbindungen direkt im Code.
Zusammenfassung
  • Schrems II (2020) hat den Privacy Shield gekippt — viele US-Datentransfers sind seitdem ohne explizite Absicherung rechtswidrig
  • Das EU-US Data Privacy Framework (2023) bietet neue Rechtsgrundlage, ist aber nicht gerichtsfest — Standardvertragsklauseln bleiben wichtig
  • Konkrete Sofortmaßnahmen: Google Fonts lokal hosten, Anbieter auf DPF-Zertifizierung prüfen, SCCs abschließen, europäische Alternativen evaluieren

INREMA analysiert Ihre Webseite und digitale Infrastruktur auf US-Datentransfers und hilft bei der technischen Umsetzung DSGVO-konformer Alternativen. Für die rechtliche Bewertung empfehlen wir zusätzlich einen spezialisierten Datenschutzanwalt.

Beratung anfragen

Häufige Fragen

Ist Google Analytics nach Schrems II überhaupt noch nutzbar?
Ja, aber nur mit Einwilligung (Consent Banner), abgeschlossenem AVV und aktivierter IP-Anonymisierung. Zudem müssen Sie prüfen, ob Google als DPF-zertifiziertes Unternehmen gelistet ist. Alternativ: Matomo (selbst gehostet) ohne Einwilligungspflicht.
Was ist der Unterschied zwischen DPF und SCCs?
Das EU-US Data Privacy Framework ist ein politisches Abkommen zwischen EU und USA — zertifizierte US-Unternehmen gelten damit als sicherer Empfänger. SCCs (Standardvertragsklauseln) sind Vertragsklauseln, die bilateral zwischen Ihnen und dem US-Anbieter abgeschlossen werden. Beide Instrumente können kombiniert werden.
Drohen wirklich Bußgelder für falsch eingebundene Google Fonts?
Ja. Das LG München hat 2022 einem Kläger 100 Euro Schadensersatz zugesprochen wegen unerlaubter IP-Übertragung an Google via CDN-Fonts. Abmahnwellen in diesem Bereich sind dokumentiert. Die Lösung ist technisch simpel: Fonts herunterladen und lokal einbinden.
Schützt ein EU-Rechenzentrum von AWS oder Azure vor US-Behördenzugriffen?
Nein. US-Unternehmen unterstehen dem CLOUD Act, der US-Behörden ermöglicht, auch auf Daten zuzugreifen, die auf Servern außerhalb der USA liegen. Ein EU-Serverstandort allein reicht nicht — entscheidend ist der Firmensitz des Anbieters.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Auftragsverarbeitung: Welche Verträge Unternehmen mit ihren Dienstleistern brauchen
6 Min. Lesezeit
Digitalisierung & KI
Cloud-Migration: Strategien, Kosten und die häufigsten Fehler
10 Min. Lesezeit
Digitalisierung & KI
KI-Tools datenschutzkonform einsetzen: Der praktische Leitfaden für Unternehmen
8 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen