Daten in die USA senden – riskanter denn je: Warum Unternehmen jetzt handeln müssen
Viele deutsche Unternehmen greifen ganz selbstverständlich auf US-Dienstleister zurück: Google Drive, Dropbox, Microsoft 365, Mailchimp oder US-basierte CRM- und Analyseplattformen gehören für viele zum digitalen Alltag. Dabei gerät jedoch häufig aus dem Blick: Wer diese Dienste nutzt, übermittelt regelmäßig personenbezogene Daten – etwa von Kunden oder Mitarbeitenden – auf Server in den USA.
Genau das ist rechtlich heikel. Denn die Vereinigten Staaten verfolgen ein völlig anderes Verständnis von Datenschutz als die Europäische Union. Während in der EU personenbezogene Daten als Grundrecht gelten, haben US-Behörden deutlich mehr Spielraum: Sie dürfen Informationen aus dem Ausland überwachen – ganz legal und oft ohne richterliche Genehmigung. Das Wirtschaftsprüfungs- und Beratungsunternehmen KPMG bringt es auf den Punkt: Ein Datenschutzkonzept nach europäischem Vorbild steht „in direktem Konflikt zu den Anforderungen der US-Verfassung“.
EU-US Data Privacy Framework: Wackelige Brücke statt stabile Grundlage
Um diese Differenz zu überbrücken, wurde 2023 das EU-U.S. Data Privacy Framework eingeführt. Es soll europäischen Unternehmen Rechtssicherheit beim Datentransfer in die USA bieten – vorausgesetzt, der U.S.-Dienstleister ist entsprechend zertifiziert. Doch diese Sicherheit hat einen Haken: Das Abkommen basiert nicht auf einem Gesetz, sondern lediglich auf einer präsidialen Anordnung. Das bedeutet: Ein Präsident – also Donald Trump – könnte diese Regelung mit einem Federstrich ändern oder vollständig aufheben. Der Datenschutzexperte Moritz Gielen von WBS.LEGAL warnt bereits: „Das Datenschutzrecht unter Donald Trump wird keinen leichten Stand haben.“
Auch ein Blick zurück zeigt, wie fragil solche Abkommen sind: Bereits zwei Vorgänger – „Safe Harbor“ und „Privacy Shield“ – wurden vom Europäischen Gerichtshof wegen unzureichenden Datenschutzstandards für nichtig erklärt. Sollte auch das neue Framework scheitern, wäre ein Datentransfer in die USA ohne zusätzliche Schutzmaßnahmen nicht mehr zulässig.
Die rechtliche Grundlage dafür liefert die Datenschutz-Grundverordnung (DSGVO): Nach Artikel 44 ff. dürfen personenbezogene Daten nur dann in sogenannte Drittstaaten außerhalb der EU übermittelt werden, wenn dort ein vergleichbares Datenschutzniveau herrscht – oder wenn Unternehmen alternative Schutzmechanismen einsetzen, etwa Standardvertragsklauseln (SCCs) oder technische Sicherheitsmaßnahmen wie Verschlüsselung.
Datenschutzrechtliche Folgen: Unternehmen tragen die Verantwortung
Fehlen geeignete Schutzmechanismen beim Datentransfer in die USA, geraten Unternehmen schnell in die Haftung – und das mit ernsthaften Konsequenzen:
- Bußgelder bis zu 20 Millionen Euro oder 4-Prozent des weltweiten Jahresumsatzes (Art. 83 DSGVO).
- Schadenersatzforderungen betroffener Personen (Art. 82 DSGVO).
- Abmahnungen, Unterlassungsklagen und Reputationsschäden.
Diese Risiken treffen keineswegs nur große Konzerne. Gerade kleine und mittlere Unternehmen, die meist keine eigene Datenschutzabteilung haben, sind besonders gefährdet – weil sie Schwachstellen oft erst dann erkennen, wenn es zu spät ist.
Schon kleine Fehler können teuer werden – ein Beispiel aus der Praxis
Eine kleine Werbeagentur speichert ihre Kundendaten – darunter Namen, Telefonnummern und geplante Kampagnen – in einem US-basierten CRM-System. Solange der genutzte Anbieter nach dem EU-U.S. Data Privacy Framework zertifiziert ist, ist dieser Datentransfer derzeit erlaubt. Doch sollte das Abkommen – wie bereits „Safe Harbor“ und „Privacy Shield“ – durch den Europäischen Gerichtshof oder eine politische Entscheidung Trumps in den USA gekippt werden, müsste das Unternehmen kurzfristig auf andere rechtliche Absicherungen umstellen – ansonsten drohen Bußgelder, Abmahnungen und mögliche Vertrauensverluste bei Kunden.
Wichtig dabei: Auch geringfügige Datenschutzverstöße können erhebliche rechtliche Folgen haben. Werden personenbezogene Daten ohne ausreichende Absicherung in ein unsicheres Drittland übermittelt, kann unter bestimmten Voraussetzungen bereits ein Schadenersatzanspruch entstehen – selbst dann, wenn es sich lediglich um einen immateriellen Schaden handelt. Die DSGVO kennt keine hier Bagatellen.
Was können Unternehmen tun, um sich zu schützen?
Auch wenn das EU-US Data Privacy Framework derzeit noch gilt, sollten sich Unternehmen nicht in trügerischer Sicherheit wiegen. Um rechtlich auf der sicheren Seite zu bleiben, raten Datenschutzexperten zu vier konkreten Maßnahmen – praxisnah, umsetzbar und mit klarer Signalwirkung gegenüber Kunden und Aufsichtsbehörden:
1. Standardvertragsklauseln (SCCs) nutzen
Diese von der EU-Kommission bereitgestellten Vertragsmuster bieten eine rechtliche Grundlage für den internationalen Datentransfer – vorausgesetzt, sie werden korrekt eingebunden und ergänzt.
- Beispiel: Ein Online-Shop nutzt ein US-Zahlungstool. Mit sauber eingebundenen SCCs lässt sich der Datentransfer von Kundendaten rechtlich absichern.
2. Technische Schutzmaßnahmen umsetzen
Datenverschlüsselung, Pseudonymisierung oder Hashing erschweren US-Behörden den Zugriff auf sensible Informationen. Wichtig ist: Diese Maßnahmen müssen bereits vor der Übermittlung ins Ausland greifen.
- Beispiel: Eine Kanzlei verschlüsselt ihre E-Mail-Kommunikation mit Mandanten, bevor die Daten einen US-Mailserver passieren.
3. Auf europäische Anbieter umstellen
Viele digitale Dienste gibt es auch mit Sitz in der EU – etwa für E-Mail-Marketing, Cloud-Speicherung oder Projektmanagement. Der Vorteil: Geringeres Risiko und einfachere DSGVO-Compliance.
- Beispiel: Ein Handwerksbetrieb ersetzt Mailchimp durch den deutschen E-Mail-Dienstleister CleverReach.
4. Datenflüsse analysieren und reduzieren
Unternehmen sollten prüfen, welche Daten wohin fließen – und ob eine Übertragung in die USA überhaupt notwendig ist. Oft lässt sich das durch angepasste Abläufe oder alternative Anbieter vermeiden.
- Beispiel: Ein Architekturbüro speichert Baupläne künftig in einer EU-basierten Cloud, da keine internationale Zusammenarbeit erforderlich ist.
