Home Über uns Leistungen US-Gründung Lieferantenaudit Unternehmen kaufen Insights Kontakt Erstgespräch buchen
Datenschutz & Compliance

DSGVO-konformer Datentransfer zwischen EU und USA

Zurück zur Übersicht
Datenschutz & Compliance 21. Mai 2026 · 8 Min. Lesezeit

Sobald ein DACH-Unternehmen den US-Markt betritt, wandern Daten über den Atlantik: Verträge an den US-Anwalt, Gehaltsdaten an den US-Steuerberater, Kundenlisten an einen US-Vertriebspartner, Ausweiskopien an die US-Bank. Jeder dieser Vorgänge ist eine Übermittlung personenbezogener Daten in ein Drittland — und damit nach DSGVO begründungspflichtig. Die meisten merken es nicht, weil es beiläufig per E-Mail-Anhang und US-Cloud passiert. Dieser Artikel zeigt, was die DSGVO dafür verlangt, was das EU-US Data Privacy Framework 2026 wirklich leistet — und wie Sie den Datenaustausch so aufsetzen, dass er rechtssicher und praxistauglich bleibt. Stand: 21.05.2026 · Quellen: EU-Kommission (Angemessenheitsbeschluss EU-US DPF, Juli 2023), Art. 44–49 DSGVO, EuGH „Schrems II" (C-311/18), EuG „Latombe" (Sept. 2025)

Unabhängig bewertet
4,93/5
★ ★ ★ ★ ★
Sehr gut
ProvenExpert
4,93/5
★ ★ ★ ★ ★
Sehr gut
ProvenExpert

Beim US-Markteintritt fließen ständig Daten über den Atlantik

Datenschutz wirkt im Tagesgeschäft eines US-Markteintritts wie ein Nebenthema — bis man auflistet, was tatsächlich alles in die USA übermittelt wird. Schon in der Aufbauphase entsteht ein dichter Strom personenbezogener Daten, oft ohne dass jemand die Rechtsgrundlage prüft:

Typische transatlantische Datenflüsse beim Markteintritt
  • An den US-Anwalt: Gesellschafterlisten, Vollmachten, Pass- und Ausweiskopien, Unterschriften — für Gründung, Verträge und Registrierungen.
  • An den US-Steuerberater (CPA): Gehalts- und Personaldaten, Rechnungen, Kontaktdaten von Geschäftsführern und Gesellschaftern.
  • An die US-Bank: KYC-Unterlagen, Identitätsnachweise der wirtschaftlich Berechtigten, Beleg­dokumente.
  • An US-Vertriebs- und Technologiepartner: Kunden- und Lieferantenkontakte, CRM-Daten, Ansprechpartner.
  • An US-Cloud-Dienste: Alles, was in einem US-gehosteten Speicher, CRM oder Mail-System landet — auch ohne aktives „Versenden".

All das sind personenbezogene Daten im Sinne der DSGVO. Und die USA gelten datenschutzrechtlich als Drittland — ein Land außerhalb des Europäischen Wirtschaftsraums ohne pauschal anerkanntes gleichwertiges Datenschutzniveau. Damit greift ein eigener Pflichtenkreis, der über die normale DSGVO-Konformität hinausgeht.

Was die DSGVO für die Übermittlung in Drittländer verlangt

Die Übermittlung personenbezogener Daten in Drittländer ist in Kapitel V der DSGVO (Art. 44–49) geregelt. Vereinfacht gilt ein zweistufiges Prinzip: Zuerst muss die Verarbeitung ganz normal DSGVO-konform sein (Rechtsgrundlage, Zweckbindung, Datenminimierung). Zusätzlich braucht jede Drittland-Übermittlung einen eigenen Übermittlungsmechanismus. Dafür kennt die Verordnung drei Wege:

  1. Angemessenheitsbeschluss (Art. 45)

    Die EU-Kommission bescheinigt einem Drittland — oder einem Teilbereich davon — ein angemessenes Schutzniveau. Genau das ist für die USA das EU-US Data Privacy Framework. Dann ist keine Zusatzvereinbarung nötig.

  2. Geeignete Garantien (Art. 46)

    Fehlt ein Angemessenheitsbeschluss für den konkreten Empfänger, sichern Sie die Übermittlung selbst ab — in der Praxis fast immer über Standardvertragsklauseln (SCCs), ergänzt um eine Risikoabwägung.

  3. Ausnahmen für bestimmte Fälle (Art. 49)

    Eng begrenzte Ausnahmen, etwa die ausdrückliche Einwilligung der betroffenen Person oder die Erforderlichkeit zur Vertragserfüllung. Diese Ausnahmen sind nur für gelegentliche Einzelfälle gedacht, nicht für laufende Datenströme.

Über allem steht die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Sie müssen jederzeit nachweisen können, auf welcher Grundlage Sie welche Daten in die USA übermitteln. Wer das nicht dokumentiert hat, hat im Zweifel ein Problem — unabhängig davon, ob technisch alles sicher war.

Das EU-US Data Privacy Framework — was es 2026 leistet

Das EU-US Data Privacy Framework (DPF) ist der aktuelle Angemessenheitsbeschluss für die USA. Die EU-Kommission hat ihn am 10. Juli 2023 erlassen — als Nachfolger der beiden gescheiterten Vorgänger Safe Harbor und Privacy Shield. Seine Wirkung ist konkret: Daten dürfen ohne zusätzliche Garantien an US-Empfänger übermittelt werden, die sich unter dem DPF zertifiziert haben.

Genau hier liegt der entscheidende Haken. Das DPF gilt nicht für die USA pauschal, sondern nur für den jeweils zertifizierten Empfänger. Große US-Cloud-Anbieter sind in der Regel gelistet — der typische US-Anwalt einer Mittelstandskanzlei, ein lokaler CPA, eine kleinere Regionalbank oder ein junger Vertriebspartner dagegen meist nicht. Ob ein Empfänger zertifiziert ist, lässt sich auf der offiziellen Liste unter dataprivacyframework.gov prüfen. Ist er es nicht, hilft das DPF Ihnen für diesen Datenfluss schlicht nicht.

Und der Status des Rahmens selbst? Im Mai 2026 ist das DPF gültig und in Kraft. Es hat seine erste juristische Bewährungsprobe bestanden: Das Gericht der Europäischen Union (EuG) wies im September 2025 die Nichtigkeitsklage des französischen Abgeordneten Philippe Latombe ab. Allerdings wurde gegen dieses Urteil Rechtsmittel zum Europäischen Gerichtshof eingelegt, und die Datenschutzorganisation um Max Schrems hat eine weitere, breitere Klage angekündigt — medial bereits als „Schrems III" gehandelt. Strukturelle Veränderungen bei US-Aufsichtsgremien nähren zusätzliche Zweifel an der langfristigen Belastbarkeit. Kurz: Heute können Sie sich auf das DPF stützen — eine Garantie für die kommenden Jahre ist es nicht.

Wenn der US-Empfänger nicht zertifiziert ist: SCCs und das Transfer Impact Assessment

Für die vielen Fälle, in denen der US-Empfänger nicht DPF-zertifiziert ist, sind die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) der Standardweg. Das sind von der EU-Kommission vorformulierte Vertragsmodule, die Sie als europäischer Absender mit dem US-Empfänger abschließen. Sie verpflichten den Empfänger vertraglich auf ein DSGVO-nahes Schutzniveau.

SCCs allein genügen seit dem Urteil „Schrems II" des EuGH (2020) aber nicht mehr automatisch. Sie müssen zusätzlich ein Transfer Impact Assessment (TIA) durchführen: eine dokumentierte Abwägung, ob das Recht und die Praxis im Empfängerland — insbesondere staatliche Zugriffsmöglichkeiten — das vertraglich zugesagte Schutzniveau in der Realität untergraben. Wo das der Fall sein kann, sind ergänzende Maßnahmen nötig, allen voran eine starke Verschlüsselung, deren Schlüssel auf europäischer Seite bleiben.

Standardvertragsklauseln sind kein Formular zum Abhaken, sondern eine Zusage, die im Empfängerland auch durchsetzbar sein muss. Genau das prüft das Transfer Impact Assessment.

Sinngemäß die Logik des EuGH-Urteils „Schrems II"

Warum Sie sich nicht allein auf das DPF verlassen sollten

Die Geschichte transatlantischer Datenschutz-Abkommen ist eine Geschichte des Scheiterns. Safe Harbor wurde 2015 vom EuGH gekippt (Schrems I), Privacy Shield 2020 (Schrems II). Beide Male standen Unternehmen, die sich ausschließlich auf den jeweiligen Rahmen verlassen hatten, über Nacht ohne tragfähige Rechtsgrundlage da. Das DPF ist der dritte Anlauf — und die strukturelle Spannung zwischen US-Überwachungsbefugnissen und europäischen Grundrechten, an der die Vorgänger zerbrachen, ist nicht verschwunden.

Daraus folgt keine Panik, sondern eine nüchterne Konsequenz: Bauen Sie Ihre Prozesse so, dass ein möglicher Wegfall des DPF Sie nicht operativ lahmlegt. Der robusteste Ansatz besteht aus drei Hebeln — so wenig wie möglich über den Atlantik schicken, das Verbleibende verschlüsseln, und Daten dort in der EU halten, wo die Verarbeitung nicht zwingend in den USA stattfinden muss.

Praxis: So organisieren Sie den transatlantischen Datenaustausch sicher

Datenschutz beim US-Markteintritt ist weniger eine juristische als eine organisatorische Aufgabe. Fünf Maßnahmen senken Risiko und Aufwand zugleich:

  1. Datenminimierung

    Übermitteln Sie nur, was wirklich nötig ist. Geschwärzte oder pseudonymisierte Unterlagen reichen oft aus. Was den Atlantik nie überquert, braucht keine Rechtsgrundlage.

  2. Verschlüsselung

    Daten im Transport und in der Ablage durchgängig verschlüsseln — idealerweise Ende-zu-Ende, mit Schlüsseln, die auf europäischer Seite bleiben. Verschlüsselung ist die wichtigste ergänzende Maßnahme im Sinne von Schrems II.

  3. Daten möglichst in der EU halten

    Für den Austausch sensibler Dokumente mit Mandanten und Partnern eignen sich EU-gehostete, verschlüsselte Dienste, bei denen die Daten den europäischen Rechtsraum gar nicht erst verlassen. Werkzeuge wie SendMeSafe — AES-256-Verschlüsselung, ISO 27001 und Hosting in Deutschland — bieten genau das: Upload-Links und einen verschlüsselten Kanal, über den Kunden Dateien ohne Registrierung sicher übergeben. Für diesen Kanal entfällt die Drittland-Problematik, weil die Daten den EU-Raum nicht verlassen. Wer seine US-LLC über Revis-1 gründet, erhält bei SendMeSafe ein kostenloses 12-Monats-Abo.

  4. Rechtsgrundlage dokumentieren

    Halten Sie pro Datenfluss schriftlich fest, worauf er sich stützt: DPF-Zertifizierung des Empfängers (mit Listenprüfung) oder SCCs plus TIA. Das erfüllt die Rechenschaftspflicht und macht Sie auskunftsfähig.

  5. Auftragsverarbeitung sauber regeln

    Wo Dienstleister Daten in Ihrem Auftrag verarbeiten, gehört ein Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO) dazu — bei US-Dienstleistern in Kombination mit den passenden Übermittlungsgarantien.

Die drei Wege im Überblick

← Tabelle horizontal wischen →
Kriterium DPF-zertifizierter Empfänger SCCs + Transfer Impact Assessment Daten in der EU halten
Voraussetzung US-Empfänger ist auf der DPF-Liste zertifiziert Vertrag (SCCs) plus dokumentierte Risikoabwägung EU-gehostete, verschlüsselte Werkzeuge
Aufwand Gering — Liste prüfen und dokumentieren Hoch — Verträge, TIA, ggf. Zusatzmaßnahmen Gering bis mittel — Tool-Auswahl und Prozess
Zukunftssicherheit Abhängig vom Fortbestand des DPF Bei laufenden Verfahren ebenfalls unter Beobachtung Hoch — kein Drittlandtransfer für diesen Kanal
Wann sinnvoll Großer US-Dienstleister mit DPF-Zertifizierung Übermittlung an nicht-zertifizierte US-Partner unvermeidbar Dokumentenaustausch, der nicht zwingend in den USA stattfinden muss
Kernaussage

Die günstigste Compliance ist die Übermittlung, die gar nicht erst stattfindet. Wo eine Verarbeitung in den USA nicht zwingend ist, halten Sie die Daten in der EU und verschlüsseln sie. Wo sie unvermeidbar ist, stützen Sie sich auf das DPF (bei zertifiziertem Empfänger) oder auf SCCs plus Transfer Impact Assessment — und dokumentieren beides. So bleibt Ihr Setup auch dann handlungsfähig, wenn sich die Rechtslage erneut verschiebt.

Häufige Fragen

Darf ich überhaupt personenbezogene Daten in die USA übermitteln?
Ja — sofern eine Rechtsgrundlage nach Art. 44 ff. DSGVO vorliegt: ein DPF-zertifizierter Empfänger, Standardvertragsklauseln mit Transfer Impact Assessment oder eine eng begrenzte Ausnahme nach Art. 49. Ohne eine dieser Grundlagen ist die Übermittlung unzulässig.

Ist das EU-US Data Privacy Framework 2026 noch gültig?
Ja. Es ist seit Juli 2023 in Kraft und hat die erste Klage (Latombe) vor dem EuG im September 2025 überstanden. Ein Rechtsmittel vor dem EuGH läuft, eine weitere Klage („Schrems III") wird erwartet. Heute nutzbar, langfristig nicht garantiert.

Was, wenn mein US-Anwalt oder Steuerberater nicht zertifiziert ist?
Dann brauchen Sie Standardvertragsklauseln plus Transfer Impact Assessment und gegebenenfalls Zusatzmaßnahmen wie Verschlüsselung — oder Sie halten die betroffenen Daten in der EU und übermitteln nur das Nötigste.

Wie tausche ich Dokumente am sichersten aus?
Über einen EU-gehosteten, verschlüsselten Dienst, bei dem die Daten den europäischen Rechtsraum nicht verlassen. Datenminimierung und Ende-zu-Ende-Verschlüsselung senken das Risiko zusätzlich.

US-Markteintritt geplant — und der Datenaustausch soll von Anfang an sauber laufen?

Wir begleiten DACH-Unternehmen operativ in die USA: von der Firmengründung über die EIN bis zum Banking. Beim Austausch von Verträgen und Unterlagen arbeiten wir mit datenschutzbewussten, EU-gehosteten Werkzeugen. Für die rechtliche Bewertung Ihrer Datentransfers vermitteln wir geprüfte Fachleute aus unserem Partnernetzwerk. Bonus: Wer seine US-LLC über Revis-1 gründet, erhält bei SendMeSafe ein kostenloses 12-Monats-Abo.

Erstgespräch anfragen Leistungen ansehen

Aus Florida · deutschsprachig · unverbindlich

Verwandte Inhalte
US-Firmengründung — alle Leistungen im Überblick (Pillar) Markteintritt USA — rechtliche Anforderungen für DACH-Unternehmen (Blog) Steuerberater & Anwalt USA finden — nach der Gründung (Blog) Banken USA vs. Deutschland — Geschäftskonto eröffnen (Blog) Unsere Leistungen für den US-Markteintritt (Übersicht) SendMeSafe — verschlüsselter Datenaustausch, gehostet in der EU (Partner)
Rechtlicher Hinweis Revis-1 LLC ist eine Unternehmensberatung — keine zugelassene Rechts-, Steuer- oder Datenschutzberatung im Sinne deutscher (StBerG, RDG) Berufsregelungen. Dieser Artikel ist eine allgemeine Orientierung und ersetzt keine Beratung durch einen Datenschutzbeauftragten oder Fachanwalt für IT- und Datenschutzrecht. Die Bewertung jeder Drittland-Übermittlung erfolgt im Einzelfall; konkrete Auskünfte vermitteln wir über geprüfte Fachleute aus unserem Partnernetzwerk. Die Rechtslage zum transatlantischen Datentransfer kann sich kurzfristig ändern — unter anderem durch laufende Verfahren vor dem Europäischen Gerichtshof. Stand: 21.05.2026. Transparenzhinweis: Mit SendMeSafe besteht eine Website-Kooperation; die Empfehlung beruht auf der thematischen Eignung des Dienstes.