Drittland-Transfers nach Schrems II und dem Data Privacy Framework

31. Mai 2026 5 Min Lesezeit Serie: compliance #compliance #dsgvo #dpf #schrems

Der EU-US-Angemessenheitsbeschluss (DPF) ist seit 2023 in Kraft und steht unter Klage. Was bedeutet das operativ für TIA-Pflichten, Standardvertragsklauseln und die Frage 'dürfen wir AWS weiter nutzen?'. Mit einer Entscheidungshilfe für Inhouse-Datenschutzteams.

Problem

Seit dem Schrems-II-Urteil (EuGH, Rs. C-311/18, 16.07.2020) ist jeder Transfer personenbezogener Daten in die USA eine Einzelfall-Entscheidung. Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (Beschluss 2023/1795) vom 10. Juli 2023 gibt zertifizierten US-Empfängern eine DSGVO-konforme Rechtsgrundlage zurück, steht aber unter laufender Nichtigkeitsklage (noyb, Rs. T-553/23, parallel Latombe, Rs. T-183/24). Wer heute "ja, wir sind DPF-konform" sagt und morgen vor einem "Schrems III" steht, hat kein operatives Problem gelöst, sondern es nur aufgeschoben. Die Aufsichtsbehörden erwarten einen dokumentierten Entscheidungspfad, nicht einen Klick auf ein DPF-Siegel.

Kurze Antwort

Pro Datenfluss: Kategorie der Daten einstufen, Rolle des US-Empfängers klären (Auftragsverarbeiter, Unterauftragsverarbeiter, eigenständiger Verantwortlicher), DPF-Zertifizierung in der DPF-Liste des US-Handelsministeriums prüfen, Transfer Impact Assessment (TIA) nach EDPB-Empfehlungen 01/2020 durchführen inklusive Szenario "DPF wird gekippt", Exit-Plan skizzieren, das Ganze datieren und jährlich erneuern.

Tiefgang

Warum Schrems II relevant bleibt

Der EuGH hat in Schrems II zwei Dinge gleichzeitig entschieden: das Privacy Shield ist ungültig (wegen FISA 702 und Executive Order 12333), und Standardvertragsklauseln bleiben ein zulässiges Transfer-Werkzeug, aber nur wenn das Recht des Empfängerlandes ein im Wesentlichen gleichwertiges Schutzniveau bietet oder zusätzliche Maßnahmen die Lücken schließen. Dieser zweite Teil ist tragend. Auch unter DPF bleibt er es, denn das DPF ist ein Angemessenheitsbeschluss, kein Freibrief: er deckt nur den Transfer an zertifizierte Empfänger, und er kann jederzeit ausgesetzt oder aufgehoben werden (Art. 45 Abs. 5 DSGVO). Die Prüfpflicht aus Schrems II ist also nicht weg, sie ist jetzt nur leichter zu erfüllen (solange das DPF steht).

Was das DPF ändert

Drei substanzielle Verbesserungen gegenüber dem Privacy Shield:

Executive Order 14086 vom 07.10.2022 begrenzt US-Signals-Intelligence auf "necessary and proportionate". Der Wortlaut ist der europäischen Doktrin aus Art. 52 GRCh angenähert, wird aber im US-Verwaltungsrecht nach eigenen Maßstäben ausgelegt.
Ein zweistufiger Redress-Mechanismus, bestehend aus einem Civil Liberties Protection Officer in der ODNI und dem Data Protection Review Court (DPRC). Der DPRC ist im US-Justizministerium angesiedelt, nicht im Justizsystem des Art. III der US-Verfassung, was noyb als unzureichend nach Art. 47 GRCh angreift.
Die Selbstzertifizierung beim US-Handelsministerium ist verbindlich und wird von der FTC durchsetzbar; ein aus der Liste gestrichener Empfänger verliert die Grundlage sofort.

Praktisch heißt das: der Transfer an einen DPF-zertifizierten Empfänger braucht keine SCC und kein zusätzliches TIA nach Schrems II. Aber die Prüfung, ob der konkrete Empfänger zertifiziert ist und ob die übermittelten Daten vom Zertifizierungs-Scope gedeckt sind (HR-Daten sind separat zu zertifizieren), gehört dokumentiert. Und jeder Unterauftragsverarbeiter, der außerhalb des DPF sitzt, fliegt wieder in die Schrems-II-Logik zurück.

TIA (transfer impact assessment): Schritt-für-Schritt kurz erklärt

Das TIA folgt dem Six-Step-Schema der EDPB-Empfehlungen 01/2020:

Transfer kartieren, inklusive Unterauftragsverhältnissen
Transfer-Werkzeug identifizieren (DPF, SCC, BCR, Ausnahme nach Art. 49)
Rechtslage des Drittlands bewerten, insbesondere Zugriffsbefugnisse öffentlicher Stellen. Für die USA bedeutet das: FISA 702, EO 12333, National Security Letters (18 U.S.C. 2709), CLOUD Act
zusätzliche Maßnahmen identifizieren, wenn das Schutzniveau nicht ausreicht (Ende-zu-Ende-Verschlüsselung mit Schlüsseln ausschließlich in der EU, Pseudonymisierung ohne Reidentifizierungs-Möglichkeit im Drittland, vertragliche Transparenz- und Widerspruchsklauseln)
formale Verfahrensschritte (TIA-Dokument, Zustimmung des Verantwortlichen, ggf. Aufsichts-Konsultation)
regelmäßige Überprüfung, mindestens jährlich oder bei Rechtsänderungen

Der kritische Punkt: unter DPF darf Schritt 3 abgekürzt werden, aber das durchaus erwartbare Szenario "DPF wird gekippt" muss in Schritt 6 mitgedacht sein. Die Aufsichtsbehörden haben in ihren Positionspapieren (u.a. LfDI BW, Hamburg, BfDI) klargestellt, dass der Rückfall-Pfad auf SCC plus TIA vorab abgedeckt sein muss.

Daher: "Exit-Planung" als Teil des TIA

Ein TIA ohne Exit-Skizze ist eine Momentaufnahme. Mindestbestandteile des Exit-Plans:

benannter Fallback-Anbieter in der EU oder im EWR mit realistischem Migrationszeitraum, Inventar der Abhängigkeiten (Dienst-APIs, Datenformate, Identitäten, Telemetrie),
Daten-Extraktionspfad (Format, Volumen, Zeitbedarf),
vertragliche Kündigungsrechte auch außerhalb der Mindestlaufzeit für den Fall einer Aussetzung des DPF, und
eine Kostenposition für die Migration, die im Budget nicht "später" auftaucht.

Für ein mittelständisches Unternehmen mit Microsoft 365 und z.B. AWS Region us-east-1 heißt das konkret: prüfen, ob der Microsoft-Tenant in die EU-Datenboundary (EU Data Boundary for the Microsoft Cloud) fällt, ob AWS-Workloads regional gebunden sind (eu-central-1, eu-west-1) und ob personenbezogene Daten wirklich ausschließlich dort gespeichert und verarbeitet werden.

Hinweis: auch Transfer in us-east-1 passiert auch über Querdienste wie CloudTrail, Cross-Region-Replikation, Support-Telemetrie; diese Kanten gehören in die Kartierung.

SCC Module 4 und die Sonderfälle

Nicht jeder Transfer ist ein EU-zu-US-Transfer. Wenn ein US-Auftragsverarbeiter Daten an einen EU-Verantwortlichen zurückübermittelt (Processor-to-Controller aus Drittland zurück), gilt Modul 4 der SCC (Durchführungsbeschluss 2021/914). DPF deckt diese Konstellation nicht, weil der Angemessenheitsbeschluss Transfers in die USA regelt. In der Praxis trifft Modul 4 zum Beispiel Support-Logs, die ein US-Anbieter an seinen EU-Kunden zurückschickt, oder Analyse-Ergebnisse aus einem US-SaaS, die in ein EU-Data-Warehouse fließen. Das TIA für diese Flussrichtung ist dünner, weil der Empfänger in der EU sitzt, aber der Transferweg durch US-Infrastruktur hindurch ist nicht egal.

Abgelehnte Alternativen

"Wir warten, bis der EuGH entscheidet." Die Verfahren T-553/23 (noyb) und T-183/24 (Latombe) laufen parallel; ein Urteil wird nach Expertenmeinung im Laufe der Jahre 2026 oder 2027 erwartet. Bis dahin bleibt das DPF zwar wirksam, aber Aufsichtsbehörden verlangen aber jetzt dokumentierte Entscheidungen, nicht Abwarten.

"Wir stützen alles auf Art. 49 Ausnahmen." Art. 49 DSGVO ist für Einzelfälle gedacht (ausdrückliche Einwilligung, Vertragsdurchführung mit der betroffenen Person, wichtige Gründe des öffentlichen Interesses). Der EDPB-Leitfaden 2/2018 macht klar, dass Art. 49 kein Dauer-Instrument für systematische Transfers ist.

"Binding Corporate Rules reichen uns." BCR sind aufwändig einzurichten (Genehmigungsverfahren der Lead-Aufsichtsbehörde, Art. 47 DSGVO) und schützen nicht gegen staatliche Zugriffe im Empfängerland. Sie sind eine vertikale Konzern-Lösung, keine Antwort auf Schrems II.

"Wir verschlüsseln alles, dann ist es kein personenbezogener Transfer mehr." Nur wenn der Schlüssel ausschließlich in der EU bleibt und der US-Empfänger mathematisch keinen Klartext-Zugriff hat, ist der Transfer aus DSGVO-Sicht entwertet. Die meisten "Encryption at Rest"-Lösungen von Hyperscalern erfüllen diesen Test nicht, weil der Anbieter den Schlüssel bereitstellt.

Wie Dernium hier hilft

Dernium Desk, Dernium Office, Dernium Stift, Dernium Clean, Dernium Scan, Dernium Note, Dernium Send, Dernium Meet, Dernium Watch, Dernium Mailcheck, Dernium Transit, Dernium Upload und Dernium SBOM laufen ausschließlich auf Servern in Deutschland. Für jeden Datenfluss, der über diese Produkte läuft, entfällt die DPF/SCC-Prüfung, weil es keinen Drittland-Transfer gibt. Dernium Watch meldet zusätzlich unerwartete Zertifikatsneustellungen und Routing-Änderungen an Ihren eigenen Diensten, die Hinweise auf einen Zugriff Dritter sein können.

Was Dernium nicht liefert und wofür Sie einen weiteren Baustein brauchen: ein vollständiges Verzeichnis von Verarbeitungstätigkeiten (ROPA-Management), Vorlagen und Workflow für Datenschutz-Folgenabschätzungen (DPIA), ein Consent-Management für Cookies und eingebettete Inhalte mit Drittland-Bezug, und eine TIA-Tooling-Suite mit Versionsverwaltung der Einzel-Assessments. Für diese Aufgaben empfehlen wir spezialisierte Werkzeuge; wir decken bewusst nur die Bausteine ab, bei denen wir den Betrieb in Deutschland technisch garantieren können und die im Kompetenzfokus von Dernium liegen - sichere Dienstleistungen ohne Kompromisse einfach benutzbar anbieten.

Offene Punkte

Das Zusammenspiel von DPF und dem US CLOUD Act ist nicht abschließend geklärt. Der CLOUD Act verpflichtet US-Unternehmen zur Herausgabe von Daten auch außerhalb der USA, unabhängig von der DPF-Zertifizierung. Für Mutter-Tochter-Konstruktionen (US-Mutter, EU-Tochter als Auftragsverarbeiter) bleibt damit ein Restrisiko, das weder DPF noch SCC vollständig adressieren. Die CJEU-Generalanwaltschaft hat sich bislang nicht zur Frage geäußert, ob der DPRC die Anforderungen von Art. 47 GRCh erfüllt; das Urteil in T-553/23 wird hier den Maßstab setzen.

Redaktioneller Hinweis

Die Inhalte dieses TechTalks wurden nach bestem Wissen und Gewissen erstellt und aufwendig recherchiert. Sie stellen grundsätzlich nur den Stand zum Zeitpunkt der redaktionellen Veröffentlichung dar. Sollte es wichtige Änderungen geben, verlinken wir kurze Aktualisierungsartikel zumeist direkt aus den Bezugsartikeln heraus; für ein vollständiges Bild sollten dann alle zusammengehörigen Artikel gelesen werden.

Wir bitten von konkreten Anfragen zu unseren Artikeln abzusehen (Ausnahme: Hinweise auf Fehler, die korrigiert werden sollten), da wir zu den hier aufgegriffenen Themen keine Beratungsleistungen anbieten können, insbesondere keine juristischen. Inwiefern Dernium Produkte in den hier beschriebenen Kontexten helfen können, ist in den Artikeln jeweils kurz umrissen, aber typischerweise nicht der Fokus dieser allgemeinen Informationsartikel.