Bild: Generiert mit Gemini Flash

Drittland-Transfers nach Schrems II und dem Data Privacy Framework

8 Min Lesezeit Serie: Compliance-Reihe #compliance#dsgvo#dpf#schrems

Der EU-US-Angemessenheitsbeschluss (DPF) ist seit 2023 in Kraft und steht unter Klage. Was bedeutet das operativ für TIA-Pflichten, Standardvertragsklauseln und die Frage 'dürfen wir AWS weiter nutzen?'. Mit einer Entscheidungshilfe für Inhouse-Datenschutzteams.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Warum Schrems II relevant bleibt
  5. Was das DPF ändert
  6. TIA (transfer impact assessment): Schritt-für-Schritt kurz erklärt
  7. Daher: "Exit-Planung" als Teil des TIA
  8. SCC Module 4 und die Sonderfälle
  9. Abgelehnte Alternativen
  10. Was Sie jetzt tun sollten
  11. Wie Dernium hier hilft
  12. Offene Punkte
  13. Häufige Fragen
  14. Reicht es, wenn mein US-Anbieter DPF-zertifiziert ist?
  15. Brauche ich noch ein TIA, wenn das DPF gilt?
  16. Löst reine Verschlüsselung das Drittland-Problem?
  17. Was passiert, wenn das DPF wie das Privacy Shield gekippt wird?
  18. Gilt das auch für Daten, die aus den USA zu uns zurückkommen?

Problem

Seit dem Schrems-II-Urteil (EuGH, Rs. C-311/18, 16.07.2020) ist jeder Transfer personenbezogener Daten in die USA eine Einzelfall-Entscheidung. Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (Beschluss 2023/1795) vom 10. Juli 2023 gibt zertifizierten US-Empfängern eine DSGVO-konforme Rechtsgrundlage zurück, steht aber unter laufender Nichtigkeitsklage (noyb, Rs. T-553/23, parallel Latombe, Rs. T-183/24). Wer heute "ja, wir sind DPF-konform" sagt und morgen vor einem "Schrems III" steht, hat kein operatives Problem gelöst, sondern es nur aufgeschoben. Die Aufsichtsbehörden erwarten einen dokumentierten Entscheidungspfad, nicht einen Klick auf ein DPF-Siegel (DPF: Data Privacy Framework, das Datenschutz-Rahmenwerk für Transfers in die USA).

Für wen ist das? Für Datenschutz-Verantwortliche, die Daten in Drittländer übermitteln.

Kurze Antwort

Drittland-Transfers sind kein einmaliger Haken, sondern eine wiederkehrende Prüfung pro Datenfluss. Der Kern in Stichpunkten:

  • Pro Datenfluss einstufen: Welche Datenkategorie, welche Rolle hat der US-Empfänger (Auftragsverarbeiter, Unterauftragsverarbeiter, eigenständiger Verantwortlicher)?
  • DPF-Zertifizierung des konkreten Empfängers in der DPF-Liste des US-Handelsministeriums prüfen und ob die übermittelten Daten vom Zertifizierungs-Scope gedeckt sind.
  • Transfer Impact Assessment (TIA, eine Folgenabschätzung für den konkreten Transfer) nach EDPB-Empfehlungen 01/2020 durchführen - inklusive Szenario "DPF wird gekippt".
  • Exit-Plan skizzieren: Fallback in der EU/EWR, Daten-Extraktionspfad, Kündigungsrechte, Migrationskosten.
  • Alles datieren und mindestens jährlich erneuern.

Tiefgang

Drittland-Transfers sind eine wiederkehrende Prüfung pro Datenfluss: DPF dokumentieren, Folgenabschätzung mit Szenario "DPF gekippt" und Rückfall auf Standardvertragsklauseln plus Exit-Plan vorbereiten.
Drittland-Transfers sind eine wiederkehrende Prüfung pro Datenfluss: DPF dokumentieren, Folgenabschätzung mit Szenario "DPF gekippt" und Rückfall auf Standardvertragsklauseln plus Exit-Plan vorbereiten.

Warum Schrems II relevant bleibt

Der EuGH hat in Schrems II zwei Dinge gleichzeitig entschieden: das Privacy Shield ist ungültig (wegen FISA 702 und Executive Order 12333), und Standardvertragsklauseln (SCC: Standard Contractual Clauses, von der EU-Kommission vorgegebene Vertragsmuster) bleiben ein zulässiges Transfer-Werkzeug, aber nur wenn das Recht des Empfängerlandes ein im Wesentlichen gleichwertiges Schutzniveau bietet oder zusätzliche Maßnahmen die Lücken schließen. Dieser zweite Teil ist tragend. Auch unter DPF bleibt er es, denn das DPF ist ein Angemessenheitsbeschluss, kein Freibrief: er deckt nur den Transfer an zertifizierte Empfänger, und er kann jederzeit ausgesetzt oder aufgehoben werden (Art. 45 Abs. 5 DSGVO). Die Prüfpflicht aus Schrems II ist also nicht weg, sie ist jetzt nur leichter zu erfüllen (solange das DPF steht).

Was das DPF ändert

Drei substanzielle Verbesserungen gegenüber dem Privacy Shield:

  1. Executive Order 14086 vom 07.10.2022 begrenzt US-Signals-Intelligence (die nachrichtendienstliche Fernmeldeaufklärung) auf "necessary and proportionate". Der Wortlaut ist der europäischen Doktrin aus Art. 52 GRCh angenähert, wird aber im US-Verwaltungsrecht nach eigenen Maßstäben ausgelegt.
  2. Ein zweistufiger Redress-Mechanismus (ein Rechtsbehelfs-Weg für Betroffene), bestehend aus einem Civil Liberties Protection Officer in der ODNI (dem Büro des US-Geheimdienstkoordinators) und dem Data Protection Review Court (DPRC). Der DPRC ist im US-Justizministerium angesiedelt, nicht im Justizsystem des Art. III der US-Verfassung, was noyb als unzureichend nach Art. 47 GRCh angreift.
  3. Die Selbstzertifizierung beim US-Handelsministerium ist verbindlich und wird von der FTC (Federal Trade Commission, der US-Wettbewerbs- und Verbraucherschutzbehörde) durchsetzbar; ein aus der Liste gestrichener Empfänger verliert die Grundlage sofort.

Praktisch heißt das: der Transfer an einen DPF-zertifizierten Empfänger braucht keine SCC und kein zusätzliches TIA nach Schrems II. Aber die Prüfung, ob der konkrete Empfänger zertifiziert ist und ob die übermittelten Daten vom Zertifizierungs-Scope gedeckt sind (HR-Daten sind separat zu zertifizieren), gehört dokumentiert. Und jeder Unterauftragsverarbeiter, der außerhalb des DPF sitzt, fliegt wieder in die Schrems-II-Logik zurück.

TIA (transfer impact assessment): Schritt-für-Schritt kurz erklärt

Das TIA folgt dem Six-Step-Schema der EDPB-Empfehlungen 01/2020 (EDPB: European Data Protection Board, der Europäische Datenschutzausschuss):

  1. Transfer kartieren, inklusive Unterauftragsverhältnissen
  2. Transfer-Werkzeug identifizieren (DPF, SCC, BCR, Ausnahme nach Art. 49)
  3. Rechtslage des Drittlands bewerten, insbesondere Zugriffsbefugnisse öffentlicher Stellen. Für die USA bedeutet das: FISA 702, EO 12333, National Security Letters (18 U.S.C. 2709), CLOUD Act
  4. zusätzliche Maßnahmen identifizieren, wenn das Schutzniveau nicht ausreicht (Ende-zu-Ende-Verschlüsselung mit Schlüsseln ausschließlich in der EU, Pseudonymisierung ohne Reidentifizierungs-Möglichkeit im Drittland, vertragliche Transparenz- und Widerspruchsklauseln)
  5. formale Verfahrensschritte (TIA-Dokument, Zustimmung des Verantwortlichen, ggf. Aufsichts-Konsultation)
  6. regelmäßige Überprüfung, mindestens jährlich oder bei Rechtsänderungen

Der kritische Punkt: unter DPF darf Schritt 3 abgekürzt werden, aber das durchaus erwartbare Szenario "DPF wird gekippt" muss in Schritt 6 mitgedacht sein. Die Aufsichtsbehörden haben in ihren Positionspapieren (u.a. LfDI BW, Hamburg, BfDI) klargestellt, dass der Rückfall-Pfad auf SCC plus TIA vorab abgedeckt sein muss.

Daher: "Exit-Planung" als Teil des TIA

Ein TIA ohne Exit-Skizze ist eine Momentaufnahme. Mindestbestandteile des Exit-Plans:

  • benannter Fallback-Anbieter in der EU oder im EWR mit realistischem Migrationszeitraum, Inventar der Abhängigkeiten (Dienst-APIs, Datenformate, Identitäten, Telemetrie),
  • Daten-Extraktionspfad (Format, Volumen, Zeitbedarf),
  • vertragliche Kündigungsrechte auch außerhalb der Mindestlaufzeit für den Fall einer Aussetzung des DPF, und
  • eine Kostenposition für die Migration, die im Budget nicht "später" auftaucht.

Für ein mittelständisches Unternehmen mit Microsoft 365 und z.B. AWS Region us-east-1 heißt das konkret: prüfen, ob der Microsoft-Tenant in die EU-Datenboundary (EU Data Boundary for the Microsoft Cloud) fällt, ob AWS-Workloads regional gebunden sind (eu-central-1, eu-west-1) und ob personenbezogene Daten wirklich ausschließlich dort gespeichert und verarbeitet werden.

Hinweis: auch Transfer in us-east-1 passiert auch über Querdienste wie CloudTrail, Cross-Region-Replikation, Support-Telemetrie; diese Kanten gehören in die Kartierung.

SCC Module 4 und die Sonderfälle

Nicht jeder Transfer ist ein EU-zu-US-Transfer. Wenn ein US-Auftragsverarbeiter Daten an einen EU-Verantwortlichen zurückübermittelt (Processor-to-Controller aus Drittland zurück), gilt Modul 4 der SCC (Durchführungsbeschluss 2021/914). DPF deckt diese Konstellation nicht, weil der Angemessenheitsbeschluss Transfers in die USA regelt. In der Praxis trifft Modul 4 zum Beispiel Support-Logs, die ein US-Anbieter an seinen EU-Kunden zurückschickt, oder Analyse-Ergebnisse aus einem US-SaaS, die in ein EU-Data-Warehouse fließen. Das TIA für diese Flussrichtung ist dünner, weil der Empfänger in der EU sitzt, aber der Transferweg durch US-Infrastruktur hindurch ist nicht egal.

Abgelehnte Alternativen

"Wir warten, bis der EuGH entscheidet." Die Verfahren T-553/23 (noyb) und T-183/24 (Latombe) laufen parallel; ein Urteil wird nach Expertenmeinung im Laufe der Jahre 2026 oder 2027 erwartet. Bis dahin bleibt das DPF zwar wirksam, aber Aufsichtsbehörden verlangen aber jetzt dokumentierte Entscheidungen, nicht Abwarten.

"Wir stützen alles auf Art. 49 Ausnahmen." Art. 49 DSGVO ist für Einzelfälle gedacht (ausdrückliche Einwilligung, Vertragsdurchführung mit der betroffenen Person, wichtige Gründe des öffentlichen Interesses). Der EDPB-Leitfaden 2/2018 macht klar, dass Art. 49 kein Dauer-Instrument für systematische Transfers ist.

"Binding Corporate Rules reichen uns." BCR (Binding Corporate Rules, verbindliche unternehmensinterne Datenschutzregeln) sind aufwändig einzurichten (Genehmigungsverfahren der Lead-Aufsichtsbehörde, Art. 47 DSGVO) und schützen nicht gegen staatliche Zugriffe im Empfängerland. Sie sind eine vertikale Konzern-Lösung, keine Antwort auf Schrems II.

"Wir verschlüsseln alles, dann ist es kein personenbezogener Transfer mehr." Nur wenn der Schlüssel ausschließlich in der EU bleibt und der US-Empfänger mathematisch keinen Klartext-Zugriff hat, ist der Transfer aus DSGVO-Sicht entwertet. Die meisten "Encryption at Rest"-Lösungen von Hyperscalern erfüllen diesen Test nicht, weil der Anbieter den Schlüssel bereitstellt.

Was Sie jetzt tun sollten

  1. Erstellen Sie ein Inventar aller Datenflüsse mit US-Bezug, einschließlich der Unterauftragsverarbeiter Ihrer Anbieter (oft im Verzeichnis der Verarbeitungstätigkeiten schon halb dokumentiert).
  2. Prüfen Sie für jeden US-Empfänger die DPF-Liste und ob die übermittelte Datenkategorie (z.B. HR-Daten) vom Zertifizierungs-Scope gedeckt ist.
  3. Schreiben Sie pro Datenfluss ein datiertes TIA nach dem Six-Step-Schema und ziehen Sie das Szenario "DPF wird gekippt" ausdrücklich durch.
  4. Hinterlegen Sie zu jedem kritischen US-Dienst einen Exit-Plan mit Fallback-Anbieter in der EU/EWR, Extraktionspfad und Migrationskosten.
  5. Setzen Sie eine jährliche Wiedervorlage, die auch bei Rechtsänderungen (Urteil in T-553/23) außerplanmäßig greift.

Wie Dernium hier hilft

Dernium Desk, Dernium Office, Dernium Stift, Dernium Clean, Dernium Scan, Dernium Note, Dernium Send, Dernium Meet, Dernium Watch, Dernium Mailcheck, Dernium Transit, Dernium Upload und Dernium CRA laufen ausschließlich auf Servern in Deutschland. Für jeden Datenfluss, der über diese Produkte läuft, entfällt die DPF/SCC-Prüfung, weil es keinen Drittland-Transfer gibt. Dernium Watch meldet zusätzlich unerwartete Zertifikatsneustellungen und Routing-Änderungen an Ihren eigenen Diensten, die Hinweise auf einen Zugriff Dritter sein können.

Was Dernium nicht liefert und wofür Sie einen weiteren Baustein brauchen: ein vollständiges Verzeichnis von Verarbeitungstätigkeiten (ROPA-Management), Vorlagen und Workflow für Datenschutz-Folgenabschätzungen (DPIA), ein Consent-Management für Cookies und eingebettete Inhalte mit Drittland-Bezug, und eine TIA-Tooling-Suite mit Versionsverwaltung der Einzel-Assessments. Für diese Aufgaben empfehlen wir spezialisierte Werkzeuge; wir decken bewusst nur die Bausteine ab, bei denen wir den Betrieb in Deutschland technisch garantieren können und die im Kompetenzfokus von Dernium liegen - sichere Dienstleistungen ohne Kompromisse einfach benutzbar anbieten.

Offene Punkte

Das Zusammenspiel von DPF und dem US CLOUD Act ist nicht abschließend geklärt. Der CLOUD Act verpflichtet US-Unternehmen zur Herausgabe von Daten auch außerhalb der USA, unabhängig von der DPF-Zertifizierung. Für Mutter-Tochter-Konstruktionen (US-Mutter, EU-Tochter als Auftragsverarbeiter) bleibt damit ein Restrisiko, das weder DPF noch SCC vollständig adressieren. Die CJEU-Generalanwaltschaft hat sich bislang nicht zur Frage geäußert, ob der DPRC die Anforderungen von Art. 47 GRCh erfüllt; das Urteil in T-553/23 wird hier den Maßstab setzen.

Häufige Fragen

Reicht es, wenn mein US-Anbieter DPF-zertifiziert ist?

Es ist die Grundlage, aber nicht das Ende der Prüfung. Sie müssen belegen, dass der konkrete Empfänger in der offiziellen DPF-Liste steht und dass die Datenkategorie, die Sie übermitteln, vom Zertifizierungs-Scope gedeckt ist (HR-Daten sind separat zu zertifizieren). Außerdem müssen Sie den Rückfall-Pfad auf Standardvertragsklauseln plus Folgenabschätzung vorab dokumentiert haben, falls das DPF ausgesetzt wird.

Brauche ich noch ein TIA, wenn das DPF gilt?

Der dritte Schritt des TIA (die Bewertung der US-Rechtslage) darf unter DPF abgekürzt werden, aber ein dokumentierter Entscheidungspfad bleibt erwartet. Insbesondere muss das Szenario "DPF wird gekippt" im Überprüfungsschritt mitgedacht und der Rückfall auf Standardvertragsklauseln vorbereitet sein. Ein vollständiges TIA ohne diese Abkürzung schadet nie und ist bei kritischen Datenflüssen die sicherere Wahl.

Löst reine Verschlüsselung das Drittland-Problem?

Nur unter einer engen Bedingung: Der Schlüssel muss ausschließlich in der EU bleiben und der US-Empfänger darf mathematisch keinen Zugriff auf den Klartext haben. "Encryption at Rest" der großen Cloud-Anbieter erfüllt das in der Regel nicht, weil der Anbieter selbst den Schlüssel verwaltet und damit theoretisch entschlüsseln kann. Erst echte Ende-zu-Ende-Verschlüsselung mit Schlüssel-Hoheit in der EU entwertet den Transfer datenschutzrechtlich.

Was passiert, wenn das DPF wie das Privacy Shield gekippt wird?

Dann verlieren alle Transfers, die sich allein auf das DPF stützten, ihre Rechtsgrundlage von einem Tag auf den anderen - so wie 2020 beim Privacy Shield. Wer vorgesorgt hat, fällt geordnet auf Standardvertragsklauseln plus aktuelle Folgenabschätzung zurück oder zieht den Exit-Plan auf einen EU-Anbieter. Wer nicht vorgesorgt hat, steht ohne tragfähige Grundlage da und muss unter Zeitdruck improvisieren.

Gilt das auch für Daten, die aus den USA zu uns zurückkommen?

Ja, das ist ein eigener Fall. Schickt ein US-Auftragsverarbeiter Daten an Sie als EU-Verantwortlichen zurück (etwa Support-Logs oder Analyse-Ergebnisse), greift Modul 4 der Standardvertragsklauseln, denn das DPF regelt nur Transfers in die USA. Die Folgenabschätzung fällt hier dünner aus, weil der Empfänger in der EU sitzt, aber der Weg durch US-Infrastruktur gehört trotzdem in die Kartierung.