Warum dieses Deep Dive?
Datentransfers in die USA sind seit Schrems II ein Minenfeld: Der EuGH hat Safe Harbor ungültig gemacht, und Standard Contractual Clauses müssen durch Risikoanalysen gestützt werden. Das neue EU-US Data Privacy Framework bringt Vereinfachungen, aber auch neue Fragilibilitaten. Für Fintech, Cloud-Nutzer und Konzerne mit US-Subprozessoren ist ein klares Verständnis von Transfer-Mechanismen, TIA-Anforderungen und regulatorischen Schnittstellen (DORA, NIS2) essentiell.
Schrems II: Die Neuordnung der Datentransfers
Das Urteil C-311/18 und seine Auswirkungen
Der Gerichtshof der Europäischen Union (EuGH) hat mit seinem Urteil vom 16. Juli 2020 (Schrems II) die rechtliche Grundlage für Datentransfers in die USA fundamental verändert. Das Gericht invalidierte die Privacy Shield-Vereinbarung zwischen der EU und den USA mit der Begründung, dass der Zugriff durch US-Gehörden auf personenbezogene Daten nicht hinreichend durch Garantien begrenzt ist.
Kontext
Safe Harbor (2000) → Privacy Shield (2016) → Schrems II (2020): Die Entscheidungspraxis zeigt, dass unilaterale Zugriffsrechte von Staaten nicht durch administrative Vereinbarungen überwunden werden können. Der EuGH verlangt nun materielle Schutzmechanismen.
Die Schrems II-Entscheidung hat drei Kerneffekte:
Standard Contractual Clauses (SCCs) bleiben zulässig, erfordern aber zusätzliche Sicherungsmaßnahmen (Supplementary Measures)
Transfer Impact Assessments (TIA) sind erforderlich, um zu prüfen, ob nationale Gesetze des Empfängerlandes (insbesondere US-Surveillance-Regime) die Schutzniveaus unterminieren
Datentransfer müssen ggfs. suspendiert oder beendet werden, wenn zusätzliche Maßnahmen das erforderliche Schutzniveau nicht erreichen
Standard Contractual Clauses (SCCs): Die aktuelle Architektur
Neuer modularer Aufbau seit 2021
Die EU-Kommission hat die Standardverträge 2021 überarbeitet und ein modulares System eingeführt. Statt eines starren Schemas gibt es nun vier Module für verschiedene Konstellationen:
Modul Eins: Controller zu Processor (z.B. Datenverarbeiter in den USA)
Modul Zwei: Controller zu Controller
Modul Drei: Processor zu Controller
Modul Vier: Processor zu Processor
Jedes Modul enthält zwar die gleichen Kernbestimmungen, erlaubt aber Anpassungen an die jeweilige Verarbeitungskonstellation.
Praxis
Ein deutsches SaaS-Unternehmen, das Kundendaten bei AWS speichert, muss das Module-One-SCC verwenden und den AWS Customer Agreement mit Standardverträgen verbinden. Gleichzeitig müssen Supplementary Measures (etwa Verschlüsselung) dokumentiert werden.
Praktische Limitierungen
Trotz der neuen Modularität bleibt die praktische Anwendung begrenzt:
Verhandlung mit großen Cloud-Anbietern (AWS, Azure, Google Cloud) ist oft nicht möglich – sie bieten vorgefertigte Klauseln oder aktualisierte Customer Agreements
TIA-Anforderungen erfordern umfangreiche rechtliche Recherche zur Surveillance-Gesetzgebung des Empfängerlandes
Die Adequacy Gap: Selbst mit SCCs + Supplementary Measures bleibt das Schutzniveau unter der DSGVO-Anforderung, wenn keine strengeren Gesetze im Empfängerland gelten
EU-US Data Privacy Framework: Neue Hoffnung und neue Fragilität
Die Adequacy Decision und der Zertifizierungsmechanismus
Im Juli 2023 erkannte die EU-Kommission die USA als Land mit angemessenem Datenschutzniveau (Adequacy Decision) an – unter Bedingung der Zertifizierung von US-Unternehmen nach dem Data Privacy Framework. Das Zertifikat bestätigt, dass das Unternehmen die neuen Datenschutzpflichten erfüllt.
Rechtliche Innovation
Das DPF unterscheidet sich von früheren Routinen dadurch, dass nicht der gesamte US-Rechtsrahmen als angemessen gilt, sondern nur zertifizierte Unternehmen. Dies ist eine "selective adequacy".
Der Zertifizierungsmechanismus funktioniert wie folgt:
Unternehmen zertifizieren sich selbst, unterliegen aber externen Überprüfungen durch das US Department of Commerce
Zertifikate müssen jährlich erneuert werden – ein kontinuierliches Compliance-Risiko
Das Zertifikat deckt nur die zertifizierte Organisation ab, nicht deren Subprozessoren (kritischer Punkt für Cloud-Nutzer)
Strukturelle Fragililität des Frameworks
Trotz des positiven Signals bleibt das DPF fragil:
Politische Volatilität: Eine neue US-Administration könnte das DPF infragestellen oder verschärfen
Subprozessor-Risiken: Wenn ein zertifiziertes Unternehmen Daten an nicht-zertifizierte Subprozessoren transferiert, ist der Datentransfer nach DPF ungültig
Zertifikat-Ablauf: Wie der Fall in der Fallstudie zeigt (siehe unten), kann eine abgelaufene Zertifizierung eines Subprozessors Unternehmen plötzlich in illegale Datentransfers verwickeln
Das DPF ist eine pragmatische Brückenlösung, aber kein Ersatz für ein stabiles Rechtsrahmen-Abkommen.
Transfer Impact Assessment (TIA): Prüfung, Umfang und Dokumentation
Wann ist eine TIA erforderlich?
Eine TIA ist erforderlich bei jedem Datentransfer in ein Drittland, für das die EU-Kommission keine Adequacy Decision getätigt hat, oder wenn bei zertifizierten Unternehmen (DPF) zusätzliche Risiken bestehen (z.B. durch Subprozessoren).
Konkret: Bei Nutzung von US-Cloud-Anbietern über DPF kann eine vereinfachte TIA ausreichen; bei SCCs ist eine ausführliche TIA obligatorisch.
Erinnerung
Die EDPB (Europäischer Datenschutzausschuss) hat in mehreren Leitlinien klargemacht, dass TIA nicht optional ist – es ist eine Rechtsobliegenheit nach Art. 46 DSGVO i.V.m. den EDPB-Leitlinien 05/2021 (Schrems II), ergänzt durch Art. 5 Abs. 1 (Accountability) und Art. 32.
Inhalte einer TIA
Eine solide TIA muss folgende Punkte abdecken:
Surveillance-Gesetze des Empfängerlandes (FISA Section 702 in den USA)
Umfang der Zugriffe durch Behörden und Geheimdienstbehörden
Rechtliche Garantien und Einspruchsmöglichkeiten für Datensubjekte
Praktische Schutzmechanismen (Verschlüsselung, Pseudonymisierung, Datensparsamkeit)
Bindung an Verträge und Compliance-Verfahren
Hinweis
Die EDPB betont, dass eine TIA nicht übermäßig theoretisch sein darf. Sie muss konkrete Risiken für die betroffenen Daten und Personen analysieren. Eine Fintech, die Zahlungsdaten verarbeitet, muss andere Risiken nachweisen als ein B2B-SaaS-Anbieter.
Binding Corporate Rules (BCRs): Konzerninterner Datentransfer
Konzept und Vorteile
BCRs sind unternehmensinterne Richtlinien, die für den Transfer personenbezogener Daten innerhalb eines Konzerns gelten. Sie bieten eine Alternative zu SCCs und DPF für konzernweite Flüsse.
Vorteile:
Einfachere Implementierung für große Konzerne, da keine Verhandlung mit externen Partnern nötig ist
Bessere Kontrolle über Sicherungsmaßnahmen und Subprozessoren
Kürzere Genehmigungsverfahren, wenn die Datenschutzhütern zugestimmt haben
Limitierungen:
BCRs setzen eine formale Organisationsstruktur voraus (Konzern, Franchise)
Genehmigung durch alle relevanten Datenschutzhürden erforderlich (Zeitrahmen: 6–12 Monate)
Nicht für externe Dienstleister oder Cloud-Anbieter anwendbar
Verschlüsselung und zusätzliche Sicherungsmaßnahmen
EDPB-Empfehlungen und praktische Umsetzung
Die EDPB versteht unter "Supplementary Measures" alle technischen und organisatorischen Maßnahmen, die die Schutzniveaus nach SCCs erhöhen. Die wichtigste ist End-to-End Encryption: Daten werden bereits beim EU-Datenverantwortlichen verschlüsselt und nur der Empfänger hat den Schlüssel.
Technischer Standard
Empfohlen ist AES-256 oder vergleichbare Kryptografien. Der Schlüsselmanagement muss segregiert sein: Der Cloud-Anbieter darf keinen Zugang zu den Entschlüsselungsschlüsseln haben.
Weitere anerkannte Supplementary Measures:
Pseudonymisierung personenbezogener Daten vor Transfer
Minimierung des Datenumfangs (Datensparsamkeit)
Contractuale Beschränkungen auf die Nutzung durch den Processor
Regelmäßige Audits und Penetrationstests
Kritische Grenze: Die EDPB hat klargemacht, dass alleine Verschlüsselung oder Pseudonymisierung nicht ausreicht, wenn der Empfängerstaat die Entschlüsselung erzwingen kann oder wenn die Daten ohne Entschlüsselung nutzbar sind.
Schweiz: nDSG, Swiss-US DPF und FDPIC-Position
Das neue Datenschutzgesetz (nDSG)
Die Schweiz hat im September 2023 ihr neues Datenschutzgesetz (Bundesgesetz über den Datenschutz, nDSG) verabschiedet. Es tritt am 1. Januar 2024 in Kraft und enthält eine dem DSGVO vergleichbare Architektur, ist aber in vielen Details prägnanter:
Anwendbar auf Unternehmen, die in der Schweiz Daten verarbeiten oder wenn Betroffene in der Schweiz sind
Enthält keine eigenen Standard Contractual Clauses, verweist aber auf EU-SCCs als Orientierung
Transfer Impact Assessment ist auch nach nDSG erforderlich
Swiss-US Data Privacy Framework
Die Schweiz hat ein eigenes Abkommen mit den USA ausgehandelt (Swiss-US DPF), das parallel zum EU-US DPF läuft. Es enthält ähnliche Zertifizierungsmechanismen, berücksichtigt aber Schweizer Besonderheiten.
Unterschiede zum EU-US DPF:
Schweiz hat keine Adequacy Decision für die USA ausgestellt – das Swiss-US DPF ist ein alternatives Instrument, keine Adequacy
Schweizer Unternehmen können auf das Swiss-US DPF oder auf EU-SCCs vertrauen (je nach Situation)
Die FDPIC (Eidgenössischer Datenschutzbeauftragte) hat eine restriktivere Position als die EDPB – sie verlangt oft erweiterter TIAs und mehr Supplementary Measures
Kontext
Für Schweizer Unternehmen ist es komplexer: Sie müssen parallel nDSG-Anforderungen (nationale Ebene), Swiss-US DPF-Anforderungen und ggf. EU-DSGVO-Anforderungen (wenn Daten von EU-Bürgern verarbeitet werden) erfüllen.
Regulatorische Schnittstellen: DORA und NIS2
DORA (Digital Operational Resilience Act) – Art. 28-30: Third-Party Management
DORA, ab Januar 2025 anwendbar, stellt neue Anforderungen an das Management von Drittanbieterrisiken, insbesondere für kritische oder wichtige Drittanbieter. Art. 28-30 DORA verlangen:
Informationssicherheitsaudits bei Drittanbietern (Sub-Prozessoren)
Mitsprache- und Kontrollrechte über Weiterkontrahierungen
Due-Diligence-Prozesse vor Engagement von Drittanbietern
Schnittst Datentransfers: Wenn ein Cloud-Anbieter als Drittanbieter unter DORA fällt, muss die Datenschutz-Compliance-Kontrolle (Datentransfers, SCCs, TIA) mit den DORA-Anforderungen koordiniert werden.
NIS2 (Netz- und Informationssicherheitsrichtlinie 2.0) – Supply Chain Requirements
NIS2, ab Oktober 2024 anwendbar, verlangt von kritischen Infrastrukturen und großen Unternehmen, ihre Supply Chain zu überwachen und Risiken zu managen. Das schliesst Datentransfers ein, wenn der Subprozessor als "kritischer Dienstleister" eingestuft ist.
Konkret:
Datentransfers müssen als Supply Chain Risiken dokumentiert werden
TIA ist auch unter NIS2-Perspektive erforderlich
Incident Response Pläne müssen Datentransfer-Ausfälle berücksichtigen
Realität
Eine große Bank muss für ihren AWS-Contract nicht nur DSGVO + DORA + NIS2 beachten, sondern auch MiFID II und PSD2. Die Datentransfer-Compliance wird zu einer Schnittstelle von mindestens vier Regelwerken.
Vergleichstabelle: SCCs vs. DPF vs. BCRs
| Mechanismus |
Umfang |
Implementierungsaufwand |
Rechtliche Sicherheit |
Schweiz-Anwendbarkeit |
| Standard Contractual Clauses (SCCs) |
Verträge zwischen Verantwortlichem und Auftragnehmer; alle Länder außer Adequacy |
Hoch (TIA, Supplementary Measures, Verhandlung) |
Mittel (abh. von TIA und Supplementary Measures) |
Ja (als Orientierung unter nDSG) |
| EU-US Data Privacy Framework (DPF) |
Nur zertifizierte US-Unternehmen; EU-Bürger; vereinfachte Anforderungen |
Niedrig (kein TIA notwendig, aber Zertifikat-Überwachung) |
Hoch (Adequacy Decision), aber fragil (Zertifikat-Abhängigkeit) |
Nein direkt; Schweizer Unternehmen müssen Swiss-US DPF verwenden |
| Binding Corporate Rules (BCRs) |
Nur konzerninterne Transfers; große, multinationale Unternehmen |
Sehr hoch (6–12 Monate Genehmigung durch alle DPAs) |
Hoch (multilateral genehmigt) |
Ja (wenn Schweizer Konzernteile betroffen) |
Ein deutsches Fintech-Startup, spezialisiert auf B2B-Zahlungsabwicklung, nutzt AWS für die Cloud-Infrastruktur und hat 2023 auf DPF-Transfers basiert. AWS war zertifiziert, und das Unternehmen führte eine vereinfachte TIA durch.
Problem: Im Juni 2024 entdeckt das Unternehmen während eines Compliance-Audits, dass AWS seine DPF-Zertifizierung nicht erneuert hat – das Zertifikat ist seit Mai abgelaufen. In dieser viermönatigen Phase (Mai–August) waren alle Datentransfers nach DPF ungültig. Das Fintech hatte ohne zulässige Rechtsgrundlage Kundendaten (Zahlungsinformationen, IP-Adressen, Bankverbindungen) in die USA übertragen.
Exposition:
DSGVO Art. 83 Abs. 6: Geldbuße bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes
Schadensersatz für Datensubjekte nach Art. 82 (immaterieller Schaden aus Datenverletzung)
Datenschutzhürden-Verfahren und öffentliche Rüge
Lehren: (1) DPF-Transfers erfordern kontinuierliche Monitoring des Zertifikatsstatus; (2) Fallback auf SCCs + TIA muss prepariert sein; (3) Compliance-Audits müssen Subprozessor-Zertifikate explizit abdecken.
M&A Due Diligence
Datentransfer-Mapping ist zur Standardkomponente von M&A Due Diligence geworden. Zielunternehmen müssen dokumentieren: (1) alle Länder, in die Daten transferiert werden; (2) Rechtsgrundlage für jeden Transfer (DPF, SCCs, BCRs); (3) Status der TIAs und Supplementary Measures; (4) Zertifikatsstatus bei DPF-Transfers. Käufer müssen diese Transfers in ihre Gesamtkompliance integrieren, oft mit Anpassungen oder Zusagen (Closing Condition).
Vier zentrale Erkenntnisse
1
Schrems II ist eine Dauerkrise, kein isoliertes Urteil. Datentransfers sind seitdem kein regulatorischer Standardfall, sondern ein permanentes Compliance-Abenteuer. Das ist auch für große Unternehmen kulturell schwer zu verdauen.
2
DPF ist pragmatisch, aber kein Ersatz. Es vereinfacht die Compliance erheblich, bleibt aber politisch und organisatorisch fragil. Die größte Gefahr: Subprozessor-Zertifikate, die ablaufen oder nicht erneuert werden.
3
Transfer Impact Assessment ist nicht optional. Es ist die Kernpflicht nach Schrems II. Wer eine TIA durchführt, kann seine Sorgfalt nachweisen. Wer es ignoriert, exponiert sich massiv bei Enforcement-Aktionen.
4
Regulatorische Schnittstellen verschärfen die Anforderungen. DORA und NIS2 sind nicht nur separate Regelwerke, sondern erzeugen neue Compliance-Lasten für Datentransfers. Unternehmen müssen diese Schnittstellen explizit koordinieren.
Nächste Schritte
Transfer-Inventar
Datentransfer-Mapping
Erstelle ein vollständiges Inventar aller Datentransfers: Zielländer, Datentypen, Rechtsgrundlagen (DPF, SCCs, BCRs). Dies ist die Basis für alle weiteren Maßnahmen.
→
Risikoanalyse
Transfer Impact Assessment durchführen
Führe für jeden SCC-Transfer eine TIA durch. Dokumentiere Surveillance-Gesetze, Zugriffsrechte und Supplementary Measures. Bei DPF: Monitoring des Zertifikatsstatus einrichten.
→
Compliance-Struktur
DORA und NIS2 integrieren
Koordiniere Datentransfer-Compliance mit DORA Third-Party Management und NIS2 Supply Chain Requirements. Etabliere Audit-Zyklen für Subprozessoren.
→