Wer ein US-amerikanisches KI-Tool nutzt, einen Newsletter-Anbieter mit Servern in den USA einsetzt oder Kundendaten in eine internationale CRM-Plattform überträgt, löst in vielen Fällen eine Drittlandübermittlung aus — und damit eine der anspruchsvollsten Anforderungen der DSGVO. Verstöße sind kein Bagatellproblem: Europäische Datenschutzbehörden haben in den vergangenen Jahren Millionenstrafen verhängt.
Kurze Antwort
Eine Drittlandübermittlung liegt vor, wenn personenbezogene Daten aus der EU oder dem EWR (Europäischer Wirtschaftsraum) in ein sogenanntes Drittland — also ein Land außerhalb von EU und EWR — übertragen werden. Das Zielland muss kein eigenes angemessenes Datenschutzniveau vorweisen; daher verlangt die DSGVO eine zusätzliche Rechtsgrundlage für jeden solchen Transfer.
Wann liegt eine Drittlandübermittlung vor? Eine Drittlandübermittlung entsteht, wenn personenbezogene Daten an eine Stelle außerhalb EU/EWR übertragen oder dort zugänglich gemacht werden — aktiv (Upload, Export, Synchronisation) oder passiv (Fernzugriff, Remote-Support aus einem Drittland). Typische Auslöser im KMU-Alltag: ChatGPT (OpenAI, USA), Microsoft 365 (Microsoft Corp., USA), HubSpot (USA), Google Workspace (Google LLC, USA), Slack (Salesforce, USA).
Definition
Drittländer im Sinne der DSGVO sind alle Länder, die weder EU-Mitgliedstaaten noch Vertragsparteien des EWR-Abkommens sind. Die USA, China, Indien, Japan und die meisten anderen Staaten weltweit gelten daher als Drittländer — unabhängig davon, ob dort hohe Datenschutzstandards gelten oder nicht.
Die DSGVO regelt Drittlandübermittlungen in Kapitel V, Art. 44 bis 49. Das Grundprinzip: Das DSGVO-Schutzniveau darf durch eine Übermittlung in ein Drittland nicht unterlaufen werden. Deshalb ist ein Transfer nur zulässig, wenn eine der folgenden Grundlagen vorliegt:
- Angemessenheitsbeschluss (Art. 45): Die EU-Kommission hat festgestellt, dass das Zielland ein angemessenes Schutzniveau bietet. Aktuell etwa für Großbritannien, Japan, Kanada (teilweise) und die USA unter dem Data Privacy Framework (DPF).
- Geeignete Garantien (Art. 46): Standardvertragsklauseln (SCCs), verbindliche interne Datenschutzvorschriften (BCR) oder genehmigte Verhaltensregeln.
- Ausnahmen (Art. 49): Nur in engen Ausnahmefällen, z.B. ausdrückliche Einwilligung der betroffenen Person oder Vertragserfüllung.
Was nicht ausreicht: Vertrauen in den Anbieter, Server in der EU beim US-Mutterkonzern oder eine allgemeine Datenschutzrichtlinie. Die Rechtsgrundlage muss dokumentiert und spezifisch sein.
Beispiel aus der Praxis
Eine Marketingagentur in Hamburg nutzt einen US-amerikanischen E-Mail-Marketing-Dienst, um Newsletter im Auftrag ihrer Kunden zu versenden. Abonnenten-E-Mail-Adressen und Öffnungsraten — beides personenbezogene Daten — fließen dabei in die USA.
Das bedeutet: Die Agentur überträgt personenbezogene Daten in ein Drittland. Sie braucht eine gültige Rechtsgrundlage. Der Anbieter hat sich unter dem DPF zertifiziert — damit gibt es einen Angemessenheitsbeschluss. Zusätzlich muss die Agentur einen AVV (Auftragsverarbeitungsvertrag) mit dem Anbieter schließen und ihre Kunden in der Datenschutzerklärung informieren, dass Daten in die USA übermittelt werden. Ohne diese Dokumentation drohen Bußgelder, auch wenn der Dienst technisch einwandfrei funktioniert.
Drittlandübermittlung in der Praxis: Häufige Szenarien
- KI-Tools mit US-Mutterkonzern: Google Workspace, Microsoft 365, Salesforce, Notion, Slack — selbst mit EU-Rechenzentrum
- E-Mail-Marketing: Mailchimp, Brevo (teilweise), ActiveCampaign, Klaviyo
- CRM-Systeme: HubSpot, Salesforce
- KI-Schreibtools: Jasper, Copy.ai, Writesonic, ChatGPT
- Analytics: Google Analytics (betrifft auch IP-Adressen als personenbezogene Daten)
- Videokonferenz: Zoom, Teams (Microsoft)
- Support-Software: Zendesk, Intercom
In unseren Tooltests prüfen wir für jedes Tool: DPF-Zertifizierung · SCCs · CLOUD Act · AVV · KI-Training → ChatGPT Plus · Claude (Anthropic) · Jasper · Copy.ai · Notion KI
Welche Rechtsgrundlagen gibt es?
Angemessenheitsbeschluss (Art. 45): Einfachste Lösung — keine weiteren Schritte außer dem AVV. Aktuell gültig für: USA (DPF, nur zertifizierte Unternehmen), Großbritannien, Kanada (kommerzieller Bereich), Schweiz, Japan, Südkorea u.a. Für die USA: nur wenn der Anbieter unter DPF-Liste gelistet ist.
Standardvertragsklauseln / SCCs (Art. 46 Abs. 2c): Vertragsmuster der EU-Kommission. Werden von den meisten US-Anbietern als Fallback angeboten. Seit Schrems II zusätzlich Transfer Impact Assessment (TIA) nötig: dokumentierte Prüfung, ob die SCCs im Zielland wirksam sind oder staatliche Zugriffsmöglichkeiten sie aushöhlen.
Ausnahmen (Art. 49): Nur für Einzelfälle geeignet. Die Einwilligung nach Art. 49 Abs. 1a gilt nicht für systematische Übermittlungen, sondern nur für gelegentliche Transfers — etwa wenn ein Nutzer ausdrücklich wünscht, dass sein Profil an einen Dienstleister in den USA übermittelt wird.
Datenübertragung in die USA: Der häufigste Fall der Drittlandübermittlung
Die USA sind das häufigste Drittland-Ziel im KMU-Bereich — weil die meisten großen SaaS-Plattformen (Google, Microsoft, Salesforce, OpenAI, HubSpot, Slack) ihren Hauptsitz in den USA haben. Für Transfers in die USA gibt es zwei gängige Wege:
| Kriterium | DPF (Data Privacy Framework) | SCCs (Standardvertragsklauseln) |
|---|---|---|
| Aufwand | Gering — kein TIA nötig | Höher — TIA Pflicht |
| Anbieterkreis | Nur DPF-zertifizierte Unternehmen | Fast alle Anbieter möglich |
| Rechtssicherheit | Einfacher, aber politisch angreifbar | Stabiler, erfordert sorgfältiges TIA |
| Prüfung | Zertifizierung auf dataprivacyframework.gov | DPA + TIA dokumentieren |
Wann DPF, wann SCCs? Wenn ein Anbieter DPF-zertifiziert ist (z. B. Microsoft, Google, Salesforce), ist DPF der unkompliziertere Weg. Bei nicht-zertifizierten Anbietern bleiben SCCs plus TIA als Alternative. Wichtig: Die DPF-Zertifizierung muss regelmäßig erneuert werden — aktuellen Status auf dataprivacyframework.gov prüfen.
DSGVO-Relevanz
Die Drittlandübermittlung ist eine der häufigsten Compliance-Baustellen für KMU, weil sie oft unsichtbar entsteht: Ein neues SaaS-Tool, ein Tracking-Pixel, ein CDN-Anbieter — und schon fließen Daten über Kontinentalgrenzen. Bei KI-Tools kommt häufig eine zweite Frage hinzu: Nutzt der Anbieter die übermittelten Inhalte zum KI-Training?
Was KMU dokumentieren müssen: Im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) muss für jede Drittlandübermittlung die genutzte Rechtsgrundlage eingetragen sein — Angemessenheitsbeschluss (mit Verweis), SCCs (mit Datum), oder Ausnahme (Art. 49, mit Begründung). Das genügt nicht als Einmalerledigung: Ändert sich der Status eines Landes oder eines Anbieters, muss das Verzeichnis aktualisiert werden.
Informationspflicht (Art. 13/14): Betroffene Personen müssen informiert werden, dass ihre Daten in ein Drittland übermittelt werden und welche Garantien gelten. Das gehört in die Datenschutzerklärung — konkret, nicht als Sammelverweis.
Auftragsdatenverarbeitung plus Drittland: Wenn der Auftragsverarbeiter in einem Drittland sitzt, sind sowohl AVV (Art. 28) als auch die Drittlandtransfer-Grundlage (Art. 44 ff.) separat zu dokumentieren. Beide Verpflichtungen gelten parallel — ein AVV allein reicht nicht.
Cloud Act und SCCs: Bei US-Anbietern kommt der CLOUD Act hinzu: US-Behörden können Daten anfordern, auch wenn sie auf EU-Servern liegen. SCCs schützen vor dem Drittlandtransfer-Risiko, nicht vor US-Behördenzugriffen. Unternehmen, die besonders schutzbedürftige Daten verarbeiten — insbesondere solche mit Schweigepflicht nach § 203 StGB (Anwälte, Steuerberater, Ärzte) — sollten die Restrisiken individuell bewerten.
Bußgelder: Unzulässige Drittlandübermittlungen können nach Art. 83 Abs. 5 DSGVO mit bis zu 4 % des weltweiten Jahresumsatzes geahndet werden. Europäische Behörden haben dies mehrfach durchgesetzt.
Verwandte Begriffe
- Schrems II: Das EuGH-Urteil von 2020, das Privacy Shield kippte und Transfer Impact Assessments bei SCCs verpflichtend machte. Praxisrelevantestes Urteil zum Thema.
- SCCs (Standardvertragsklauseln): Das meistgenutzte Transferinstrument nach Schrems II — aber nicht ohne TIA wirksam.
- Cloud Act: US-Bundesgesetz mit Konsequenzen für alle Drittlandtransfers in die USA.
- DPF (Data Privacy Framework): Der aktuelle Angemessenheitsbeschluss für die USA — einfacher als SCCs, aber politisch angreifbar.
- AVV (Auftragsverarbeitungsvertrag): Pflichtbestandteil jeder Auftragsverarbeitung — ergänzt die Drittlandtransfer-Grundlage, ersetzt sie nicht.
- Personenbezogene Daten: Was genau übermittelt werden darf und welche Daten besondere Schutzstufen erfordern.
Häufige Missverständnisse
- „Unser Anbieter hat Server in Frankfurt — kein Drittlandtransfer.” Falsch. Der Serverstandort allein ist nicht entscheidend. Eine Drittlandübermittlung entsteht auch durch Fernzugriffe und Support-Zugriffe aus Drittländern — etwa wenn das US-Mutterunternehmen administrativ auf EU-Daten zugreifen kann. Auch Konzernstrukturen mit internationaler Datenverarbeitung lösen die Drittlandtransfer-Pflichten aus. Ein US-Konzern mit EU-Rechenzentrum gilt als US-Unternehmen, das dem CLOUD Act unterliegt. Bei komplexen Konzernstrukturen ist eine individuelle Prüfung aller Zugriffsszenarien erforderlich.
- „Wir haben einen AVV — damit sind wir abgesichert.” Der AVV regelt die Auftragsverarbeitungsbeziehung, nicht den Drittlandtransfer. Beides ist getrennt zu dokumentieren.
- „Der Anbieter ist DSGVO-konform — also auch für Drittlandtransfers.” DSGVO-Konformität ist eine Gesamtaussage, keine Aussage zum Drittlandtransfer-Kapitel. Eine DPA plus TIA oder DPF-Zertifizierung ist erforderlich, nicht nur ein allgemeines DSGVO-Siegel.
- „Für Ausnahmen nach Art. 49 reicht eine einfache Einwilligung.” Die Einwilligung nach Art. 49 gilt nur für gelegentliche, nicht-systematische Transfers. Wer täglich Kundendaten an US-Tools überträgt, kann sich nicht auf Art. 49 stützen.
Häufig gestellte Fragen
Wann genau liegt eine Drittlandübermittlung vor? Immer wenn personenbezogene Daten an eine Stelle außerhalb EU/EWR übermittelt werden — egal ob aktiv (Upload, Export) oder passiv (Zugriff eines US-Unternehmens auf EU-Daten via Remote-Support oder Cloud-Zugriff).
Ist die Schweiz ein Drittland? Ja. Die Schweiz ist kein EU/EWR-Mitglied, hat aber einen Angemessenheitsbeschluss — Transfers sind also wie Transfers in ein EU-Land zu behandeln (kein TIA nötig). Das Schweizer Datenschutzgesetz (revDSG) ist zusätzlich zu beachten.
Was passiert wenn ein Anbieter keine SCCs anbietet? Dann gibt es keine gültige Rechtsgrundlage für den Drittlandtransfer. Die Nutzung des Tools für personenbezogene Daten ist rechtswidrig — außer der Anbieter ist unter DPF zertifiziert oder ein anderer Ausnahmetatbestand greift.
Gelten Drittlandübermittlungsregeln auch für kleine Unternehmen? Ja. Die DSGVO gilt unabhängig von Unternehmensgröße. Auch ein Freelancer, der Kundendaten in Notion speichert, muss eine Drittlandtransfer-Grundlage dokumentieren.
Wie prüfe ich ob mein US-Anbieter DPF-zertifiziert ist? Über die offizielle DPF-Liste des US-Handelsministeriums unter dataprivacyframework.gov. Dort sind alle zertifizierten US-Unternehmen gelistet. Wichtig: die Zertifizierung muss regelmäßig erneuert werden — Stand immer mit Datum prüfen.
Ist Microsoft 365 eine Drittlandübermittlung? Ja. Microsoft Corporation ist ein US-Unternehmen — auch die europäischen Rechenzentren von Microsoft Azure gehören zu einem US-Konzern, der dem CLOUD Act unterliegt. Microsoft bietet sowohl DPF-Zertifizierung als auch SCCs plus TIA an. Für die meisten Unternehmen ist Microsoft 365 mit entsprechender Dokumentation (DPA + Nachweis der Rechtsgrundlage) nutzbar — eine individuelle Risikobewertung bleibt erforderlich.
Ist ChatGPT eine Drittlandübermittlung? Ja. OpenAI LLC hat seinen Hauptsitz in San Francisco, USA. Wer personenbezogene Daten in ChatGPT-Prompts eingibt oder die API mit Kundendaten nutzt, führt eine Drittlandübermittlung durch. OpenAI bietet SCCs und — für ChatGPT Enterprise / API — eine DPA an. Ob eine Nutzung für die eigene Organisation zulässig ist, hängt von Datenkategorie und vorhandener Dokumentation ab. Hinweis: Im ChatGPT-Gratis- und Plus-Tarif werden Eingaben standardmäßig für Training genutzt — Opt-out über Account-Einstellungen möglich.
Fazit
Drittlandübermittlungen sind kein Randthema der DSGVO, sondern Alltag im KMU — weil fast jedes SaaS-Tool einen US-Hintergrund hat. Der Aufwand ist überschaubar wenn man systematisch vorgeht: Anbieter auf DPF-Zertifizierung prüfen, SCCs anfordern, TIA dokumentieren, AVV schließen, Datenschutzerklärung aktualisieren. Wie einzelne KI-Tools diesen Anforderungen in der Praxis gerecht werden, zeigen unsere Tooltests.
Passende Tooltests
Weiterführende Begriffe