Personenbezogene Daten über Grenzen hinweg zu übertragen, ist für viele Unternehmen heute geschäftskritisch – aber rechtlich hochkomplex. Der internationale Datentransfer steht im Spannungsfeld zwischen wirtschaftlichem Bedarf und strengem Datenschutz. Was bedeutet das für europäische Firmen konkret? Ein Blick auf regulatorische Lücken, transatlantische Abkommen und die zunehmende Rolle der Datenschutzaufsicht.
Die Ausgangslage: Unternehmen zwischen Marktglobalisierung und Datenschutzidealen
Laut einer Bitkom-Studie aus dem Jahr 2023 nutzen 8 von 10 Unternehmen in Deutschland Cloud-Dienste, knapp zwei Drittel davon auch für die Verarbeitung personenbezogener Daten (Quelle: Bitkom Research 2023). In vielen Fällen befinden sich die verarbeitenden Server außerhalb Europas – häufig in den USA oder anderen Drittstaaten. Hier beginnt die Herausforderung: Sobald personenbezogene Daten die EU verlassen, greift die Datenschutz-Grundverordnung (DSGVO) mit voller Härte – und fordert, dass das Datenschutzniveau im Empfängerland dem der EU „angemessen“ entspricht.
Genau das ist jedoch selten gegeben. Abkommen wie das EU-US Privacy Shield sollten eine sichere Brücke schlagen, wurden jedoch mehrfach von den höchsten europäischen Gerichten gekippt. Unternehmen stecken damit in einem rechtlichen Dilemma: Einerseits sind sie auf internationale Datenverarbeitung angewiesen, andererseits drohen massive Bußgelder bei Datenschutzverstößen.
Warum das Privacy Shield scheiterte – und was darauf folgte
Das ursprüngliche EU-US Privacy Shield wurde 2016 eingeführt, um den EU-konformen Datenexport in die Vereinigten Staaten zu ermöglichen. Doch bereits 2020 erklärte der Europäische Gerichtshof (EuGH) das Abkommen im vielbeachteten „Schrems II“-Urteil für ungültig. Grund: Der Zugriff der US-Geheimdienste auf personenbezogene Daten sei unverhältnismäßig und verletze europäische Datenschutzrechte.
Als Reaktion verhandelten EU-Kommission und USA das Nachfolgeabkommen Data Privacy Framework (DPF), das im Juli 2023 in Kraft trat. Es sieht unter anderem ein spezielles Beschwerdeverfahren für EU-Bürger und neue Zusicherungen der US-Regierung hinsichtlich der Verhältnismäßigkeit von Überwachungsmaßnahmen vor. Viele Fachjuristen halten das DPF für stabiler als seine Vorgänger – aber endgültige Rechtssicherheit bietet es nicht.
Die Organisation NOYB um Datenschutzaktivist Max Schrems hat bereits Klagen gegen das DPF angekündigt. Es ist also mehr als wahrscheinlich, dass auch dieses Abkommen vor dem EuGH überprüft wird.
Standardvertragsklauseln: Lösung mit Verfallsdatum?
In Ermangelung eines stabilen Abkommens greifen viele Unternehmen auf sogenannte Standardvertragsklauseln (SCCs) zurück. Dabei handelt es sich um vorformulierte Vertragswerke der EU-Kommission, die Datenschutzgarantien zwischen Datenexporteur und -importeur sicherstellen sollen. Seit Juni 2021 gelten neue SCCs, die modernere Schutzanforderungen abdecken.
Doch auch hier lauern Fallstricke: SCCs allein reichen nicht, wenn im Empfängerland systematische Zugriffsmöglichkeiten staatlicher Stellen bestehen. Unternehmen sind daher verpflichtet, eine sogenannte Transfer Impact Assessment (TIA) durchzuführen – eine Risikobewertung, ob das Datenschutzniveau im Zielland tatsächlich ausreicht. Dies ist aufwendig und für KMUs oft kaum leistbar.
Bitkom-Studie: Unternehmen stehen vor praktischen Herausforderungen
Die aktuelle Bitkom-Studie von 2023 zeigt, dass insbesondere deutsche Unternehmen mit den regulatorischen Unsicherheiten kämpfen. Laut Erhebung geben 47 Prozent an, aus Datenschutzgründen auf internationale Cloud- oder SaaS-Dienste verzichtet zu haben. Weitere 39 Prozent berichten von erheblichen Hürden bei der Umsetzung grenzüberschreitender Datenübertragungen (Quelle: Bitkom Datenschutzstudie 2023).
Insbesondere fehlende Klarheit bei den Anforderungen an Transfer Impact Assessments, unklare Positionen mancher nationaler Datenschutzbehörden und divergierende Interpretationen innerhalb der EU führen zu Unsicherheit. Die Bundesbeauftragte für den Datenschutz (BfDI) betont regelmäßig, dass personenbezogene Daten außerhalb der EU nur unter „konkreten Garantien“ exportiert werden dürfen – was Unternehmen oft als wenig praxistauglich empfinden.
Die Rolle der Datenschutzaufsicht: uneinheitlich und restriktiv
Die 27 Mitgliedstaaten der EU unterhalten jeweils eigene unabhängige Datenschutzbehörden – und genau das führt zur Fragmentierung der Aufsichtspraxis. Während manche Behörden (z. B. in Frankreich oder Irland) pragmatischer agieren, herrscht in Deutschland tendenziell ein konservativer Kurs. Dies hat Auswirkungen auf die Genehmigung von Datentransfers, auf Bußgeldverfahren und auf die Interpretation technischer Schutzmaßnahmen wie Verschlüsselung oder Anonymisierung.
Ein Beispiel: Der Hamburgische Datenschutzbeauftragte untersagte 2021 die Nutzung von Google Workspace für eine öffentliche Forschungseinrichtung – mit Verweis auf unzureichende Garantien beim Datenexport in die USA. Andere Aufsichtsstellen sahen denselben Sachverhalt weitaus gelassener.
Daraus resultiert ein föderaler Flickenteppich, der insbesondere für international agierende Unternehmen rechtliches Risiko bedeutet. Einheitliche Regelungen und klarere Guidance wären dringend erforderlich.
Technologische Lösungen: Verschlüsselung, Pseudonymisierung, Datensouveränität
Neben rechtlichen Anpassungen setzen manche Unternehmen auf technische Maßnahmen, um Datenschutzanforderungen beim internationalen Datentransfer effektiver umzusetzen. Dazu zählen:
- Ende-zu-Ende-Verschlüsselung: Durchgängige Verschlüsselung sensibler Daten mindert das Risiko unerwünschter Zugriffe, etwa durch Behörden im Empfängerland.
- Pseudonymisierung oder Datenminimierung: Wo möglich, sollten personenbezogene Daten vor der Übermittlung so verändert werden, dass keine Identifikation mehr möglich ist.
- Lokale Datenhaltung: Cloud-Provider mit Rechenzentren in Europa oder einem Schengen-only-Modell gewinnen an Bedeutung – etwa Microsoft, der sein „EU Data Boundary“-Modell in 2025 vollständig implementieren will.
Dennoch bleibt fraglich, ob technische Maßnahmen allein ausreichen, um gesetzliche Anforderungen zu erfüllen – zumal auch verschlüsselte Daten oft unter den Begriff „personenbezogen“ fallen, solange eine Reidentifikation theoretisch möglich bleibt.
Drei konkrete Handlungsempfehlungen für Unternehmen
- Risikoanalyse strukturiert durchführen: Unternehmen sollten systematisch Transfer Impact Assessments aufsetzen – inklusive Dokumentation aller Identifizierungs-, Sicherheits- und Zugriffsrisiken im Drittland. Dafür bietet die EU-Kommission inzwischen Checklisten und praxisnahe Templates an.
- Lieferanten vertraglich stärker binden: In allen Auftragsverarbeitungsverträgen sollten spezifische Klauseln zur Datensicherheit und zum Umgang mit staatlichen Anfragen im Empfängerland integriert werden.
- Monitoring-Mechanismen etablieren: Datenschutzkonformität bei internationalen Transfers ist kein „Set-and-Forget“-Thema. Unternehmen brauchen periodisches Monitoring technischer wie rechtlicher Entwicklungen – am besten in Kombination mit automatisierten Compliance-Dashboards.
Fazit: Zwischen Regulierung und Realität
Der internationale Datentransfer steht stellvertretend für einen Grundkonflikt der digitalen Wirtschaft: Informationsfreiheit vs. Grundrechtsschutz. Die aktuelle Lage verdeutlicht, dass europäische Unternehmen dringend klarere Rahmenbedingungen und technologisch wie juristisch tragfähige Lösungen brauchen. Solange verbindliche globale Datenschutzstandards fehlen, wird der Transfer personenbezogener Daten eine rechtliche Hochrisikozone bleiben.
Die europäische Datenschutzkultur hat zweifellos Maßstäbe gesetzt – nun gilt es, sie mit globalen Wirklichkeiten in Einklang zu bringen. Wir laden unsere Leserinnen und Leser ein: Welche technischen oder organisatorischen Strategien verfolgen Sie beim internationalen Datentransfer? Teilen Sie Ihre Erfahrungen in den Kommentaren!
