Viele Werkzeuge, die kleine Webseiten täglich nutzen, laufen über Anbieter aus den USA. Der Newsletter-Versand, die Statistik im Hintergrund, der Speicherplatz in der Cloud, all das schickt personenbezogene Daten Deiner Besucher häufig über den Atlantik. Die DSGVO erlaubt das, knüpft es aber an Bedingungen.
Genau hier setzt der Begriff Drittlandtransfer an. Er klingt sperriger, als die Sache am Ende ist, und mit etwas Ordnung bekommst Du sie gut in den Griff.
Eine Vorbemerkung gehört dazu, weil sie wichtig ist. Dieser Text gibt Dir eine allgemeine Orientierung und ersetzt keine verbindliche Rechtsberatung. Bei konkreten Zweifeln fragst Du einen Datenschutzbeauftragten oder eine Anwältin.
Was ein Drittlandtransfer überhaupt ist
Ein Drittland ist aus Sicht der DSGVO jedes Land außerhalb des Europäischen Wirtschaftsraums. Dazu gehören die USA, aber ebenso Großbritannien, die Schweiz oder Indien. Sobald personenbezogene Daten dorthin gelangen, sprichst Du von einem Drittlandtransfer.
Personenbezogen ist dabei mehr, als die meisten erwarten. Schon eine IP-Adresse, eine E-Mail-Adresse oder eine Kennung im Browser zählt dazu. Wenn ein US-Dienst solche Daten verarbeitet, verlässt die Information den Schutzraum der DSGVO.
Der Transfer passiert oft unbemerkt. Bindest Du eine Schriftart, eine Karte oder ein Analyse-Skript eines US-Anbieters ein, fließen die Daten schon beim Seitenaufruf ab. Welche Abmahnrisiken daraus entstehen und wie Du sie lokal entschärfst, beschreibt der Beitrag zu Google Fonts und Maps ausführlich.
Entscheidend ist der tatsächliche Ort der Verarbeitung, weniger der Firmensitz des Anbieters. Auch ein Anbieter mit deutschem Auftritt kann seine Daten in einem Rechenzentrum jenseits der EU speichern oder eine US-Muttergesellschaft im Hintergrund haben. Ein kurzer Blick in die Datenschutzhinweise des Dienstes verrät Dir meist, wo Deine Daten wirklich landen.
Warum US-Dienste datenschutzrechtlich heikel sind
Das Kernproblem liegt in einem Spannungsverhältnis zwischen zwei Rechtsordnungen. US-Gesetze erlauben Behörden unter bestimmten Bedingungen den Zugriff auf Daten, die bei amerikanischen Anbietern liegen, auch wenn die Daten europäischer Bürger betroffen sind. Genau dieses Zugriffsrecht ließ frühere Abkommen vor Gericht scheitern.
Für Dich heißt das nicht, dass US-Dienste verboten sind. Es bedeutet, dass Du nicht einfach davon ausgehen darfst, ein amerikanischer Anbieter halte automatisch das europäische Schutzniveau ein. Du brauchst eine belastbare Grundlage für den Transfer.
Drei Bereiche sind im Alltag besonders betroffen. Cloud-Speicher und Office-Pakete legen Dokumente und Kontakte auf US-Servern ab. Newsletter-Dienste verwalten ganze Empfängerlisten. Analyse-Werkzeuge zeichnen das Verhalten Deiner Besucher auf und reichen es weiter.
Heikel wird es vor allem dort, wo ein eingebundenes Werkzeug die Daten im Hintergrund erhebt, ohne dass Du es selbst auslöst. Bei einem Newsletter willigt Deine Empfängerin bewusst ein, bei einem unauffälligen Tracking-Skript dagegen oft nicht. Genau diese stillen Datenflüsse geraten bei Beschwerden zuerst ins Visier, weil Betroffene sie nicht erwarten.
Was die DSGVO konkret verlangt
Die DSGVO bietet für den Transfer in Drittländer mehrere Wege an. Zwei davon sind für kleine Webseiten praktisch relevant, und in den meisten Fällen genügt schon einer von beiden.
Der erste Weg ist ein Angemessenheitsbeschluss. Die EU-Kommission bestätigt damit, dass ein Land oder ein Rahmenwerk ein vergleichbares Schutzniveau bietet. Für die USA existiert ein solcher Datenschutzrahmen, das EU-US Data Privacy Framework. Anbieter können sich dafür zertifizieren lassen, und nur diese zertifizierten Anbieter sind über den Rahmen abgedeckt.
Der zweite Weg sind die Standardvertragsklauseln. Das ist ein von der EU-Kommission vorformulierter Vertrag, der den Anbieter auf europäische Schutzstandards verpflichtet. Fast jeder seriöse US-Dienst bietet diese Klauseln an, oft als Teil seiner Datenschutzbedingungen. Du musst sie abschließen oder bestätigen und danach sicher ablegen.
Zu beiden Wegen gehört eine Prüfung Deinerseits. Du dokumentierst, welcher Dienst welche Daten verarbeitet und auf welche Grundlage Du den Transfer stützt. Diese Übersicht gehört in Dein Verarbeitungsverzeichnis und überschneidet sich eng mit dem Auftragsverarbeitungsvertrag, den Du mit denselben Anbietern ohnehin brauchst.
Prüfen, dokumentieren, Alternativen abwägen
In der Praxis lohnt sich ein ruhiger Durchgang durch Deine Werkzeuge. Du gewinnst damit Überblick, und die meisten Punkte erledigst Du in wenigen Stunden. Geh Schritt für Schritt vor:
- Bestandsaufnahme: Liste alle Dienste auf, die Daten Deiner Besucher oder Kundschaft verarbeiten, vom Hoster über den Newsletter bis zum Analyse-Tool.
- Standort klären: Prüfe je Dienst, ob der Anbieter oder seine Server außerhalb der EU sitzen. Manche bieten ausdrücklich europäische Standorte an.
- Grundlage sichern: Hol Dir je US-Dienst die Zertifizierung im Datenschutzrahmen oder die Standardvertragsklauseln und lege sie ab.
- Dokumentieren: Halte das Ergebnis im Verarbeitungsverzeichnis fest, damit Du bei einer Anfrage auskunftsfähig bist.
Manchmal ist die einfachste Lösung ein Wechsel. Für Statistik, Newsletter und Cloud gibt es europäische Anbieter, die ohne Drittlandtransfer auskommen und den Aufwand spürbar verkleinern. Ob ein europäischer Standort für Dich Sinn ergibt, hängt vom Einzelfall ab, und der Beitrag zum Serverstandort hilft Dir bei dieser Abwägung weiter.
Eine Alternative muss nicht jeden Dienst ersetzen. Oft reicht es, die zwei oder drei heikelsten Werkzeuge umzustellen und den Rest sauber über Verträge abzusichern. So bleibst Du handlungsfähig, ohne Deinen gewohnten Werkzeugkasten komplett umzubauen.
Fazit
Ein Drittlandtransfer ist kein Grund zur Sorge, solange Du weißt, welche Daten wohin fließen und worauf Du den Transfer stützt. Mit einer Bestandsaufnahme, den passenden Standardvertragsklauseln oder einer Zertifizierung im Datenschutzrahmen und einer sauberen Dokumentation bist Du auf der sicheren Seite.
Geh die Sache einmal in Ruhe durch, lege die Nachweise griffbereit ab und prüfe dort eine europäische Alternative, wo sie Dir Arbeit spart. Dann nutzt Du US-Dienste weiter und behältst trotzdem die Kontrolle über die Daten Deiner Besucher.