Sub-Auftragsverarbeiter außerhalb der EU: Was das Schrems-II-Urteil noch immer fordert

Nutzt du AWS, Google oder Microsoft? Dann fließen Teile deiner Daten durch die USA. Seit Schrems II ist das nicht mehr ohne Weiteres erlaubt. Hier erfährst du, was jetzt funktioniert.

Daten von EU-Bürgerinnen und -Bürgern außerhalb des EWR verarbeiten zu lassen, ist nur mit ausdrücklichen Schutzmaßnahmen zulässig. Das Schrems-II-Urteil (2020) hat das alte Privacy Shield abgeschafft.

Die aktuellen Wege

\n
• EU-US Data Privacy Framework (2023): Nachfolger des Privacy Shield. Gilt für US-Anbieter, die sich unter diesem Framework zertifiziert haben.
\n
• Standardvertragsklauseln (SCCs): Europäische Musterklauseln zwischen EU- und Nicht-EU-Partei. Häufig in Kombination mit einem Transfer Impact Assessment.
\n
• Verbindliche Unternehmensregeln (BCRs): innerhalb großer Konzerne — für typische KMU-Situationen weniger relevant.
\n

Microsoft, Google, AWS — wie ist der Stand?

\n
• Microsoft 365: Die EU Data Boundary sorgt dafür, dass EU-Kundendaten für die meisten Dienste in der EU bleiben. Microsoft hat eine DPF-Zertifizierung für Fälle mit US-Bezug.
\n
• Google Workspace: Ähnlich — EU-Daten bleiben in der EU, DPF für US-Komponenten.
\n
• AWS: Pro Region konfigurierbar. Wähle eine EU-Region (Frankfurt, Amsterdam, Irland). Bei Managed Services auf den Standort der Control Plane achten.
\n
• Cloudflare: Daten können über das globale Edge-Netzwerk laufen. Der Business-Tarif bietet eine „EU-only"-Option.
\n

Kleinere US-SaaS-Anbieter (Slack, Notion, Intercom)

Die meisten verfügen inzwischen über eine DPF-Zertifizierung. Prüfe ihre DPA oder Trust-Seite. Für besonders sensible Daten empfiehlt sich ein EU-basiertes Alternativprodukt.

Dokumentation

In deinem Verarbeitungsverzeichnis: Für jede Verarbeitung angeben, ob Daten die EU verlassen und auf welcher Rechtsgrundlage dies geschieht.

Siehe auch: GDPR-Übersicht, DPAs.