# Pflichtenkollision beim Datentransfer in die USA: Wenn DSGVO‑Pflichten auf US‑Zugriffsbefugnisse treffen – und wie Sie handlungsfähig bleiben Viele Unternehmen wollen (und müssen) Daten schnell, skalierbar und kollaborativ verarbeiten – oft mit Cloud‑Services, Support‑Dienstleistern oder Kommunikationsplattformen, die einen US‑Bezug haben. Genau hier entsteht ein klassischer Zielkonflikt: **Die DSGVO verlangt nachweisbar wirksame Garantien für Drittlandübermittlungen**, während **US‑Recht in bestimmten Konstellationen Zugriffe oder Herausgabepflichten ermöglichen kann**. Das Ergebnis ist nicht nur ein theoretisches Problem, sondern ein operatives: **Dokumentationslast, Risikobewertung, Abstimmung mit IT und Fachbereichen – und am Ende die Frage: „Dürfen wir das so?“** Dieser Beitrag zeigt, was „Pflichtenkollision“ beim USA‑Transfer konkret bedeutet – und liefert einen **praxisorientierten Fahrplan inkl. Vorlagen‑Ideen**, damit Sie in Audit‑ und Projektphasen schneller zu belastbaren Entscheidungen kommen. --- ## 1) Was bedeutet „Pflichtenkollision“ beim USA‑Transfer? Von einer **Pflichtenkollision** spricht man im Datenschutzkontext, wenn zwei Pflichtensysteme aneinandergeraten: - **DSGVO‑Pflichten** (insbesondere Art. 44 ff. DSGVO für Drittlandübermittlungen sowie Art. 5, 6, 24, 32 DSGVO für Rechtmäßigkeit, Rechenschaftspflicht und Sicherheit), und - **US‑Rechtliche Zugriffs‑/Herausgabeinstrumente**, die einen Anbieter treffen können (und mittelbar Ihr Unternehmen), z. B. durch Behördenanfragen oder gerichtliche Anordnungen. Typischer Auslöser: Sie nutzen einen **US‑Cloud‑ oder SaaS‑Dienst** – oder einen EU‑Dienstleister, der **US‑Recht unterliegt** (z. B. über Konzernstruktur). Dann lautet die praktische Frage: > „Wie garantiere ich ein im Wesentlichen gleichwertiges Schutzniveau, wenn ich Zugriffspflichten nicht sicher ausschließen kann?“ --- ## 2) Der DSGVO‑Rahmen in 3 Bausteinen: Art. 44 ff., SCC und DPF ### a) Art. 44 ff. DSGVO: Drittlandübermittlung nur mit „Transfer‑Instrument“ Eine Übermittlung in ein Drittland (z. B. USA) ist nur zulässig, wenn Sie sich auf **eine passende Grundlage** stützen können, insbesondere: 1. **Angemessenheitsbeschluss (Art. 45 DSGVO)** – für die USA relevant: das **EU‑US Data Privacy Framework (DPF)** (Beschluss vom **10.07.2023**). 2. **Geeignete Garantien (Art. 46 DSGVO)** – meist **Standardvertragsklauseln (SCC)** nach **Beschluss (EU) 2021/914** (04.06.2021), ggf. **plus zusätzliche Maßnahmen**. 3. **Ausnahmen (Art. 49 DSGVO)** – **nur restriktiv** und für Einzelfälle (kein „Standard‑Workaround“). ### b) Schrems II: SCC sind nicht „Plug‑and‑Play“ Der EuGH hat im Urteil **„Schrems II“ (C‑311/18, 16.07.2020)** klargestellt: - SCC können grundsätzlich weiter genutzt werden, - **aber** Verantwortliche müssen prüfen, ob im Empfängerland ein **„im Wesentlichen gleichwertiges“** Schutzniveau besteht, - und falls nicht: **zusätzliche Maßnahmen** ergreifen oder Transfers aussetzen. Damit ist die Pflichtenkollision häufig keine Vertragsfrage mehr („SCC unterschrieben?“), sondern eine **Schutzniveau‑ und Risikofrage** („SCC + welche Maßnahmen + welche reale Zugriffslage?“). ### c) DPF: Erleichterung – aber kein Freifahrtschein Seit dem **10.07.2023** kann das **DPF** Transfers an **zertifizierte** US‑Unternehmen deutlich vereinfachen. Wichtig in der Praxis: - Der Beschluss gilt nur für **DPF‑zertifizierte** Unternehmen und nur im **zertifizierten Scope**. - Für alle anderen bleibt es bei **SCC + TIA + Zusatzmaßnahmen**. - Und: Es wird damit gerechnet, dass das DPF (wie seine Vorgänger) wieder gerichtlich überprüft werden könnte – **Risikoreserven und Monitoring** gehören daher in die Governance. --- ## 3) Warum kollidiert das mit US‑Recht? (Die Praxis‑Treiber) In der Diskussion um USA‑Transfers werden regelmäßig drei Anknüpfungspunkte genannt: - **FISA Section 702** (relevant für bestimmte elektronische Kommunikationsdienstleister) - **Executive Order 12333** (nachrichtendienstlicher Rahmen) - **CLOUD Act** (Herausgabe von Daten durch US‑Provider, auch bei Speicherung außerhalb der USA) Für Sie zählt dabei weniger die juristische Detailtiefe als die Konsequenz: **Wenn ein Anbieter in den Zugriffsradius solcher Instrumente fallen kann, kann das die Wirksamkeit Ihrer Garantien beeinträchtigen** – und genau dann müssen TIA und Zusatzmaßnahmen tragfähig sein. --- ## 4) Vier typische Pflichtenkollisionen, die in Audits fast immer hochkommen ### 1) Cloud‑Nutzung mit Administrator‑/Supportzugriff aus den USA - Problem: **Remote‑Admin‑Zugriffe** können als Drittlandtransfer gelten. - Audit‑Frage: „Wer kann wann was sehen?“ (Rollen, Logs, Break‑Glass‑Konten, Supportprozesse) ### 2) Outsourcing‑Support und Ticketing - Problem: Ticket‑Anhänge, Logfiles, Remote‑Sessions – oft unbemerkt und dynamisch. - Audit‑Frage: „Welche technischen Barrieren verhindern, dass Support ‚zu viel‘ sieht?“ ### 3) E‑Discovery / Litigation Holds - Problem: Aufbewahrungspflichten oder Offenlegung im US‑Verfahren kollidieren mit **Löschkonzepten** und Speicherbegrenzung. - Audit‑Frage: „Gibt es einen dokumentierten Prozess für Legal Holds inkl. Datenschutz‑Bewertung?“ ### 4) Behördenanordnung + Geheimhaltung (Gag Order) - Problem: Transparenzpflichten (Art. 13/14 DSGVO) vs. mögliche Geheimhaltung. - Audit‑Frage: „Wie stellen Sie Informationspflichten, Dokumentation und Eskalation sicher?“ --- ## 5) Der Fahrplan, der Sie operativ entlastet: 6 Schritte, die zusammenpassen Der EDPB hat in seinen **Empfehlungen 01/2020** (final 2021) ein Vorgehensmodell etabliert, das sich gut als internes Standard‑Operating‑Procedure (SOP) nutzen lässt. ### Schritt 1: Datenflüsse wirklich sichtbar machen (nicht nur „wo steht der Server?“) **Mini‑Check:** - Welche Datenkategorien (z. B. Patientendaten, Beschäftigtendaten, Support‑Logs)? - Wo werden Daten gespeichert? - Wer hat Zugriff (Provider‑Admin, Subprocessor, Support)? - Gibt es Fernzugriffe aus Drittstaaten (auch im Incident‑Fall)? **Vorlagen‑Tipp:** Ein „Transfer‑Datenblatt“ pro Service (1–2 Seiten) mit: Zweck, Datenarten, Rollen, Länderzugriffe, Subprocessor‑Kette, Supportmodell. ### Schritt 2: Transfer‑Grundlage festlegen (DPF oder SCC?) - **DPF‑Check**: Zertifizierung + Scope + Weiterübermittlungen. - Wenn kein DPF: **SCC (2021)** + saubere Modulwahl + Anhänge (TOMs, Subprocessor). **Vorlagen‑Tipp:** Standardisierte DPF‑Prüfliste + SCC‑Anhang‑Template (TOM‑Matrix). ### Schritt 3: TIA (Transfer Impact Assessment) – „kurz, belastbar, wiederholbar“ Gute TIAs sind nicht 40 Seiten, sondern: - klar zum **Use Case**, - konsistent in der Methodik, - gut dokumentiert für die Rechenschaftspflicht. **TIA‑Inhalte, die in der Praxis zählen:** - Betroffene Gruppen, Datenkategorien, Zwecke - Eintrittswahrscheinlichkeit und Schaden (Schwere) - Anbieterprofil: fällt der Anbieter typischerweise in 702‑relevante Kategorien? - Ergebnis: Transfers zulässig? nur mit Maßnahmen? oder aussetzen? **Vorlagen‑Tipp:** TIA‑Kurzformat mit Risikomatrix (Ampellogik) + standardisierte Textbausteine. ### Schritt 4: Zusatzmaßnahmen priorisieren – Technik zuerst (wenn’s ernst wird) Viele Diskussionen enden dort, wo die DSGVO‑Theorie in Technik übersetzt werden muss. Häufig sind **technische Maßnahmen** der entscheidende Hebel: - Starke Verschlüsselung (at rest/in transit), idealerweise **mit EU‑Schlüsselhoheit** - Pseudonymisierung/Tokenisierung - Client‑seitige Verschlüsselung, BYOK/HYOK‑Modelle - Datenminimierung, Segmentierung, „Need‑to‑know“ Dazu kommen organisatorische/vertragliche Punkte: - Challenge‑Verpflichtungen, Benachrichtigungspflichten, Transparenzberichte - strenges Subprocessor‑Management - Audit‑/Logging‑Konzept **Vorlagen‑Tipp:** Maßnahmenkatalog als Baukasten (Technik/Orga/Vertrag) + Zuordnung „wann reicht was?“ ### Schritt 5: Eskalations‑ und Kommunikationsplan (für den „US‑Request‑Moment“) Wenn eine Anordnung kommt, zählt Geschwindigkeit – aber dokumentiert. **SOP‑Bausteine:** - Wer wird wann informiert (DSB, Legal, IT‑Security, Management)? - Wer entscheidet über Herausgabe vs. Anfechtung? - Welche Dokumentation ist Pflicht (Timeline, Rechtsgrundlage, Betroffenenbezug, Maßnahmen)? - Wie gehen Sie mit möglichen Geheimhaltungspflichten um? **Vorlagen‑Tipp:** One‑Pager „Government Request Playbook“ + Incident‑Log‑Template. ### Schritt 6: Kontinuierliches Monitoring (damit das Ergebnis nicht veraltet) - DPF‑Status (Zertifizierung kann sich ändern) - neue Subprocessor, neue Features, neue Länderzugriffe - neue behördliche Praxis/Entscheidungen **Vorlagen‑Tipp:** Re‑Assessment‑Triggerliste + jährlicher Review‑Kalender pro kritischem Service. --- ## 6) Kurz‑Checkliste: „Audit‑ready“ in 30 Minuten (pro Service) Wenn morgen ein Audit ansteht, sollten Sie für jeden kritischen US‑bezogenen Service griffbereit haben: 1. **Datenflussübersicht** (inkl. Remote‑Zugriff/Support) 2. **Transfergrundlage**: DPF‑Nachweis oder SCC‑Set inkl. Anhänge 3. **TIA‑Kurzbericht** (Datum, Methodik, Ergebnis, Verantwortliche) 4. **Zusatzmaßnahmen** (TOMs + technische Umsetzung belegt, z. B. Konfig‑Screens/Policies) 5. **Subprocessor‑Liste** + Change‑Prozess 6. **Eskalationsplan** für Behördenanfragen/Legal Holds 7. **Monitoring‑Nachweis** (Review‑Termin, Trigger, Owner) --- ## Fazit: DPF hilft – ersetzt aber nicht die „Hausaufgaben“ Das EU‑US Data Privacy Framework kann Transfers deutlich vereinfachen, **wenn** der Anbieter zertifiziert ist und der Scope passt. In vielen realen Setups (Subprocessor‑Ketten, Support, Admin‑Zugriffe, Spezialtools) bleibt jedoch die Kernarbeit: **TIA sauber durchführen, technische Zusatzmaßnahmen umsetzen und Governance dokumentieren.** Wer diese Schritte als **standardisierten Prozess** mit wiederverwendbaren Templates etabliert, reduziert nicht nur Risiko, sondern vor allem den permanenten Abstimmungs‑ und Dokumentationsdruck. --- ## Quellen (extern zitierfähig) - EuGH, Urteil C‑311/18 („Schrems II“) vom 16.07.2020. - Europäische Kommission: Durchführungsbeschluss zum EU‑US Data Privacy Framework (Angemessenheitsbeschluss) vom 10.07.2023. - Europäische Kommission: Beschluss (EU) 2021/914 vom 04.06.2021 (Standardvertragsklauseln). - EDPB: Empfehlungen 01/2020 zu Maßnahmen, die Übermittlungsinstrumente ergänzen (finale Fassung 2021). --- ## Call‑to‑Action (optional für Ihren Blog) Wenn Sie den Aufwand reduzieren möchten: Erstellen Sie einen **„USA‑Transfer‑Baukasten“** aus (1) TIA‑Kurztemplate, (2) Maßnahmenkatalog (Technik/Orga/Vertrag), (3) SOP für Supportzugriffe und (4) Government‑Request‑Playbook. Wenn Sie möchten, kann ich Ihnen als nächstes **konkrete Vorlagen** formulieren (TIA‑Kurzformat, TOM‑Matrix, Eskalations‑One‑Pager) – abgestimmt auf Ihre typischen Systeme (z. B. M365/Azure, HR‑Tools, Website‑Tracking, CRM) und Ihre interne Rollenverteilung (Datenschutz, IT‑Security, Legal, Einkauf).