Daten in die USA übermitteln – ist das noch erlaubt?

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 6 Minuten

Sie nutzen amerikanische Cloud-Dienste, versenden Newsletter über US-Anbieter oder lassen Kundendaten in den USA verarbeiten – und fragen sich, ob das überhaupt noch legal ist. Die Rechtslage hat sich in den letzten Jahren mehrfach grundlegend verändert, und was gestern noch zulässig war, kann heute ein Bußgeldrisiko bedeuten. Die Unsicherheit ist nachvollziehbar – und die Frage berechtigt.

Typische Ausgangslage

• Sie setzen US-Cloud-Dienste ein – etwa für E-Mail, CRM oder Projektmanagement – und ein Kunde oder Datenschutzbeauftragter fragt nach der Rechtsgrundlage für den Datentransfer
• Ihre Webseite bindet Tracking-Tools, Schriftarten oder Analyse-Dienste US-amerikanischer Anbieter ein, und Sie haben Post von einem Abmahnanwalt oder einer Aufsichtsbehörde erhalten
• Ein Auftragsverarbeiter sitzt in den USA oder nutzt dort Server, und Sie wissen nicht, ob Ihre bestehenden Verträge den Transfer noch absichern
• Sie planen den Wechsel zu einem US-Anbieter und möchten vorab klären, ob und unter welchen Bedingungen eine Datenübermittlung zulässig ist
• Eine Datenpanne hat offengelegt, dass personenbezogene Daten ohne ausreichende Rechtsgrundlage in die USA geflossen sind
• Sie sind GmbH-Geschäftsführer und befürchten, dass die persönliche Haftung bei Datenschutzverstößen auch Sie treffen könnte

Warum die Situation ernster ist als gedacht

Die Rechtsgrundlage kann jederzeit wieder wegfallen

Was viele Unternehmer unterschätzen: Die rechtlichen Rahmenbedingungen für den Datentransfer in die USA sind politisch und gerichtlich umkämpft. Abkommen, die den Transfer erlauben, wurden in der Vergangenheit bereits vom Europäischen Gerichtshof für ungültig erklärt – über Nacht und mit sofortiger Wirkung. Wer sich allein auf ein bestehendes Abkommen verlässt, ohne die eigene Datentransfer-Struktur im Detail zu kennen und abzusichern, baut auf unsicherem Grund. Die nächste höchstrichterliche Entscheidung kann die Spielregeln erneut ändern – und dann zählt, wie gut Ihr Unternehmen vorbereitet ist.

Standardvertragsklauseln allein reichen oft nicht

Viele Unternehmen glauben, mit der Unterzeichnung von Standardvertragsklauseln sei das Thema erledigt. Das ist ein gefährlicher Irrtum. Die europäischen Datenschutzbehörden verlangen eine sogenannte Transferfolgenabschätzung – eine individuelle Prüfung, ob das Schutzniveau im Zielland tatsächlich angemessen ist. Diese Prüfung ist aufwändig, erfordert juristische Einschätzung und muss dokumentiert werden. Fehlt sie oder ist sie unzureichend, helfen auch unterschriebene Klauseln nicht gegen ein Bußgeld.

US-Behörden haben weitreichende Zugriffsmöglichkeiten

Ein zentrales Problem beim Datentransfer in die USA liegt im amerikanischen Überwachungsrecht. US-Sicherheitsbehörden können unter bestimmten Voraussetzungen auf Daten zugreifen, die bei amerikanischen Unternehmen gespeichert sind – auch wenn die Server physisch in Europa stehen. Dieses Spannungsfeld zwischen europäischem Datenschutz und amerikanischem Sicherheitsrecht ist der Kern des Problems und lässt sich nicht durch einfache Vertragsklauseln auflösen.

Jeder eingebundene US-Dienst ist ein eigener Prüffall

Es reicht nicht, einmal pauschal festzustellen, dass Datentransfers in die USA zulässig sind. Jeder einzelne Dienst – vom Newsletter-Tool über das Videokonferenz-System bis zur Buchhaltungssoftware – muss separat bewertet werden. Die Rechtsgrundlage kann sich je nach Anbieter, Datenart und Verarbeitungszweck unterscheiden. Was für einen Dienst gilt, muss für den nächsten nicht gelten. Diese Komplexität führt dazu, dass selbst gut informierte Geschäftsführer ohne rechtliche Unterstützung schnell in eine Schieflage geraten.

Was auf dem Spiel steht – für Unternehmer und Geschäftsführer

Operative Abhängigkeit von US-Diensten

Viele Unternehmen haben ihre gesamte digitale Infrastruktur auf US-Anbieter aufgebaut. Wenn die Rechtsgrundlage für den Datentransfer wegfällt, kann das bedeuten: Nutzung einstellen, Migration auf europäische Alternativen – unter Zeitdruck und mit erheblichen Kosten. Wer sich rechtzeitig beraten lässt, kann Alternativszenarien entwickeln und vermeidet operative Notfallsituationen.

Persönliche Haftung des Geschäftsführers

Die DSGVO-Compliance ist Chefsache. Geschäftsführer, die Datenschutzverstöße dulden oder nicht ausreichend organisatorisch vorbeugen, können persönlich haftbar gemacht werden. Das gilt insbesondere, wenn trotz bekannter Risiken keine Maßnahmen ergriffen wurden. Die Frage „Ist das noch erlaubt?" reicht nicht – entscheidend ist, ob die Antwort dokumentiert und die daraus folgenden Maßnahmen umgesetzt wurden.

• Bußgelder der Aufsichtsbehörde – im Einzelfall existenzbedrohend
• Schadensersatzansprüche betroffener Personen
• Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände
• Reputationsschaden bei Kunden und Geschäftspartnern
• Persönliche Haftung der Geschäftsleitung

Was eine rechtliche Prüfung umfassen muss

Die Frage „Darf ich Daten in die USA übermitteln?" lässt sich nicht pauschal mit Ja oder Nein beantworten. Die Antwort hängt von zahlreichen Faktoren ab:

• Welche Daten werden an welchen Anbieter übermittelt?
• Auf welcher Rechtsgrundlage erfolgt der Transfer?
• Liegt eine belastbare Transferfolgenabschätzung vor?
• Sind die Auftragsverarbeitungsverträge auf dem neuesten Stand?
• Welche ergänzenden technischen und organisatorischen Maßnahmen sind erforderlich?
• Gibt es dokumentierte Alternativprüfungen?

Jede dieser Fragen erfordert eine differenzierte rechtliche Bewertung. Fehler an einer einzigen Stelle können die gesamte Konstruktion kippen lassen. Eine fundierte Beratung zum internationalen Datentransfer ist deshalb keine Vorsichtsmaßnahme, sondern eine unternehmerische Notwendigkeit.

Wie die Kanzlei Sie unterstützt

Wenn Sie unsicher sind, ob Ihre Datenübermittlungen in die USA rechtlich abgesichert sind, können Sie sich an die Kanzlei wenden – über Kontakt. Im Rahmen einer kostenlosen Ersteinschätzung schildern Sie Ihren konkreten Fall. Die Kanzlei prüft dann, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Die Kanzlei hat ihren Sitz im Raum Kiel und berät bundesweit – nach Mandatierung selbstverständlich auch z. B. per Videocall. So spielt es keine Rolle, ob Ihr Unternehmen in Schleswig-Holstein, München oder Berlin sitzt.