DE

Daten in die USA übermitteln – ist das noch erlaubt?

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 7 Minuten

Dieser Beitrag dient der allgemeinen Information. Zugunsten der Verständlichkeit orientiert er sich inhaltlich vereinfacht am Regelfall. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle anwaltliche Beratung. Durch die Nutzung der Inhalte kommt kein Mandatsverhältnis zustande. Beiträge geben die Rechtslage zum Aktualisierungsdatum wieder. Spätere Gesetzesänderungen, Rechtsprechung oder Einzelfallumstände können Inhalte überholen. Eine fortlaufende Aktualisierung erfolgt nicht. Maßgeblich ist der Rechtsstand des Aktualisierungsdatums. Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen, ausgenommen Vorsatz und grobe Fahrlässigkeit.

Sie nutzen Google Analytics, Mailchimp, Microsoft 365 oder einen anderen US-Dienst – und fragen sich, ob Sie damit gegen die DSGVO verstoßen. Vielleicht hat ein Kunde nachgefragt, eine Datenschutzbehörde hat sich gemeldet, oder Sie haben gelesen, dass sich die Rechtslage wieder verschärft hat. Sie wollen einfach wissen: Dürfen Sie das noch – und wenn ja, unter welchen Bedingungen?

Typische Ausgangslage

  • Sie betreiben einen Onlineshop und setzen US-Tools für Newsletter, Tracking oder Zahlungsabwicklung ein – und sind unsicher, ob Ihre Datenschutzerklärung noch stimmt.
  • Ihr Startup nutzt Cloud-Dienste eines US-Anbieters für Kundendaten, Projektmanagement oder Kommunikation – und ein Geschäftspartner fragt nach der Rechtsgrundlage.
  • Sie haben Post von einer Datenschutzaufsichtsbehörde erhalten, die den Einsatz eines bestimmten US-Dienstes beanstandet.
  • Ein Auftraggeber verlangt vor der Zusammenarbeit einen Nachweis, dass Ihre Datenverarbeitung DSGVO-konform ist – und Sie wissen nicht, was Sie vorlegen sollen.
  • Sie sind GmbH-Geschäftsführer und fragen sich, ob Sie persönlich haften, wenn Ihr Unternehmen Daten rechtswidrig in die USA überträgt.

Warum der Datentransfer in die USA oft komplizierter ist als gedacht

Die Rechtslage ist alles andere als stabil

Der transatlantische Datentransfer hat eine bewegte Geschichte. Abkommen, die den Datenaustausch zwischen der EU und den USA ermöglichten, wurden bereits mehrfach von europäischen Gerichten für unwirksam erklärt. Was gestern noch als sichere Rechtsgrundlage galt, kann morgen kippen. Die aktuell geltenden Regelungen stehen unter Beobachtung – und es ist keineswegs garantiert, dass sie dauerhaft Bestand haben. Wer seine Datenübermittlung ins Ausland auf ein einziges Instrument stützt, geht ein erhebliches Risiko ein.

Nicht jeder US-Dienst ist gleich zu bewerten

Die Frage, ob ein bestimmtes US-Tool eingesetzt werden darf, lässt sich nicht pauschal beantworten. Es kommt auf eine ganze Reihe von Faktoren an: Welche Daten werden übertragen? Auf welcher Rechtsgrundlage? Nimmt der Anbieter an bestimmten Zertifizierungsmechanismen teil? Gibt es ergänzende vertragliche Garantien? Die Antworten auf diese Fragen unterscheiden sich von Dienst zu Dienst – und oft sogar je nach konkreter Konfiguration des Dienstes innerhalb Ihres Unternehmens.

„Standardvertragsklauseln" allein reichen häufig nicht

Viele Unternehmen verlassen sich darauf, dass ihr US-Dienstleister sogenannte Standardvertragsklauseln (von der EU-Kommission vorgegebene Vertragsmuster für den internationalen Datentransfer) anbietet. Was dabei übersehen wird: Diese Klauseln sind kein Freifahrtschein. Sie verpflichten den Datenexporteur – also Sie – zu einer eigenen Prüfung, ob das Schutzniveau im Empfängerland tatsächlich ausreicht. Diese Prüfung ist komplex, muss dokumentiert werden und erfordert in vielen Fällen zusätzliche Schutzmaßnahmen. Welche das im Einzelfall sind, hängt von zahlreichen rechtlichen und technischen Faktoren ab.

Persönliche Haftung des Geschäftsführers

Als GmbH-Geschäftsführer tragen Sie die Verantwortung dafür, dass Ihr Unternehmen datenschutzkonform arbeitet. Verstöße gegen die DSGVO können nicht nur zu erheblichen Bußgeldern gegen das Unternehmen führen – unter bestimmten Voraussetzungen kann auch eine persönliche Haftung des Geschäftsführers in Betracht kommen. „Das hat die IT-Abteilung entschieden" schützt in der Regel nicht vor Verantwortung.

Datenschutzbehörden prüfen aktiv

Die deutschen Datenschutzaufsichtsbehörden gehen dem Einsatz von US-Diensten gezielt nach. Koordinierte Prüfaktionen, bei denen Unternehmen angeschrieben und zur Stellungnahme aufgefordert werden, sind keine Seltenheit. Wer dann nicht nachweisen kann, auf welcher Rechtsgrundlage der Datentransfer erfolgt und welche Schutzmaßnahmen ergriffen wurden, gerät schnell unter Druck – mit potenziell empfindlichen Konsequenzen.

Auch Schadensersatzansprüche Betroffener sind möglich

Neben Bußgeldern drohen Ansprüche von Betroffenen. Die DSGVO gibt Personen, deren Daten rechtswidrig verarbeitet werden, einen eigenständigen Schadensersatzanspruch. Gerade bei weit verbreiteten Diensten mit großen Nutzerzahlen kann das wirtschaftlich spürbar werden – zumal die Gerichte die Hürden für solche Ansprüche in den vergangenen Jahren tendenziell gesenkt haben.

Es geht nicht nur um „große" Datentransfers

Auch vermeintlich kleine Datenflüsse können betroffen sein: ein eingebundener US-Schriftarten-Dienst auf der Website, ein Analyse-Cookie, ein eingebettetes Video. Bereits das Laden solcher Inhalte kann eine Übermittlung personenbezogener Daten in die USA darstellen – und unterliegt denselben strengen Anforderungen wie der Transfer ganzer Kundendatenbanken.

Was auf dem Spiel steht – und warum Abwarten keine Lösung ist

Bußgelder und wirtschaftliche Folgen

Die DSGVO sieht für Verstöße gegen die Vorschriften zum internationalen Datentransfer Bußgelder vor, die sich an Umsatz und Schwere des Verstoßes orientieren. Auch für kleinere Unternehmen können die Beträge existenzbedrohend sein. Hinzu kommen mögliche Unterlassungsanordnungen, die den Einsatz eines bestimmten Dienstes kurzfristig untersagen können – mit entsprechenden betrieblichen Folgen.

Vertrauensverlust bei Kunden und Geschäftspartnern

Datenschutzverstöße werden öffentlich. Behördenentscheidungen werden veröffentlicht, Betroffene berichten in Bewertungen und sozialen Medien. Für Selbständige und Geschäftsführer, deren Geschäft auf Vertrauen basiert, kann der Reputationsschaden schwerer wiegen als das Bußgeld selbst.

  • Bußgelder der Datenschutzaufsicht – orientiert an Umsatz und Schwere
  • Schadensersatzansprüche betroffener Personen
  • Untersagungsverfügungen mit sofortiger Wirkung
  • Vertragsrechtliche Konsequenzen gegenüber Geschäftspartnern
  • Reputationsschäden durch öffentlich gewordene Verstöße

Wie die Kanzlei Sie unterstützt

Die Beurteilung, ob und wie personenbezogene Daten in die USA übermittelt werden dürfen, erfordert eine sorgfältige Einzelfallprüfung. Pauschale Antworten gibt es hier nicht – wohl aber fundierte anwaltliche Einschätzungen, die Ihnen Klarheit verschaffen. Die Kanzlei berät aus dem Raum Kiel heraus und ist bundesweit tätig. Schildern Sie Ihre Situation über die Kontaktseite – Sie erhalten eine erste Einschätzung, ob und wie anwaltliche Unterstützung in Ihrem Fall sinnvoll ist. Nach Mandatierung erfolgt die weitere Beratung bei Bedarf auch per Videokonferenz, unabhängig davon, wo in Deutschland Sie ansässig sind.

  • Kostenlose Ersteinschätzung über die Kontaktseite
  • Bundesweite Beratung aus dem Raum Kiel
  • Videoberatung nach Mandatierung möglich
  • Praxisnahe Einschätzung für Selbständige, Startups und GmbH-Geschäftsführer

Weiterführende Themen

  • Daten ins Ausland übermitteln – was KMU beachten müssen
  • Datenschutzrecht – Überblick für Unternehmen & DSGVO-Grundlagen
  • Auftragsverarbeitung (AVV)
  • Datenpanne & Meldepflicht
  • Haftung bei Datenschutzverstößen

Unsicher, ob Ihr US-Datentransfer noch rechtskonform ist?

Schildern Sie Ihre Situation – Sie erhalten eine erste Einschätzung, ob und wie anwaltliche Unterstützung sinnvoll ist. Die Kanzlei ist bundesweit tätig. Nehmen Sie über die Kontaktseite Kontakt auf.