Inhaltsverzeichnis

EU-US-Datentransfer: Was europäische Unternehmen wissen sollten

EU-US Data Privacy Framework cover: Two semi-transparent spheres in space symbolizing transatlantic data transfers—one with swirling blue-gold particles and 12-star EU pattern, the other with U.S. ribbon motifs—connected by a selective membrane allowing lawful glowing data flows under DPF, Schrems II, and GDPR compliance.

Von:

Ate Keurentjes | Bewertet von:

Edwin Remery | 9 Juli 2024 | Zuletzt aktualisiert: 15 Februar 2026

Die Schrems-II-Entscheidung wurde 2020 eingeführt. Seitdem stehen Datentransfers zu US-Diensten wie Google Analytics unter rechtlicher Unsicherheit. Das neue EU-US Data Privacy Framework (DPF) soll eine rechtliche Grundlage für diese Transfers wiederherstellen. Aber eine wichtige Frage bleibt: Ist die US-Datenverarbeitung jetzt wirklich GDPR-konform? Und können europäische Unternehmen amerikanische Marketing- oder Analysetools weiterhin sicher nutzen?

Das Übermitteln personenbezogener Daten in die USA ist weiterhin möglich, aber nicht risikofrei. Das Data Privacy Framework vereinfacht die Einhaltung für zertifizierte Organisationen, doch die rechtliche Unsicherheit bleibt aufgrund anhaltender Prüfungen durch europäische Gerichte bestehen.

In diesem Artikel erklären wir, was das Data Privacy Framework in der Praxis bedeutet, wie man die Einhaltung überprüft und warum TAGGRS Server-Side Tracking eine sicherere und zukunftssichere DSGVO-konforme Alternative bietet.

Was ist das EU-US Data Privacy Framework (DPF)?

Das DPF ist eine formelle Vereinbarung, die Organisationen im Europäischen Wirtschaftsraum (EWR) erlaubt, personenbezogene Daten an in den USA zertifizierte Unternehmen zu übertragen. Amerikanische Unternehmen können sich freiwillig selbst beim US-Handelsministerium zertifizieren lassen, um teilzunehmen. Um compliant zu bleiben, müssen zertifizierte Teilnehmer:

Eine klare, öffentliche Datenschutzrichtlinie veröffentlichen und pflegen, die den DPF-Prinzipien entspricht
Interne Überwachungs- und Durchsetzungsmaßnahmen implementieren
Auf Beschwerden reagieren und unabhängige Streitbeilegungsoptionen anbieten.

Nach der Zertifizierung dürfen diese Organisationen personenbezogene Daten aus dem EWR ohne zusätzliche vertragliche oder technische Schutzmaßnahmen legal erhalten. Bei Nichteinhaltung drohen Maßnahmen der Federal Trade Commission (FTC) und die Entfernung aus der DPF-Liste.

Ist ein US-Unternehmen nicht DPF-zertifiziert, sind Datentransfers weiterhin möglich, erfordern allerdings andere rechtliche Instrumente wie Standardvertragsklauseln (SCCs), unterstützt durch zusätzliche Schutzmaßnahmen wie Verschlüsselung oder Pseudonymisierung.
Möchten Sie mehr erfahren? Besuchen Sie das Data Privacy Framework Programm.

Beispiele für häufig übertragene personenbezogene Daten

IIP-Adressen
E-Mail-Adressen
Geräte-IDs und Cookies
Benutzernamen oder Login-Daten
Kunden-Metadaten und CRM-Felder
Geburtsdaten oder Standortdaten

Expertentipp: Selbst wenn Ihr Unternehmen „nur“ eine IP-Adresse oder einen gehashten Bezeichner mit einem US-Dienst teilt, kann dies unter die GDPR als personenbezogene Daten fallen.

Warum wird das DPF weiterhin in der EU überprüft?

Einerseits erhöht das DPF Transparenz und stärkt individuelle Rechte, andererseits bleibt die langfristige rechtliche Stabilität unsicher. Datenschutzorganisationen wie NOYB haben bereits Klagen eingereicht und argumentieren, dass US-Überwachungsgesetze weiterhin unangemessenen Zugriff auf europäische Daten ermöglichen könnten. Ein zukünftiges Urteil des Europäischen Gerichtshofs könnte erneut Auswirkungen auf EU-US-Datentransfers haben.

Für europäische Unternehmen bedeutet dies, dass eine ausschließliche Abhängigkeit vom DPF keine nachhaltige Langzeit-Compliance-Strategie darstellt.
Wie prüfen Sie, ob Ihre Daten geschützt sind (3-Schritte-Verifikation)
Bevor Sie Nutzerdaten an US-Dienstleister senden, können Sie leicht überprüfen, ob diese zertifiziert sind:

Besuchen Sie die offizielle DPF-Liste
Suchen Sie den Firmennamen (z. B. „Google LLC“)
Bestätigen Sie den Status „Aktiv“ und ob der spezifische Dienst (z. B. Google Analytics oder Google Ads) beinhaltet ist.

Dann gibt es zwei Szenarien:

Ist er nicht abgedeckt, müssen Sie zusätzliche Schutzmaßnahmen umsetzen.
Ist der Dienst abgedeckt, können Sie Daten unter dem DPF ohne weitere Maßnahmen übertragen.

Zusätzliche Schutzmaßnahmen für nicht DPF-zertifizierte Unternehmen

Wenn Ihr US-Partner nicht im Data Privacy Framework zertifiziert ist, gibt es trotzdem Wege zur Compliance. Hier sind drei Hauptoptionen:

Nutzung eines Transferinstruments
Sie können auf anerkannte rechtliche Instrumente für Datenübermittlungen außerhalb des EWR zurückgreifen, wie die Standardvertragsklauseln nach Artikel 46 GDPR oder Binding Corporate Rules (BCRs) für multinationale Unternehmen. Diese bilden die rechtliche Grundlage, um Daten im Rahmen der GDPR-Auslegung ins Ausland zu senden.
Technische und organisatorische Maßnahmen ergänzen
Bei Bedarf können Sie weitere Schutzmaßnahmen für personenbezogene Daten treffen. Der Europäische Datenschutzausschuss (EDPB) beschreibt in seinen Empfehlungen zu ergänzenden Maßnahmen bei Übermittlungen beispielsweise end-to-end-Verschlüsselung vor der Übertragung, Pseudonymisierung der Daten, Datenminimierung und strenge Zugriffskontrollen. Welche Maßnahmen einzusetzen sind, hängt vom Einzelfall ab.
Datenverarbeitung in EU-Gebieten konzentrieren
Eine weitere nachhaltige Möglichkeit ist, die Datenverarbeitung innerhalb der EU zu belassen. Hosting, Anonymisierung oder Verarbeitung der Daten über EU-basierte Server (z. B. mit Server-Side Tracking) minimiert Cross-Border-Risiken weitgehend.

Erfahren Sie mehr über Europäische Datenhoheit mit UpCloud und TAGGRS.
Warum Server-Side Tracking in der EU häufig die widerstandsfähigere Strategie ist
Server-Side Tracking innerhalb der EU bietet:

Kontrolle darüber, welche Daten vor der Übertragung durch Filterung oder Pseudonymisierung Drittanbietern geteilt werden
Möglichkeit, rohe oder sensible Daten in EU-Gebieten zu behalten und damit Cross-Border-Risiken zu senken
Einfachere GDPR-Compliance und vereinfachte Melde- und Auskunftsverfahren, weil die Organisation selbst für Datenverarbeitung und -aufbewahrung verantwortlich bleibt.

Durch die Beibehaltung der Tracking-Logik und der Nutzerdaten in EU-Grenzen gewinnen

Unternehmen eine skalierbare Infrastruktur, die weniger abhängig von unsicheren Rechtsrahmen wie dem DPF ist. Es sichert Ihre Dateninfrastruktur langfristig ab und schafft größeres Vertrauen bei Datenschutzbewussten Kunden. Es ist jedoch wichtig, die Anbieterangaben zu prüfen, etwa zu Hosting-Standorten, Subunternehmern und Datenverarbeitungsverträgen (DPA).

Kurz gesagt: Server-Side Tracking mit EU-Hosting bedeutet nicht nur Compliance. Es bedeutet, Datenhoheit und Verantwortung zurück in die eigenen Hände zu nehmen.

Wie TAGGRS den Schutz personenbezogener Daten sicherstellt

TAGGRS bietet Hosting für Google Tag Manager Server-side Tracking und datenschutzfördernde Tools wie PII-Hashing und Anonymisierung, die es Marketingteams, Datenschutzbeauftragten oder datengetriebenen Fachleuten ermöglichen, technische und rechtliche Kontrolle zu behalten.

Wir unterstützen Organisationen bei GDPR-Compliance mit folgenden Schlüsselfunktionen:

Verbesserte Kontrolle über Drittdaten: Server-Side GTM ermöglicht es Ihnen, genau zu bestimmen, welche Daten an externe Dienste wie Meta oder Google übermittelt werden, damit Anbieter nur die von Ihnen freigegebenen Informationen erhalten.
Erfahren Sie, warum die Minimierung von Drittanbieter-Abhängigkeiten Ihr Geschäft zukunftssicher macht: Cookies, Datenschutzbedenken und zukunftssichere Lösungen
Sichere Verarbeitung sensibler Daten und PII mit dem TAGGRS GDPR-Tool: E-Mail-Adressen oder Identifikatoren werden vor der Verarbeitung anonymisiert oder gehasht und entsprechen so den GDPR-Anforderungen. Weitere Informationen zu Datenschutzerfordernissen für PII und personenbezogene Daten.
Effektives Datenmanagement: Server-Side GTM unterstützt erweiterte Datenverarbeitung, z. B. das Hashing von Nutzerinformationen nach Plattformstandards oder das Bereinigen von URLs vor der Übermittlung an Werbe- oder Analysetools, um sensible Daten vor Offenlegung zu schützen. Mehr dazu erfahren Sie in unserer Google Ads Enhanced Conversions Dokumentation
Eigene Serverstandorte: TAGGRS betreibt seine eigene Infrastruktur in der EU, sodass Daten innerhalb Europas bleiben. Lokales Hosting sorgt für eine zusätzliche rechtliche und technische Sicherheitsebene und unterstützt Sie bei der Einhaltung von GDPR und nationalen Standards. Entdecken Sie mehr in unserem Blogbeitrag zu GDPR und Server-Side Tracking.

Prüfen Sie den Serverstatus jederzeit und überall.

Besuchen Sie unser Legal Hub, um unsere DPA und SLA für jedes Produkt zu lesen.

FAQ: Data Privacy Framework & US-Datentransfers

Wer darf das DPF nutzen?

Nur US-Organisationen, die sich beim US-Handelsministerium selbst zertifizieren und auf der offiziellen DPF-Liste stehen, dürfen solche Daten ohne weitere Schutzmaßnahmen erhalten. EU-Unternehmen können nicht teilnehmen, sondern nur an zertifizierte US-Partner Daten weiterleiten.

Warum ist TAGGRS nicht Teil des DPF?

Das DPF gilt ausschließlich für US-Unternehmen. TAGGRS ist ein EU-Anbieter, der Daten innerhalb Europas hält.

Ist Google Teil des DPF?

Ja, Google LLC nimmt unter „Google Cloud“, „Google Ads“ und „Google Analytics“ teil. Überprüfen Sie die Abdeckung für Ihren Dienst.

Sind Transfer Impact Assessments unter dem DPF weiterhin erforderlich?

Obwohl das DPF eine ausreichende Basis für Transfers bietet, empfehlen EU-Regulierungsbehörden und Datenschutzaufsichtsbehörden europäischen Unternehmen, weiterhin eine Transfer Impact Assessment (TIA) als Teil ihrer Rechenschaftspflicht durchzuführen. TIAs helfen dabei, Risiken zu dokumentieren, die DPF-Abdeckung für den spezifischen Dienst zu bestätigen und Schutzmaßnahmen für sensible Daten zu definieren.

Was passiert, wenn das DPF erneut für ungültig erklärt wird?

Dann sollten SCCs plus zusätzliche Schutzmaßnahmen wie Verschlüsselung und Pseudonymisierung verwendet werden.

Sollten EU-Unternehmen ausschließlich auf das DPF setzen oder es mit zusätzlichen Maßnahmen kombinieren?

Aufgrund der anhaltenden rechtlichen und regulatorischen Unsicherheit sollten Unternehmen sich nicht ausschließlich auf das DPF verlassen. Die widerstandsfähigste Strategie besteht darin, die Nutzung des DPF (wo unvermeidbar) mit technischen, organisatorischen und vertraglichen Schutzmaßnahmen zu kombinieren – und wo möglich EU-gehostetes Server-Side Tracking einzusetzen, um Risiken zu minimieren und Compliance zu vereinfachen.

Warum Server-Side Tracking in der EU wählen?

EU-basiertes Server-Side Tracking (wie TAGGRS) hält alle Nutzerdaten in europäischen, kontrollierten Umgebungen, sichert volle GDPR-Compliance und macht die Abhängigkeit von internationalen Transferregelungen überflüssig. Unternehmen behalten die direkte technische und rechtliche Kontrolle über personenbezogene Daten und verringern potenzielle Risiken durch ausländische Überwachung oder regulatorische Änderungen.

Die Europäische Kommission bewertet das DPF als ausreichend schützend, jedoch argumentieren Kritiker, dass US-Überwachungsgesetze weiterhin Risiken bergen. Die Datenschutzorganisation NOYB und andere bekämpfen dessen Gültigkeit weiterhin rechtlich. Sollte das DPF erneut für ungültig erklärt werden, müssen Unternehmen auf Standardvertragsklauseln (SCCs) und zusätzliche Schutzmaßnahmen wie Verschlüsselung und Pseudonymisierung zurückgreifen.

Über den Autor

Ate Keurentjes

Head of Marketing, TAGGRS

Ate Keurentjes, now Head of Marketing at TAGGRS, initially joined the company as Marketing Specialist in August 2023. With deep expertise in Server-side Tracking, SEO, and data-driven marketing strategy, he leads initiatives that enhance TAGGRS’ online visibility, user engagement, and conversion performance. By analyzing industry trends and leveraging advanced optimization techniques, Ate drives impactful marketing campaigns that accelerate the company’s growth.

Ready to
track smarter?

Sieh, wie Server-side Tracking in deiner Marketingstrategie funktioniert. Live mit einem Experten.