Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie Sie die DSGVO-Artikel 44–49 einhalten, ohne sich auf Standardvertragsklauseln oder das Data Privacy Framework zu stützen

Wie Sie die DSGVO-Artikel 44–49 einhalten, ohne sich auf Standardvertragsklauseln oder das Data Privacy Framework zu stützen

von Marc ten Eikelder updated Februar 18, 2026 DSGVO-Compliance
Lesezeit: 12 Minuten

Unternehmen, die personenbezogene Daten außerhalb der EU übertragen, unterliegen den DSGVO-Artikeln 44–49 und müssen einen angemessenen Schutz durch Angemessenheitsbeschlüsse, Standardvertragsklauseln oder alternative Mechanismen gewährleisten. Die Aufhebung des Privacy Shield hat gezeigt, dass rechtliche Rahmenwerke nicht selbsterhaltend sind – aktuelle Angemessenheitsbeschlüsse für das Vereinigte Königreich, die Schweiz und die USA weisen dieselben strukturellen Schwächen auf, die bereits zum Scheitern des Privacy Shield geführt haben.

Table of Contents

Die Antwort des EDPB auf Schrems II zeigte direkt die Lösung auf: Technische Maßnahmen, insbesondere Verschlüsselung unter Kontrolle des Datenexporteurs, bieten Schutz, der auch bei Instabilität rechtlicher Rahmenwerke Bestand hat, da sie unabhängig davon funktionieren, was eine Regierung eines Drittlandes rechtlich verlangen darf. Dieser Beitrag erläutert, wie kundenverwaltete Verschlüsselung die DSGVO-Artikel 44–49 als rahmenunabhängigen Compliance-Mechanismus erfüllt, den laufenden Compliance-Aufwand reduziert und Wettbewerbsvorteile schafft, die vertragliche Schutzmaßnahmen allein nicht bieten können.

Executive Summary

Kernaussage: Kundenverwaltete Verschlüsselung, bei der EU-Datenexporteure die Verschlüsselungsschlüssel kontrollieren, erfüllt die Übertragungsanforderungen der DSGVO-Artikel 44–49 unabhängig von Angemessenheitsbeschlüssen oder Standardvertragsklauseln, da verschlüsselte Daten für Datenimporteure und Behörden in Drittländern unverständlich bleiben – unabhängig vom Status des rechtlichen Rahmens. Dieser technische Ansatz erfüllt die Anforderungen an ergänzende Maßnahmen gemäß Schrems II und beseitigt Abhängigkeiten von volatilen Rechtsrahmen.

Warum das relevant ist: Unternehmen, die sich ausschließlich auf Standardvertragsklauseln verlassen, stehen vor wiederkehrenden Verpflichtungen zur Bewertung der Übertragungsauswirkungen, müssen Drittlandgesetze überwachen und riskieren operative Störungen, falls Angemessenheitsbeschlüsse angefochten werden – Aufwände, die durch kundenverwaltete Verschlüsselung entfallen, da Compliance architektonisch statt vertraglich umgesetzt wird. Unternehmen, die technische Souveränität einführen, berichten von 30 % weniger rechtlichem Compliance-Aufwand, 40 % schnelleren internationalen Vertragsabschlüssen und 20–35 % Preisaufschlägen in Märkten, in denen technischer Datenschutz zur Beschaffungsvoraussetzung geworden ist.

5 wichtige Erkenntnisse

  1. Die DSGVO-Artikel 44–49 schaffen gestufte Anforderungen, bei denen rechtliche Übertragungsmechanismen gemäß Schrems II durch technische Maßnahmen ergänzt werden müssen. Angemessenheitsbeschlüsse und Standardvertragsklauseln bieten eine Grundautorisierung, während der EDPB betont, dass Datenexporteure die Gesetze des Drittlandes bewerten und ergänzende Maßnahmen implementieren müssen, um den Schutz sicherzustellen. Eine technische Architektur, die unbefugten Zugriff verhindert, erfüllt die Anforderungen an ergänzende Maßnahmen unabhängig vom gewählten Rechtsrahmen.
  2. Die Aufhebung des Privacy Shield und die anhaltende Unsicherheit über Angemessenheitsbeschlüsse schaffen Compliance-Risiken für Unternehmen, die sich ausschließlich auf rechtliche Rahmenwerke verlassen. Das EU-US Privacy Shield wurde in Schrems II wegen Bedenken hinsichtlich der US-Überwachung aufgehoben; die Angemessenheitsrahmen Schweiz-USA und UK weisen ähnliche strukturelle Schwächen auf. Unternehmen, die ihre Compliance-Strategie auf rechtliche Rahmenwerke stützen, riskieren operative Störungen, wenn diese angefochten werden.
  3. Standardvertragsklauseln erfordern laufende Bewertungen der Übertragungsauswirkungen und ergänzende Maßnahmen, die einen erheblichen Compliance-Aufwand verursachen. Unternehmen, die Standardvertragsklauseln implementieren, müssen prüfen, ob Drittlandgesetze die Wirksamkeit der Verträge beeinträchtigen, die Ergebnisse dokumentieren, ergänzende Maßnahmen zur Risikominimierung umsetzen und diesen Prozess bei Gesetzesänderungen wiederholen – ein wiederkehrender Aufwand, der durch technische Ansätze entfällt.
  4. Kundenverwaltete Verschlüsselung, bei der Datenexporteure die Schlüssel kontrollieren, erfüllt die Anforderungen an ergänzende Maßnahmen des EDPB und ermöglicht rahmenunabhängige Compliance. Wenn EU-Datenexporteure die alleinige Kontrolle über die Verschlüsselungsschlüssel mittels Hardware-Sicherheitsmodulen behalten, bleiben die Daten für Datenimporteure und Behörden in Drittländern unverständlich und erfüllen die DSGVO-Übertragungsanforderungen unter jedem rechtlichen Mechanismus.
  5. Technische Souveränität schafft Wettbewerbsvorteile über Compliance hinaus – inklusive Preisaufschlägen, schnelleren Vertragsabschlüssen und Marktdifferenzierung. Unternehmen, die kundenverwaltete Verschlüsselung nachweisen, erzielen 20–35 % Preisaufschläge in internationalen Märkten, beschleunigen Vertragsverhandlungen um 40 % durch frühzeitigen Compliance-Nachweis und erschließen regulierte Branchen, in denen Wettbewerber ohne diese Architektur automatisch disqualifiziert werden.

Überblick über die Übertragungsanforderungen der DSGVO-Artikel 44–49

Kapitel V der DSGVO (Artikel 44–49) legt den Rahmen für internationale Übertragungen personenbezogener Daten fest, die einen angemessenen Schutz erfordern, wenn Daten außerhalb der EU verarbeitet werden. Das Verständnis dieser Anforderungen zeigt, warum technische Maßnahmen rechtlichen Mechanismen allein überlegen sind.

Das Schrems II-Urteil hat gezeigt, dass rechtliche Übertragungsmechanismen ohne technische Ergänzung nicht ausreichen

Artikel 44 legt das Grundprinzip fest, dass Übertragungen das Schutzniveau der DSGVO nicht untergraben dürfen. Artikel 45 erlaubt Übertragungen in Drittländer mit Angemessenheitsbeschluss. Artikel 46 gestattet Übertragungen mit geeigneten Garantien, darunter Standardvertragsklauseln, verbindliche Unternehmensregeln oder anerkannte Zertifizierungsmechanismen. Artikel 49 sieht Ausnahmen für bestimmte Situationen wie ausdrückliche Einwilligung oder Vertragsnotwendigkeit vor.

Das Schrems II-Urteil hat gezeigt, dass rechtliche Übertragungsmechanismen – ob Angemessenheitsbeschluss oder Standardvertragsklauseln – nicht ausreichen, wenn Drittlandgesetze Behörden einen Zugang zu personenbezogenen Daten erlauben, der über das notwendige und verhältnismäßige Maß hinausgeht. Der Europäische Gerichtshof hat insbesondere US-Überwachungsprogramme nach FISA 702 und Executive Order 12333 adressiert und festgestellt, dass diese Schwachstellen schaffen, die das Privacy Shield unzureichend machen und ergänzende Maßnahmen bei US-Übertragungen mit Standardvertragsklauseln erforderlich sind.

EDPB-Leitlinien zu ergänzenden Maßnahmen benennen Verschlüsselung unter Exporteurkontrolle als primäre technische Lösung

Die anschließenden EDPB-Leitlinien zu ergänzenden Maßnahmen verlangen von Datenexporteuren eine Bewertung der Übertragungsauswirkungen, um zu prüfen, ob Gesetze und Praktiken im Drittland die Wirksamkeit der Garantien beeinträchtigen. Werden Risiken festgestellt, müssen Exporteuren ergänzende Maßnahmen – technischer, organisatorischer oder vertraglicher Art – umsetzen, um einen angemessenen Schutz sicherzustellen. Die Leitlinien benennen Verschlüsselung unter Kontrolle des Datenexporteurs als primäre technische Maßnahme, die Daten unabhängig vom rechtlichen Rahmen schützt, da eine gerichtlich angeordnete Offenlegung nur Chiffretext liefert.

Rechtliche Mechanismen autorisieren; technische Maßnahmen schützen tatsächlich

Dies schafft einen Compliance-Rahmen, in dem rechtliche Mechanismen (Angemessenheit, Standardvertragsklauseln) die Autorisierung liefern, während technische Maßnahmen den tatsächlichen Schutz bieten. Unternehmen können die DSGVO-Artikel 44–49 allein durch technische Architektur oder in Kombination mit rechtlichen Mechanismen erfüllen, aber rechtliche Mechanismen allein reichen laut Schrems II und EDPB-Leitlinien nicht aus. Die praktische Konsequenz: Unternehmen, die kundenverwaltete Verschlüsselung implementieren, sind unter jedem Übertragungsmechanismus konform – und bleiben es auch, wenn sich der Mechanismus ändert.

Compliance-Risiken durch Abhängigkeit von Rechtsrahmen

Unternehmen, die internationale Datenübertragungsstrategien auf Angemessenheitsbeschlüsse oder Standardvertragsklauseln stützen, gehen Compliance-Risiken durch volatile Rahmenwerke, laufende Bewertungsverpflichtungen und potenzielle operative Störungen bei Anfechtung rechtlicher Mechanismen ein.

Volatilität von Angemessenheitsbeschlüssen kann sofort Compliance-Lücken schaffen, die Notfallmaßnahmen erfordern

Die Aufhebung des Privacy Shield im Jahr 2020 unterbrach Tausende von EU-US-Datenflüssen und erforderte die schnelle Implementierung alternativer Mechanismen. Unternehmen, die sich jahrelang auf das Privacy Shield verlassen hatten, standen plötzlich vor Compliance-Lücken, die Notfallprüfungen, die Einführung von Standardvertragsklauseln oder Serviceunterbrechungen notwendig machten. Aktuelle Angemessenheitsbeschlüsse für das Vereinigte Königreich, die Schweiz und andere Jurisdiktionen sind ähnlich gefährdet, falls sich Drittlandgesetze ändern oder die Durchsetzung unzureichenden Schutz offenbart. Unternehmen ohne technische Maßnahmen haben keinen Puffer, wenn Angemessenheitsbeschlüsse wegfallen.

Implementierung von Standardvertragsklauseln führt zu wiederkehrendem Compliance-Aufwand, der sich mit der Zeit verstärkt

Die Implementierung von Standardvertragsklauseln verursacht einen wiederkehrenden Compliance-Aufwand. Unternehmen müssen anfängliche Bewertungen der Übertragungsauswirkungen im Hinblick auf Drittlandgesetze durchführen, die Methodik und Ergebnisse dokumentieren, identifizierte ergänzende Maßnahmen umsetzen, Nachweise für den angemessenen Schutz führen und Bewertungen wiederholen, wenn sich Drittlandgesetze ändern oder neue Überwachungsbefugnisse entstehen. Dies führt zu laufendem juristischem Aufwand und Dokumentationspflichten, die mit zunehmender Anzahl an Übertragungsbeziehungen über verschiedene Jurisdiktionen immer komplexer werden.

Behördliche Durchsetzungsmaßnahmen können bestehende Übertragungsmechanismen ohne Vorwarnung in Frage stellen

Aufsichtsbehörden können bestehende Übertragungsmechanismen durch Audits, Untersuchungen oder Durchsetzungsmaßnahmen anfechten. Unternehmen, die sich auf Angemessenheit oder Standardvertragsklauseln ohne ergänzende technische Maßnahmen verlassen, riskieren Korrekturmaßnahmen, Übertragungsstopps oder Bußgelder, wenn die Behörden unzureichenden Schutz feststellen. Gesetzesänderungen in Drittländern erfordern eine erneute Compliance-Bewertung – wenn Länder Überwachungsgesetze, Zugriffsrechte oder Durchsetzungspraktiken ändern, müssen Unternehmen prüfen, ob dies die Übertragungstauglichkeit beeinflusst und zusätzliche Maßnahmen umsetzen, was eine dauerhafte Überwachungspflicht bedeutet.

Kundenverwaltete Verschlüsselung als rahmenunabhängiger Compliance-Mechanismus

Unternehmen setzen kundenverwaltete Verschlüsselung ein, um die DSGVO-Artikel 44–49 unabhängig von Angemessenheitsbeschlüssen oder Standardvertragsklauseln durch technische Maßnahmen zu erfüllen, die unbefugten Datenzugriff unabhängig vom rechtlichen Rahmen verhindern.

Vom EU-Exporteur kontrollierte Schlüssel, generiert in EU-HSMs, sind die Grundlage rahmenunabhängiger Compliance

Die Umsetzung beginnt mit der Generierung von Verschlüsselungsschlüsseln unter ausschließlicher Kontrolle des EU-Datenexporteurs. Die Schlüssel werden in Hardware-Sicherheitsmodulen in EU-Rechenzentren oder Einrichtungen des Datenexporteurs generiert. EU-Unternehmen kontrollieren den gesamten Lebenszyklus der Schlüssel – Generierung, Speicherung, Rotation, Löschung – ohne Beteiligung des Datenimporteurs aus dem Drittland. Die Schlüssel verlassen niemals die EU und sind für nicht-europäische Stellen nicht zugänglich, sodass keine ausländische Anordnung das zur Entschlüsselung benötigte Material erzwingen kann.

Verschlüsselung vor der Übertragung sorgt dafür, dass Drittland-Infrastrukturen nur Chiffretext speichern

Werden personenbezogene Daten in Drittländer übertragen – etwa über Cloud-Dienste, internationale Dienstleister oder grenzüberschreitende Prozesse – erfolgt die Verschlüsselung vor der Übertragung mit vom EU-Exporteur kontrollierten Schlüsseln. Verschlüsselte Daten können in Drittland-Infrastrukturen gespeichert werden, da die Importeure keine Entschlüsselungsmöglichkeit besitzen. Dies erfüllt die DSGVO-Übertragungsanforderungen, indem sichergestellt wird, dass die Daten auch bei rechtlichen Zugriffsanfragen für Importeure und Behörden unverständlich bleiben – die technische Kontrolle macht rechtliche Zwangsmaßnahmen irrelevant.

Kundenverwaltete Verschlüsselung bietet konsistenten Schutz bei jedem Übertragungsmechanismus

Rahmenunabhängigkeit entsteht durch technischen Schutz, der rechtliche Mechanismen übersteigt. Ob unter Angemessenheitsbeschlüssen, Standardvertragsklauseln, verbindlichen Unternehmensregeln oder Ausnahmen nach Artikel 49 – kundenverwaltete Verschlüsselung bietet konsistenten Schutz durch technische Kontrollen statt durch rechtliche Rahmenwerke, die für Anfechtungen, Änderungen oder Ungültigkeit anfällig sind. Unternehmen weisen DSGVO-Compliance durch Architektur statt durch Vertragsdokumentation nach – und diese Compliance bleibt auch bei politischen oder rechtlichen Veränderungen bestehen.

Reduzierung von Compliance-Komplexität und juristischem Aufwand

Kundenverwaltete Verschlüsselung reduziert den laufenden Compliance-Aufwand, indem sie Abhängigkeiten von volatilen Rechtsrahmen eliminiert und die DSGVO-Übertragungsanforderungen durch technische Architektur erfüllt.

Bewertungen der Übertragungsauswirkungen werden einfach, wenn technische Maßnahmen alle Risiken adressieren

Die Vereinfachung der Bewertung der Übertragungsauswirkungen erfolgt durch technische Maßnahmen, die identifizierte Risiken proaktiv adressieren. Unternehmen mit kundenverwalteter Verschlüsselung führen Bewertungen durch, die zeigen, dass Verschlüsselung unbefugten Zugriff unabhängig von Drittlandgesetzen verhindert – so entstehen klare Bewertungen statt komplexer juristischer Analysen bei rein vertraglichen Schutzmaßnahmen. Die Analyse muss nicht mehr Behördenzugriffsrechte, richterliche Kontrolle und Verhältnismäßigkeit für jede Jurisdiktion prüfen, sondern lediglich nachweisen, dass verschlüsselte Daten ohne die vom Exporteur kontrollierten Schlüssel unverständlich sind.

Technische Architekturdokumentation ersetzt umfangreiche vertragliche Nachweispakete

Die Dokumentationslast sinkt, weil technische Nachweise umfangreiche Vertragswerke ersetzen. Unternehmen mit Standardvertragsklauseln müssen umfassende Dokumentationen wie Bewertungen der Übertragungsauswirkungen, Begründungen für ergänzende Maßnahmen und laufende Überwachungsnachweise führen. Kundenverwaltete Verschlüsselung liefert technische Architekturdokumentation, die den Schutz durch Verschlüsselung, Schlüsselmanagement und Audit-Trails belegt – einfachere und beständigere Nachweise für die DSGVO-Compliance. Wenn ein Regulator fragt: „Wie stellen Sie sicher, dass Daten, die in die USA übertragen werden, nicht von US-Behörden eingesehen werden können?“, ist die Antwort ein Architekturdiagramm zum Schlüsselmanagement – kein Rechtsgutachten.

Überwachung von Gesetzesänderungen in Drittländern entfällt, wenn die Architektur den Compliance-Mechanismus bildet

Die Pflicht zur Überwachung von Gesetzesänderungen in Drittländern sinkt erheblich, wenn technische Maßnahmen den Schutz unabhängig von rechtlichen Rahmenwerken gewährleisten. Unternehmen, die sich auf Standardvertragsklauseln verlassen, müssen Änderungen der Überwachungsgesetze, Zugriffsrechte und Durchsetzungspraktiken im Drittland beobachten und Compliance neu bewerten. Kundenverwaltete Verschlüsselung schützt unabhängig von Gesetzesänderungen – selbst wenn Überwachungsgesetze ausgeweitet werden, bleiben verschlüsselte Daten ohne die vom EU-Exporteur kontrollierten Schlüssel unverständlich. Die Compliance-Position bleibt stabil, auch wenn sich das rechtliche Umfeld verändert.

Wettbewerbsvorteile durch technische Souveränität

Unternehmen, die kundenverwaltete Verschlüsselung implementieren, erzielen Wettbewerbsvorteile in internationalen Märkten über die Compliance-Anforderungen hinaus durch nachweisbare technische Souveränität, die sie von Wettbewerbern mit rein vertraglichen Mechanismen abhebt.

Nachweisbarer technischer Schutz ermöglicht 20–35 % Preisaufschläge in internationalen Märkten

Preisaufschläge entstehen, wenn Unternehmen technischen Datenschutz bieten, der über vertragliche Mindeststandards hinausgeht. Internationale Kunden erkennen, dass kundenverwaltete Verschlüsselung echte technische Differenzierung und Entwicklungsaufwand bedeutet. Unternehmen berichten von 20–35 % höheren Vertragswerten, wenn Souveränitätsfunktionen Beschaffungsvoraussetzung sind – mit nachhaltigen Preisaufschlägen, da Kunden Schutz unabhängig von der Stabilität rechtlicher Rahmenwerke schätzen. Die Wechselkosten durch Investitionen ins Schlüsselmanagement verstärken die Preisbindung zusätzlich.

Früher Souveränitätsnachweis verkürzt internationale Vertragsverhandlungen um 40 %

Vertragsabschlüsse beschleunigen sich durch frühzeitigen Compliance-Nachweis. Üblicherweise beinhalten internationale Vertragsverhandlungen langwierige juristische Prüfungen der Übertragungsmechanismen, Datenschutzpflichten und Compliance-Nachweise. Unternehmen, die bereits zu Beginn kundenverwaltete Verschlüsselung vorweisen, beseitigen die wichtigsten rechtlichen Bedenken, beschleunigen Verhandlungen um 40 % durch technische Compliance-Nachweise und ersetzen langwierige Vertragsverhandlungen durch die Überprüfung der technischen Architektur. Sicherheitsprüfungen, die sonst Monate dauern, werden auf die technische Verifikation reduziert.

Technische Souveränität erschließt regulierte Märkte, in denen vertragliche Mechanismen allein nicht ausreichen

Marktdifferenzierung entsteht, wenn technische Souveränität zum Beschaffungskriterium wird. Unternehmen in Finanzdienstleistungen, Gesundheitswesen, Behörden und regulierten Branchen verlangen zunehmend, dass Anbieter kundenverwaltete Verschlüsselung zum Schutz vor unbefugtem Zugriff nachweisen. Technische Souveränität ermöglicht Zugang zu Märkten, in denen Wettbewerber ohne diese Architektur unabhängig vom Preis automatisch ausgeschlossen werden – und macht Compliance-Investitionen zum Marktvorteil.

EDPB-Ergänzende Maßnahmen: Technisch vs. Vertraglich vs. Organisatorisch

Die Leitlinien des Europäischen Datenschutzausschusses zu ergänzenden Maßnahmen unterscheiden drei Kategorien – technische, vertragliche und organisatorische – wobei technische Maßnahmen beim Transfer in Länder mit Überwachungsbefugnissen den stärksten Schutz bieten.

Technische Maßnahmen bieten Schutz, den rechtlicher Zwang nicht aushebeln kann

Technische Maßnahmen wie Verschlüsselung unter Kontrolle des Datenexporteurs schützen unabhängig vom rechtlichen Rahmen, indem sie Daten für alle ohne Entschlüsselungsschlüssel unverständlich machen. Wenn EU-Unternehmen die Schlüssel über HSMs in der EU kontrollieren, können Behörden im Drittland keinen Klartext erzwingen, da Importeure keine Entschlüsselungsmöglichkeit haben. Dies erfüllt die EDPB-Leitlinien für wirksame ergänzende Maßnahmen gegen unbefugten Zugriff – und zwar durch physikalische und mathematische Kontrollen statt juristischer Zusagen.

Vertragliche Maßnahmen können rechtlich erzwungene Offenlegung nicht verhindern

Vertragliche Maßnahmen wie Klauseln zwischen Exporteur und Importeur bieten nur begrenzten Schutz, wenn Drittlandgesetze vertragliche Verpflichtungen aushebeln. Standardvertragsklauseln enthalten bereits Regelungen gegen unbefugte Offenlegung, aber Schrems II hat gezeigt, dass vertragliche Schutzmaßnahmen nicht ausreichen, wenn Drittlandgesetze Behörden überproportionalen Zugriff erlauben. Zusätzliche Vertragsklauseln haben dasselbe Problem – eine Vertragsklausel kann keinen US-Gerichtsbeschluss, eine CLOUD-Act-Anordnung oder ein National Security Letter verhindern. Verträge binden Parteien, nicht Regierungen.

Organisatorische Maßnahmen sind notwendig, aber allein nicht ausreichend für Compliance

Organisatorische Maßnahmen wie Richtlinien, Prozesse und Schulungen ergänzen den Schutz, reichen aber allein nicht aus. Datenminimierung, Zugriffskontrollen und Sicherheitsrichtlinien reduzieren Risiken, können aber keinen Behördenzugriff verhindern, wenn Drittlandgesetze Datenzugriffe erlauben. Die EDPB-Leitlinien benennen explizit Verschlüsselung unter Kontrolle des Exporteurs als wirksamen Schutz gegenüber vertraglichen oder organisatorischen Maßnahmen – weil nur Verschlüsselung mathematisch unbefugten Zugriff verhindert, was Richtlinien nicht leisten können.

Praxisbeispiele: Rahmenunabhängige Compliance in der Anwendung

Unternehmen aus verschiedenen Branchen demonstrieren rahmenunabhängige DSGVO-Compliance durch kundenverwaltete Verschlüsselung, erzielen Wettbewerbsvorteile und reduzieren rechtliche Komplexität.

Schweizer Finanzunternehmen eliminiert SCC-Anforderungen durch Dual-Sovereignty-Architektur

Ein Schweizer Finanzdienstleister mit EU- und US-Kunden hat kundenverwaltete Verschlüsselung für eine Dual-Sovereignty-Architektur eingeführt: EU-Kundendaten werden mit EU-Kundenschlüsseln, US-Kundendaten mit US-Kundenschlüsseln verschlüsselt. Diese Architektur erfüllt die DSGVO-Übertragungsanforderungen für EU-Geschäfte und bietet US-Kunden gleichwertigen Schutz, eliminiert SCC-Anforderungen und den Aufwand für Bewertungen der Übertragungsauswirkungen und schafft Differenzierung. Das Unternehmen benötigt kein Rechtsteam mehr zur Überwachung von US-Überwachungsgesetzen – die Verschlüsselungsarchitektur macht diese Änderungen für die Compliance irrelevant.

Deutscher Hersteller schützt geistiges Eigentum bei China-Transfers ohne laufende Rechtsüberwachung

Ein deutscher Hersteller mit asiatischen Niederlassungen hat kundenverwaltete Verschlüsselung für den Transfer von Entwicklungsdaten nach China eingeführt. Deutsche Ingenieure kontrollieren die Schlüssel, während chinesische Teams verschlüsselte Daten für die Produktion nutzen – so werden DSGVO-Übertragungsanforderungen erfüllt und geistiges Eigentum vor Behördenzugriff geschützt. Die Architektur reduziert den Compliance-Aufwand im Vergleich zu Standardvertragsklauseln, die laufende Überwachung der chinesischen Gesetzgebung erfordern – ein erheblicher Aufwand angesichts der Dynamik in dieser Jurisdiktion.

Britischer Healthtech-Anbieter macht aus Post-Brexit-Übertragungskomplexität einen Wettbewerbsvorteil

Ein britischer Anbieter von Gesundheitstechnologie für EU-Krankenhäuser hat kundenverwaltete Verschlüsselung implementiert, bei der die Krankenhäuser die Schlüssel für Patientendaten kontrollieren. So ist eine DSGVO-konforme Datenverarbeitung ohne Übertragungsprobleme möglich, da der britische Anbieter keinen Zugriff auf Klartextdaten hat – unabhängig davon, was britisches Recht erlaubt. Die Architektur verschafft einen Wettbewerbsvorteil gegenüber EU-Mitbewerbern ohne gleichwertige Souveränität und reduziert die Post-Brexit-Compliance-Komplexität, die Wettbewerber mit Standardvertragsklauseln und Bewertungen der Übertragungsauswirkungen bewältigen müssen.

Implementierungsansatz für rahmenunabhängige Compliance

Unternehmen, die kundenverwaltete Verschlüsselung für die DSGVO-Artikel 44–49 implementieren, treffen Entscheidungen zu Architekturdesign, Schlüsselmanagement, operativer Integration und Kombination mit rechtlichen Rahmenwerken.

Der Architekturumfang sollte sich an den Ergebnissen der Bewertung der Übertragungsauswirkungen und den Kundenanforderungen orientieren

Das Architekturdesign erfordert die Festlegung des Verschlüsselungsumfangs. Ganzheitliche Ansätze verschlüsseln alle international übertragenen personenbezogenen Daten mit kundenverwalteten Schlüsseln. Zielgerichtete Ansätze verschlüsseln sensible Kategorien – Finanzdaten, Gesundheitsdaten, Behördeninformationen – mit kundenverwalteter Verschlüsselung, während weniger sensible Daten mit Standardverschlüsselung geschützt werden. Die Auswahl des Umfangs hängt von der Bewertung der Übertragungsauswirkungen, den Kundenanforderungen und den Wettbewerbszielen ab. Die Bewertung selbst wird zum Fahrplan für das Architekturdesign statt zu einer Compliance-Übung mit rein juristischer Dokumentation.

Das Schlüsselmanagement muss die Kontrolle des EU-Exporteurs über den gesamten Lebenszyklus sicherstellen

Die Auswahl des Schlüsselmanagements umfasst On-Premises-HSMs für maximale Kontrolle mit Hardware vor Ort, cloudbasierte HSM-Services von EU-Anbietern für Souveränität und Betriebskomfort oder gehärtete virtuelle Appliances für kundenverwaltetes Schlüsselmanagement ohne dedizierte Hardware. Entscheidend ist: Die Schlüssel bleiben während ihres gesamten Lebenszyklus unter Kontrolle des EU-Datenexporteurs und erfüllen so die DSGVO-Übertragungsanforderungen – unabhängig davon, wo die verschlüsselten Daten letztlich gespeichert werden.

Kombination von kundenverwalteter Verschlüsselung mit Rechtsrahmen schafft Defense-in-Depth

Die Kombination mit rechtlichen Rahmenwerken ermöglicht Unternehmen, kundenverwaltete Verschlüsselung gemeinsam mit Angemessenheitsbeschlüssen oder Standardvertragsklauseln einzusetzen. So entsteht eine Defense-in-Depth-Strategie: Rechtliche Mechanismen erfüllen die Grundautorisierung, technische Maßnahmen bieten den eigentlichen Schutz. Der kombinierte Ansatz zeigt umfassende DSGVO-Compliance durch vertragliche und technische Schutzmaßnahmen – und sichert Kontinuität, falls eine der Ebenen angefochten wird. Fällt ein Angemessenheitsbeschluss, bleibt die Compliance durch die Verschlüsselungsarchitektur erhalten, während alternative Mechanismen implementiert werden.

Wie Kiteworks rahmenunabhängige DSGVO-Übertragungskonformität ermöglicht

Unternehmen erreichen die DSGVO-Artikel 44–49 durch kundenverwaltete Verschlüsselung, die Compliance architektonisch statt vertraglich umsetzt. Rechtliche Rahmenwerke liefern die Autorisierung; technische Maßnahmen bieten den Schutz – und technische Maßnahmen verfallen nicht, wenn sich politische oder rechtliche Umstände ändern. Unternehmen berichten von 30 % weniger Compliance-Aufwand, 40 % schnelleren internationalen Vertragsabschlüssen und 20–35 % Preisaufschlägen durch technische Souveränität, die vertragliche Schutzmaßnahmen nicht bieten können.

Kiteworks bietet Unternehmen eine Architektur für kundenverwaltete Verschlüsselung, die die Anforderungen der DSGVO-Artikel 44–49 unabhängig von Angemessenheitsbeschlüssen oder Standardvertragsklauseln erfüllt. Die Plattform nutzt vom Kunden kontrollierte Verschlüsselungsschlüssel, die nie die Kundeninfrastruktur verlassen – selbst wenn Kiteworks verschlüsselte Daten verarbeitet, besteht keine technische Möglichkeit, auf Klartextinformationen zuzugreifen.

Die Plattform unterstützt flexible Bereitstellung – von EU-Rechenzentren für Datenverarbeitung innerhalb der DSGVO-Jurisdiktion über On-Premises-Installationen beim Kunden für maximale Souveränität bis hin zu gehärteten virtuellen Appliances für kundenverwaltetes Schlüsselmanagement. Unternehmen setzen so eine Architektur um, die die Anforderungen an ergänzende Maßnahmen des EDPB erfüllt und gleichzeitig operative Flexibilität bietet.

Kiteworks integriert sichere E-Mail, Filesharing, Managed File Transfer und Web-Formulare in eine einheitliche Plattform, die internationalen Datentransfer über verschlüsselte Kanäle ermöglicht. Kundenverwaltete Verschlüsselung erfüllt die DSGVO-Übertragungsanforderungen, während Audit-Logging Nachweise für regulatorische Prüfungen liefert.

Für Unternehmen, die Bewertungen der Übertragungsauswirkungen durchführen, adressiert die Kiteworks-Architektur identifizierte Drittlandrisiken durch technische Maßnahmen gegen unbefugten Zugriff. Die Dokumentation belegt die Umsetzung ergänzender Maßnahmen gemäß EDPB-Leitlinien und reduziert die rechtliche Komplexität im Vergleich zu umfangreichen Vertragswerken.

Erfahren Sie mehr darüber, wie Kiteworks rahmenunabhängige DSGVO-Compliance für die Artikel 44–49 durch kundenverwaltete Verschlüsselung unterstützt – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Kundenverwaltete Verschlüsselung, bei der EU-Datenexporteure die Verschlüsselungsschlüssel über HSMs kontrollieren, macht Daten für Importeure und Behörden in Drittländern unverständlich und erfüllt so die Anforderung des DSGVO-Artikels 44 nach angemessenem Schutz durch technische Maßnahmen. Die EDPB-Leitlinien zu ergänzenden Maßnahmen benennen Verschlüsselung unter Exporteurkontrolle als wirksamen Schutz unabhängig von rechtlichen Rahmenwerken und ermöglichen Unternehmen, Compliance durch technische Architektur nachzuweisen, die unbefugten Zugriff verhindert – statt durch Vertragsdokumentation.

Führen Sie Bewertungen der Übertragungsauswirkungen durch, um zu prüfen, ob Drittlandgesetze Behördenzugriffe über das notwendige Maß hinaus ermöglichen, dokumentieren Sie Methodik und Ergebnisse, setzen Sie ergänzende Maßnahmen zur Risikominimierung um – der EDPB betont Verschlüsselung unter Kontrolle des Datenexporteurs als primäre technische Maßnahme – führen Sie Nachweise für angemessenen Schutz und wiederholen Sie Bewertungen bei Gesetzesänderungen. Unternehmen müssen nachweisen, dass Standardvertragsklauseln in Kombination mit ergänzenden Maßnahmen angemessenen Schutz bieten, wobei technische Maßnahmen den stärksten Nachweis gegenüber rein vertraglichen oder organisatorischen Maßnahmen liefern.

Kundenverwaltete Verschlüsselung eliminiert wiederkehrende Bewertungsverpflichtungen bei Gesetzesänderungen in Drittländern, reduziert die Dokumentationspflicht durch technische Nachweise statt umfangreicher juristischer Begründungen und bietet Compliance unabhängig von der Volatilität rechtlicher Rahmenwerke. Unternehmen mit Standardvertragsklauseln müssen Gesetzesänderungen überwachen, Übertragungstauglichkeit neu bewerten und Dokumentation aktuell halten. Kundenverwaltete Verschlüsselung bietet konsistenten Schutz durch technische Maßnahmen – unabhängig von rechtlichen Änderungen – und reduziert den Compliance-Aufwand um etwa 30 %, während sie die Nachweisführung gegenüber Aufsichtsbehörden vereinfacht.

Unternehmen erzielen 20–35 % Preisaufschläge durch echte technische Differenzierung, beschleunigen internationale Vertragsabschlüsse um 40 % durch frühzeitigen Compliance-Nachweis ohne langwierige juristische Verhandlungen, erschließen regulierte Märkte, in denen kundenverwaltete Verschlüsselung Beschaffungskriterium ist, und verbessern die Kundenbindung durch Wechselkosten aus Investitionen ins Schlüsselmanagement. Technische Souveränität liefert greifbare Nachweise, die über vertragliche Mindeststandards hinausgehen und Unternehmen in Märkten differenzieren, in denen Kunden nachweisbaren Datenschutz unabhängig von der Stabilität rechtlicher Rahmenwerke verlangen.

Unternehmen können und sollten kundenverwaltete Verschlüsselung mit rechtlichen Rahmenwerken kombinieren, um Defense-in-Depth zu schaffen. Rechtliche Mechanismen (Angemessenheitsbeschlüsse, Standardvertragsklauseln) erfüllen die Grundautorisierung, während technische Maßnahmen den eigentlichen Schutz bieten. Der kombinierte Ansatz demonstriert umfassende DSGVO-Compliance durch vertragliche und technische Schutzmaßnahmen, erfüllt die regulatorischen Erwartungen an ergänzende Maßnahmen und bietet Resilienz gegen rechtliche Herausforderungen – fällt ein Angemessenheitsbeschluss weg, gewährleistet kundenverwaltete Verschlüsselung weiterhin Schutz, während alternative Mechanismen implementiert werden.

Weitere Ressourcen

Blog Post

  • eBook  
    Daten-Souveränität und DSGVO
  • Blog Post  
    Vermeiden Sie diese Fallstricke bei der Daten-Souveränität
  • Blog Post  
    Best Practices für Daten-Souveränität
  • Blog Post  
    Daten-Souveränität und DSGVO [Verständnis von Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks