Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie US-Unternehmen die EU-Datensouveränitätsgesetze bei der Betreuung europäischer Kunden einhalten

Wie US-Unternehmen die EU-Datensouveränitätsgesetze bei der Betreuung europäischer Kunden einhalten

von John Lynch updated März 11, 2026 DSGVO-Compliance
Lesezeit: 9 Minuten

US-Unternehmen, die in der Europäischen Union Geschäfte machen, stehen vor einer einzigartigen Compliance-Herausforderung: Zwei Rechtsordnungen, die in entgegengesetzte Richtungen wirken, gelten gleichzeitig für sie. Die DSGVO-Compliance-Pflichten der EU folgen der betroffenen Person – jedes US-Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, muss die DSGVO einhalten, unabhängig vom Firmensitz. Der US CLOUD Act folgt dem Anbieter – jedes US-Unternehmen muss auf eine gültige Anordnung der US-Regierung hin Daten herausgeben, die es kontrolliert, unabhängig vom Speicherort dieser Daten.

Das Paradoxon ist real: Ein US-Unternehmen, das EU-Kundendaten speichert, ist gleichzeitig verpflichtet, diese gemäß DSGVO vor unbefugtem Zugriff zu schützen und sie nach US-Recht offenzulegen. Standardvertragsklauseln dokumentieren den Schutzwillen. Sie können den CLOUD Act jedoch nicht aushebeln. Es handelt sich nicht um eine Lücke, die bessere Verträge schließen könnten – es ist ein struktureller Konflikt, den nur architektonische Souveränität lösen kann.

Executive Summary

Kernaussage: US-Unternehmen, die EU-Kunden bedienen, unterliegen der vollständigen DSGVO durch deren extraterritoriale Reichweite – einschließlich der Artikel 44–49 zu grenzüberschreitenden Übertragungsbeschränkungen, Artikel 32 zu technischen Sicherheitsanforderungen und Transfer Impact Assessments nach Schrems II. Gleichzeitig verpflichtet US-Recht zur Datenoffenlegung, was einen unauflösbaren Widerspruch schafft, den Verträge nicht lösen können. Echte Data Sovereignty Compliance für US-Unternehmen bedeutet eine Architektur, die EU-Kundendaten von US-Rechtszugriff trennt: Single-Tenant-Bereitstellung in Europa, vom Kunden kontrollierte Verschlüsselungsschlüssel außerhalb der US-Infrastruktur und technisch durchgesetzte Datenresidenz, die EU-Daten der europäischen Gerichtsbarkeit unterstellt.

Warum das relevant ist: Die extraterritoriale Reichweite der DSGVO ist durchsetzbar. Datenschutzbehörden haben US-Unternehmen ohne EU-Niederlassung mit Bußgeldern belegt; österreichische, französische und italienische Behörden haben ausdrücklich entschieden, dass die Übermittlung personenbezogener EU-Daten über US-kontrollierte Cloud-Infrastrukturen gegen die DSGVO gemäß Schrems II verstößt. Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes betragen. Compliance ist nicht optional – und der Standard liegt höher, als viele US-Rechtsabteilungen annehmen.

wichtige Erkenntnisse

  1. Die DSGVO gilt für US-Unternehmen unabhängig vom Standort. Artikel 3 der DSGVO begründet extraterritoriale Zuständigkeit: Jedes Unternehmen, das Waren oder Dienstleistungen für EU-Bürger anbietet oder deren Verhalten überwacht, unterliegt der vollständigen DSGVO. Keine EU-Niederlassung bedeutet nicht, dass die DSGVO nicht gilt – sondern verpflichtet zur Benennung eines EU-Vertreters gemäß Artikel 27.
  2. CLOUD Act und DSGVO schaffen einen echten Rechtskonflikt. US-Recht zwingt zur Offenlegung von Daten, die US-Unternehmen kontrollieren; EU-Recht verlangt, dass personenbezogene EU-Daten vor unbefugtem ausländischem Zugriff geschützt werden. SCCs erfüllen die Dokumentationspflicht für Übermittlungen, können aber US-Recht nicht aushebeln. Die Architektur muss lösen, was Verträge nicht können.
  3. Die Speicherung von EU-Daten auf US-kontrollierter Infrastruktur erfüllt die Anforderungen nach Schrems II nicht. Transfer Impact Assessments für US-Anbieter müssen CLOUD Act und FISA 702 als aktive Risiken identifizieren, die technische Zusatzmaßnahmen erfordern – nicht nur vertragliche. TIAs, die Risiken anerkennen, aber keine technischen Maßnahmen vorsehen, erfüllen den EDPB-Standard nicht.
  4. Vom Kunden kontrollierte Verschlüsselungsschlüssel sind die technische Lösung für das CLOUD Act-Paradoxon. Wenn EU-Kundendaten mit Schlüsseln verschlüsselt werden, die in europäischer Infrastruktur außerhalb US-Kontrolle liegen, liefert eine CLOUD Act-Anfrage nur Chiffretext, den das US-Unternehmen nicht entschlüsseln kann – und erfüllt damit sowohl die Offenlegungspflicht des CLOUD Act als auch die Schutzpflicht der DSGVO gleichzeitig.
  5. US-Unternehmen in regulierten Branchen unterliegen der DSGVO plus branchenspezifischen EU-Pflichten. US-SaaS-Anbieter für EU-Finanzdienstleister müssen DORA berücksichtigen. US-Anbieter für EU-regulierte Unternehmen nach NIS 2 müssen Supply-Chain-Souveränitätsprüfungen bestehen. Die DSGVO ist die Mindestanforderung, nicht die Obergrenze.

Die extraterritoriale Reichweite der DSGVO: Was US-Unternehmen tatsächlich tun müssen

Viele US-Compliance-Teams unterschätzen zunächst den Anwendungsbereich der DSGVO. Artikel 3 gilt für jedes Unternehmen – unabhängig vom Sitz –, das personenbezogene Daten von EU-Bürgern im Zusammenhang mit der Bereitstellung von Waren oder Dienstleistungen oder der Verhaltensüberwachung verarbeitet. Ein US-SaaS-Unternehmen mit deutschen Kunden unterliegt der DSGVO. Ein US-Hersteller mit EU-Mitarbeiterdaten unterliegt der DSGVO. Entscheidend ist nicht die Firmenadresse, sondern ob Daten von EU-Bürgern verarbeitet werden.

US-Unternehmen ohne EU-Niederlassung müssen gemäß Artikel 27 einen EU-Vertreter benennen. Darüber hinaus gelten sämtliche DSGVO-Pflichten uneingeschränkt: Rechtsgrundlage für die Verarbeitung, Betroffenenrechte, 72-Stunden-Meldepflicht bei Datenschutzverstößen, Data Protection Impact Assessments bei risikoreicher Verarbeitung und die Kapitel-V-Beschränkungen für Übermittlungen, wenn personenbezogene EU-Daten US-Systeme erreichen.

Für die meisten US-Unternehmen sind Standardvertragsklauseln das maßgebliche Übermittlungsinstrument. Doch seit Schrems II reichen SCCs allein nicht mehr aus. Unternehmen müssen Transfer Impact Assessments durchführen – dokumentierte Bewertungen, ob US-Überwachungsrecht die Wirksamkeit der SCCs für die jeweilige Übermittlung untergräbt. Für jedes US-Unternehmen, das personenbezogene EU-Daten auf US-kontrollierter Infrastruktur verarbeitet, muss diese Bewertung den CLOUD Act und FISA Section 702 als aktive Rechtsgrundlagen benennen, die eine Offenlegung ohne europäische Kontrolle erzwingen können. Ein TIA, das dieses Risiko anerkennt, aber keine ausreichenden technischen Zusatzmaßnahmen benennt, genügt Schrems II nicht.

Eine vollständige Checkliste für die DSGVO-Compliance

Jetzt lesen

Das CLOUD Act-Paradoxon: Warum der Rechtskonflikt nicht vertraglich gelöst werden kann

Der CLOUD Act (2018) verpflichtet US-Unternehmen, auf gültige Anfragen der US-Regierung Daten bereitzustellen, die sie speichern oder kontrollieren – auch wenn diese Daten in europäischen Rechenzentren liegen. Die Reichweite folgt der Kontrolle, nicht dem Standort. Das Frankfurter Rechenzentrum eines US-Unternehmens unterliegt über die US-Konzernstruktur dem CLOUD Act, unabhängig vom physischen Serverstandort.

Die DSGVO verlangt von denselben Unternehmen, personenbezogene EU-Daten genau vor diesem unbefugten Zugriff ausländischer Behörden zu schützen. Datenschutzbehörden sehen nach Schrems II den Zugriff durch den US CLOUD Act als das zentrale Risiko, das Übermittlungsmechanismen adressieren müssen. Wenn ein US-Unternehmen in seinem TIA die CLOUD Act-Exponierung anerkennt, aber nur vertragliche Maßnahmen – Benachrichtigungspflichten, Widerspruchsverfahren – anbietet, ist laut EDPB klar: Das sind vertragliche Zusatzmaßnahmen, die dort nicht ausreichen, wo US-Recht die Herausgabe unabhängig von Vertragsklauseln erzwingt.

Die Lösung muss architektonisch, nicht vertraglich erfolgen. Die einzige technische Kontrolle, die der EDPB als wirksame Antwort auf die CLOUD Act-Exponierung anerkennt, ist vom Kunden kontrollierte Verschlüsselung mit Schlüsseln, die vollständig außerhalb der US-Infrastruktur liegen. Wenn der EU-Kunde die Schlüssel im eigenen europäischen HSM hält, liefert eine CLOUD Act-Anfrage an den US-Anbieter nur Chiffretext. Der Anbieter kann nicht entschlüsseln. Die CLOUD Act-Anfrage ist technisch erfüllt; die DSGVO-Schutzpflicht bleibt architektonisch gewahrt. Architektur ermöglicht die gleichzeitige Einhaltung beider Gesetze – indem sie es technisch unmöglich macht, lesbare Inhalte bereitzustellen, die einen DSGVO-Verstoß darstellen würden.

Vier Compliance-Anforderungen, die US-Unternehmen erfüllen müssen

EU-Kundendaten durch Bereitstellungsarchitektur von US-Rechtszugriff trennen. Auf US-kontrollierter Infrastruktur gespeicherte personenbezogene EU-Daten – selbst in einem EU-Rechenzentrum – unterliegen weiterhin dem CLOUD Act über die Muttergesellschaft. Die Lösung ist eine Single-Tenant-Bereitstellung in Europa: Dedizierte Infrastruktur in einem EU-Rechenzentrum, betrieben von EU-Personal mit EU-Administrationszugriff, unter einer Vertragsstruktur, die die Daten der EU-Gerichtsbarkeit unterstellt. Das bedeutet die Wahl europäischer Cloud-Anbieter oder kundeneigener Infrastruktur für die EU-Bereitstellung – nicht die EU-Region eines US-Hyperscalers, die weiterhin unter US-Kontrolle steht.

Vom Kunden kontrollierte Verschlüsselung mit Schlüsseln außerhalb der US-Infrastruktur implementieren. Vom Kunden verwaltete Verschlüsselung (BYOK/BYOE) mit Schlüsseln, die vom EU-Kunden im eigenen europäischen HSM generiert und gespeichert werden – niemals an den US-Anbieter übermittelt –, schließt die CLOUD Act-Lücke architektonisch. Das US-Unternehmen kann im TIA darlegen, dass es technisch nicht in der Lage ist, lesbare EU-Kundendaten auf eine CLOUD Act-Anfrage hin bereitzustellen. Damit wird das TIA-Ergebnis von „wir haben vertragliche Maßnahmen“ (unzureichend) zu „wir sind technisch nicht in der Lage, einer Entschlüsselungsanfrage nachzukommen“ (ausreichend gemäß EDPB-Leitlinien).

Technisch durchgesetzte Datenlokalisierungskontrollen implementieren. Technisches Geofencing – Infrastrukturkontrollen, die verhindern, dass EU-Kundendaten außerhalb festgelegter EU-Regionen repliziert oder verarbeitet werden – erfüllt die EDPB-Anforderung nach technischen statt nur vertraglichen Residenzkontrollen. Vertragliche Zusagen ohne technische Durchsetzung genügen nach Schrems II nicht. Daten müssen architektonisch daran gehindert werden, die EU-Infrastruktur zu verlassen – unabhängig von administrativen Maßnahmen oder Konfigurationen.

Audit-Dokumentation für EU-DPA-Anfragen vorhalten. Artikel 30 der DSGVO verlangt Verzeichnisse von Verarbeitungstätigkeiten. NIS 2 und DORA übertragen Anforderungen an die Lieferkettenbewertung auf US-Anbieter für EU-regulierte Unternehmen. In jedem Fall gilt: Nachweisbare Evidenz – unveränderliche Audit-Trails, Architekturdokumentation, Schlüsselverwaltungsprotokolle und Transfer Impact Assessments. US-Unternehmen, die diese Nachweise bei einer Anfrage der Datenschutzbehörde eines EU-Kunden nicht liefern können, sind nicht compliant – unabhängig von Verträgen. Anforderungen an das Drittparteien-Risikomanagement bedeuten, dass EU-Kunden US-Anbieter bereits vor Vertragsabschluss genau an diesem Standard messen – nicht erst nach Vorfällen.

Branchenspezifische Pflichten, die US-Unternehmen nicht ignorieren dürfen

Die DSGVO ist die Basis, aber US-Unternehmen, die EU-Kunden in regulierten Branchen bedienen, stehen vor zusätzlichen Souveränitätsanforderungen. US-SaaS-Anbieter mit EU-Kunden aus dem Finanzsektor müssen DORA-Compliance als ICT-Drittanbieter adressieren – einschließlich der Vorgabe in Artikel 30, dass Verträge Datensouveränität, Schlüsselmanagement und Exit-Strategien regeln. US-Technologieunternehmen, die EU-Gesundheitsorganisationen bedienen, müssen nationale Gesundheitsdatengesetze über die DSGVO-Sonderkategorien hinaus beachten. US-Unternehmen, die EU-Behörden beliefern, unterliegen nationalen Beschaffungsvorgaben, die US-Anbieter unabhängig von vertraglichen Zusagen explizit ausschließen.

Die Supply-Chain-Sicherheitsvorgaben der NIS 2-Richtlinie sind besonders relevant: Sie verlangen von EU-regulierten Unternehmen, die Souveränitätsposition ihrer ICT-Lieferanten zu bewerten. US-Anbieter, die keine echte architektonische Souveränität – nicht nur DSGVO-Compliance-Dokumentation – nachweisen können, bestehen die Lieferantenbewertungen der EU-Kunden nicht. Der Verlust von EU-Großkunden, weil die Beschaffung feststellt, dass die CLOUD Act-Exponierung eines US-Anbieters ein inakzeptables Souveränitätsrisiko darstellt, ist eine immer häufigere Folge unzureichender Architektur.

Wie Kiteworks das Compliance-Paradoxon für US-Unternehmen löst

US-Unternehmen, die EU-Kunden bedienen, können sich nicht durch den Firmensitz der DSGVO entziehen, den CLOUD Act-Konflikt durch bessere Verträge lösen oder die TIA-Anforderungen nach Schrems II erfüllen, wenn EU-Daten unter US-Rechtskontrolle stehen. Der Compliance-Weg ist architektonisch: EU-Kundendaten werden durch echte europäische Bereitstellung von US-Rechtszugriff getrennt, kundengesteuerte Verschlüsselung macht Entschlüsselung für den US-Anbieter technisch unmöglich, und technische Residenzkontrollen machen die Einhaltung geografischer Vorgaben nachweisbar statt nur zugesichert.

US-Unternehmen, die dies richtig umsetzen, vermeiden Durchsetzungsrisiken und verschaffen sich Wettbewerbsvorteile in EU-Märkten, in denen Souveränität zunehmend Beschaffungsvoraussetzung ist. Kiteworks liefert die architektonische Souveränität, die echte EU-Compliance ermöglicht: Die Daten Ihrer EU-Kunden, unter deren Gerichtsbarkeit, verschlüsselt mit deren Schlüsseln, für niemanden zugänglich – auch nicht für US-Behörden – ohne deren Autorisierung.

Kiteworks wurde auf dem Prinzip aufgebaut, dass Daten unter der Kontrolle ihres Eigentümers bleiben sollten – in dessen Gerichtsbarkeit, verschlüsselt mit dessen Schlüsseln, für Unbefugte unzugänglich. Für US-Unternehmen, die EU-Kunden bedienen, bedeutet dieses Prinzip die architektonische Lösung des CLOUD Act/DSGVO-Konflikts.

Das Kiteworks Private Data Network wird als dedizierte Single-Tenant-Instanz im vom EU-Kunden gewählten europäischen Rechenzentrum bereitgestellt – in der eigenen Infrastruktur des Kunden, bei einem europäischen Cloud-Anbieter oder in von Kiteworks gehosteter EU-Infrastruktur. Keine geteilten Komponenten. Keine Verarbeitung von EU-Kundendaten in den USA. Vom Kunden verwaltete Verschlüsselung (BYOK/BYOE) mit FIPS 140-3 Level 1-validierter Verschlüsselung und AES-256 im ruhenden Zustand bedeutet: Der EU-Kunde hält die Schlüssel – Kiteworks kann Kundendaten nicht entschlüsseln. Eine CLOUD Act-Anfrage an Kiteworks liefert nur Chiffretext. Die US-Rechtspflicht ist technisch erfüllt; die DSGVO-Schutzpflicht bleibt architektonisch gewahrt.

Technisch durchgesetztes Geofencing stellt sicher, dass EU-Kundendaten die festgelegten europäischen Regionen nicht verlassen können und bietet die Residenzkontrollen, die post-Schrems II TIAs verlangen. Zero trust-Sicherheitsarchitektur steuert jeden Zugriff – auch administrative – und jede Aktion wird in einem unveränderlichen Audit-Trail erfasst, der über das CISO Dashboard einsehbar ist. Vorgefertigte Compliance-Berichte für DSGVO, NIS 2, DORA und ISO 27001 liefern EU-Kunden die Dokumentation, die sie für eigene DPA-Anfragen und Lieferantenbewertungen benötigen. Alle Kanäle – E-Mail, Filesharing, Managed File Transfer, Web-Formulare und APIs – werden auf einer Plattform mit einheitlichen Souveränitätskontrollen für jede Datenbewegung verwaltet.

Erfahren Sie, wie Kiteworks US-Unternehmen hilft, Data Sovereignty Compliance für EU-Kundenoperationen zu erreichen: Vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Ja. Artikel 3 der DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern im Zusammenhang mit der Bereitstellung von Waren oder Dienstleistungen oder der Verhaltensüberwachung verarbeitet – unabhängig vom Sitz des Unternehmens. Ein US-Unternehmen ohne EU-Präsenz, das Software an EU-Unternehmen verkauft, EU-Mitarbeiterdaten verarbeitet oder EU-Kundentransaktionen abwickelt, unterliegt der vollständigen DSGVO. Artikel 27 der DSGVO verlangt zudem von Unternehmen außerhalb der EU, die der DSGVO unterliegen, die Benennung eines EU-Vertreters, der DPA-Kommunikation empfangen kann. Die Durchsetzungspraxis der EU bestätigt dies: Datenschutzbehörden haben Nicht-EU-Unternehmen, die nur digitale Dienste ohne physische EU-Niederlassung betreiben, mit Bußgeldern belegt.

Der US CLOUD Act (2018) verpflichtet US-Unternehmen, auf gültige Anfragen der US-Regierung Daten bereitzustellen, die sie speichern oder kontrollieren – unabhängig vom physischen Speicherort. Die DSGVO verlangt von denselben Unternehmen, personenbezogene EU-Daten vor unbefugtem Zugriff ausländischer Behörden zu schützen. Der Konflikt ist strukturell: US-Recht verlangt Offenlegung, EU-Recht verlangt Schutz. Standardvertragsklauseln (SCCs) können das nicht lösen – sie binden die Parteien vertraglich, können aber US-Recht nicht aushebeln. Die einzige technische Lösung ist vom Kunden kontrollierte Verschlüsselung mit Schlüsseln außerhalb der US-Infrastruktur, sodass das US-Unternehmen technisch nicht in der Lage ist, lesbare personenbezogene EU-Daten auf eine CLOUD Act-Anfrage hin bereitzustellen.

Seit Schrems II (2020) reichen Standardvertragsklauseln (SCCs) allein nicht mehr aus. Unternehmen müssen zusätzlich Transfer Impact Assessments durchführen, um zu bewerten, ob US-Überwachungsrecht die Wirksamkeit der SCCs untergräbt. Wenn ein TIA aktives Risiko durch den US CLOUD Act oder FISA 702 feststellt – was bei jedem US-Anbieter der Fall ist –, verlangt der EDPB technische Zusatzmaßnahmen, die dieses Risiko adressieren. Vertragliche Zusatzmaßnahmen allein genügen nicht. Die erforderliche technische Maßnahme ist vom Kunden kontrollierte Verschlüsselung mit Schlüsseln außerhalb der US-Infrastruktur. US-Unternehmen, die sich ausschließlich auf SCCs verlassen, ohne diese architektonische Zusatzmaßnahme, erfüllen den Standard nach Schrems II nicht.

Single-Tenant-Bereitstellung in Europa bedeutet, dass EU-Kundendaten auf dedizierter Infrastruktur – nicht gemeinsam mit anderen Kunden – in einem bestimmten EU-Rechenzentrum gehostet werden, betrieben von EU-Personal unter EU-Administrationskontrolle. Für US-Unternehmen ist das relevant, weil das Hosting von EU-Daten in der EU-Region eines US-Hyperscalers die Daten weiterhin unter US-Kontrolle und damit unter die CLOUD Act-Jurisdiktion stellt. Single-Tenant-Bereitstellung bei einem europäischen Cloud-Anbieter oder auf kundeneigener EU-Infrastruktur trennt EU-Daten tatsächlich von US-Rechtszugriff. In Kombination mit vom Kunden kontrollierten Verschlüsselungsschlüsseln bildet dies die architektonische Grundlage für TIAs, die ehrlich feststellen können, dass das CLOUD Act-Risiko technisch mitigiert wurde.

Ein belastbares TIA erfordert vier Elemente: Ehrliche Risikoidentifikation (CLOUD Act und FISA 702 sind aktive Rechtsgrundlagen für erzwungene Offenlegung – das TIA muss dies anerkennen); Analyse technischer Zusatzmaßnahmen (vom Kunden kontrollierte Verschlüsselungsschlüssel außerhalb der US-Infrastruktur, mit dokumentierter Schlüsselverwaltungsarchitektur und HSM-Standort); Analyse der Residenzkontrollen (technisch durchgesetztes Geofencing mit dokumentiertem Geltungsbereich, nicht nur Richtlinienzusagen); und ein Fazit, dass technische Maßnahmen die identifizierten Rechtsrisiken wirkungslos machen, weil das Unternehmen technisch nicht in der Lage ist, lesbare Inhalte auf eine US CLOUD Act-Anfrage hin bereitzustellen. Kiteworks liefert vorgefertigte Compliance-Dokumentation – Architekturbelege, Schlüsselverwaltungsprotokolle und Audit-Trail-Pakete – zur Unterstützung jedes Elements dieser TIA-Struktur.

Weitere Ressourcen 

  • Blogbeitrag
    Data Sovereignty: a Best Practice or Regulatory Requirement?
  • eBook
    Data Sovereignty und DSGVO
  • Blogbeitrag
    Vermeiden Sie diese Data Sovereignty-Fallen
  • Blogbeitrag
    Data Sovereignty Best Practices
  • Blogbeitrag
    Data Sovereignty und DSGVO [Verständnis von Datensicherheit]

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks