Persönliche Erfahrungen
Ausführlicher Vergleich
Online-Shops nutzen häufig Tools und Dienstleister, die Daten außerhalb der EU oder des EWR verarbeiten oder von dort auf Systeme zugreifen. Datenschutzrechtlich wird das als Datenübermittlung in ein Drittland oder an eine internationale Organisation eingeordnet und unterliegt zusätzlichen Anforderungen, sofern personenbezogene Daten betroffen sind, was nahezu immer der Fall ist.
Für Shop-Betreiber ist das besonders relevant, weil Hosting, Newsletter-Tools, Helpdesks, Tracking, Support, Cloud-Dienste und Konzernzugriffe schnell einen Drittlandbezug auslösen können.
Rechtlich reicht dabei nicht aus, dass ein Dienstleister „EU-Hosting“ verspricht. Entscheidend ist, wo Daten tatsächlich verarbeitet werden, welche Unterauftragnehmer eingebunden sind und von wo aus Support oder Administration auf personenbezogene Daten zugreifen können. Wer diese Punkte sauber prüft und dokumentiert, reduziert Risiken bei Beschwerden, Aufsichtsbehörden und internen Audits.
Drittlandtransfers sind im Online-Shop meist kein reines Vertragsthema, sondern ein Zusammenspiel aus Tool-Auswahl, Technik, Dokumentation und transparenter Kommunikation.
Von einer Datenübermittlung in ein Drittland wird typischerweise gesprochen, wenn personenbezogene Daten aus dem Europäischen Wirtschaftsraum in ein Land außerhalb des EWR gelangen oder dort abrufbar werden. Ein Drittland ist dabei jeder Staat außerhalb von EU und EWR. Für die Praxis ist nicht nur der Sitz des Shop-Betreibers wichtig, sondern vor allem der tatsächliche Ort der Verarbeitung und des Zugriffs.
Ein Drittlandbezug kann deshalb auch dann vorliegen, wenn die Daten technisch in der EU gespeichert bleiben, aber Support, Administration oder konzerninterne Stellen aus einem Drittland auf diese Daten zugreifen können. Gerade in SaaS-, Cloud- und Plattform-Setups wird dieser Punkt häufig unterschätzt.
Die DSGVO behandelt internationale Datentransfers besonders streng, weil außerhalb des EWR ein anderes Datenschutzniveau gelten kann. Für Shop-Betreiber bedeutet das regelmäßig eine doppelte Prüfung: Zunächst muss die Verarbeitung als solche zulässig sein. Zusätzlich braucht es für den internationalen Transfer ein passendes Instrument nach Kapitel V DSGVO.
Wer nur auf die allgemeine Rechtsgrundlage schaut, aber den Drittlandtransfer ignoriert, hat die Prüfung nur halb durchgeführt. Genau deshalb sind internationale Tool-Stacks im Online-Shop datenschutzrechtlich oft komplexer als rein europäische Setups.
Ein Drittlandtransfer liegt nicht nur dann vor, wenn Daten aktiv „verschickt“ werden. Typische Fälle sind auch Fernwartung, Supportzugriffe, globale Unterauftragnehmer, ausländische Rechenzentren oder Tracking- und Marketingdienste, die Daten an Server außerhalb des EWR senden. Im Shop-Alltag betrifft das besonders häufig Hosting, Helpdesk, CRM, Newsletter, Analyse, Fraud-Prevention und Customer-Support.
Für eine belastbare Einordnung hilft ein Tool- und Datenflussinventar. Ohne diese Übersicht werden Drittlandzugriffe oft übersehen, obwohl sie technisch längst stattfinden.
| Konstellation | Drittlandbezug wahrscheinlich? | Typisches Risiko | Worauf Shop-Betreiber achten sollten |
|---|---|---|---|
| US-SaaS-Tool mit globalem Support | Häufig ja | Support- oder Konzernzugriffe aus dem Drittland | Transferinstrument, Unterauftragnehmer und Supportmodell prüfen |
| EU-Hosting mit Supportteam in Indien oder USA | Häufig ja | Fernzugriff trotz EU-Rechenzentrum | Nicht nur Serverstandort, sondern reale Zugriffskette bewerten |
| Tracking- oder Marketing-Pixel | Häufig ja | Datenabfluss an Drittanbieter und zusätzliche Consent-Probleme | Tag-Logik, Empfängerland und Einwilligungssteuerung zusammen prüfen |
| Newsletter-Tool mit Unterauftragnehmern weltweit | Je nach Setup ja | Unklare Subprozessoren und Speicherorte | Unterauftragnehmerlisten und Transfermechanismen dokumentieren |
| Reines EWR-Hosting ohne Drittzugriff | Eher nein | Späterer Ausbau wird übersehen | Änderungen bei Support, Konzernstruktur und Subdienstleistern im Blick behalten |
Der einfachste Weg für einen Drittlandtransfer ist ein Angemessenheitsbeschluss der EU-Kommission. Dann darf die Übermittlung grundsätzlich ohne zusätzliche Garantien nach Art. 46 DSGVO erfolgen, weil für das betreffende Land oder den betreffenden Bereich ein angemessenes Datenschutzniveau anerkannt ist. In der Praxis ist aber genau zu prüfen, ob der Beschluss wirklich für die konkrete Konstellation gilt.
Das ist wichtig, weil Angemessenheitsentscheidungen sachlich oder personell begrenzt sein können. Für die USA ist etwa nicht jeder Empfänger automatisch erfasst, sondern nur Organisationen, die im EU-U.S. Data Privacy Framework teilnehmen. Das Vereinigte Königreich bleibt aus EU-Sicht ein Drittland, ist aber weiterhin über einen Angemessenheitsbeschluss abgedeckt. Für Brasilien gibt es seit Februar 2026 ebenfalls einen Angemessenheitsbeschluss der EU-Kommission.
Gibt es keinen Angemessenheitsbeschluss, kommen in der Praxis häufig geeignete Garantien nach Art. 46 DSGVO in Betracht. Im Online-Shop sind vor allem die Standardvertragsklauseln der EU-Kommission relevant, weil sie bei internationalen SaaS-, Cloud- und Supportdiensten weit verbreitet sind. Bei konzerninternen Datenflüssen können auch Binding Corporate Rules eine Rolle spielen.
Wichtig ist aber: Standardvertragsklauseln sind kein Automatismus. Sie helfen nur, wenn sie korrekt ausgewählt, vollständig eingebunden und mit dem tatsächlichen Setup des Tools oder Dienstleisters abgestimmt werden. Wer einfach ein PDF ablegt, ohne die reale Verarbeitung zu prüfen, hat das Risiko meist nicht im Griff.
Seit Schrems II wird in der Praxis regelmäßig verlangt, dass Datenexporteure prüfen, ob das gewählte Transferinstrument im konkreten Empfängerland auch tatsächlich wirksam eingehalten werden kann. Genau deshalb spielt das sogenannte Transfer Impact Assessment, kurz TIA, in vielen Projekten eine zentrale Rolle. Es soll nachvollziehbar machen, ob Gesetze, Behördenzugriffe und die tatsächliche Zugriffslage das Datenschutzniveau beeinträchtigen könnten.
Für Shop-Betreiber ist das keine bloße Theorie. Das Ergebnis kann sehr praktisch sein: Ein Dienst wird nur mit EWR-Speicheroption genutzt, Supportzugriffe werden eingeschränkt, Verschlüsselung wird angepasst oder ein anderer Anbieter wird gewählt.
Ein TIA ist eine dokumentierte Risikoprüfung für einen konkreten Drittlandtransfer. Dabei wird bewertet, welche Daten übertragen werden, wer darauf zugreifen kann, welches Transferinstrument verwendet wird und ob im Empfängerland Risiken bestehen, die das Schutzniveau beeinträchtigen könnten. Das TIA soll keine akademische Ausarbeitung sein, sondern eine belastbare Entscheidungsgrundlage.
Je nach Ergebnis können ergänzende Maßnahmen nötig sein. Typische Beispiele sind starke Verschlüsselung mit Schlüsselhoheit im EWR, Pseudonymisierung, restriktive Supportprozesse, Logging, rollenbasierte Zugriffe oder die technische Vermeidung unnötiger Transfers. Welche Maßnahme passt, hängt stark vom konkreten Tool und den betroffenen Datenarten ab.
Wenn weder Angemessenheitsbeschluss noch geeignete Garantien greifen, kommen Ausnahmen nach Art. 49 DSGVO in Betracht. Diese Ausnahmen sind aber keine Standardlösung für dauerhaft eingesetzte Shop-Tools. Sie sind typischerweise eng auszulegen und eher für Einzelfälle oder gelegentliche Konstellationen gedacht.
Für Online-Shops ist das besonders wichtig, weil die Versuchung groß ist, regelmäßige Toolnutzung auf eine Einwilligung oder angebliche Vertragserforderlichkeit zu stützen. In der Praxis ist das oft riskant. Wer Art. 49 DSGVO nutzt, sollte besonders sorgfältig prüfen und dokumentieren, warum gerade diese Ausnahme im konkreten Fall wirklich einschlägig sein soll.
| Transferinstrument | Wann es typischerweise passt | Vorteil | Wichtige Grenze |
|---|---|---|---|
| Angemessenheitsbeschluss | Wenn das Empfängerland oder der Empfänger abgedeckt ist | Einfachster Weg | Gilt nur im konkreten Umfang des Beschlusses |
| Standardvertragsklauseln (SCC) | Häufig bei internationalen SaaS- und Cloud-Diensten | Weit verbreitet und standardisiert | Oft zusätzliche Prüfung und Maßnahmen nötig |
| Binding Corporate Rules (BCR) | Konzerninterne Transfers | Für Gruppenstrukturen geeignet | Aufwendig und eher für größere Gruppen relevant |
| Art. 49 DSGVO | Eher für Einzelfälle oder Ausnahmefälle | Kann Sonderkonstellationen auffangen | Keine belastbare Dauerlösung für Standard-Tool-Stacks |
Ein belastbares Drittlandtransfer-Setup entsteht selten durch einen einzelnen Vertrag. Sinnvoller ist ein wiederholbares Freigabe- und Prüfverfahren für neue Tools und Änderungen. Gerade im Marketing-, Analytics- und Support-Stack ändern sich Anbieter, Funktionen und Unterauftragnehmer regelmäßig.
Gerade bei neuen Marketing- oder Supporttools sollte diese Prüfung vor dem Livegang erfolgen. Sonst werden Drittlandtransfers oft erst entdeckt, wenn Beschwerden, Anbieterwechsel oder interne Audits bereits laufen.
Diese Annahmen führen in der Praxis regelmäßig zu Lücken in Datenschutzerklärung, Consent-Setup und Vertragsdokumentation. Gerade kleinere Shops mit vielen Standard-Tools sind davon oft genauso betroffen wie große Plattformen.
Ein Shop nutzt einen europäischen CRM-Anbieter und geht deshalb davon aus, dass kein Drittlandtransfer stattfindet. Bei einer späteren Prüfung stellt sich heraus, dass der Anbieter ein Ticketsystem eines US-Dienstleisters nutzt, Support aus einem Drittland zugreift und Protokolldaten in ein globales Monitoring-System fließen. Im Vertrag steht zwar etwas von „internationalen Unterauftragnehmern“, im internen Datenschutz-Setup war das aber nie sauber erfasst.
Das Problem liegt dann nicht nur im Vertrag, sondern in der fehlenden Gesamtsicht. Genau deshalb ist ein Tool- und Datenflussinventar so wichtig: Es zeigt, wo ein vermeintlich europäisches Setup in Wirklichkeit doch internationale Datenflüsse enthält.
Viele dieser Fehler lassen sich durch einen festen Onboarding-Prozess für neue Tools deutlich reduzieren. Besonders wirksam sind Standardfragen an Anbieter, eine technische Prüfung der Datenflüsse und eine nachvollziehbare interne Freigabedokumentation.
Ja. Das Vereinigte Königreich ist aus EU-Sicht ein Drittland. Für Datentransfers besteht aber weiterhin ein Angemessenheitsbeschluss, sodass Übermittlungen unter diesem Mechanismus grundsätzlich erleichtert sein können.
Ja. Für Brasilien besteht seit Februar 2026 ein Angemessenheitsbeschluss der EU-Kommission. Auch hier sollte trotzdem geprüft werden, ob die konkrete Verarbeitung tatsächlich unter den Beschluss fällt und wie der Anbieter sein Setup ausgestaltet.
In vielen Fällen nein. Standardvertragsklauseln sind häufig ein wichtiger Baustein, ersetzen aber nicht die Prüfung des konkreten Empfängerlandes und der tatsächlichen Zugriffssituation. Je nach Konstellation können zusätzliche Maßnahmen nötig sein.
Ein Transfer Impact Assessment ist eine dokumentierte Prüfung eines konkreten Drittlandtransfers. Es soll nachvollziehbar machen, welche Risiken bestehen und ob das gewählte Transferinstrument im konkreten Fall praktisch tragfähig ist.
Das ist meist riskant. Ausnahmen nach Art. 49 DSGVO sind typischerweise eng auszulegen und eher für Ausnahme- oder Einzelfälle gedacht. Für reguläre und wiederkehrende Tool-Stacks ist meist ein anderes Transferinstrument die tragfähigere Lösung.
In der Datenschutzerklärung sollte transparent gemacht werden, ob Daten in Drittländer übermittelt werden und auf welcher Grundlage dies geschieht. Unklare oder unzutreffende Angaben führen in der Praxis häufig zu Rückfragen und Beschwerden.
Der wichtigste erste Schritt ist ein vollständiges Tool- und Datenflussinventar. Erst wenn klar ist, welche Anbieter welche Daten wohin übertragen und von wo aus zugreifen, lassen sich Rechtsgrundlage, Transferinstrument und Dokumentation belastbar aufbauen.
Datenübermittlung in Drittländer
Hinweis: Dieser Beitrag dient der allgemeinen Information für Online-Shop-Betreiber in Deutschland und ersetzt keine Rechtsberatung im Einzelfall.
Die Inhalte auf rechtstexte-onlineshops.de verbinden redaktionelle Recherche, Praxisbeobachtung und die Auswertung einschlägiger Quellen. Ziel ist eine realistische Orientierung für Shop-Betreiber, keine Einzelfallberatung.
Transparenz: Die Inhalte werden redaktionell erstellt und überprüft. Maßgeblich sind dabei rechtliche Quellen, praktische Erfahrungen aus Shop-Projekten und die Frage, welche Informationen für Shop-Betreiber im Alltag tatsächlich hilfreich sind.