Datenübermittlungen unter der DSGVO sind das einzige Compliance-Risiko, das du wegarchitektieren kannst

Der größte Teil des DSGVO-Risikos ist verfahrensbedingt — ein Hinweis, den du umschreiben kannst, eine Aufbewahrungsfrist, die du verkürzen kannst, ein Einwilligungsfluss, den du korrigieren kannst. Internationale Datenübermittlungen sind anders. Sie hängen von einem Rechtsinstrument ab, das du nicht kontrollierst und nicht patchen kannst, und dieses Instrument wurde innerhalb eines Jahrzehnts zweimal gekippt. Die einzige dauerhafte Lösung ist architektonisch: die Daten gar nicht erst zu übermitteln.

Der Übermittlungsmechanismus bricht immer wieder zusammen

Kapitel V der DSGVO verbietet die Übermittlung personenbezogener Daten in ein Land ohne angemessenes Schutzniveau, sofern du keinen gültigen Übermittlungsmechanismus hast. Für EU-US-Datenflüsse hat dieser Mechanismus einen Friedhof. Der EuGH erklärte 2015 das Safe Harbour (Schrems I) und 2020 das Privacy Shield (Schrems II) für ungültig, beide deshalb, weil das US-Überwachungsrecht EU-Bürgern keinen echten Rechtsbehelf bot.

Das aktuelle Instrument ist der EU-US-Datenschutzrahmen (DPF), der 2023 angenommen wurde. Am 3. September 2025 wies das Gericht der EU die erste Anfechtung dagegen ab, in der Rechtssache Latombe gegen Kommission (Rechtssache T-553/23), und bestätigte den Angemessenheitsbeschluss der Kommission.

Damit ist die Geschichte nicht zu Ende. Latombe legte am 31. Oktober 2025 Rechtsmittel beim Gerichtshof ein, und noyb — die Organisation von Max Schrems — hat signalisiert, dass sie eine umfassendere Anfechtung des DPF auf denselben Überwachungsgründen vorbereitet, die die letzten beiden Rahmen versenkten. Das Gericht, das Safe Harbour und Privacy Shield zu Fall brachte, wird erneut hinsehen.

Warum das gerade Analytics trifft

Analytics ist der häufigste Weg, auf dem eine kleine EU-Website unbemerkt eine US-Übermittlung vornimmt. Der Browser sendet ein Ereignis; ein in den USA ansässiger Analytics-Anbieter erhält die IP-Adresse des Besuchers und Verhaltensdaten auf US-Infrastruktur. Das ist eine Übermittlung personenbezogener Daten, und sie erbt jeden Rechtsstatus, den der DPF an einem beliebigen Tag gerade hat.

Aufsichtsbehörden behandelten dies bereits als rechtswidrig, bevor es den DPF überhaupt gab. Nach den koordinierten Beschwerden von noyb entschied die österreichische DSB 2022, dass EU-US-Übermittlungen über Google Analytics gegen Kapitel V verstießen, und die Datenschutzbehörden in Frankreich, Italien, Dänemark, Finnland, Schweden und Norwegen folgten mit derselben Begründung. Dass die IP-Adresse auf US-Server gelangte, reichte aus.

Erklärt der EuGH den DPF für ungültig, werden diese Entscheidungen über Nacht erneut zur Vorlage — für jedes Tool, das EU-Besucherdaten weiterhin in die USA leitet.

Das Risiko wegarchitektieren

Du kannst den DPF nicht stabiler machen. Du kannst aber einen Datenfluss bauen, der von vornherein gar keine Kapitel-V-Exposition hat. Zwei Eigenschaften schaffen das:

Am Edge verarbeiten, innerhalb der Region. Cloudflares Data Localization Suite erlaubt es einem Worker, Verarbeitung und Logs auf EU-Rechenzentren zu beschränken, sodass die Anfrage die Region, aus der sie stammt, nie verlässt. Die Entscheidung darüber, wo Daten verarbeitet werden, wird zur Infrastrukturkonfiguration statt zu einem Rechtsinstrument, dessen Überleben in der Berufung du nur hoffen kannst.

Die identifizierenden Eingaben niemals speichern. Die rohe IP und der User-Agent, die eine Anfrage zu „personenbezogenen Daten" machen, existieren nur so lange im Speicher, wie es dauert, einen täglichen Besucher-Hash zu berechnen, und werden dann verworfen:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

Gespeichert wird der Hash, nicht die Eingaben. Da der Salt täglich rotiert und geheim ist, lässt sich der Hash weder auf eine Einzelperson zurückführen noch tageübergreifend verknüpfen. Es gibt kein Profil, und nichts Identifizierendes überquert jemals eine Grenze, weil nichts Identifizierendes jemals aufbewahrt wird.

Du kannst die Geografie des Flusses direkt auf der Leitung überprüfen. Ein Seitenaufruf-Beacon ist eine einzige Anfrage an einen First-Party-Endpunkt, den du kontrollierst:

POST /collect HTTP/2
Host: api.monoid.website
Content-Type: application/json

{"site_id":"...","path":"/pricing","referrer":"..."}

Löst api.monoid.website auf EU-Edge-Knoten auf und bindet der Worker seinen Speicher an die EU, gibt es keinen US-Auftragsverarbeiter im Pfad, keinen Angemessenheitsbeschluss, auf den man sich stützen müsste, und keine Übermittlung, die offenzulegen wäre. Das Land des Besuchers kommt weiterhin durch — abgeleitet aus der Geolokalisierung des Edge selbst, nicht daraus, die IP an einen Dritten zu schicken.

Die Compliance-Haltung, die daraus entsteht

Eine Übermittlung, die du nie vornimmst, ist eine Übermittlung, die du nie verteidigen musst. Es gibt keinen DPF, den du in deinem Verarbeitungsverzeichnis zitieren müsstest, keine Standardvertragsklauseln zu pflegen, keine Transfer-Folgenabschätzung, die du neu erstellen müsstest, wenn sich die Rechtsgrundlage verschiebt, und keinen Unterauftragsverarbeiter in einem Drittland, den du nach den Transparenzregeln offenlegen müsstest, die die Aufsichtsbehörden 2026 prüfen.

Jede andere Analytics-Compliance-Aufgabe ist etwas, das du immer wieder tust. Die Übermittlung zu eliminieren, ist etwas, das du einmal in der Architektur erledigst und dann nicht mehr bedenkst — unabhängig davon, wie der EuGH über die Berufung entscheidet.

Quellen

• Gerichtshof der EU — Pressemitteilung: Das Gericht weist die Klage Latombe ab (Rechtssache T-553/23)
• IAPP — Europäisches Gericht weist Latombe-Anfechtung ab und bestätigt den EU-US-Datenschutzrahmen
• noyb — Österreichische DSB: EU-US-Datenübermittlungen an Google Analytics sind rechtswidrig
• noyb — Weitere EU-Datenschutzbehörden ordnen einen Stopp von Google Analytics an
• Cloudflare — Data Localization Suite