Gilt die DSGVO für mein US-SaaS, wenn meine Server in den USA stehen?

Ja, wenn Sie unter Artikel 3(2) fallen: Sie verarbeiten personenbezogene Daten von Personen in der Union im Zusammenhang mit (a) dem Anbieten von Waren oder Dienstleistungen an sie, unabhängig von einer Zahlung, oder (b) der Beobachtung ihres Verhaltens in der Union. Indizien für das Anbieten von Dienstleistungen sind EU-Sprachlokalisierung, Preise in EUR, EU-Kundenreferenzen, eine EU-Domain oder auf die EU ausgerichtetes Marketing. Eine reine US-Website, die zufällig einen EU-Besucher erhält, fällt nicht in den Anwendungsbereich; ein SaaS mit einer deutschen Preisseite und EUR-Stripe-Checkout schon. Der Serverstandort ist nach Artikel 3 irrelevant.

Was ist die Pflicht zum EU-Vertreter nach Artikel 27?

Nicht-EU-Verantwortliche und -Auftragsverarbeiter, die Artikel 3(2) unterliegen, müssen schriftlich einen Vertreter in der Union benennen (Artikel 27(1)), es sei denn, die Verarbeitung erfolgt nur gelegentlich, umfasst keine umfangreiche Verarbeitung besonderer Kategorien oder strafrechtlicher Daten und führt voraussichtlich nicht zu einem Risiko für Rechte und Freiheiten (Artikel 27(2)(a)). Für die meisten B2B-SaaS gilt diese Ausnahme nicht. Der Vertreter muss in einem Mitgliedstaat niedergelassen sein, in dem sich betroffene Personen befinden, muss befugt sein, alle DSGVO-Angelegenheiten im Namen des Verantwortlichen zu bearbeiten, und ist die Anlaufstelle für Aufsichtsbehörden und betroffene Personen. Das Jahresbudget für einen externen Vertreter liegt typischerweise bei 1.200–6.000 EUR.

Was gilt für US-Datentransfers nach Schrems II?

Drei Optionen. (1) Angemessenheitsbeschluss: Das im Juli 2023 angenommene EU-US Data Privacy Framework (DPF) hat die Angemessenheit für selbstzertifizierte US-Importeure wiederhergestellt; prüfen Sie die DPF-Liste und verlassen Sie sich nur auf zertifizierte Stellen. (2) Standardvertragsklauseln (Durchführungsbeschluss 2021/914 der Kommission), ergänzt durch eine Transfer-Folgenabschätzung gemäß den EDSA-Empfehlungen 01/2020. (3) Verbindliche interne Datenschutzvorschriften nach Artikel 47 für konzerninterne Transfers, langsam einzurichten. Das DPF ist der günstigste Weg, wenn Ihr Stack auf DPF-zertifizierten Anbietern läuft (AWS, GCP, Azure, Microsoft 365, OpenAI, Anthropic, Salesforce usw.); SCCs+TIA decken alles andere ab. Die Gültigkeit des DPF wurde 2025 in einem Verfahren vor dem Gericht bestätigt, doch ist eine Schrems-III-Vorlage anhängig; setzen Sie das Unternehmen nicht allein auf die Angemessenheit.

Wie lautet die Frist zur Meldung von Datenschutzverletzungen?

Artikel 33(1): Der Verantwortliche muss die federführende Aufsichtsbehörde unverzüglich und, wo machbar, spätestens 72 Stunden nach Bekanntwerden über eine Verletzung des Schutzes personenbezogener Daten informieren. Verspätete Meldungen bedürfen einer Begründung. Artikel 33(2): Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich informieren. Artikel 34: Hat die Verletzung voraussichtlich ein hohes Risiko für Rechte und Freiheiten zur Folge, sind die betroffenen Personen unverzüglich in klarer und einfacher Sprache zu benachrichtigen. Artikel 33(5) verlangt eine interne Dokumentation jeder Verletzung, ob meldepflichtig oder nicht. Rechnen Sie mit einer 72-Stunden-Uhr, die auch Wochenenden einschließt.

DSGVO für US-Gründer, die in die EU verkaufen — ein praktischer Leitfaden 2026

Q: Welche Rechtsgrundlage soll ich verwenden?

Artikel 6(1) führt sechs Grundlagen auf. Für B2B-SaaS: Vertragserfüllung (Artikel 6(1)(b)) für die zur Leistungserbringung erforderliche Verarbeitung; berechtigte Interessen (Artikel 6(1)(f)) für Produktanalysen, Sicherheitsüberwachung, Betrugsprävention und den Großteil des B2B-Marketings — dokumentiert in einer Abwägung der berechtigten Interessen; Einwilligung (Artikel 6(1)(a)) nur, wenn andere Grundlagen nicht greifen, da die Einwilligung nach Artikel 7(3) jederzeit widerrufen werden kann. Besondere Kategorien nach Artikel 9 (Gesundheit, biometrische Daten, Rasse usw.) erfordern eine gesonderte Grundlage nach Artikel 9(2) — in der Regel die ausdrückliche Einwilligung nach 9(2)(a) oder ein erhebliches öffentliches Interesse nach 9(2)(g).

Q: Brauche ich eine DSFA?

Nach Artikel 35(1) ist eine Datenschutz-Folgenabschätzung erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten zur Folge hat, insbesondere bei Verwendung neuer Technologien. Artikel 35(3) nennt verbindliche Auslöser: systematische und umfangreiche automatisierte Entscheidungen mit rechtlichen oder ähnlich erheblichen Auswirkungen auf Personen, umfangreiche Verarbeitung besonderer Kategorien nach Artikel 9 oder strafrechtlicher Daten nach Artikel 10, systematische Überwachung öffentlich zugänglicher Bereiche. Die EDSA-Leitlinien 4/2017 ergänzen Kriterien: Scoring, automatisierte Entscheidungsfindung, systematische Überwachung, sensible Daten, große Mengen, Abgleich/Kombination von Datensätzen, schutzbedürftige betroffene Personen, innovative Nutzung, Verhinderung der Rechtsausübung oder Vertragserfüllung. Zwei oder mehr Kriterien lösen typischerweise eine DSFA aus.

Sophie Laurent Legal & Compliance Lead, YuSMP Group · Praktikerin für DSGVO, HIPAA und EU-KI-Verordnung

Gilt die DSGVO für Sie? Extraterritorialer Anwendungsbereich nach Artikel 3

Artikel 3 der Verordnung (EU) 2016/679 hat drei Tatbestände, von denen zwei die meisten US-SaaS erfassen:

Artikel 3(1) — Niederlassung. Gilt für die Verarbeitung im Rahmen der Tätigkeiten einer EU-Niederlassung, unabhängig davon, wo die Verarbeitung stattfindet. Ein einzelner EU-Mitarbeiter kann nach der Rechtssache C-230/14 Weltimmo eine Niederlassung begründen.
Artikel 3(2)(a) — Anbieten von Waren oder Dienstleistungen an betroffene Personen in der Union. Indizien nach Erwägungsgrund 23 und den EDSA-Leitlinien 3/2018: EU-Sprachlokalisierung, Preise in EUR, EU-Kundenreferenzen, EU-Domain, Erwähnung von EU-Nutzern im Marketing, EU-Kundensupport, auf die EU ausgerichtete Werbung. Eine reine US-Website, die zufällig EU-Traffic erhält, fällt nicht in den Anwendungsbereich. Ein SaaS mit einer deutschen Preisseite und EUR-Abrechnung fällt eindeutig darunter.
Artikel 3(2)(b) — Beobachtung des Verhaltens betroffener Personen in der Union. Verhaltensbasierte Werbung, Fingerprinting, Standortverfolgung, auf EU-Nutzer ausgerichtete Marktforschungsumfragen.

Der Serverstandort ist nach Artikel 3 irrelevant. Ebenso das Fehlen einer juristischen Person in der EU. Fallen Sie unter 3(2), gilt die gesamte Verordnung, und Sie müssen einen Vertreter in der Union nach Artikel 27 benennen (vorbehaltlich der engen Ausnahme nach Artikel 27(2)).

Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche — klären Sie zuerst die Rolle

Ihre Pflichten hängen von Ihrer Rolle ab. Eine falsch bestimmte Rolle verursacht mehr Durchsetzungsärger als jedes Versagen einer technischen Kontrolle.

Verantwortlicher (Artikel 4(7)) — bestimmt Zwecke und Mittel der Verarbeitung. Ein B2C-SaaS ist gegenüber seinen Endnutzern der Verantwortliche für deren Daten.
Auftragsverarbeiter (Artikel 4(8)) — verarbeitet im Auftrag eines Verantwortlichen. Ein B2B-SaaS ist gegenüber den Endnutzerdaten seiner Kunden typischerweise der Auftragsverarbeiter; der Kunde ist Verantwortlicher.
Gemeinsam Verantwortliche (Artikel 26) — zwei oder mehr Stellen bestimmen gemeinsam Zwecke und Mittel. Das EuGH-Urteil in der Rechtssache C-40/17 Fashion ID brachte Tracking-Pixel-Szenarien in den Bereich der gemeinsamen Verantwortlichkeit. Gemeinsam Verantwortliche müssen ihre Zuständigkeiten in einer transparenten Vereinbarung festlegen und deren Wesentliches den betroffenen Personen zugänglich machen.

Die meisten US-B2B-SaaS-Gründer nehmen fälschlich an, sie seien für alles „nur Auftragsverarbeiter“. In der Regel sind sie Verantwortlicher für Abrechnung, Account-Management, Marketing, Sicherheitstelemetrie und nur Auftragsverarbeiter für die vom Kunden gespeicherten Geschäftsdaten. Bilden Sie beide Rollen pro Verarbeitungstätigkeit ab, nicht pro Unternehmen.

Rechtsgrundlagen nach Artikel 6 und besondere Kategorien nach Artikel 9

Artikel 6(1) führt sechs Rechtsgrundlagen auf. Für B2B-SaaS sind die praktikablen:

Grundlage	Verwenden für	Fallstricke
6(1)(a) Einwilligung	Marketing-E-Mails, optionale Cookies, optionale Analysen	Strenge Bedingungen nach Artikel 7; jederzeit widerrufbar; granular; nicht mit AGB gebündelt
6(1)(b) Vertrag	Leistungserbringung, Abrechnung, Account-Management	Strenger Erforderlichkeitstest; „Verbesserung des Dienstes“ qualifiziert nicht (EDSA-Leitlinien 2/2019)
6(1)(c) Rechtliche Verpflichtung	Steuerunterlagen, AML/KYC, Finanzberichterstattung	Nennen Sie das konkrete Gesetz in Ihrer ROPA
6(1)(f) Berechtigte Interessen	Produktanalysen, Sicherheit, Betrug, B2B-Marketing, Konzernbetrieb	Dreistufiger Test, dokumentierte LIA; Widerspruchsrecht nach Artikel 21; nicht verfügbar für Behörden

Besondere Kategorien nach Artikel 9 (Gesundheit, biometrische Identifikatoren zur Identifizierung, rassische/ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Sexualleben und sexuelle Orientierung, genetische Daten) erfordern zusätzlich zu Artikel 6 eine Grundlage nach Artikel 9(2). Standard: ausdrückliche Einwilligung nach 9(2)(a). Strafrechtliche Daten nach Artikel 10 haben ihr eigenes Regime in Artikel 10.

Daten von Kindern (unter 16, von Mitgliedstaaten auf 13–16 herabgesetzt) nach Artikel 8: Bei Diensten der Informationsgesellschaft, die direkt Kindern angeboten werden, ist die Einwilligung der Eltern erforderlich.

Die sieben Grundsätze nach Artikel 5, die Ihr Engineering erfüllen muss

Artikel 5(1) führt sieben Grundsätze auf; Artikel 5(2) macht Sie für den Nachweis der Einhaltung rechenschaftspflichtig.

Rechtmäßigkeit, Fairness, Transparenz — Transparenz bei der Erhebung nach Artikel 13–14; Datenschutzhinweis in einfacher Sprache.
Zweckbindung — für festgelegte, eindeutige, legitime Zwecke erhoben; nicht in unvereinbarer Weise weiterverarbeitet.
Datenminimierung — angemessen, relevant, auf das Notwendige beschränkt. Engineering: erheben Sie keine Felder „nur für den Fall“.
Richtigkeit — sachlich richtig und aktuell gehalten, mit Berichtigungsmechanismen.
Speicherbegrenzung — in identifizierbarer Form nicht länger als nötig aufbewahrt. Engineering: automatisierte Aufbewahrung, harte Löschungen, keine Soft-Deletes.
Integrität und Vertraulichkeit — Sicherheit durch technische und organisatorische Maßnahmen (Artikel 32).
Rechenschaftspflicht — Sie müssen die Einhaltung nachweisen. ROPA (Artikel 30), Richtlinien, Schulungen, Nachweise.

Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen operationalisiert diese: Datenschutzmaßnahmen standardmäßig und durch Gestaltung, standardmäßig nur die notwendigen personenbezogenen Daten verarbeitet. Der deutsche Durchsetzungsfokus auf Artikel 25 war 2024–2025 scharf.

Internationale Transfers: DPF, SCCs 2021/914, TIA, BCRs

Kapitel V (Artikel 44–50) beschränkt Übermittlungen personenbezogener Daten in Drittländer. Nachdem Schrems II (EuGH-Rechtssache C-311/18) 2020 den Privacy Shield für ungültig erklärte, wurde der Rahmen um drei Werkzeuge neu aufgebaut:

Angemessenheitsbeschluss. Artikel 45. Das EU-US Data Privacy Framework, angenommen durch den Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10. Juli 2023, hat die Angemessenheit für personenbezogene Daten, die an DPF-zertifizierte US-Importeure übermittelt werden, wiederhergestellt. Überprüfen Sie die Zertifizierung unter dataprivacyframework.gov; der Zertifizierungsstatus kann erlöschen. Das DPF überstand 2025 seine erste Anfechtung vor dem Gericht (Rechtssache T-553/23 La Quadrature du Net), doch ist eine Schrems-III-Vorlage anhängig; setzen Sie das Unternehmen nicht allein auf die Angemessenheit.
Standardvertragsklauseln. Der Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 enthält vier Module: C2C, C2P, P2P, P2C. Wählen Sie das zum Rollenpaar passende Modul. Verwenden Sie die Andockklausel für mehrparteiige Deployments. Erforderlich ist eine Ergänzung durch eine Transfer-Folgenabschätzung gemäß den EDSA-Empfehlungen 01/2020 — bewerten Sie das Recht des Drittlands, insbesondere den behördlichen Zugriff (FISA 702, EO 12333 für die USA), und ergänzen Sie zusätzliche Maßnahmen (Verschlüsselung mit Schlüsseln in der EU, Pseudonymisierung, vertragliche Maßnahmen), wo das Recht unzureichend ist.
Verbindliche interne Datenschutzvorschriften. Artikel 47. Für konzerninterne Transfers; langsam einzurichten (typischerweise 18–36 Monate), aber dauerhaft.
Ausnahmen nach Artikel 49. Ausdrückliche Einwilligung, Vertragserforderlichkeit, wichtiges öffentliches Interesse usw. Strikt erforderlich, nicht für systematische Transfers.

EU-Vertreter (Artikel 27) und die DSB-Frage (Artikel 37)

Zwei verschiedene Rollen, oft vermengt.

EU-Vertreter (Artikel 27) — erforderlich für Nicht-EU-Verantwortliche und -Auftragsverarbeiter, die Artikel 3(2) unterliegen, sofern nicht die enge Ausnahme greift. Muss in einem Mitgliedstaat niedergelassen sein, in dem sich betroffene Personen befinden, muss befugt sein, DSGVO-Angelegenheiten zu bearbeiten, und ist die Anlaufstelle für Aufsichtsbehörden und betroffene Personen. Externe Dienste kosten 1.200–6.000 EUR pro Jahr. Führen Sie Ihren Vertreter in Ihrem Datenschutzhinweis und auf Ihrer Website auf.

Datenschutzbeauftragter (Artikel 37) — nur verpflichtend, wenn (a) Sie eine Behörde sind, (b) die Kerntätigkeiten in umfangreicher regelmäßiger und systematischer Überwachung bestehen (z. B. Adtech, Telematik) oder (c) die Kerntätigkeiten in umfangreicher Verarbeitung besonderer Kategorien nach Artikel 9 oder strafrechtlicher Daten nach Artikel 10 bestehen. Die meisten B2B-SaaS brauchen keinen verpflichtenden DSB, viele bestellen jedoch freiwillig einen als Signal. Artikel 38 schützt den DSB vor Weisungen bezüglich seiner Aufgaben und vor Abberufung wegen ihrer Wahrnehmung; Artikel 39 führt die DSB-Aufgaben auf.

Betroffenenrechte und die Antwort-Uhr

Die Artikel 12–22 gewähren Rechte, und Artikel 12(3) legt die Antwort-Uhr fest: ein Monat ab Eingang des Antrags, verlängerbar um zwei weitere Monate für komplexe Anträge mit Hinweis innerhalb des ersten Monats. Kostenlos, sofern nicht offenkundig unbegründet oder exzessiv.

Auskunft nach Artikel 15 — Kopie der personenbezogenen Daten, Verarbeitungszwecke, Kategorien, Empfänger, Aufbewahrung, Quelle, Logik automatisierter Entscheidungsfindung.
Berichtigung nach Artikel 16.
Löschung nach Artikel 17 („Recht auf Vergessenwerden“) — mit engen Ausnahmen.
Einschränkung nach Artikel 18.
Artikel 19 — Benachrichtigung der Empfänger über Berichtigung, Löschung, Einschränkung.
Datenübertragbarkeit nach Artikel 20 — maschinenlesbarer Export für Daten, die die betroffene Person bereitgestellt hat.
Widerspruch nach Artikel 21 — absolutes Recht bei Direktmarketing; Abwägungstest bei Verarbeitung nach Artikel 6(1)(f).
Artikel 22 — keinen ausschließlich automatisierten Entscheidungen mit rechtlichen oder ähnlich erheblichen Auswirkungen unterworfen, abgesehen von engen Ausnahmen; Recht auf menschliches Eingreifen.

Engineering-Konsequenz: Bauen Sie früh ein Portal für Betroffenenanträge. Automatisch generierte, identitätsgeprüfte Abläufe sparen über die Jahre Hunderte Stunden und belegen Artikel 25.

DSGVO-Engineering-Team prüft Abläufe für Betroffenenanträge — Das DSAR-Portal ist die DSGVO-Engineering-Investition mit dem geringsten Aufwand und der höchsten Hebelwirkung. Bauen Sie es im ersten Sprint des EU-Launches.

DSFAs (Artikel 35) und wann Sie tatsächlich eine brauchen

Artikel 35(1) verlangt eine DSFA, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten zur Folge hat. Artikel 35(3) nennt drei verbindliche Auslöser (systematische und umfangreiche automatisierte Entscheidungen mit erheblichen Auswirkungen; umfangreiche Verarbeitung besonderer Kategorien oder strafrechtlicher Daten; systematische Überwachung öffentlich zugänglicher Bereiche). Die EDSA-Leitlinien 4/2017 ergänzen neun Kriterien; zwei oder mehr ist die praktische Schwelle.

Artikel 35(7) verlangt, dass die DSFA Folgendes umfasst: systematische Beschreibung der Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikobewertung, Maßnahmen zur Risikominderung. Artikel 36 verlangt eine vorherige Konsultation der Aufsichtsbehörde, wenn das Restrisiko nach Risikominderung hoch bleibt.

Speichern Sie Ihre DSFAs versioniert im selben Repository wie Ihren Code. Prüfer lieben versionierte DSFAs, die sich mit Releases aktualisieren.

Meldung von Datenschutzverletzungen: die 72-Stunden-Uhr (Artikel 33–34)

Artikel 33(1): Der Verantwortliche meldet jede Verletzung des Schutzes personenbezogener Daten unverzüglich und, wo machbar, spätestens 72 Stunden nach Bekanntwerden an die federführende Aufsichtsbehörde. Eine verspätete Meldung erfordert eine begründete Rechtfertigung. Artikel 33(2): Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich.

Artikel 34: Hat die Verletzung voraussichtlich ein hohes Risiko für Rechte und Freiheiten zur Folge, sind die betroffenen Personen unverzüglich in klarer und einfacher Sprache zu benachrichtigen. Der Safe Harbor für verschlüsselte Daten besteht nach Artikel 34(3)(a) nur, wenn auf die betreffenden Daten angemessene technische Maßnahmen (einschließlich Verschlüsselung) angewandt wurden.

Artikel 33(5): interne Dokumentation jeder Verletzung — gemeldet oder nicht — zur Rechenschaftspflicht nach Artikel 5(2).

Planen Sie das Runbook für einen Freitagabend-Vorfall, denn dann treten sie auf. EU-Aufsichtsbehörden zählen die Wochenendstunden mit.

Sicherheit nach Artikel 32: was 2026 als gut gilt

Artikel 32 verlangt dem Risiko angemessene technische und organisatorische Maßnahmen, je nach Eignung einschließlich: Pseudonymisierung und Verschlüsselung (32(1)(a)), Vertraulichkeit/Integrität/Verfügbarkeit/Belastbarkeit (32(1)(b)), zeitnahe Wiederherstellung von Verfügbarkeit und Zugang nach einem Vorfall (32(1)(c)), regelmäßige Überprüfung der Wirksamkeit (32(1)(d)).

Der faktische Mindeststandard 2026:

ISO/IEC 27001:2022-Zertifizierung oder SOC-2-Type-II-Bericht.
TLS 1.2+ überall; AES-256 im Ruhezustand; KMS-verwaltete Schlüssel.
MFA für jeden privilegierten Zugriff.
Mandantenisolierung in mandantenfähigem SaaS, mit dokumentiertem Bedrohungsmodell.
Jährlicher Penetrationstest durch einen unabhängigen Dritten.
Tabletop-Incident-Response zweimal pro Jahr.
Dokumentierter Aufbewahrungsplan mit automatisierter Durchsetzung.

Durchsetzungsrealität: die Rechtsprechung 2024–2026

Die Ära nach Schrems II brachte eine anhaltende Durchsetzung. Bemerkenswerte Muster:

Meta — 1,2 Mrd. EUR (irische DPC, Mai 2023) für US-Transfers ohne angemessenen Mechanismus. Höchste DSGVO-Strafe bislang.
Durchsetzung bei Cookie-Bannern — CNIL (Frankreich) und Garante (Italien) verhängen aktiv Bußgelder für Dark Patterns, Verstöße gegen die gleichrangige Darstellung und Transferbedenken bei Google Analytics 4.
Kinderdaten und Adtech — Bußgelder gegen TikTok, Instagram, ByteDance im Bereich von 245–405 Mio. EUR.
Automatisierte Entscheidungen nach Artikel 22 — das SCHUFA-Urteil (EuGH C-634/21, 2023) erweiterte, was als „Entscheidung“ nach Artikel 22 gilt; SaaS-Scoring-Funktionen fallen nun eindeutig in den Anwendungsbereich.
Kleinere Bußgelder gegen KMU — Aufsichtsbehörden haben die Bereitschaft gezeigt, Unternehmen jeder Größe mit Bußgeldern zu belegen; „wir sind klein“ ist keine Verteidigung.

Sanktionen nach Artikel 83: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für die meisten Auftragsverarbeiter- und Verfahrensverstöße; bis zu 20 Mio. EUR oder 4 % für Verstöße gegen Grundprinzipien, Rechtsgrundlage, Betroffenenrechte, Transfers und Anordnungen der Aufsichtsbehörde.

Wenn Sie einen EU-Launch umreißen oder ein DSGVO-Programm sanieren, führen wir zweiwöchige Gap-Assessments zum Festpreis über die DSGVO-Compliance-Beratung durch; wir kombinieren sie meist mit SaaS-Entwicklung oder individueller Softwareentwicklung. Für Gründer ohne internen Compliance-Verantwortlichen ist ein Fractional CTO mit ausgelieferter DSGVO-Erfahrung in der Regel schneller als ein rein anwaltlich getragenes Programm. Das Umreißen von KI-Funktionen für EU-Launches greift mit unserer Arbeit zur EU-AI-Act-Compliance ineinander.

FAQ

Gilt die DSGVO für mein US-SaaS?

Ja, wenn Artikel 3(2) Sie erfasst — das Anbieten von Waren oder Dienstleistungen an betroffene Personen in der EU (Preise in EUR, Lokalisierung, auf die EU ausgerichtetes Marketing) oder die Beobachtung ihres Verhaltens. Der Serverstandort ist irrelevant.

Was ist die Pflicht zum EU-Vertreter?

Artikel 27 verlangt von Nicht-EU-Verantwortlichen und -Auftragsverarbeitern im Anwendungsbereich von Artikel 3(2), schriftlich einen Vertreter in der Union zu benennen, der von Aufsichtsbehörden und betroffenen Personen erreichbar ist. Externe Vertreterdienste kosten 1.200–6.000 EUR/Jahr.

Welche Rechtsgrundlage soll ich verwenden?

Artikel 6(1)(b) Vertrag für die Leistungserbringung, (f) berechtigte Interessen für Produktanalysen, Sicherheit, Betrug, B2B-Marketing, (a) Einwilligung nur, wenn andere nicht greifen. Besondere Kategorien nach Artikel 9 ergänzen eine gesonderte Grundlage nach Artikel 9(2).

Brauche ich eine DSFA?

Wenn die verbindlichen Auslöser nach Artikel 35(3) greifen oder zwei oder mehr Kriterien der EDSA-Leitlinien 4/2017, ja. Bauen Sie die DSFA in den Release-Prozess ein; versionieren Sie sie mit dem Code.

Wie übermittle ich Daten in die USA?

DPF-Angemessenheit für DPF-zertifizierte Importeure; SCCs 2021/914 + TIA für Nicht-DPF; BCRs für konzerninterne Transfers. Verlassen Sie sich bei systematischen Transfers nicht auf die Ausnahmen nach Artikel 49.

Wie lautet die Uhr zur Meldung von Datenschutzverletzungen?

72 Stunden ab Bekanntwerden an die federführende Aufsichtsbehörde (Artikel 33); unverzüglich an die betroffenen Personen bei hohem Risiko (Artikel 34). Dokumentieren Sie alle Verletzungen, ob meldepflichtig oder nicht (Artikel 33(5)).

Die DSGVO ist eine Betriebsdisziplin, kein Vertragszusatz

US-Gründer, die die DSGVO als Beschaffungs-Checkliste behandeln, stoßen immer an dieselbe Wand: ein Durchsetzungsverfahren, ausgelöst durch einen fehlenden EU-Vertreter, eine veraltete ROPA oder einen Wechsel des Unterauftragsverarbeiters, den niemand verfolgt hat. Die Teams, die sauber ausliefern, behandeln die DSGVO wie SOC 2 — ein fortlaufendes, nachweisproduzierendes Programm, das fest im SDLC verankert ist. Wir helfen, es so aufzubauen.

Zuletzt aktualisiert am 26. Mai 2026. Verweise beziehen sich auf die Verordnung (EU) 2016/679 und die zitierten Durchführungsbeschlüsse der Kommission. Nichts in diesem Artikel stellt eine Rechtsberatung für einen konkreten Fall dar.