Envelope

Mail senden

Phone

Jetzt anrufen!

DSGVO Drittlandübermittlung: EuGH klärt Newsletter & US-Tools

DSGVO Drittlandübermittlung

DSGVO Drittlandübermittlung vor dem EuGH: Reicht Art 44 ff bei US-Dienstleistern – und wann ist die Newsletter-Einwilligung wirklich „informiert“?

DSGVO Drittlandübermittlung: Cloud, Newsletter, Support-Tickets: Unternehmen lagern Datenverarbeitung täglich an Dienstleister aus. Doch genau hier stellt sich eine Grundsatzfrage, die der Europäische Gerichtshof (EuGH) nun klären soll: Genügt es, dass der Auftragsverarbeiter vertraglich eingebunden ist – oder braucht die Weitergabe an ihn zusätzlich eine eigene Rechtsgrundlage nach Art 6 DSGVO? Und zweitens: Ist eine Newsletter-Einwilligung nur dann wirksam, wenn Betroffene vorab wissen, dass ein Dienstleister in einem Drittland (etwa in den USA) eingesetzt wird?

Was dem EuGH vorliegt – ein Praxisfall mit Folgen

Ein Verbraucher kaufte eine Hardware-Wallet für Krypto-Werte und registrierte sich 2021 für einen Newsletter. Der Versand lief über einen US-Dienstleister; die Datenübermittlung stützte das Unternehmen auf EU-Standardvertragsklauseln. Im Double-Opt-in bestätigte der Kunde die Anmeldung – im kleingedruckten, englischsprachigen Text stand der Hinweis auf die Verarbeitung beim US-Anbieter. Der Kunde las das nicht; nach eigener Darstellung hätte er sonst nicht zugestimmt.

2022 kam es zu einem Sicherheitsvorfall beim US-Dienstleister. Unter anderem wurden E‑Mail- und IP-Daten abgegriffen. Kurz darauf erhielt der Kunde eine täuschend echte Phishing-Mail, gab aus Sorge seinen „Recovery Seed“ ein und verlor seine Krypto-Werte. Er klagte das Unternehmen auf Schadenersatz. Während das Erstgericht einen DSGVO-Verstoß mit 50 % Mitverschulden des Kunden annahm, hob das Berufungsgericht die Entscheidung auf und verwies zurück – insbesondere, um die Standardvertragsklauseln genauer zu prüfen. Der Oberste Gerichtshof (OGH) legte schließlich dem EuGH zwei Kernfragen vor und setzte das Verfahren aus.

Die zwei Schlüsselfragen an den EuGH

Der OGH möchte wissen:

  • Braucht die Weitergabe personenbezogener Daten vom Verantwortlichen an einen Auftragsverarbeiter eine eigene Rechtsgrundlage nach Art 6 DSGVO?
  • Falls nein: Ist eine Einwilligung in einen Newsletter nur dann „informiert“ (und damit wirksam), wenn die betroffene Person vorab weiß, dass ein Auftragsverarbeiter in einem Drittland (zum Beispiel USA) eingesetzt wird?

Brisant ist auch der Hinweis des OGH: Sollten Datenweitergaben an Auftragsverarbeiter tatsächlich eine eigene Art‑6‑Rechtsgrundlage benötigen, könnten die vom Unternehmen angeführten Rechtsgrundlagen – bezogen auf die Übermittlung an den US-Dienstleister – nicht tragen. Das beträfe gängige Praxis wie E‑Mail-Marketing, Cloud-Speicher oder Supportsysteme – und damit in vielen Fällen gerade die DSGVO Drittlandübermittlung.

Wo steht das im Gesetz? Einordnung ohne Juristendeutsch

Die DSGVO baut auf wenigen Grundpfeilern auf – hier sind drei davon entscheidend:

  • Art 6 DSGVO (Rechtsgrundlagen): Jede Verarbeitung personenbezogener Daten braucht eine Rechtfertigung, etwa Einwilligung, Vertragserfüllung oder berechtigte Interessen.
  • Art 28 DSGVO (Auftragsverarbeitung): Setzt ein Unternehmen einen Dienstleister ein, muss es ihn vertraglich binden. Der Auftragsverarbeiter handelt weisungsgebunden und darf Daten nur nach Vorgaben des Verantwortlichen verarbeiten.
  • Art 44 ff DSGVO (Drittlandübermittlungen): Gehen Daten außerhalb der EU/EWR, braucht es zusätzliche Garantien – häufig EU-Standardvertragsklauseln. Je nach Land kommen weitere Sicherungen in Betracht.

Unklar ist bisher, ob die Weitergabe an den Auftragsverarbeiter selbst eine separate Art‑6‑Rechtsgrundlage braucht oder ob Art 28 samt (bei Bedarf) Art 44 ff ausreichen. Genau das soll der EuGH nun beantworten – mit unmittelbarer Relevanz für die DSGVO Drittlandübermittlung in der Praxis.

Ebenso offen: Wie „informiert“ muss eine Einwilligung sein, wenn ein Unternehmen ein Newsletter-Tool außerhalb der EU nutzt? Grundsätzlich verlangt die DSGVO transparente Information, wozu Daten verarbeitet werden und wer sie erhält – inklusive Drittlandbezug. Ob eine Einwilligung ohne klaren Hinweis auf den Drittland-Einsatz unwirksam ist, wird der EuGH präzisieren.

Warum das Sie direkt betrifft

Die Antworten werden den Alltag vieler Betroffener und Unternehmen prägen. Drei typische Situationen:

  • Newsletter-Anmeldung: Sie tragen Ihre E‑Mail-Adresse ein. Reicht der allgemeine Hinweis „Wir nutzen einen Versanddienstleister“ – oder müssen Sie bereits an dieser Stelle klar über die Verarbeitung in den USA informiert werden, damit Ihre Einwilligung gilt und die DSGVO Drittlandübermittlung transparent ist?
  • Cloud-Speicher und Support: Rechnungen, Support-Tickets oder Protokolle laufen über Tools mit Servern außerhalb der EU. Wenn zusätzlich eine Art‑6‑Rechtsgrundlage für die Weitergabe nötig wäre, geraten viele gängige Setups ins Wanken – insbesondere überall dort, wo eine DSGVO Drittlandübermittlung stattfindet.
  • Schaden nach Datenpanne: Kommt es zu einem Leak beim Dienstleister und daraus erwächst ein konkreter Schaden (etwa Phishing-Verlust), können Ansprüche nach Art 82 DSGVO bestehen. Gleichzeitig kann ein Mitverschulden die Höhe reduzieren – zum Beispiel, wenn sensible Zugangsdaten trotz Warnzeichen preisgegeben werden.

Praxis kompakt: Was Sie jetzt tun können

  • Vor dem Klicken lesen: Prüfen Sie bei Newsletter-Formularen die Hinweise zum Einsatz von Dienstleistern und zu möglichen Drittlandübermittlungen. Achten Sie auf Links „Datenschutz“, „Newsletter-Dienstleister“, „USA“.
  • Widerruf ist jederzeit möglich: Eine Einwilligung können Sie ohne Angabe von Gründen widerrufen. Nutzen Sie den Abmeldelink oder schreiben Sie dem Unternehmen.
  • Auskunft verlangen (Art 15 DSGVO): Erkundigen Sie sich, an wen Ihre Daten übermittelt werden, ob ein Drittlandtransfer stattfindet und auf welcher Grundlage (z. B. Standardvertragsklauseln). Bitten Sie um Kopie zentraler Informationen – gerade wenn Sie eine DSGVO Drittlandübermittlung vermuten.
  • Vorfall dokumentieren: Bei Phishing oder Datenschutzvorfällen: E‑Mails, Header, Screenshots, Zeitpunkte und Kommunikation sichern. Das erleichtert die Geltendmachung von Ansprüchen.
  • Beschwerde erwägen: Neben zivilrechtlichen Schritten können Sie sich bei der Datenschutzbehörde beschweren, wenn Sie Unregelmäßigkeiten vermuten.
  • Nie den Recovery Seed teilen: Im Krypto-Bereich gilt: Seed-Phrase niemals eingeben – weder per E‑Mail noch auf verlinkten Websites. Offizielle Anbieter fragen danach nicht.

Rechtsanwalt Wien: Unternehmen im Blick – Hausaufgaben bis zum EuGH-Urteil

Auch für Verantwortliche besteht Handlungsbedarf – unabhängig vom ausstehenden Urteil:

  • Transparenztexte schärfen: Einwilligungs- und Datenschutzhinweise klar, verständlich und gut sichtbar formulieren. Drittlandbezug nicht verstecken – keine rein englischen Kleinsttexte ohne gleichwertige Information, insbesondere bei DSGVO Drittlandübermittlung.
  • Auftragsverarbeitungsverträge prüfen: Saubere Art‑28-Verträge, technische und organisatorische Maßnahmen, klare Weisungen.
  • Drittland-Transfers absichern: Standardvertragsklauseln aktuell implementieren, Transfer-Folgenabschätzungen dokumentieren und Schutzmaßnahmen ergänzen, wo nötig – zentral für jede DSGVO Drittlandübermittlung.
  • Phishing-Resilienz erhöhen: SPF/DKIM/DMARC, Warn-Banner für externe Absender, Meldewege und Nutzerhinweise – gerade bei Krypto- oder Finanzprodukten.

FAQ: Die häufigsten Sorgen – kurz beantwortet

Ist meine Newsletter-Anmeldung gültig, wenn der USA-Hinweis fehlte?

Das kommt auf die konkrete Information an. Die DSGVO verlangt eine informierte Einwilligung. Ob ein fehlender, klarer Hinweis auf den Einsatz eines Drittland-Dienstleisters die Einwilligung unwirksam macht, wird der EuGH klären. Fehlt Transparenz, kann das aber rechtlich problematisch sein – insbesondere im Kontext der DSGVO Drittlandübermittlung.

Kann ich Schadenersatz verlangen, wenn meine E‑Mail bei einem Leak landet?

Art 82 DSGVO sieht Schadenersatz bei Verstößen vor. Ob und in welcher Höhe, hängt von mehreren Faktoren ab: rechtswidrige Verarbeitung, Kausalität und konkreter Schaden. Eigenes Mitverschulden – etwa das Eingeben sensibler Daten trotz Warnsignalen – kann Ansprüche mindern.

Wie finde ich heraus, ob ein US-Dienstleister meine Daten erhält?

Fragen Sie nach und stellen Sie ein Auskunftsbegehren nach Art 15 DSGVO. Unternehmen müssen Empfänger bzw. Empfängerkategorien benennen und Drittlandübermittlungen transparent machen – inklusive der eingesetzten Garantien (z. B. Standardvertragsklauseln). Das ist ein Kernpunkt jeder DSGVO Drittlandübermittlung.

Ich habe in einem Double-Opt-in auf „Ja“ geklickt, aber den englischen Kleingedruckten nicht gelesen. Bin ich gebunden?

Grundsätzlich gilt: Wer einwilligt, ist gebunden – aber nur, wenn die Einwilligung informiert, freiwillig, eindeutig und spezifisch ist. Ob ein versteckter oder schwer verständlicher Hinweis genügt, ist Teil der aktuellen Rechtsunsicherheit und Gegenstand der EuGH-Vorlage.

Ausblick: Was der EuGH entscheiden könnte – und warum das groß wird

Die Entscheidung wird Standards setzen – quer durch Branchen und Tools. Sollte eine eigene Art‑6‑Rechtsgrundlage für jede Weitergabe an Auftragsverarbeiter verlangt werden, müssten viele Outsourcing-Prozesse neu gedacht werden. Bestätigt der EuGH hingegen, dass Art 28 (und bei Drittländern Art 44 ff) genügt, bleibt der Fokus auf sauberer Auftragsverarbeitung und belastbaren Drittlandgarantien. In jedem Fall gilt: Transparente, leicht verständliche Einwilligungen bei Newslettern werden wichtiger denn je – und die DSGVO Drittlandübermittlung rückt weiter in den Mittelpunkt.

Jetzt handeln – wir unterstützen Sie

Sind Sie betroffen oder unsicher, ob Ihre Daten rechtmäßig an einen Dienstleister – möglicherweise in die USA – übermittelt werden? Lassen Sie Ihre Situation prüfen. Durch jahrelange anwaltliche Praxis setzen wir Ihre Datenschutzrechte konsequent durch, holen Auskünfte ein, bewerten Drittlandübermittlungen und machen Schadenersatzansprüche geltend, wenn sie bestehen.

Als erfahrener Rechtsanwalt berät die Kanzlei Pichler Betroffene und Unternehmen zu DSGVO, Newsletter-Einwilligungen, DSGVO Drittlandübermittlung und Auftragsverarbeitung. Sie erreichen uns unter 01/5130700 oder per E‑Mail an wien@anwaltskanzlei-pichler.at.

Zur Entscheidung.

Stand: Juni 2026.

Rechtliche Hilfe benötigt?

Kontaktieren Sie unsere Rechtsanwaltskanzlei in 1010 Wien: Beratungstermin vereinbaren.

Das könnte Sie ebenfalls interessieren

Verwandte Entscheidungen

Dieser mit KI-Unterstützung erstellte Beitrag dient ausschließlich der allgemeinen Information über das österreichische Recht. Er stellt keine Rechtsberatung im Sinne der RAO dar und ersetzt nicht die individuelle anwaltliche Beratung . Die Anwendung gesetzlicher Bestimmungen und höchstgerichtlicher Judikatur auf einen konkreten Lebenssachverhalt erfordert stets eine einzelfallbezogene Prüfung durch einen Rechtsanwalt. Durch das Lesen, Speichern, Teilen oder Weiterleiten dieses Beitrags kommt kein Auftrags- oder Beratungsverhältnis mit der Pichler Rechtsanwalt GmbH oder einer ihrer Rechtsanwältinnen oder Rechtsanwälte zustande. Ein Mandat entsteht ausschließlich nach individueller Beauftragung. Soweit dieser Beitrag auf Entscheidungen des OGH, EuGH oder anderer Gerichte Bezug nimmt, geben wir die jeweilige Geschäftszahl und allenfalls einen Direktlink zum Rechtsinformationssystem des Bundes (RIS) an. Maßgeblich ist stets der vollständige Wortlaut der Originalentscheidung, nicht die Zusammenfassung in diesem Beitrag. Für eine auf Ihren konkreten Sachverhalt zugeschnittene Beurteilung vereinbaren Sie bitte eine Erstberatung , schreiben Sie an wien@anwaltskanzlei-pichler.at oder rufen Sie uns unter 01/5130700 an.