Datenschutz & Compliance

US-Cloud-Dienste ohne Prüfung nutzen: Was dabei schiefgeht

7 Min. Lesezeit
Kurze Antwort

Ein EU-Rechenzentrum allein macht einen US-Cloud-Dienst nicht DSGVO-konform. Entscheidend ist, ob US-Behörden auf die Daten zugreifen können – und das können sie durch den CLOUD Act in vielen Fällen.

EuGH-Urteil Schrems II (C-311/18, 16.07.2020): Das Privacy Shield-Abkommen zwischen EU und USA ist ungültig. Datenübermittlungen in die USA sind seitdem nur unter strengen Auflagen erlaubt. Zahlreiche europäische Behörden haben seither konkrete Cloud-Dienste verboten oder mit Bußgeldern belegt.

Warum das EU-Rechenzentrum-Argument nicht trägt

Die häufigsten Fehler beim Einsatz von US-Cloud-Diensten

  1. Fehler 1 – Kein Auftragsverarbeitungsvertrag

    Viele Unternehmen nutzen SaaS-Dienste, ohne einen gültigen AVV mit dem Anbieter abgeschlossen zu haben. Dieser ist nach Art. 28 DSGVO zwingend erforderlich. Ohne AVV ist die gesamte Datenverarbeitung über diesen Dienst rechtswidrig.

  2. Fehler 2 – SCCs als Selbstläufer behandeln

    Standard-Datenschutzklauseln (SCCs) der EU-Kommission sind ein anerkanntes Transferinstrument nach Art. 46 DSGVO. Sie funktionieren aber nicht automatisch: Für jede Drittlandsübermittlung muss ein Transfer Impact Assessment (TIA) durchgeführt werden. Dieses Dokument fehlt in fast allen KMU.

  3. Fehler 3 – Unterauftragnehmer nicht prüfen

    Ihr Cloud-Anbieter nutzt seinerseits Subunternehmer – oft weltweit. Microsoft nennt in seinen Datenschutzunterlagen hunderte Unterauftragnehmer. Auch diese müssen DSGVO-konform eingebunden sein. Prüfen Sie, ob Ihr Anbieter eine aktuelle Liste veröffentlicht.

  4. Fehler 4 – Sensible Daten unverschlüsselt ablegen

    Selbst bei rechtlich akzeptablen Transferinstrumenten empfehlen Aufsichtsbehörden, besonders sensible Daten nur verschlüsselt in US-Cloud-Diensten zu speichern – mit Schlüsseln, die ausschließlich der europäische Nutzer kontrolliert (Client-Side-Encryption oder BYOK).

  5. Fehler 5 – Datenschutzerklärung nicht aktualisieren

    Wenn Sie personenbezogene Daten in die USA übermitteln, müssen Sie das in Ihrer Datenschutzerklärung transparent machen und die Rechtsgrundlage der Übermittlung benennen. Fehlende oder unvollständige Angaben sind ein eigenständiger DSGVO-Verstoß.

Aktuelle Behördenentscheidungen

Die österreichische Datenschutzbehörde hat 2022 Google Analytics als rechtswidrig eingestuft. Die französische CNIL hat dasselbe festgestellt. Die bayerische Datenschutzaufsicht hat kommunale Behörden aufgefordert, Microsoft 365 zu überprüfen. Diese Entscheidungen haben Signalwirkung auch für Unternehmen in anderen Bundesländern.

Sofortmaßnahmen für Unternehmen mit US-Cloud-Diensten

  • AVV mit jedem US-Anbieter prüfen und ggf. nachfordern – Anbieter stellen diese meist online bereit
  • Transfer Impact Assessment (TIA) für alle Drittlandsübermittlungen dokumentieren
  • Datenschutzerklärung: alle US-Dienste mit Rechtsgrundlage der Übermittlung eintragen
  • Für besonders sensible Daten: Client-Side-Encryption oder Wechsel auf EU-Alternative prüfen
  • Unterauftragnehmer-Listen der Anbieter archivieren und bei Änderungen neu bewerten

Prävention: So wählen Sie Cloud-Dienste DSGVO-konform aus

Data-Mapping als Basis

Erstellen Sie ein Daten-Transfer-Register: Eine einfache Tabelle mit Spalten Dienst, Anbieter, Sitz, Datenkategorie, Rechtsgrundlage der Übermittlung, AVV vorhanden, TIA vorhanden. Dieses Dokument ist die Grundlage für Ihre Datenschutzerklärung, das Verarbeitungsverzeichnis und mögliche Behördenanfragen.

Wir analysieren Ihre genutzten Cloud-Dienste auf DSGVO-Konformität und zeigen, wo Handlungsbedarf besteht – mit konkreten Lösungen statt juristischem Fachchinesisch.

Jetzt beraten lassen

Häufige Fragen

Was ist das Schrems-II-Urteil und was bedeutet es für mein Unternehmen?
Der EuGH hat am 16.07.2020 das Privacy Shield-Abkommen für ungültig erklärt. Datenübermittlungen in die USA brauchen seitdem eine andere Rechtsgrundlage, typischerweise Standard-Datenschutzklauseln plus Transfer Impact Assessment.
Was ist der CLOUD Act und warum ist er für die DSGVO relevant?
Der US CLOUD Act von 2018 verpflichtet US-Unternehmen, US-Behörden auf Anfrage Zugang zu gespeicherten Daten zu geben – auch wenn diese in EU-Rechenzentren liegen. Das steht im Widerspruch zur DSGVO.
Reichen Standard-Datenschutzklauseln für die Nutzung von US-Cloud-Diensten?
SCCs sind ein anerkanntes Transferinstrument, funktionieren aber nicht automatisch. Zusätzlich ist ein Transfer Impact Assessment erforderlich, das die tatsächliche Wirksamkeit der SCCs im Einzelfall prüft.
Welche europäischen Alternativen gibt es zu gängigen US-Cloud-Diensten?
Nextcloud statt Google Drive, Matomo statt Google Analytics, Brevo statt Mailchimp, Hetzner statt AWS und Azure, Open-Xchange statt Microsoft 365. Die Wahl hängt von den konkreten Anforderungen ab.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Auftragsverarbeitung: Welche Verträge Unternehmen mit ihren Dienstleistern brauchen
6 Min. Lesezeit
Digitalisierung & KI
Cloud-Migration: Strategien, Kosten und die häufigsten Fehler
10 Min. Lesezeit
Digitalisierung & KI
KI-Tools datenschutzkonform einsetzen: Der praktische Leitfaden für Unternehmen
8 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen