Die Nutzung von Cloud-Diensten ist für Unternehmen längst Alltag. Doch seit dem Schrems-II-Urteil des Europäischen Gerichtshofs im Jahr 2020 steht eine Frage im Raum, die viele Geschäftsführer verunsichert: Ist die Nutzung von US-Cloud-Diensten wie Microsoft 365, Google Workspace oder Amazon AWS überhaupt noch DSGVO-konform?
Die kurze Antwort: Es ist kompliziert. Die ausführliche Antwort finden Sie in diesem Artikel – zusammen mit konkreten Handlungsempfehlungen für den Mittelstand.
Was hat sich durch Schrems II geändert?
Im Juli 2020 erklärte der Europäische Gerichtshof das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig. Dieses Abkommen war die rechtliche Grundlage, auf der europäische Unternehmen personenbezogene Daten in die USA übermitteln durften. Mit einem Schlag war diese Grundlage weg.
Der Grund: Die US-Überwachungsgesetze – insbesondere Section 702 des FISA und der CLOUD Act – ermöglichen es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden. Und zwar unabhängig davon, wo auf der Welt die Server stehen. Dieses Zugriffsrecht ist mit den Grundrechten der EU-Bürger auf Datenschutz nicht vereinbar.
Das EU-US Data Privacy Framework: Problem gelöst?
Im Juli 2023 wurde das EU-US Data Privacy Framework als Nachfolger des Privacy Shield eingeführt. Viele Unternehmen atmeten auf. Doch Datenschutzexperten und der Aktivist Max Schrems selbst warnen: Das neue Framework hat die grundlegenden Probleme nicht gelöst. Die US-Überwachungsgesetze bestehen unverändert fort. Ein erneutes Urteil des EuGH – ein sogenanntes Schrems III – wird von vielen Juristen als wahrscheinlich angesehen.
Für Ihr Unternehmen bedeutet das: Das Data Privacy Framework bietet aktuell eine rechtliche Grundlage, aber keine Rechtssicherheit. Wer sich allein darauf verlässt, geht ein kalkuliertes Risiko ein.
Welche Risiken bestehen konkret?
Bußgelder bei DSGVO-Verstößen
Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. In der Praxis wurden bereits Bußgelder im Millionenbereich verhängt. Auch mittelständische Unternehmen sind betroffen: Die Datenschutzbehörden der Länder sind aktiv und prüfen zunehmend auch kleinere Unternehmen.
Haftung der Geschäftsführung
Ein Aspekt, den viele Geschäftsführer unterschätzen: Datenschutzverstöße können zur persönlichen Haftung führen. Wenn nachweisbar ist, dass die Geschäftsführung die Risiken kannte, aber keine Maßnahmen ergriffen hat, können Schadensersatzansprüche gegen die handelnden Personen geltend gemacht werden.
Vertrauensverlust bei Kunden und Partnern
In Branchen mit hoher Sensibilität für Datenschutz – Gesundheitswesen, Rechtsberatung, Finanzdienstleistungen – ist der Umgang mit Daten ein Vertrauensfaktor. Kunden und Geschäftspartner erwarten zunehmend, dass ihre Daten sicher und DSGVO-konform verarbeitet werden. Wer das nicht gewährleisten kann, verliert im Wettbewerb.
Was können Unternehmen konkret tun?
Option 1: US-Cloud-Dienste mit Einschränkungen weiter nutzen
Wenn Sie US-Cloud-Dienste weiterhin nutzen möchten, sollten Sie zusätzliche Schutzmaßnahmen implementieren: Standardvertragsklauseln abschließen, Transfer Impact Assessments durchführen, Verschlüsselung einsetzen und die Datenverarbeitung soweit möglich auf EU-Server beschränken. Dieser Weg ist aufwändig, bietet aber keine vollständige Rechtssicherheit, solange US-Behörden theoretisch Zugriff erhalten können.
Option 2: Auf europäische Cloud-Anbieter wechseln
Europäische Cloud-Anbieter unterliegen ausschließlich europäischem Recht. Es gibt keine Zugriffsmöglichkeit durch US-Behörden. Anbieter wie Hetzner, Ionos oder OVH betreiben Rechenzentren ausschließlich in der EU und bieten professionelle Cloud-Infrastruktur.
Option 3: Eigene Infrastruktur aufbauen
Die konsequenteste Lösung: Sie betreiben Ihre IT-Infrastruktur auf eigenen oder dedizierten Servern in Deutschland. Open-Source-Software wie Nextcloud, Collabora und Jitsi bietet Ihnen den gleichen Funktionsumfang wie die großen US-Cloud-Dienste – vollständig unter Ihrer Kontrolle, vollständig DSGVO-konform.
Diese Option ist besonders attraktiv für Unternehmen, die mit besonders sensiblen Daten arbeiten: Arztpraxen, Kanzleien, Steuerberater, Ingenieurbüros mit vertraulichen Projekten oder Unternehmen mit öffentlichen Aufträgen.
Für welche Branchen ist das besonders relevant?
Gesundheitswesen: Patientendaten unterliegen besonderem Schutz. Die Nutzung von US-Cloud-Diensten für medizinische Daten ist mit erheblichen rechtlichen Risiken verbunden.
Rechtsberatung: Die anwaltliche Schweigepflicht erfordert, dass Mandantendaten vor dem Zugriff Dritter geschützt sind – auch vor dem Zugriff durch ausländische Behörden.
Finanzdienstleistungen: Regulatorische Anforderungen (BaFin, EBA) verlangen einen besonders sorgfältigen Umgang mit Kundendaten.
Öffentliche Aufträge: Unternehmen, die für Behörden arbeiten, müssen zunehmend nachweisen, dass ihre IT-Infrastruktur die Anforderungen an digitale Souveränität erfüllt.
Fazit: Handeln Sie, bevor Sie handeln müssen
Die rechtliche Situation rund um US-Cloud-Dienste und DSGVO ist nicht stabil. Das aktuelle Data Privacy Framework kann jederzeit gekippt werden. Unternehmen, die proaktiv auf datenschutzkonforme Infrastruktur umsteigen, stehen besser da als solche, die im Ernstfall unter Zeitdruck reagieren müssen.
Der Umstieg muss nicht über Nacht passieren. Aber er sollte geplant werden. Und je früher Sie damit beginnen, desto einfacher und kostengünstiger ist der Prozess.
Sie möchten wissen, wie Sie Ihre IT-Infrastruktur DSGVO-sicher aufstellen? Bei NexaStack helfen wir Ihnen, eine Lösung zu finden, die rechtssicher, leistungsfähig und bezahlbar ist. Jetzt informieren.