DSGVO und Cloud: AVV, Drittlandtransfer

Stell dir vor, du übergibst deinem Steuerberater alle Kontoauszüge, Belege und persönlichen Daten deiner Mitarbeiter. Was machst du? Du schließt einen schriftlichen Vertrag mit ihm, in dem genau geregelt ist was er mit den Daten machen darf, wie er sie schützt und an wen er sie weitergeben darf. Bei Cloud-Anbietern ist das genauso – nur dass dort hunderte oder tausende Datensätze von Kunden, Mitarbeitern oder Bewerbern verarbeitet werden. Und es gibt ein Gesetz das dich dazu zwingt, diese Verträge abzuschließen: die DSGVO.

Sobald personenbezogene Daten in der Cloud verarbeitet werden – und das ist fast immer der Fall – gilt die DSGVO. Das gilt für deutsche und europäische Unternehmen ohne Ausnahme, sogar für kleine Handwerksbetriebe. Für Cloud-Nutzung bedeutet das zwei zentrale Pflichten: Ein Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Anbieter und – wenn Daten außerhalb des EWR verarbeitet werden – ein gültiger Drittlandtransfer-Mechanismus. Das Thema ist seit dem Schrems-II-Urteil des EuGH (2020) besonders heikel.

1) Der Auftragsverarbeitungsvertrag (AVV) – Pflichtdokument Nr. 1

Wenn dein Unternehmen Cloud-Dienste nutzt, ist der Cloud-Anbieter automatisch Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Das bedeutet: er verarbeitet personenbezogene Daten in deinem Auftrag und nach deinen Weisungen. Dafür braucht es einen schriftlichen Vertrag – den AVV. Ohne AVV ist die Datenverarbeitung in der Cloud ein DSGVO-Verstoß. Die Beziehung sieht so aus:

Die AVV-Beziehung: wer ist wer?

🏢

Du als Unternehmen

VERANTWORTLICHER
(Art. 4 Nr. 7 DSGVO)

↔

AVV
Auftragsverarbeitungs-
vertrag

☁️

Cloud-Anbieter

AUFTRAGSVERARBEITER
(Art. 4 Nr. 8 DSGVO)

Glücklicherweise stellen die Hyperscaler Standard-AVVs bereit, die du nur noch unterzeichnen oder akzeptieren musst: AWS: AWS Data Processing Addendum (DPA) – automatisch Teil der AWS-AGB. Microsoft: Microsoft Products and Services Data Protection Addendum. Google Cloud: Google Cloud Platform Data Processing Addendum. Bei kleineren Anbietern musst du den AVV-Text genauer prüfen – manchmal sind die Standardklauseln nicht ausreichend.

Der AVV regelt unter anderem: Welche Daten werden verarbeitet? Zu welchem Zweck? Wie lange? Welche technischen und organisatorischen Maßnahmen (TOMs) trifft der Anbieter? Wo werden die Daten verarbeitet? Welche Sub-Auftragsverarbeiter (Subunternehmer) werden eingesetzt? Mehr Details dazu findest du in der eigenen AVV-Lektion in K05.

2) Drittlandtransfer – die DSGVO-Weltkarte

Die DSGVO unterteilt Länder in drei Kategorien für den Datentransfer. Je nach Kategorie sind unterschiedliche Schutzmaßnahmen erforderlich. Stell dir das wie Zonen vor: In manchen Ländern bist du sofort sicher (EU/EWR), in manchen mit etwas Aufwand (angemessenes Datenschutzniveau), und in manchen brauchst du zusätzliche Schutzklauseln. Schauen wir uns die drei Zonen an:

Drittlandtransfer-Zonen nach DSGVO

🇪🇺 Zone 1: EU/EWR – DSGVO direkt anwendbar EINFACH

Alle EU-Mitgliedstaaten + Island, Liechtenstein, Norwegen. Bei Datenverarbeitung innerhalb dieser Länder sind keine zusätzlichen Drittland-Maßnahmen nötig. Beispiele: AWS eu-central-1 (Frankfurt), Azure West Europe (Niederlande), GCP europe-west3 (Frankfurt) – alle liegen im EWR.

→ Anforderung: AVV reicht. Kein zusätzlicher Drittlandtransfer-Mechanismus nötig.

🟣 Zone 2: Angemessenes Datenschutzniveau MITTEL

Die EU-Kommission hat für diese Länder festgestellt, dass dort vergleichbares Datenschutzniveau wie in der EU herrscht. Aktuelle Liste (Auswahl): Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada (nur kommerzielle Datenverarbeitung), Neuseeland, Schweiz, Großbritannien, Südkorea, Uruguay. USA: seit Juli 2023 für zertifizierte Unternehmen unter dem EU-US Data Privacy Framework.

→ Anforderung: AVV + Land ist „angemessen" anerkannt. Keine weiteren Maßnahmen nötig.

🟠 Zone 3: Unsichere Drittländer SCHWIERIG

Alle anderen Länder – z.B. China, Russland, Indien, nicht-DPF-USA-Anbieter. Hier ist der Datentransfer komplex – es brauchen zusätzliche Schutzmaßnahmen die das Datenschutzniveau auf EU-Standard heben.

→ Anforderung: AVV + Standardvertragsklauseln (SCC) + Transfer Impact Assessment (TIA) + ggf. technische Maßnahmen (z.B. Verschlüsselung mit Schlüsseln die nur der EU-Kunde hat).

⚠ Schrems-II-Risiko: Selbst wenn die Cloud-Region in Frankfurt steht – wenn der Cloud-Anbieter ein US-Unternehmen ist, kann der US-CLOUD-Act US-Behörden Zugriff auf Daten geben, auch wenn diese in EU-Rechenzentren liegen. Deshalb fordern manche deutsche Behörden und kritische Infrastrukturen ausdrücklich „europäische Souveränität" – nur europäische Anbieter wie T-Systems, OVHcloud, IONOS oder die GAIA-X-Initiative.

3) Die wichtigsten Transfer-Instrumente im Detail

Wenn Daten in Drittländer fließen müssen (z.B. ein US-Cloud-Anbieter ohne EU-Region), brauchst du einen rechtlichen Mechanismus der das absichert. Hier die fünf wichtigsten Instrumente, die du kennen solltest. In der Praxis sind besonders SCC und DPF relevant:

Instrument	Wann anwendbar?	Detail
Angemessenheitsbeschluss (Art. 45)	Wenn EU-Kommission Land als „angemessen" einstuft	Einfachster Weg, keine zusätzlichen Maßnahmen
Standardvertragsklauseln SCC (Art. 46)	Drittländer ohne Angemessenheitsbeschluss	Vorgefertigte Klauseln der EU-Kommission, müssen abgeschlossen werden + TIA
EU-US Data Privacy Framework (DPF)	Datentransfer zu USA seit Juli 2023	Nur an DPF-zertifizierte US-Unternehmen, ersetzt das gekippte Privacy Shield
Binding Corporate Rules BCR (Art. 47)	Konzern-interner Transfer	Aufwendig, eigene verbindliche Regeln müssen genehmigt werden
Ausnahmen Art. 49	Notfälle, ausdrückliche Einwilligung	Nur Einzelfälle, nicht für laufenden Betrieb geeignet

4) Cloud-Compliance-Checkliste – Schritt für Schritt zum DSGVO-Konformen Cloud-Betrieb

Bevor du einen Cloud-Dienst produktiv einsetzt, solltest du folgende Punkte abhaken. Diese Checkliste ist nicht nur Theorie – Datenschutzbehörden prüfen genau diese Punkte. Klick die Punkte an, sobald du sie geprüft hast:

DSGVO-Cloud-Compliance Checkliste – zum Abhaken

☐AVV mit Cloud-Anbieter unterzeichnet?

☐Cloud-Region in EU/EWR gewählt (z.B. eu-central-1 für AWS, West Europe für Azure)?

☐Wenn Daten in Drittländer fließen: gültiger Transfermechanismus (SCC + TIA, DPF, BCR)?

☐Liste der Sub-Auftragsverarbeiter geprüft? (Cloud-Anbieter haben hunderte Subunternehmer)

☐Verschlüsselung „at rest" und „in transit" aktiviert? (siehe K08)

☐Bei sensitiven Daten: Customer-Managed Keys (Cloud-Anbieter hat keinen Schlüssel-Zugriff)?

☐Eintrag im Verzeichnis der Verarbeitungstätigkeiten (VVT) erstellt?

☐DSFA (Datenschutz-Folgenabschätzung) bei besonders sensiblen Daten?

☐Verfahren für Betroffenenrechte (Auskunft, Löschung) in der Cloud umsetzbar?

☐Notfallplan bei Datenpanne (Meldepflicht 72 Stunden)?

DSGVO-Bußgelder: Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem was höher ist. Es gab bereits Millionen-Bußgelder gegen deutsche Unternehmen für unzureichende Cloud-Compliance. Datenschutzbehörden prüfen verstärkt Cloud-Nutzung. Bei einer Million-Euro-Firma also schnell mal 40.000 € weg, bei einem Konzern Hunderte Millionen.

5) Praxis: Was passiert wenn man's falsch macht?

Damit du das Thema nicht für eine reine Theorie-Übung hältst, hier ein paar reale Praxisfälle aus den letzten Jahren. Diese sind nicht erfunden – sie standen alle in den Nachrichten:

Schul-IT Hamburg: Schulen wurde die Nutzung von Microsoft 365 untersagt, weil die Datenübertragung in die USA nicht ausreichend abgesichert war. Schulen mussten auf andere Lösungen umschwenken.
Notdiensttelefonie eines Bundeslandes: Ein US-Anbieter verarbeitete versehentlich Notdienst-Calldaten in US-Rechenzentren – ohne angemessenen Transfermechanismus. Bußgeld in 6-stelliger Höhe.
Krankenhausverbund: Patientenakten in Cloud-Anbieter ohne ausreichenden AVV. Mehrere Hunderttausend Euro Bußgeld + komplette Migration zurück.
Online-Shop: Google Analytics ohne ausreichende Schutzmaßnahmen. Mehrere Behörden in Europa erklärten den Einsatz für unzulässig. Viele Shops mussten auf europäische Alternativen umsteigen.

Die Lehre: DSGVO-Compliance ist kein „Nice-to-have", sondern Pflicht. Und je größer das Unternehmen, desto höher die Bußgelder. Wer das ignoriert, riskiert nicht nur Strafen, sondern auch Reputationsschaden bei den Kunden.

Zusammenfassung

Cloud + personenbezogene Daten = DSGVO gilt. Zwei Pflichten: (1) AVV mit Cloud-Anbieter (Standard-AVVs der Hyperscaler unterzeichnen). (2) Drittlandtransfer-Mechanismus wenn Daten außerhalb EWR: Angemessenheitsbeschluss > SCC + TIA > BCR > Art. 49 Ausnahmen. USA: seit 2023 EU-US DPF für zertifizierte Unternehmen. Schrems-II-Risiko: US-CLOUD-Act greift auch bei EU-Daten US-amerikanischer Anbieter. Lösung für sensitive Bereiche: europäische Anbieter, eigene Schlüssel (Customer-Managed Keys). Bußgelder bis 20 Mio. Euro oder 4 % Jahresumsatz.