--- title: "DSGVO und Cloud-Speicherung: Rechtskonformer Umgang mit Personenbezogenen Daten" date: 2025-12-02T09:15:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/dsgvo-und-cloud-speicherung-rechtskonformer-umgang-mit-personenbezogenen-daten" section: "Entries: Articles" --- ### DSGVO Artikel 44-49: Drittlandtransfer [\#](#dsgvo-artikel-44-49-drittlandtransfer "DSGVO Artikel 44-49: Drittlandtransfer") #### Was ist ein Drittlandtransfer? [\#](#was-ist-ein-drittlandtransfer "Was ist ein Drittlandtransfer?") **Drittland:** Ein Land außerhalb der EU/EWR (z. B. USA, China, Singapur) **Drittlandtransfer:** Das Übertragen von Personendaten in diese Länder **Problem:** Länder außerhalb EU haben oft weniger Datenschutz. Die DSGVO sagt: Du darfst nur transferieren, wenn das Drittland ein “angemessenes Schutzniveau” hat. #### Welche Länder sind “angemessen”? [\#](#welche-l%C3%A4nder-sind-angemessen "Welche Länder sind ") **EU-Kommission hat folgende Länder als angemessen zertifiziert:** - Schweiz - Japan - Südkorea - Vereinigtes Königreich (UK) — provisorisch - Argentinien - Kanada - Uruguay - Neuseeland **Bewusst NICHT auf der Liste:** - ❌ USA (wegen CLOUD Act, Privacy Shield wurde aufgehoben) - ❌ China - ❌ Indien - ❌ Australien **Aber:** EU-US DPF erlaubt wieder US-Transfers (seit Juli 2023), mit DPF-Zertifikat. #### Transfers ohne Angemessenheitsbeschluss (Art. 46–49) [\#](#transfers-ohne-angemessenheitsbeschluss-art-46-49 "Transfers ohne Angemessenheitsbeschluss (Art. 46–49)") Wenn das Land nicht “angemessen” ist, brauchen Sie eines dieser Instrumente: ##### 1. Standard Contractual Clauses (SCC) **Was ist das?** Vertragliche Klauseln, die der Auftragsverarbeiter (z. B. AWS) unterschreibt. Diese sagen: “Wir halten DSGVO-Standards ein, auch wenn Drittland nicht tut.” **Problem:** Schrems II hat gezeigt, dass SCCs nicht immer reichen (CLOUD Act überschreibt Vertrag). **Wann nutzen:** Z. B. AWS mit SCC ist “wahrscheinlich okay”, aber nicht 100% rechtssicher. ##### 2. Binding Corporate Rules (BCR) **Was ist das?** Interne Konzernrichtlinien (für Konzerne mit mehreren Standorten). Der Konzern verpflichtet sich, überall gleiche Datenschutz-Standards zu halten. **Wann nutzen:** Nur für Konzerne (nicht KMU), und nur wenn alle Standorte DSGVO-Anforderungen erfüllen. ##### 3. Adequacy Decisions (für Australien, Kanada, etc.) **Was ist das?** Ein Beschluss der EU-Kommission, dass das Land angemessenes Schutzniveau hat. **Wann nutzen:** Wenn Ihr Drittland auf der Liste ist (Schweiz, Japan, UK, etc.). --- ### DSGVO Artikel 28: Auftragsverarbeitung [\#](#dsgvo-artikel-28-auftragsverarbeitung "DSGVO Artikel 28: Auftragsverarbeitung") #### Was ist Auftragsverarbeiter? [\#](#was-ist-auftragsverarbeiter "Was ist Auftragsverarbeiter?") **Verantwortlicher:** Das Unternehmen, das Daten sammelt (z. B. Sie) **Auftragsverarbeiter:** Das Unternehmen, das Daten **für Sie** verarbeitet (z. B. Cloud-Provider) **Beispiel:** - Sie sammeln Kundendaten (Verantwortlicher) - Sie speichern sie bei AWS S3 (Auftragsverarbeiter) - AWS darf die Daten NUR gemäß Ihrer Anweisungen verarbeiten #### Anforderungen für Auftragsverarbeitung [\#](#anforderungen-f%C3%BCr-auftragsverarbeitung "Anforderungen für Auftragsverarbeitung") **Sie müssen mit dem Auftragsverarbeiter einen Vertrag abschließen (Data Processing Agreement, DPA):** **Wichtige Punkte im DPA:** - \[ \] Zweck und Art der Verarbeitung - \[ \] Sicherheitsmaßnahmen (Krypto, Zugriffskontrolle) - \[ \] Ort der Verarbeitung (Cloud-Region) - \[ \] Dauer der Verarbeitung - \[ \] Recht des Verantwortlichen auf Audits - \[ \] Löschung nach Vertragsenende - \[ \] Unterauftragsverarbeiter (wenn AWS sub-contractor nutzt) **Große Clouds haben DPA-Templates:** - AWS hat “Data Processing Addendum” - Microsoft Azure hat “Data Processing Supplement” - Google Cloud hat “Data Processing Amendment” **Wichtig:** Ohne DPA verstößt Sie gegen DSGVO Art. 28. --- ### “Angemessenes Schutzniveau” — Was bedeutet das? [\#](#angemessenes-schutzniveau-was-bedeutet-das) Die DSGVO sagt, Daten dürfen nur in Länder mit “angemessenem Schutzniveau” transferiert werden. **Was ist “angemessen”?** - Ähnliche Datenschutz-Gesetze wie DSGVO - Transparenz (Benutzer sollen wissen, wer auf Daten zugreift) - Kontrollierte Zugriffsrechte (nicht Blanko-Zugriffsrechte für Geheimdienste) - Recht auf Beschwerde gegen Regierungs-Zugriffe - Enforcement (wer setzt Datenschutz durch?) **USA problematisch, weil:** - ❌ CLOUD Act erlaubt Geheimdiensten Massenüberwachung - ❌ Keine echte Transparenz über Zugriffe - ❌ Keine effektive Beschwerdemöglichkeit für Betroffene - ✅ Aber: EU-US DPF (seit 2023) soll das verbessern --- ### Praktische Implikationen [\#](#praktische-implikationen "Praktische Implikationen") #### Szenario 1: Kundendaten bei AWS US [\#](#szenario-1-kundendaten-bei-aws-us "Szenario 1: Kundendaten bei AWS US") **Was ist legal?** - Mit DPF-Zertifikat (AWS hat das): Ja, aktuell legal - Mit Standard Contractual Clauses (allein): Wahrscheinlich, aber rechtsunsicher - Ohne irgendwelche Maßnahmen: ❌ Nein, illegal **RTC:** 6–18 Monate, wenn Datenschutzbehörde kontrolliert und findet, dass es falsch war. #### Szenario 2: Kundendaten bei europäischer Cloud (z. B. Scaleway) [\#](#szenario-2-kundendaten-bei-europ%C3%A4ischer-cloud-z-b-scaleway "Szenario 2: Kundendaten bei europäischer Cloud (z. B. Scaleway)") **Was ist legal?** - ✅ Ja, automatisch okay (europäisches Unternehmen, EU-Datenschutz) - Nur DPA erforderlich (Standard-Vorlage) #### Szenario 3: Kundendaten bei chinesischer Cloud (z. B. Alibaba Cloud China) [\#](#szenario-3-kundendaten-bei-chinesischer-cloud-z-b-alibaba-cloud-china "Szenario 3: Kundendaten bei chinesischer Cloud (z. B. Alibaba Cloud China)") **Was ist legal?** - ❌ Ohne spezielle Angemessenheits-Beschluss nein - Nur möglich mit SCC ODER BCR, aber: China Datenschutz-Risiko sehr hoch - **Empfehlung:** Nicht machen --- ### Häufige Fragen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Reicht ein DPA aus, um US-Cloud zu nutzen?**Nein. Ein DPA regelt nur, wie der Cloud-Provider Ihre Daten behandelt. Es schützt nicht vor CLOUD Act. Sie brauchen auch: - DPF-Zertifikat (AWS hat), oder - Standard Contractual Clauses + zusätzliche Schutzmaßnahmen **Was ist eine zusätzliche Schutzmaßnahme?**Z. B.: - Encryption at Rest (mit Keys, die Sie halten) - Pseudonymisierung (Namen entfernen, nur Nummern speichern) - Data Minimization (nur notwendige Daten speichern) **Was passiert, wenn ich nicht DSGVO-konform bin?**Bußgelder bis 4% des globalen Jahresumsatzes (kann Millionen EUR sein). Plus: Betroffene können Sie verklagen. **Sind deutsche Cloud-Provider sicherer?**Ja, automatisch DSGVO-konform. Aber: Teurer (30–50% mehr als AWS). Trade-off zwischen Kosten und Sicherheit. --- ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### US CLOUD Act Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### US CLOUD Act Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### US CLOUD Act Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### US CLOUD Act Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)