Was „DSGVO-konform" bei einer Cloud wirklich heißt
Die Datenschutz-Grundverordnung verbietet Cloud-Nutzung nicht — sie stellt Bedingungen. Entscheidend ist nicht ein Werbe-Siegel, sondern ob ein Anbieter vier Dinge nachvollziehbar erfüllt: einen klaren Datenstandort, einen Auftragsverarbeitungsvertrag, belegbare technisch-organisatorische Maßnahmen und einen sauberen Weg, Daten wieder herauszubekommen. Wer diese vier Punkte prüfen kann, hat die Substanz geprüft — nicht das Marketing.
1. Datenstandort und Drittlandtransfer
Der häufigste Stolperstein ist die Übermittlung in Drittländer, vor allem in die USA. Nach den Entscheidungen des EuGH (Schrems II) reicht eine internationale Cloud nicht automatisch aus; Übermittlungen außerhalb der EU brauchen eine tragfähige Rechtsgrundlage und zusätzliche Garantien. Für KMU ist die einfachste belastbare Antwort: Daten bleiben in Deutschland, Verarbeitung durch einen deutschen Vertragspartner, kein Drittlandtransfer im Normalbetrieb. Das reduziert Prüfaufwand und Risiko erheblich.
2. Auftragsverarbeitung (AVV) nach Art. 28 DSGVO
Sobald ein Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Vertrag zur Auftragsverarbeitung. Er regelt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Pflichten des Anbieters und die technisch-organisatorischen Maßnahmen. Ohne AVV ist die Nutzung formal nicht zulässig. Achten Sie darauf, dass der AVV vor dem Produktivstart vorliegt und Ihr Datenschutzbeauftragter ihn prüfen kann. Den Wortlaut der Norm finden Sie bei Art. 28 DSGVO (EUR-Lex).
3. Technisch-organisatorische Maßnahmen (TOM)
Die DSGVO verlangt angemessene Sicherheit (Art. 32). Für eine Cloud heißt das mindestens:
- Verschlüsselung in der Übertragung (TLS) und im Ruhezustand (at-rest).
- Zugriffskontrolle über Rollen und Berechtigungen sowie Zwei-Faktor-Authentifizierung.
- Backups mit definierter Wiederherstellung und Aufbewahrung — idealerweise zusätzlich an einem getrennten Ort (offsite).
- Protokollierung und klare Verantwortlichkeiten für Betrieb und Wiederanlauf.
Wichtig: Seriöse Anbieter behaupten keine Zertifizierungen, die nicht vorliegen. Lassen Sie sich konkrete Nachweise und Dokumente zeigen, statt sich auf allgemeine Formulierungen zu verlassen.
4. Datenexport — kein Lock-in
Datenschutz endet nicht beim Einzug, sondern beim Auszug. Ein konformer Anbieter ermöglicht den Export Ihrer Daten jederzeit und definiert das Vorgehen bei Kündigung. Ein hartes technisches Lock-in widerspricht der Idee der Datenkontrolle — und macht einen späteren Wechsel teuer.
Checkliste: 7 Fragen an jeden Cloud-Anbieter
- Wo genau liegen die Daten — und wer ist Vertragspartner?
- Gibt es einen AVV nach Art. 28, und bekomme ich ihn vor dem Start?
- Findet eine Übermittlung in Drittländer statt? Wenn ja, auf welcher Grundlage?
- Wie wird verschlüsselt — in der Übertragung und im Ruhezustand?
- Wie sehen Backup, Aufbewahrung und Wiederherstellung aus?
- Wie exportiere ich meine Daten, und was passiert bei Kündigung?
- Welche konkreten Nachweise (nicht nur Aussagen) gibt es?
Wie Wolfswerk ONE diese Punkte umsetzt
Wolfswerk ONE ist eine deutsche Business-Cloud, die auf genau diese vier Punkte ausgelegt ist: Hosting in Deutschland mit deutschem Vertragspartner (Wolfswerk IT, Solingen), AVV auf Anfrage, Verschlüsselung in Übertragung und Ruhezustand, automatische plus Offsite-Backups und jederzeitiger Datenexport ohne Lock-in. Details dazu stehen auf der Seite Sicherheit & Datenschutz.
Wenn Sie konkret von Microsoft 365 wechseln, hilft unser Vergleich der Microsoft-365-Alternativen 2026 bei der Anbieterauswahl. Weitere Orientierung bietet die BfDI.
Dieser Artikel ist eine allgemeine Orientierung und keine Rechtsberatung. Für die konkrete Bewertung Ihres Einsatzes ziehen Sie Ihren Datenschutzbeauftragten hinzu.
