breidabreida

Digitale Basis für KMU · 6 / 7

Datenschutz-Risiken

Cloud-Dienste vereinfachen die IT. Aber wer Kundendaten bei Google oder Microsoft ablegt, ist nicht automatisch DSGVO-konform. Hier steht, was wirklich zu tun ist.

Viele KMUs setzen auf kommerzielle Cloud-Dienste von Google, Microsoft, Salesforce oder anderen US-Anbietern. Das ist praktisch, aber aus Datenschutzsicht komplizierter als es scheint. Die DSGVO gilt für alle personenbezogenen Daten, unabhängig davon, wo der Server steht.

Das bedeutet: Wer Kundendaten in Google Workspace speichert, muss sicherstellen, dass das DSGVO-konform passiert. Und das erfordert mehr als nur das Anklicken der “Ich stimme zu”-Schaltfläche.

Risiko 1: Schrems II und Datentransfer in die USA

Das EuGH-Urteil “Schrems II” (Juli 2020) kippte den Privacy Shield, der US-Datentransfers einfach legalisierte. Seither gilt: Ein Datentransfer in die USA ist nur mit zusätzlichen Schutzmaßnahmen zulässig.

Das Problem:

US-amerikanische Anbieter unterliegen dem CLOUD Act und dem FISA 702, die US-Behörden Zugriff auf Daten auch außerhalb der USA erlauben, unabhängig davon, wo die Server stehen.

Der aktuelle Stand (Data Privacy Framework, 2023):

Das EU-US Data Privacy Framework (DPF) von 2023 erlaubt Transfers zu zertifizierten US-Anbietern wieder. Aber: Es wird von Datenschutzexperten als rechtlich unsicher eingeschätzt, ein “Schrems III”-Urteil ist möglich. Verlassen Sie sich nicht allein auf das DPF.

Was tun?

  • → EU-Datenregion bei Google/Microsoft aktivieren (wo verfügbar)
  • → Standardvertragsklauseln (SCC) abschließen
  • → Für besonders sensitive Daten: EU-Anbieter wählen

Risiko 2: Fehlender Auftragsverarbeitungsvertrag (AVV)

Wer personenbezogene Daten an einen Cloud-Anbieter übergibt, ist laut DSGVO Art. 28 verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Ohne AVV ist die Verarbeitung rechtswidrig, auch wenn der Anbieter “seriös” ist.

Wann ist ein AVV nötig?

  • → E-Mail-Hosting mit Kundendaten
  • → CRM / Kundenverwaltung in der Cloud
  • → Buchhaltungssoftware mit Lieferantendaten
  • → Cloud-Backups mit Mitarbeiterdaten
  • → Newsletter-Software (z. B. Mailchimp)

Wo findet man den AVV?

  • → Google: “Data Processing Addendum” im Admin-Portal
  • → Microsoft: “Data Processing Agreement” in den Nutzungsbedingungen
  • → Stripe: Automatisch Teil der Nutzungsbedingungen
  • → Mailchimp: Separate Unterzeichnung nötig

→ Checkliste: Jeden Cloud-Dienst auf AVV prüfen. In Ihrem Verarbeitungsverzeichnis (Art. 30) dokumentieren.

Risiko 3: Telemetrie & Diagnosedaten

Viele Cloud-Dienste und Software-Pakete senden Nutzungsdaten und Diagnoseinformationen an ihre Anbieter, oft standardmäßig aktiviert. Das kann DSGVO-relevant sein, wenn dabei personenbezogene Daten übertragen werden.

Microsoft 365: Telemetrie-Level in den Admin-Einstellungen auf “Required” (Minimum) setzen. Optionale Diagnosedaten deaktivieren.

Google Workspace: In den Admin-Einstellungen unter “Datenschutz” → Datenverarbeitung für Serviceverbesserungen einschränken.

Windows: Telemetrie-Einstellungen in der Gruppenrichtlinie oder über Registry-Einträge einschränken.

Risiko 4: Datenzugriff durch den Anbieter

Bei Cloud-Diensten ohne Ende-zu-Ende-Verschlüsselung hat der Anbieter theoretisch Zugriff auf alle gespeicherten Daten, etwa für Support, Wartung oder auf behördliche Anforderung.

Besonders sensibel:

  • → Personaldaten (Gehaltsabrechnungen, Krankenstand)
  • → Kundendaten mit besonderer Kategorie (Gesundheit, Religion)
  • → Vertragsgeheimnisse, Geschäftsstrategie
  • → Zugangsdaten / Passwörter

Schutzmaßnahmen:

  • → Client-seitige Verschlüsselung vor dem Upload
  • → Besonders sensible Daten on-premise oder EU-only
  • → Passwörter niemals in normalen Cloud-Diensten speichern (Bitwarden o. ä.)
  • → Verschlüsselung-at-Rest-Optionen aktivieren

Risiko 5: AGB-Änderungen & Vendor Lock-in

Cloud-Anbieter können ihre AGB, Datenschutzrichtlinien und Preise einseitig ändern. Wer zu abhängig von einem Anbieter ist, hat kaum Verhandlungsmacht.

→ Regelmäßig AGB-Änderungen von Hauptanbietern prüfen (Newsletter abonnieren).

→ Datenexport-Option kennen und regelmäßig nutzen (Google Takeout, Microsoft Export).

→ Kritische Daten nicht ausschließlich beim Anbieter belassen. Lokale Backups anlegen!

→ Offene Datenformate bevorzugen (z. B. .odt statt .docx für Archivierung).

Datenschutz-Checkliste für KMUs

Für jeden Cloud-Dienst AVV abgeschlossen und dokumentiert
EU-Datenregion bei Google/Microsoft aktiviert
Standardvertragsklauseln (SCC) liegen vor (bei US-Diensten)
Verarbeitungsverzeichnis (Art. 30 DSGVO) vorhanden und aktuell
Telemetrie und optionale Diagnosedaten deaktiviert
MFA für alle Cloud-Accounts aktiviert
Lokale Backups aller Cloud-Daten vorhanden
Datenschutzerklärung auf Website vorhanden und aktuell
Mitarbeiter über DSGVO-Grundlagen informiert
Prozess für Datenpannen-Meldung (72h) definiert

OSS als Datenschutz-Lösung

Selbst gehostete Software löst vieles: Daten bleiben im eigenen Server (EU/AT), kein US-Anbieter hat Zugriff, und AVV-Pflichten reduzieren sich auf den VPS-Anbieter. Dafür liegt die Verantwortung für Sicherheit und Updates vollständig bei Ihnen. Mehr dazu im Kapitel Open-Source-Alternativen.

DSGVO-konformes Setup für Ihr KMU

Wir schauen durch Ihre IT-Infrastruktur und sagen Ihnen, wo DSGVO-Lücken sind und was zu tun ist.

DSGVO-Check anfragen
Open-Source-AlternativenEmpfehlungen