DSGVO-konforme Cloud für KMU: Der Praxisleitfaden zur Anbieterwahl

Eine DSGVO-konforme Cloud wird für KMU spätestens beim ersten Kundendatenvorfall zur Schlüsselfrage. Welcher Managed-Hosting-Anbieter hält wirklich, was er verspricht? Dieser Leitfaden ordnet Zertifikate, AVV-Pflichten und das Trusted-Cloud-Label ein und zeigt, wie Entscheider aus der Anbietervielfalt eine belastbare Auswahl treffen – ohne im Vertragsdickicht die eigene Datenhoheit zu verlieren.

Eine 3D-Illustration zeigt eine stilisierte Wolke über dem leuchtenden Konvergenzpunkt eines elektronischen Schaltkreises vor abstraktem blauem Hintergrund. Das Motiv symbolisiert Cloud Computing und Cloud-Speicher im Kontext einer DSGVO-konformen Cloud.

1. Was ist eine DSGVO-konforme Cloud?
2. Trusted Cloud als Nachweis der DSGVO-Konformität
3. DSGVO-Fallen beim Managed Hosting
4. DSGVO-konforme Cloud beschaffen

Was ist eine DSGVO-konforme Cloud?

DSGVO-konforme Cloud bedeutet mehr als dass der Server in Deutschland steht. Entscheidend ist das Zusammenspiel aus Standort im EWR, belastbarem Auftragsverarbeitungsvertrag, dokumentierten TOMs, transparenten Subunternehmern und funktionierenden Betroffenenrechten. Laut dem Bitkom Cloud-Monitor nutzen rund 80 Prozent der deutschen Unternehmen Cloud-Dienste, im Mittelstand bleibt die DSGVO-Frage aber oft offen. Wer den Anbieter wählt, trägt als Auftraggeber die Verantwortung. Formale Nachweise sind daher kein Extra, sondern Pflicht.

Den strategischen Rahmen liefert unser Leitfaden zur digitalen Souveränität mit regulatorischem Hintergrund. Dieser Artikel ergänzt die praktische Beschaffungsperspektive für KMU. Der Fokus liegt auf konkreten Auswahlkriterien. Die vollständige Checkliste folgt im Abschnitt DSGVO-konforme Cloud beschaffen.

Woran erkennt man einen DSGVO-konformen Cloud-Anbieter?

Ein DSGVO-konformer Cloud-Anbieter ist an fünf konkreten Nachweisen zu erkennen: Serverstandort im Europäischen Wirtschaftsraum, AVV mit klaren Weisungsrechten, dokumentierte TOMs, zertifiziertes Informationssicherheits-Managementsystem und transparente Subunternehmer-Listen. Ein seriöser DSGVO-konformer Cloud-Anbieter stellt alle fünf Nachweise auf Anfrage innerhalb weniger Tage bereit.

Wer länger warten muss, erfährt schon in dieser Phase etwas über die spätere Zusammenarbeit. Im Artikel zu souveränen Cloud-Lösungen wird dieses Fundament strategisch eingeordnet. Dort gehören Jurisdiktion, Gaia-X und Exit-Strategien zum Kern. Offene Standards und dokumentierte Exportformate helfen zusätzlich, später Vendor Lock-in zu vermeiden.

Kriterien der DSGVO-Konformität

Die folgenden Kriterien trennen in der Praxis DSGVO-konforme Cloud-Angebote vom Rest. Im Zweifel ersetzt kein Marketingversprechen die dokumentierten Nachweise. Eine DSGVO-konforme Cloud muss diese Punkte im Anbietergespräch sauber abhaken können, sonst bleibt die Anbieterauswahl Glückssache:

Rechenzentrumsstandort im EWR – schriftlich bestätigt
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Prüfrechten
ISO 27001- oder C5-Nachweis für die Infrastruktur
Transparente Liste aller Subunternehmer mit Standorten
Incident-Response-Prozess und Meldefristen nach Art. 33
Prozesse für Auskunfts-, Lösch- und Portabilitätsanträge
Unterschriftsfähige Muster-AVV und aktuelle TOMs

Wer diese Nachweise sammelt, hat zugleich die Grundlage für eine spätere Cloud Migration, denn DSGVO-Konformität gehört zur Discovery-Checkliste jedes Cloud-Wechsels.

Trusted Cloud als Nachweis der DSGVO-Konformität

Zertifikate ersetzen keine eigene Prüfung, beschleunigen die Vorauswahl aber erheblich. Trusted Cloud ist das deutsche Label für DSGVO-konforme Cloud-Dienste. Es bündelt die relevanten Nachweise zu Cloud Datenschutz, Cloud Sicherheit und Transparenz in einem auditierten Katalog. Die Kriterien basieren auf DIN SPEC 27070 und werden unabhängig geprüft. Für KMU ohne eigene Datenschutzabteilung wirkt das Label wie eine Vorsortierung durch Fachleute.

Wer parallel eine Open-Source-Strategie verfolgt, kombiniert Zertifikats- und Transparenzlogik sinnvoll. Das Trusted-Cloud-Label gibt keine Garantie für jeden Einzelfall. Die Due-Diligence verkürzt sich aber von Wochen auf Tage. Für den Betrieb nach der Auswahl empfiehlt sich eine laufende Wartung und Modernisierung mit klarer Zuständigkeit.

Welche Zertifikate weisen DSGVO-Konformität in der Cloud nach?

DSGVO-Konformität in der Cloud wird selten durch ein einziges Zertifikat bewiesen. In der Praxis ergibt sich das Bild aus dem Zusammenspiel mehrerer Prüfsiegel. ISO 27001 weist das übergreifende Informationssicherheits-Managementsystem nach. ISO 27018 ergänzt die Verarbeitung personenbezogener Daten. Das BSI-C5-Testat ist in Deutschland der Goldstandard für Cloud-Dienste und wird vor allem von Behörden und KRITIS-Betreibern verlangt. Das AUDITOR-Verfahren der Datenschutzkonferenz zielt speziell auf Auftragsverarbeitung. Auch Fachverfahren mit Behördensoftware-Souveränität nutzen diese Prüflogik. Das Trusted-Cloud-Label bündelt mehrere dieser Kriterien in einem Audit. Wer eine DSGVO-konforme Cloud ausschreibt, verlangt deshalb mehrere Nachweise parallel.

Zertifikatsübersicht auf einen Blick

Die folgende Übersicht ordnet die relevanten Prüfsiegel nach Einsatzschwerpunkt. Für die Beschaffung lohnt der Blick auf mehrere Siegel zugleich, statt sich auf ein einziges zu verlassen:

ISO 27001 – Informationssicherheits-Managementsystem
ISO 27018 – Schutz personenbezogener Daten in der Cloud
BSI C5-Testat – Kriterienkatalog für Cloud Computing
Trusted Cloud – deutsches Label für Datenschutz und Transparenz
AUDITOR – Datenschutz-Zertifizierung der Aufsichtsbehörden
TÜV Cloud Security – unabhängiger Sicherheitsnachweis
DIN SPEC 27070 – Bewertungskriterien für vertrauenswürdige Cloud

DSGVO-Fallen beim Managed Hosting

Auch unter dem Label einer DSGVO-konformen Cloud lauern typische Fallen. Die drei wichtigsten: Schrems II, der CLOUD Act und nicht offengelegte Subprocessors. Schrems II erklärt Datentransfers in die USA ohne zusätzliche Garantien faktisch für rechtswidrig – relevant überall dort, wo US-Konzerne oder ihre europäischen Töchter im Hintergrund stehen. Der CLOUD Act verpflichtet US-Anbieter zur Herausgabe von Daten, auch wenn die Server in Frankfurt stehen.

Viele vermeintlich europäische Angebote laufen auf Infrastruktur oder mit Support-Teams aus Drittstaaten. Wer den Auftrag vergibt, bleibt nach DSGVO verantwortlich. Die konkrete Anbieterprüfung entscheidet, ob diese Risiken beherrscht oder ignoriert werden. Das Trusted-Cloud-Label hilft, die Fallen früh zu erkennen.

Reicht ein deutscher Serverstandort für DSGVO-Konformität?

Ein deutscher Serverstandort ist ein wichtiges Indiz, aber nicht ausreichend. Entscheidend ist zusätzlich, welcher Rechtsordnung der Betreiber unterliegt, wer administrativen Zugriff hat und welche Subunternehmer beteiligt sind. Ein Serverstandort Deutschland schützt nicht, wenn die Muttergesellschaft dem CLOUD Act unterliegt. Typische Fallstricke treten in der Praxis immer wieder auf:

Muttergesellschaft mit US-Sitz trotz europäischer Rechenzentren
Support-Teams in Drittländern mit Datenzugriff
Third-Party-Management-Tools mit unklaren Datenströmen
Behördliche Herausgabeanordnungen aus Drittstaaten
Sicherheitsupdates aus Rechenzentren außerhalb des EWR
Backup-Standorte, die nicht im Vertrag genannt sind

Ist Microsoft 365 DSGVO-konform?

Microsoft 365 bewegt sich aus DSGVO-Sicht in einer Grauzone. Der Anbieter erfüllt zwar wichtige formale Pflichten wie AVV und EU-Datenlokalisierung, bleibt aber als US-Konzern dem CLOUD Act unterworfen. Aufsichtsbehörden wie die DSK haben Microsoft 365 in der Vergangenheit als nicht datenschutzkonform bewertet, Microsoft selbst verweist auf die neue EU Data Boundary. Für KMU bedeutet das: Eine Nutzung ist möglich, verlangt aber vollständige Transparenz, dokumentierte Risikoabwägung und zusätzliche Schutzmaßnahmen wie Verschlüsselung mit eigenen Schlüsseln. Europäische Alternativen oder hybride Modelle sind eine prüfenswerte Option für sensitive Datenbereiche. Wer eine sichere Cloud mit hoher Cloud Sicherheit und europäischer Jurisdiktion will, setzt auf eine DSGVO-konforme Cloud.

DSGVO-konforme Cloud beschaffen

Die Beschaffung einer DSGVO-konformen Cloud folgt einem Muster, das sich seit Jahren bewährt. Fünf Schritte trennen eine solide Auswahl vom Bauchgefühl: Bedarfsanalyse, Kriterienkatalog, Shortlist, Due-Diligence, Vertrag. Jede Stufe liefert ein dokumentiertes Ergebnis, das Aufsichtsbehörden oder Wirtschaftsprüfer später nachvollziehen können. Wer diese Dokumentation erst nach dem ersten Vorfall zusammensucht, bezahlt jeden verlorenen Tag doppelt – einmal in der Reaktionszeit und einmal im Vertrauen der Kunden. Eine sichere Cloud für Unternehmen entsteht selten durch Glück, sondern durch einen methodischen Auswahlprozess. Eine deutsche Cloud mit belastbarer DSGVO Cloud-Logik ist dabei das realistische Ziel.

Auswahl eines DSGVO-konformen Cloud-Anbieters

DSGVO-konforme Cloud-Anbieter lassen sich in drei Kategorien einteilen: reine Infrastruktur-Anbieter, Managed-Hosting-Anbieter mit DSGVO-Fokus und spezialisierte Branchenlösungen. Für KMU lohnt die Konzentration auf Managed-Hosting-Anbieter, weil sie betrieblichen Aufwand und Datenschutzpflichten in einem Paket abbilden. Der Aufwand für Eigenbetrieb bleibt überschaubar, Verantwortlichkeiten sind klar verteilt. Einen DSGVO-konformen Cloud-Anbieter erkennt man zusätzlich an verständlichen Vertragsunterlagen, transparenten Preismodellen und belastbaren Referenzen aus der eigenen Branche. Eine DSGVO-konforme Cloud-Lösung für Vereine oder gemeinnützige Organisationen folgt derselben Logik mit angepassten Kostenmodellen. Der größte Fehler ist der Preisvergleich ohne Kriterienkatalog – er endet meist in teuren Nachverhandlungen.

Checkliste für Ausschreibung und Vertrag

Die folgende Checkliste sammelt die Punkte, die in jede Ausschreibung und jeden Vertrag gehören. Fehlt einer dieser Punkte, lohnt das Nachverhandeln mehr als das Unterschreiben:

☝ Schriftliche Bestätigung des Rechenzentrumsstandorts
☝ AVV nach Art. 28 DSGVO mit Prüfrechten
☝ Vollständige Liste der Subunternehmer und Datenflüsse
☝ Meldefristen und Eskalationspfade nach Art. 33
☝ Regelungen zur Rückgabe und Löschung aller Daten bei Vertragsende
☝ Definierte SLA für Verfügbarkeit, Reaktions- und Wiederherstellungszeiten
☝ Klare Exit-Klausel mit dokumentierten Exportformaten
☝ Nachweise über bestehende Zertifikate mit Gültigkeitszeitraum

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.

FAQs

Was gehört in den Auftragsverarbeitungsvertrag bei Cloud-Services?

Ein Auftragsverarbeitungsvertrag bei Cloud-Services regelt Weisungsrechte, technisch-organisatorische Maßnahmen, die Rolle jedes Subunternehmers, Meldefristen nach Art. 33 DSGVO, Prüf- und Auditrechte sowie die Rückgabe oder Löschung aller Daten nach Vertragsende. Ohne diese Punkte entsteht weder Rechtssicherheit noch eine belastbare Datenschutz-Grundlage. Zusätzliche Klauseln zu Verschlüsselung und Datenlokalisierung erhöhen die Belastbarkeit.

Welche DSGVO-Risiken entstehen bei US-Cloud-Anbietern nach Schrems II?

US-Cloud-Anbieter unterliegen dem CLOUD Act, der die Herausgabe von Daten auch aus europäischen Rechenzentren zulässt. Nach Schrems II gilt ein Datentransfer nur mit zusätzlichen Garantien wie Standardvertragsklauseln und technischen Schutzmaßnahmen als rechtmäßig. Transparenzberichte zu behördlichen Anfragen und eine belastbare Risikoabwägung gehören zur Pflichtdokumentation für jede Cloud-Auswahl. Zusätzlich sollten Prüf- und Auditrechte vertraglich eindeutig fixiert werden.

Wie unterstützt TenMedia KMU bei der Auswahl einer DSGVO-konformen Cloud?

TenMedia begleitet die Anbieter-Due-Diligence, prüft Auftragsverarbeitungsverträge und technisch-organisatorische Maßnahmen und ordnet die Zertifikate im Kontext des Einsatzzwecks ein. Im Managed-Service-Paket übernimmt das Team zusätzlich den laufenden Betrieb, koordiniert den Dialog mit Cloud-Anbietern und dokumentiert alle Prozesse prüfsicher. So entsteht eine dauerhaft belastbare DSGVO-konforme Cloud.