DSGVO-konformes Cloud-Hosting in Deutschland: Worauf achten?

DSGVO-konform heißt nicht automatisch deutscher Standort, und deutscher Standort heißt nicht automatisch DSGVO-konform. Beides sind getrennte Fragen, die zusammen beantwortet werden müssen. Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden dürfen, wer dafür verantwortlich ist und welche Rechte betroffene Personen haben. Cloud-Hosting bedeutet, dass ein externer Anbieter diese Daten in seinem Rechenzentrum für Sie speichert und verarbeitet. Damit wird der Anbieter zum Auftragsverarbeiter, und Sie als Kunde bleiben verantwortlich.

Konkret prüfbar wird die Konformität an drei Ebenen. Erstens die rechtliche Ebene: Gibt es einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO, und ist der Anbieter selbst an die DSGVO gebunden? Zweitens die organisatorische Ebene: Sind Prozesse, Zugriffsrechte und Löschkonzepte dokumentiert und auditierbar? Drittens die technische Ebene: Wo liegen die Daten physisch, wie sind sie verschlüsselt, und wer hat Zugriff auf die Infrastruktur? Erst wenn alle drei Ebenen sauber sind, ist Hosting wirklich DSGVO-konform.

Wichtig für Entscheider: Die Verantwortung lässt sich nicht vollständig auslagern. Auch bei einem perfekten Anbieter bleiben Sie für die Auswahl, die Weisungen und die Kontrolle verantwortlich. Ein guter Anbieter macht Ihnen diese Pflichten leicht, indem er Verträge, Nachweise und Prozesse von sich aus liefert. Genau daran erkennen Sie einen seriösen Partner.

Der physische Standort in Deutschland ist eine notwendige, aber keine hinreichende Bedingung. Entscheidend ist zusätzlich, wer rechtlich auf die Daten zugreifen kann. Ein Rechenzentrum in Frankfurt nützt wenig, wenn der Betreiber zu einem US-Konzern gehört. Denn US-Gesetze wie der CLOUD Act verpflichten US-Unternehmen, Daten herauszugeben, auch wenn diese auf Servern außerhalb der USA liegen. Dieser potenzielle Zugriff steht im Konflikt mit den Anforderungen der DSGVO.

Die Konsequenz für die Prüfung: Fragen Sie nicht nur nach dem Standort der Server, sondern nach der Eigentums- und Kontrollstruktur des Anbieters. Ein inhabergeführter deutscher Dienstleister ohne US-Mutterkonzern unterliegt allein dem deutschen und europäischen Recht. Daten, die hier verarbeitet werden, bleiben dem Zugriff durch Drittstaaten faktisch entzogen, sofern keine technischen Hintertüren über Subdienstleister bestehen.

Ein zweiter Punkt betrifft die Datenflüsse im Betrieb. Selbst bei einem deutschen Primärstandort können Backups, Monitoring, Support-Tools oder Content-Delivery-Netze Daten ins Ausland abfließen lassen. Lassen Sie sich schriftlich bestätigen, dass auch diese Nebenprozesse innerhalb Deutschlands beziehungsweise der EU bleiben. Die ITS AG betreibt zum Beispiel zwei eigene Rechenzentren in Frankfurt am Main, etwa zehn Kilometer getrennt und über mehrere 100-Gigabit-Verbindungen redundant gekoppelt; die Daten bleiben dabei durchgängig in Deutschland.

Der wichtigste Vertrag ist der Auftragsverarbeitungsvertrag, kurz AVV oder AV-Vertrag, nach Artikel 28 DSGVO. Er regelt, was der Anbieter mit Ihren Daten tun darf, welche technischen und organisatorischen Maßnahmen er trifft und wie mit Subdienstleistern umgegangen wird. Ohne einen unterschriebenen AVV ist die Nutzung eines Cloud-Anbieters für personenbezogene Daten formal nicht zulässig. Prüfen Sie, ob der AVV bereits standardisiert vorliegt; das spart Zeit und zeigt, dass der Anbieter den Datenschutz ernst nimmt.

Achten Sie im AVV besonders auf die Anlage mit den technischen und organisatorischen Maßnahmen, kurz TOM. Dort steht konkret, wie Zugang, Zutritt, Weitergabe, Verschlüsselung und Verfügbarkeit abgesichert werden. Pauschale Formulierungen sind ein Warnsignal. Gut sind nachvollziehbare, prüfbare Angaben, etwa zu Verschlüsselungsverfahren, Zugriffsprotokollierung und Löschfristen. Lassen Sie sich außerdem die Liste der Subdienstleister geben und ein Verfahren zusagen, das Sie über Änderungen informiert.

Bei Zertifikaten ist ISO 27001 der etablierte Standard für Informationssicherheit. Ein nach ISO 27001 zertifizierter Betrieb belegt, dass Sicherheitsprozesse dokumentiert, gelebt und extern auditiert werden. Je nach Branche kommen weitere Nachweise hinzu, etwa für das Gesundheitswesen oder den Finanzsektor. Wichtig ist, dass das Zertifikat den konkreten Standort und Dienst abdeckt, der Ihre Daten betreibt, und nicht nur die Konzernzentrale.

Datenstandort bedeutet nicht nur, wo die produktiven Daten liegen, sondern auch, wo Kopien und Sicherungen landen. Backups sind ein häufiger blinder Fleck: Viele Vorfälle entstehen, weil die Sicherung in einer anderen Region oder bei einem Drittanbieter liegt. Lassen Sie sich zusichern, dass auch Backups ausschließlich in Deutschland gespeichert werden. Für Geo-Redundanz reicht ein zweiter deutscher Standort; ein Rechenzentrumsverbund innerhalb Deutschlands erfüllt die Ausfallsicherheit, ohne den Datenraum zu verlassen.

Bei der Verschlüsselung sollten Daten sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt sein. Die wichtigere Frage für Entscheider ist jedoch die Schlüsselverwaltung. Wer den Schlüssel hält, kann die Daten lesen. Klären Sie, ob Sie eigene Schlüssel verwalten können und wie technisch sowie organisatorisch verhindert wird, dass der Anbieter ohne Ihr Zutun auf Klartextdaten zugreift. Das ist ein zentraler Hebel, um auch bei Zugriffsforderungen Dritter geschützt zu sein.

Für Backups gilt zusätzlich das Prinzip der Unveränderbarkeit. Sicherungen, die nachträglich gelöscht oder überschrieben werden können, schützen nicht gegen Ransomware. Moderne Verfahren wie Object Lock oder WORM-Speicher machen Backups für einen definierten Zeitraum unveränderlich. Verlangen Sie außerdem regelmäßige, dokumentierte Wiederherstellungstests. Ein Backup, das nie zurückgespielt wurde, ist im Ernstfall ein unbekanntes Risiko.

Für die Geschäftsführung stehen Haftung, Planbarkeit und Vertragsklarheit im Vordergrund. Prüfen Sie, ob der AVV vorliegt, ob die Datenresidenz schriftlich garantiert ist und ob die Eigentumsstruktur des Anbieters frei von Drittstaaten-Zugriff ist. Klären Sie außerdem die Reaktionszeiten bei Störungen, die Verfügbarkeitszusagen und die Frage, wie Sie im Ernstfall wieder an Ihre Daten kommen. Ein dokumentierter Ausstiegsprozess gehört zu jedem seriösen Vertrag, damit kein Lock-in entsteht.

Für die IT-Leitung zählen die technischen Details: Welche Virtualisierung, welche Storage-Klassen, wie ist das Netzwerk zwischen den Standorten ausgelegt, wie funktionieren Patch-Fenster und Monitoring? Wichtig ist auch die Frage nach dem Ansprechpartner. Ein fester technischer Ansprechpartner, der Ihre konkrete Umgebung kennt, ist im Betrieb mehr wert als eine anonyme Hotline. Die ITS AG arbeitet hier mit festen Ansprechpartnern und reagiert bei Störungen werktags in der Regel in unter 30 Minuten.

Beide Rollen sollten gemeinsam einen Migrations- und Notfallpfad durchdenken. Wie kommen die Daten hinein, wie kommen sie im Zweifel wieder heraus, und was passiert bei einem Anbieterausfall? Eine schrittweise Migration ohne Big-Bang, mit Pilotphase und Rückfall-Szenario, reduziert das Risiko erheblich. Halten Sie diese Pfade schriftlich fest und testen Sie sie, bevor produktive Daten umziehen.

Der häufigste Fehler ist, sich allein auf Marketingaussagen zu verlassen. Begriffe wie deutsche Cloud oder DSGVO-ready sind nicht geschützt. Verlangen Sie immer schriftliche, prüfbare Belege statt Werbeversprechen. Ein zweiter verbreiteter Fehler ist das Übersehen von Subdienstleistern. Wenn der Anbieter selbst Hyperscaler oder ausländische Tools im Hintergrund nutzt, kann der schöne deutsche Standort an dieser Stelle wertlos werden.

Ein dritter Fehler betrifft die Kostenstruktur. Verbrauchsabhängige Modelle großer Plattformen sind in vielen Dimensionen schwer planbar und führen oft zu Überraschungen auf der Rechnung. Für den Mittelstand ist eine transparente, planbare Preisstruktur meist die bessere Wahl, weil sie Budgetierung und Controlling erleichtert. Rechnen Sie verschiedene Szenarien durch und lassen Sie sich die Annahmen schriftlich geben.

Der vierte Fehler ist fehlende Übung im Ernstfall. Wiederherstellungstests, Notfallpläne und Eskalationswege werden oft auf dem Papier definiert, aber nie real durchgespielt. Im Schadensfall zeigt sich dann, dass Wiederherstellungszeiten viel länger sind als angenommen. Verankern Sie regelmäßige Tests vertraglich und lassen Sie sich die Ergebnisse berichten. So wird aus einem Versprechen ein belastbarer Schutz.