Anrufen
StartseiteBlogDSGVO-konforme Cloud
DSGVO & Cloud Februar 2026 7 Min. Lesezeit

DSGVO-konforme Cloud für KMU: Die ehrliche Einschätzung

Die Frage, ob Google Workspace oder Microsoft 365 DSGVO-konform betrieben werden können, ist keine technische — sondern eine rechtliche. Und die ehrliche Antwort ist komplizierter als Marketingbroschüren suggerieren.

Inhaltsverzeichnis

Das Grundproblem: US-Cloud-Anbieter und der CLOUD Act

Google und Microsoft sind US-amerikanische Unternehmen. Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet sie, auf Anfrage US-amerikanischer Behörden Daten herauszugeben — auch dann, wenn diese Daten auf europäischen Servern gespeichert sind.

Das ist kein Konstruktionsfehler der DSGVO, sondern ein struktureller Widerspruch: Die DSGVO verbietet Datentransfers in Drittländer ohne angemessenes Datenschutzniveau, sofern keine Ausnahme greift. Der US-amerikanische Rechtsrahmen ermöglicht Zugriffe, die nach europäischem Recht unzulässig wären.

Das EU-US Data Privacy Framework von 2023 schafft theoretisch eine neue Rechtsgrundlage für Datentransfers. Praktisch ist es unter Datenschützern umstritten — und könnte vom EuGH erneut gekippt werden, wie es mit dem Privacy Shield und Safe Harbor geschehen ist.

Was das für Ihren Betrieb bedeutet

Das Risiko ist nicht abstrakt. Es ist konkret bewertbar — je nach Art der Daten, die Sie in der Cloud verarbeiten:

Unkritisch: Allgemeine Bürokommunikation

Interne Meetings, Projektplanung, allgemeiner E-Mail-Verkehr ohne personenbezogene Kundendaten — hier ist das Risiko gering, und Google Workspace oder Microsoft 365 lassen sich mit entsprechender AVV (Auftragsverarbeitungsvertrag) vertretbar nutzen.

Kritisch: Kundendaten und Sonderkategorien

Wenn Sie Kundendaten, Gesundheitsinformationen, Finanzdaten oder andere sensible personenbezogene Daten in Cloud-Diensten verarbeiten, wird es juristisch problematisch. Für Arztpraxen, Steuerberater, Rechtsanwälte und alle Branchen mit Berufsgeheimnis gilt: US-Cloud-Dienste sind hier mit erheblichem rechtlichem Risiko verbunden.

Relevant: Berufsgeheimnisträger

Rechtsanwälte, Ärzte, Steuerberater — für diese Berufsgruppen gilt das Berufsgeheimnis nach §§ 203 ff. StGB. Die Nutzung von Cloud-Diensten, bei denen Dritte theoretisch Zugriff haben können, kann den Straftatbestand der unbefugten Offenbarung von Geheimnissen erfüllen. Mehrere Aufsichtsbehörden und Berufsverbände haben entsprechende Warnungen herausgegeben.

Was wirklich DSGVO-konform ist

Wirklich unbedenklich sind Lösungen, bei denen Daten auf Servern verbleiben, die nicht US-amerikanischem Recht unterliegen — also in der Praxis: Self-hosted oder bei europäischen Anbietern ohne US-Mutterkoncern.

Self-hosted Nextcloud

Nextcloud auf eigenem Server oder einem deutschen Hosting-Anbieter ist der sauberste Weg: E-Mail, Kalender, Kontakte, Dateispeicher und kollaboratives Arbeiten an Dokumenten — alles auf Infrastruktur, die ausschließlich europäischem Recht unterliegt. Der Aufwand für Einrichtung und Betrieb ist höher, aber die Rechtssicherheit ist maximal.

Europäische Cloud-Anbieter

Anbieter wie Hetzner, IONOS oder Strato haben keine US-Muttergesellschaft und unterliegen daher nicht dem CLOUD Act. Für Unternehmen, die nicht selbst hosten wollen, sind das legitime Alternativen — solange der AVV korrekt abgeschlossen ist und die Daten tatsächlich in der EU verbleiben.

Was tun, wenn Sie bereits Google oder Microsoft nutzen?

Keine Panik und keine übereilten Entscheidungen. Folgendes hilft bei der Einschätzung:

  1. Welche Daten verarbeiten Sie in diesen Diensten? Klassifizieren Sie Ihre Daten nach Sensibilität.
  2. Haben Sie einen AVV mit Google/Microsoft abgeschlossen? Ohne AVV ist die Nutzung definitiv rechtswidrig.
  3. Welche Rechtsgrundlage nutzen Sie für die Datentransfers in die USA?
  4. Wie hoch ist das realistische Risiko für Ihr konkretes Unternehmen — Branche, Kundendatenarten, Aufsichtsbehörden?

Für die meisten KMU ohne sensible Kundendaten und mit korrekt abgeschlossenen AVVs ist das Risiko im Alltag überschaubar. Für Berufsgeheimnisträger und Unternehmen mit sensiblen Daten gilt: Prüfen Sie Alternativen.

Fazit: Eine pauschale Aussage gibt es nicht. Für viele KMU ist eine Nextcloud-Migration der sinnvollste Weg zu echter Rechtssicherheit — und oft günstiger als gedacht, wenn man die laufenden Lizenzkosten einrechnet.

Häufige Fragen

Teilweise. Google stellt DPA-Verträge (Data Processing Addendum) und Standard-Vertragsklauseln bereit. Das Problem: Der US-amerikanische CLOUD Act erlaubt US-Behörden, Zugriff auf Daten von US-Unternehmen zu fordern — unabhängig davon, auf welchem Server sie liegen. Das ist mit der DSGVO unvereinbar, wenn es sich um besonders schützenswerte Daten handelt.
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) verpflichtet US-amerikanische Tech-Unternehmen, auf Anfrage US-Behörden Zugang zu gespeicherten Daten zu gewähren — auch wenn die Daten auf Servern in Europa liegen. Das betrifft Google, Microsoft, Amazon und alle anderen US-Anbieter.
Self-hosted-Lösungen wie Nextcloud auf eigener oder europäischer Infrastruktur umgehen das CLOUD-Act-Problem vollständig, da kein US-Konzern in der Kette ist. Europäische Anbieter wie Hetzner (Deutschland) oder OVHcloud (Frankreich) sind ebenfalls nicht dem CLOUD Act unterworfen.
Zunächst analysieren, welche Daten tatsächlich schützenswert sind (Mandantendaten, Patientendaten, Geschäftsgeheimnisse). Für besonders sensible Daten: Migration auf Self-hosted- oder europäische Alternativen planen. Für weniger sensible Daten können DPA-Verträge mit den US-Anbietern ausreichen — aber das sollte rechtlich bewertet werden.

DSGVO-Situation Ihrer Cloud prüfen lassen

Im Erstgespräch klären wir, ob und wo Handlungsbedarf besteht — und was eine Migration konkret kosten würde.

Erstgespräch vereinbaren Nextcloud ansehen →