Cloud-Dienste & Datenschutz: Microsoft 365, US-Anbieter & DSGVO
Cloud-Dienste & Datenschutz: Microsoft 365, US-Anbieter & DSGVO
1. DSGVO-Anforderungen für Cloud-Dienste wie Microsoft 365
Unternehmen müssen sicherstellen, dass personenbezogene Daten, die in Microsoft 365 oder anderen Cloud-Diensten verarbeitet werden, innerhalb der EU gespeichert und verarbeitet werden.
✅ Microsoft ergreift Maßnahmen, um Daten innerhalb der EU zu belassen.
🚨 Problem: Viele Cloud-Anbieter mit Sitz in den USA unterliegen dem US CLOUD Act, der US-Behörden potenziell Zugriff auf Daten ermöglicht – selbst wenn die Daten in der EU gespeichert sind.
2. Nutzung von US-Cloud-Diensten nach „Schrems II“
Das Schrems-II-Urteil des EuGH (2020) hat die rechtlichen Hürden für US-Dienste drastisch erhöht.
👉 US-Cloud-Dienste sind problematisch, weil sie nicht das gleiche Datenschutzniveau wie die DSGVO garantieren.
Was ist erforderlich, um US-Dienste zu nutzen?
✔ Standardvertragsklauseln (SCCs) mit dem Anbieter abschließen
✔ Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO
✔ Zusätzliche Schutzmaßnahmen prüfen (z. B. Ende-zu-Ende-Verschlüsselung)
✔ Nachweis, dass keine unzulässigen US-Behördendatenzugriffe möglich sind
💡 Fazit: In vielen Fällen ist eine DSGVO-konforme Nutzung von US-Cloud-Diensten nicht möglich.
3. Anforderungen für Cloud-DMS & Datenspeicherung
Für Dokumentenmanagement-Systeme (DMS) in der Cloud gelten besondere Datenschutzanforderungen:
🔒 Vertraulichkeit & Sicherheit: Verschlüsselung, Zugriffskontrollen
📑 Rechte- & Rollenkonzepte: Wer darf was sehen/bearbeiten?
🔄 Verfügbarkeit & Ausfallsicherheit
❌ Einschränkung von Suchfunktionen: Keine unnötige Analyse von Metadaten
4. Welche Cloud-Dienste dürfen für personenbezogene Daten genutzt werden?
✅ Erlaubt:
• EU-basierte Cloud-Dienste (keine Zugriffsmöglichkeit für US-Behörden)
• Schul-Clouds & kommunale Rechenzentren
• Selbst gehostete Lösungen („On-Premises“)
🚫 Nicht erlaubt für personenbezogene Daten:
• US-Cloud-Anbieter ohne DSGVO-Konformität (Dropbox, OneDrive, Google Drive, iCloud)
• Digitale Pinnwände wie Padlet, wenn personenbezogene Daten betroffen sind
5. Sichere Datenübertragung & Verschlüsselung
📌 Datenverschlüsselung ist Pflicht, wenn personenbezogene Daten über Clouddienste geteilt werden.
📌 Ende-zu-Ende-Verschlüsselung erforderlich – reine Transportverschlüsselung (HTTPS) reicht nicht aus.
📌 Sichere Alternativen: EU-basierte Cloud-Anbieter oder verschlüsselte Dateiübertragungslösungen.
💡 Tipp: Unternehmen & Schulen sollten keine US-Dienste verwenden, wenn personenbezogene Daten verarbeitet werden, es sei denn, es gibt nachweisbare Schutzmaßnahmen. 🚀
1. DSGVO-Anforderungen für Cloud-Dienste wie Microsoft 365
Unternehmen müssen sicherstellen, dass personenbezogene Daten, die in Microsoft 365 oder anderen Cloud-Diensten verarbeitet werden, innerhalb der EU gespeichert und verarbeitet werden.
✅ Microsoft ergreift Maßnahmen, um Daten innerhalb der EU zu belassen.
🚨 Problem: Viele Cloud-Anbieter mit Sitz in den USA unterliegen dem US CLOUD Act, der US-Behörden potenziell Zugriff auf Daten ermöglicht – selbst wenn die Daten in der EU gespeichert sind.
2. Nutzung von US-Cloud-Diensten nach „Schrems II“
Das Schrems-II-Urteil des EuGH (2020) hat die rechtlichen Hürden für US-Dienste drastisch erhöht.
👉 US-Cloud-Dienste sind problematisch, weil sie nicht das gleiche Datenschutzniveau wie die DSGVO garantieren.
Was ist erforderlich, um US-Dienste zu nutzen?
✔ Standardvertragsklauseln (SCCs) mit dem Anbieter abschließen
✔ Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO
✔ Zusätzliche Schutzmaßnahmen prüfen (z. B. Ende-zu-Ende-Verschlüsselung)
✔ Nachweis, dass keine unzulässigen US-Behördendatenzugriffe möglich sind
💡 Fazit: In vielen Fällen ist eine DSGVO-konforme Nutzung von US-Cloud-Diensten nicht möglich.
3. Anforderungen für Cloud-DMS & Datenspeicherung
Für Dokumentenmanagement-Systeme (DMS) in der Cloud gelten besondere Datenschutzanforderungen:
🔒 Vertraulichkeit & Sicherheit: Verschlüsselung, Zugriffskontrollen
📑 Rechte- & Rollenkonzepte: Wer darf was sehen/bearbeiten?
🔄 Verfügbarkeit & Ausfallsicherheit
❌ Einschränkung von Suchfunktionen: Keine unnötige Analyse von Metadaten
4. Welche Cloud-Dienste dürfen für personenbezogene Daten genutzt werden?
✅ Erlaubt:
• EU-basierte Cloud-Dienste (keine Zugriffsmöglichkeit für US-Behörden)
• Schul-Clouds & kommunale Rechenzentren
• Selbst gehostete Lösungen („On-Premises“)
🚫 Nicht erlaubt für personenbezogene Daten:
• US-Cloud-Anbieter ohne DSGVO-Konformität (Dropbox, OneDrive, Google Drive, iCloud)
• Digitale Pinnwände wie Padlet, wenn personenbezogene Daten betroffen sind
5. Sichere Datenübertragung & Verschlüsselung
📌 Datenverschlüsselung ist Pflicht, wenn personenbezogene Daten über Clouddienste geteilt werden.
📌 Ende-zu-Ende-Verschlüsselung erforderlich – reine Transportverschlüsselung (HTTPS) reicht nicht aus.
📌 Sichere Alternativen: EU-basierte Cloud-Anbieter oder verschlüsselte Dateiübertragungslösungen.
💡 Tipp: Unternehmen & Schulen sollten keine US-Dienste verwenden, wenn personenbezogene Daten verarbeitet werden, es sei denn, es gibt nachweisbare Schutzmaßnahmen. 🚀
Aktualisiert am: 25/02/2025
Danke!