Stand: März 2026
Cloud-Dienste sind aus dem Unternehmensalltag kaum wegzudenken. Ob Buchhaltungssoftware, Kollaborationsplattformen oder Datenspeicherung — nahezu jede Geschäftsanwendung läuft heute über externe Server. Für Unternehmer und Geschäftsführer stellt sich damit eine entscheidende Frage: Was genau verlangen die EU-Datenschutzrichtlinien für Cloud-Dienste, und welche konkreten Pflichten entstehen daraus? Dieser Leitfaden gibt einen strukturierten Überblick über das Zusammenspiel von DSGVO, Data Act und den aktuellen Entwicklungen im transatlantischen Datentransfer.
Das rechtliche Fundament: DSGVO und Cloud Computing
Die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 unmittelbar geltendes Recht in allen EU-Mitgliedstaaten. Sie regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr innerhalb der EU. Wer also Kundendaten, Mitarbeiterdaten oder andere personenbezogene Informationen in einer Cloud verarbeitet, unterliegt diesen Regeln — unabhängig davon, wo der Cloud-Anbieter seinen Sitz hat.
Die Datenschutz-Grundverordnung schützt personenbezogene Daten von EU-Bürgerinnen und -Bürgern. Sie legt fest, wie Unternehmen Daten sammeln, speichern, verarbeiten und teilen dürfen. Bei der Nutzung von Cloud-Diensten müssen Unternehmen die Vorgaben der DSGVO konsequent einhalten — auch dann, wenn Daten außerhalb der eigenen IT-Infrastruktur verarbeitet werden.
Verantwortlicher und Auftragsverarbeiter — wer ist was?
Die DSGVO unterscheidet zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Im Falle des Cloud Computing ist der Verantwortliche das Unternehmen, das zu Speicher- und Bearbeitungszwecken interne Daten auf eine externe Cloud auslagert. Auftragsverarbeiter ist der Anbieter des Cloud-Services. Diese Unterscheidung ist mehr als eine Formalität: Sie bestimmt, wer welche Pflichten trägt und wer bei Verstößen zur Verantwortung gezogen werden kann.
Zwischen dem Anbieter und dem Anwender ist daher ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 Satz 1 DSGVO zu schließen. Dieser Vertrag ist kein optionales Zusatzdokument — er ist gesetzlich vorgeschrieben. Bei externen Dienstleistern wie Cloud-Anbietern muss ein Auftragsverarbeitungsvertrag abgeschlossen werden.
Kernaussage: Die Nutzung von Cloud-Diensten gilt rechtlich als Auftragsverarbeitung. Das Unternehmen bleibt als Verantwortlicher für die Einhaltung der DSGVO zuständig — diese Verantwortung lässt sich nicht an den Cloud-Anbieter übertragen.
Was muss ein Auftragsverarbeitungsvertrag enthalten?
In einem AVV sind zwingend zu regeln: Art der personenbezogenen Daten und Kategorien von betroffenen Personen (z. B. Mitarbeiter oder Kunden), Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener sowie bei der Meldepflicht bei Datenschutzverletzungen, Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung sowie Kontrollrechte des für die Verarbeitung Verantwortlichen.
Gerade beim Thema Subunternehmer lauern in der Praxis oft Fallstricke. Der Anbieter hat die Subunternehmer abschließend zu benennen. Weitere Subunternehmer beauftragt er gemäß Art. 28 Abs. 2 Satz 1 DSGVO erst nach gesonderter Genehmigung des Anwenders. Viele Cloud-Anbieter nutzen ihrerseits Drittdienstleister — das muss transparent sein und vertraglich geregelt werden.
Worauf bei der Wahl eines Cloud-Anbieters zu achten ist
Die Auswahl des richtigen Anbieters ist eine der zentralen Entscheidungen im Bereich Datenschutz. Nicht jede Cloud ist gleich — und nicht jede entspricht den EU-Datenschutzrichtlinien für Cloud-Dienste. Ein Cloud-Anbieter gilt als DSGVO-konform, wenn er über folgende Merkmale verfügt: transparente Datenschutzrichtlinien nach EU-Standards, nachweisbare Sicherheitszertifikate (z. B. ISO 27001, C5-Testat), Serverstandorte innerhalb der EU oder adäquate Schutzmechanismen bei Drittstaatentransfers sowie Bereitschaft zum Abschluss eines Auftragsverarbeitungsvertrags.
- Serverstandort prüfen. Der physische Standort des Servers beeinflusst die geltenden Datenschutzvorgaben. Server innerhalb der EU gelten als datenschutzrechtlich unbedenklicher.
- Zertifikate einfordern. Die ISO/IEC 27018 ist ein internationaler Standard, der sich auf den Schutz personenbezogener Daten in Cloud-Umgebungen konzentriert. Zertifizierte Anbieter verpflichten sich zur Einhaltung spezifischer Datenschutzmaßnahmen. Für Unternehmen, die Cloud-Dienste nutzen, sind solche Zertifikate eine wichtige Orientierungshilfe.
- AVV abschließen. Ein Auftragsverarbeitungsvertrag (AVV) regelt Art, Umfang, Zweck der Datenverarbeitung und den Subunternehmer-Einsatz.
- Technische Sicherheit bewerten. Technische Sicherheit umfasst Verschlüsselung at rest und in transit, Zugriffsmanagement sowie redundante Backups.
- Datenschutz-Folgenabschätzung durchführen. Die DSGVO verlangt bei Cloud- und KI-Lösungen die Einhaltung der Datenschutzprinzipien und eine Datenschutz-Folgenabschätzung (DSFA), wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht.
Tipp: Eine Prüfung im Einzelfall, welche Zertifikate und vertraglichen Regelungen für die konkrete Nutzungssituation ausreichen, empfiehlt sich in Absprache mit einem Datenschutzbeauftragten oder rechtlichen Berater.
Meldepflichten bei Datenschutzverletzungen — auch in der Cloud
Kommt es zu einer Datenpanne — etwa weil ein Cloud-Anbieter gehackt wird oder Daten versehentlich öffentlich zugänglich werden — gelten strikte Fristen. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, ist eine Begründung für die Verzögerung beizufügen.
Wichtig: Auch wenn der Cloud-Anbieter viel Arbeit übernimmt — die Verantwortung für die Einhaltung der Meldepflichten liegt immer beim Unternehmen; sie kann nicht outgesourct werden. Feiertage und Wochenenden unterbrechen diese Frist nicht. Das bedeutet: Interne Notfallprozesse müssen 365 Tage im Jahr funktionieren.
Wer die Meldepflicht verletzt, riskiert erhebliche Sanktionen. Formelle Verstöße können mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Materielle Verstöße — etwa gegen die Grundsätze der Datenverarbeitung oder Betroffenenrechte — ziehen Strafen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes nach sich. Maßgeblich ist jeweils der höhere Betrag.
Datentransfer in Drittstaaten: USA, China und Co.
Besonders komplex wird es, wenn Daten außerhalb der EU verarbeitet werden. Die DSGVO regelt den grenzüberschreitenden Datentransfer über Artikel 44–50, wobei die Sicherheit von Daten bei Übertragungen außerhalb der EU garantiert sein muss. Standardvertragsklauseln (SCC) und das Data Privacy Framework (DPF) ermöglichen sichere Datenflüsse mit Drittstaaten.
Das EU-US Data Privacy Framework — aktueller Stand
Für Transfers in die USA wurde 2023 das EU-US Data Privacy Framework (DPF) eingeführt. Die EU-Kommission erklärte, dass durch das DPF ein angemessenes Datenschutzniveau bei Empfängern in den USA geschaffen wird, soweit diese entsprechend zertifiziert sind. Dies gibt Unternehmen Rechtssicherheit, wenn sie personenbezogene Daten an Anbieter übertragen, die in den USA sitzen.
Am 3. September 2025 wies das Europäische Gericht (EuG) eine Klage ab, die das EU-US Data Privacy Framework angefochten hatte. Das DPF wurde entwickelt, um US-Organisationen eine zuverlässige Grundlage für die Übertragung personenbezogener Daten aus der EU in die USA in Einklang mit EU-Recht zu bieten. Allerdings ist die Rechtslage weiterhin nicht endgültig gesichert.
Der Europäische Gerichtshof könnte bald erneut eingreifen, nachdem der französische Politiker Philippe Latombe am 31. Oktober 2025 Berufung eingelegt hat. Die Entscheidung des EuGH könnte erhebliche Auswirkungen auf Unternehmen haben, die auf den Angemessenheitsbeschluss der Europäischen Kommission zum DPF vertrauen.
Wichtiger Hinweis: Das EU-US Data Privacy Framework bietet derzeit eine Rechtsgrundlage für Datentransfers in die USA. Die Lage ist jedoch politisch und rechtlich volatil. Fachleute empfehlen, parallel auf Standardvertragsklauseln als Rückfalloption vorbereitet zu sein. Eine Einzelfallprüfung mit rechtlicher Beratung ist empfehlenswert.
Standardvertragsklauseln als Absicherung
Unabhängig davon, ob ein Unternehmen auf das DPF setzt oder nicht: Standardvertragsklauseln (SCC) und das Data Privacy Framework ermöglichen sichere Datenflüsse mit Drittstaaten. Unternehmen müssen sicherstellen, dass auch ihre Cloud-Anbieter diese Anforderungen erfüllen, um die Konformität zu wahren und Sanktionen zu vermeiden. Standardvertragsklauseln sind Musterverträge der EU-Kommission, die bei Drittstaatentransfers eine angemessene Schutzgarantie sicherstellen sollen.
Für US-amerikanische Cloud-Anbieter wie Azure, AWS oder Google Cloud gilt: Das DPF schafft kurzfristige Rechtssicherheit für die Nutzung dieser Dienste, sofern sie zertifiziert sind. Microsoft und Amazon sind bereits seit August 2023 registriert. Wer Subunternehmer einsetzt, muss weiterhin prüfen, ob die gesamte Verarbeitungskette innerhalb des DPF-Rahmens bleibt.
Der EU Data Act — neue Spielregeln für Cloud-Anbieter seit September 2025
Neben der DSGVO ist seit dem 12. September 2025 ein weiteres Regelwerk relevant. Seit dem 12. September 2025 ist die Verordnung (EU) 2023/2854 (Data Act) in allen EU-Mitgliedstaaten unmittelbar anwendbar. Die Verordnung markiert einen Meilenstein für das europäische Datenrecht: Der Data Act soll einen fairen, wettbewerbsfähigen und innovationsfreundlichen Datenbinnenmarkt schaffen. Kernanliegen des Gesetzgebers ist es, den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und Diensten zu erleichtern.
Der Data Act soll die bisherige Exklusivstellung vieler Dateninhaber aufbrechen und die Rechte von Nutzern sowie die Interoperabilität von Cloud-Diensten stärken. Für Unternehmen, die Cloud-Dienste nutzen, entstehen daraus neue Rechte — aber auch Pflichten.
Was der Data Act für Cloud-Nutzer bedeutet
- Wechselrecht ohne Hürden. Nutzer können ihre bestehenden Verträge künftig innerhalb von 30 Tagen kündigen und haben das Recht, kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln. Wechselentgelte von Cloud-Diensten werden bis zum 12. Januar 2027 schrittweise abgeschafft. Bei einem Wechsel müssen die Daten zu einem anderen Dienst ohne Hindernisse migrierbar sein.
- Datenzugang auf Verlangen. Der Data Act schafft klare Regeln für den Zugang zu Daten aus vernetzten Produkten und digitalen Diensten. Nutzer erhalten einen unmittelbaren, kostenlosen und strukturierten Zugang zu den erzeugten Daten — auf Wunsch auch für Dritte.
- Verhältnis zur DSGVO. Der Data Act stellt klar, dass er „unbeschadet” des Datenschutzrechts gilt. Bei Konflikten hat deshalb die DSGVO Vorrang.
- Breite Betroffenheit. So gut wie alle Wirtschaftszweige werden vom Data Act betroffen sein — auch Unternehmen der Bereiche Transport, Logistik, Infrastruktur, Gesundheitswesen, Finanzdienstleister und Betreiber von Online-Plattformen und Cloud-Lösungen (SaaS etc.).
Weiterlesen:NIS2-Richtlinie und ihre Auswirkungen auf die IT-Sicherheit in Unternehmen
NIS2 und DORA: Weitere Regelwerke mit Cloud-Relevanz
Das regulatorische Umfeld verdichtet sich weiter. Neben klassischen Sektoren wie Energie, Wasser, Gesundheit und Transport fallen nun auch IT-Dienstleister und Cloud-Anbieter unter die NIS2-Regulierung. Zahlreiche Unternehmen sehen sich erstmals formellen Cybersicherheitsanforderungen gegenüber. NIS2 verlangt die strukturierte Identifikation, Bewertung und kontinuierliche Reduktion von Cybersicherheitsrisiken durch technische und organisatorische Maßnahmen.
Für den Finanzsektor gilt zusätzlich DORA. Die Digital Operational Resilience Regulation (DORA) gilt seit dem 17. Januar 2025. Sie verpflichtet Banken, Versicherungen, Wertpapierfirmen und deren IT-Dienstleister zur umfassenden Dokumentation und regelmäßigen Überprüfung ihrer digitalen Widerstandsfähigkeit. Bestehende Auftragsverarbeitungsverträge, technische Schutzmaßnahmen und Cloud-Architekturen müssen den erweiterten Standards genügen.
Praktische Konsequenzen für Unternehmer und Geschäftsführer
Was bedeutet das alles im Unternehmensalltag? Die Anforderungen der EU-Datenschutzrichtlinien für Cloud-Dienste lassen sich auf einige zentrale Handlungsfelder verdichten. Eine Prüfung im Einzelfall ist in jedem Fall empfehlenswert — die folgenden Punkte geben einen ersten Orientierungsrahmen.
- AVV mit jedem Cloud-Anbieter. Wer Cloud-Dienste nutzt, bei denen personenbezogene Daten verarbeitet werden, benötigt zwingend einen schriftlichen oder elektronischen Auftragsverarbeitungsvertrag. Das gilt auch für scheinbar „kleine” Dienste wie E-Mail-Marketing-Tools oder HR-Software.
- Drittstaatentransfers dokumentieren. Unternehmen sind verpflichtet, Nachweise über die Einhaltung dieser Vorgaben zu erbringen (Rechenschaftspflicht). Welche Daten fließen wohin — und auf welcher Rechtsgrundlage?
- Notfallplan für Datenpannen. Die 72-Stunden-Frist zur Meldung von Datenschutzverletzungen gilt auch bei Vorfällen beim Cloud-Anbieter. Ein internes Eskalationsverfahren kann sich als unverzichtbar erweisen.
- Data-Act-Compliance prüfen. Adressaten des Data Act sind unter anderem Anbieter von Datenverarbeitungsdiensten wie Cloud-Plattformen. Die Verordnung gilt für alle Akteure, die Produkte oder Dienste auf dem EU-Markt bereitstellen oder nutzen. Wer Cloud-Dienste anbietet oder betreibt, sollte die eigene Betroffenheit prüfen.
In der Praxis empfiehlt sich eine frühzeitige Abstimmung mit einem Datenschutzbeauftragten, um die konkrete Risikosituation zu bewerten. Gerade bei der Nutzung amerikanischer Cloud-Anbieter wie Microsoft 365, Google Workspace oder AWS kann die rechtliche Lage schnell komplex werden — eine individuelle Einschätzung ist hier sinnvoll.
Häufig gestellte Fragen
Was ist ein Auftragsverarbeitungsvertrag (AVV) und wann ist er bei Cloud-Diensten nötig?
Ein AVV ist ein Vertrag zwischen dem Unternehmen als Verantwortlichem und dem Cloud-Anbieter als Auftragsverarbeiter. Er ist immer dann gesetzlich vorgeschrieben, wenn der Cloud-Anbieter personenbezogene Daten im Auftrag des Unternehmens verarbeitet — also in nahezu allen geschäftlichen Cloud-Nutzungsszenarien. Ohne AVV liegt ein Verstoß gegen Art. 28 DSGVO vor.
Dürfen personenbezogene Daten in US-amerikanischen Cloud-Diensten gespeichert werden?
Solange der Angemessenheitsbeschluss für das EU-US Data Privacy Framework in Kraft ist, können personenbezogene Daten ohne zusätzliche Schutzmaßnahmen an US-Unternehmen übertragen werden, die auf der DPF-Liste des Department of Commerce eingetragen sind. Aufsichtsbehörden sind an den Beschluss gebunden und dürfen für solche Transfers keine Bußgelder verhängen. Wegen der anhängigen Rechtsmittel und der politischen Lage empfiehlt eine Prüfung im Einzelfall, ob zusätzlich Standardvertragsklauseln abgesichert werden sollten.
Innerhalb welcher Frist muss eine Datenschutzverletzung in der Cloud gemeldet werden?
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Die Frist gilt auch an Wochenenden und Feiertagen.
Was ändert der EU Data Act für Unternehmen, die Cloud-Dienste nutzen?
Nutzer können bestehende Verträge künftig innerhalb von 30 Tagen kündigen und haben das Recht, kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln. Wechselentgelte werden bis zum 12. Januar 2027 schrittweise abgeschafft. Bei einem Wechsel müssen die Daten ohne Hindernisse zu einem anderen Dienst migrierbar sein. Zudem erhalten Nutzer stärkere Rechte auf Zugang zu den durch ihre Nutzung vernetzter Produkte erzeugten Daten.
Welche Bußgelder drohen bei Verstößen gegen die DSGVO im Cloud-Kontext?
Ein Verstoß gegen die EU-Datenschutzgrundverordnung kann das betreffende Unternehmen bis zu 20 Millionen Euro Geldbuße kosten — oder bis zu 4 % dessen weltweiter Umsätze, je nachdem, welcher Wert am Ende höher ausfällt. können Betroffene zivilrechtliche Schadensersatzansprüche geltend machen. Die Aufsichtsbehörden haben die Durchsetzung in den vergangenen Jahren spürbar intensiviert.
Muss ich als Unternehmen einen Datenschutzbeauftragten benennen, wenn ich Cloud-Dienste nutze?
Die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) hängt nicht allein von der Cloud-Nutzung ab, sondern von der Art und dem Umfang der Datenverarbeitung im Unternehmen insgesamt. Ab 20 Personen in der Datenverarbeitung ist ein DSB Pflicht. Ob diese Schwelle durch Cloud-Nutzung überschritten wird, ist eine Frage des Einzelfalls — eine Prüfung mit einem Steuerberater oder Datenschutzexperten ist empfehlenswert.
Stand: März 2026
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine rechtliche oder steuerliche Beratung dar. Rechtliche und datenschutzrechtliche Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.
TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin & Steuerberaterin: Fatma Tabak-Özkul
