- Sie haften — nicht der Cloud-Anbieter. Microsoft, AWS und Google sind Auftragsverarbeiter, die Verantwortung bleibt beim Unternehmen.
- Pflicht-Pakete: AVV, technisch-organisatorische Maßnahmen (TOMs), EU-Datenresidenz wo möglich, Standardvertragsklauseln bei US-Bezug.
- Microsoft 365 lässt sich DSGVO-konform betreiben — aber nicht aus der Schachtel. Sensible Daten in EU-Tenant, M365 Compliance-Center konfigurieren.
- Cloud-Compliance ist kein Projekt, sondern ein Prozess. Jahresreview plus anlassbezogene Updates.
Was sich für Geschäftsführer seit 2023 wirklich geändert hat
Vor zwei Jahren saßen wir bei hagel IT-Services regelmäßig mit Hamburger Geschäftsführern, die nach dem Schrems-II-Urteil unsicher waren, ob sie überhaupt noch US-Cloud nutzen dürfen. Heute hat sich die Lage entspannt — aber sie ist nicht einfacher geworden. Drei Entwicklungen haben das Bild verändert:
- Das EU-US Data Privacy Framework ist seit Juli 2023 in Kraft. Es bildet die rechtliche Grundlage für Datenübermittlungen an zertifizierte US-Anbieter — Microsoft, Google und AWS sind dabei. Details bei der EU-Kommission zum Data Privacy Framework.
- Die Microsoft EU Data Boundary ist seit Anfang 2024 in der Praxis nutzbar. Kunden können einstellen, dass M365-Daten ausschließlich in EU-Rechenzentren verarbeitet werden — inklusive Diagnostikdaten, was lange Zeit der Knackpunkt war.
- Die deutschen Aufsichtsbehörden prüfen aktiver. Die Hamburger Aufsichtsbehörde HmbBfDI hat in den letzten zwölf Monaten überproportional viele Beschwerden zu Cloud-Diensten bearbeitet — Quelle: HmbBfDI Tätigkeitsbericht.
Für Sie heißt das: Cloud ist nicht mehr „darf man nicht”, sondern „muss man richtig konfigurieren”. Und das ist Chefsache.
Wer haftet — und warum das fast immer falsch verstanden wird
Wenn personenbezogene Daten in der Cloud verloren gehen, falsch verarbeitet werden oder bei einer Aufsichtsbehörde landen, fragt sich der Geschäftsführer reflexartig: „Aber die haben das doch in ihrem Rechenzentrum, oder?” Stimmt — und ist trotzdem irrelevant.
Nach Art. 24 DSGVO sind Sie als Verantwortlicher für die Verarbeitung haftbar. Der Cloud-Anbieter ist Auftragsverarbeiter nach Art. 28 DSGVO. Geldbußen bis zu 4 % des weltweiten Jahresumsatzes treffen die verantwortliche Stelle — also Ihr Unternehmen.
Praktisch heißt das: Sie müssen den Anbieter sorgfältig auswählen, einen Auftragsverarbeitungsvertrag (AVV) abschließen, technische und organisatorische Maßnahmen (TOMs) prüfen, regelmäßig kontrollieren — und das dokumentieren. Wer das nur „macht, weil die IT das schon weiß”, verschiebt das Problem, löst es nicht.
Ich rate meinen Kunden immer: Nicht übertreiben, einfach anfangen. Die perfekte IT-Lösung gibt es nicht — aber eine, die morgen schon besser ist als heute. Und in drei Monaten sind Sie überrascht, wie weit Sie gekommen sind.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Die 7 Pflicht-Themen für jeden Geschäftsführer
- Auftragsverarbeitungsvertrag (AVV) abschließen. Mit jedem Cloud-Anbieter, der personenbezogene Daten für Sie verarbeitet. Microsoft, Google und AWS bieten Standard-AVVs — herunterladen, vom Datenschutzbeauftragten prüfen, gegenzeichnen, ablegen. Ohne AVV: kein rechtmäßiger Betrieb.
- Datenresidenz festlegen. EU-Rechenzentrum als Default. Bei Microsoft 365: EU Data Boundary aktivieren. Bei Azure: Region „Germany West Central" oder „West Europe" wählen. Reduziert Risiken bei Drittland-Transfers drastisch.
- Standardvertragsklauseln (SCC) prüfen. Bei US-Anbietern zusätzlich zum Data Privacy Framework. Microsoft und Co. binden das automatisch ein — Sie sollten es trotzdem im Vertrag wiederfinden und bestätigen.
- TOMs dokumentieren und prüfen. Verschlüsselung in Transit und at Rest, MFA, Zugriffsprotokolle, Backup, Pseudonymisierung wo möglich. Bei uns Bestandteil jeder Cloud-Beratung.
- Berechtigungs- und Rollenkonzept. Wer darf was sehen? In M365 mit Conditional Access, Sensitivity Labels und Data Loss Prevention. Out-of-the-box: zu offen. Standardkonfiguration: enttäuscht in jedem Audit.
- Verfahrensverzeichnis aktualisieren. Jeder Cloud-Dienst, der personenbezogene Daten verarbeitet, gehört rein. Das ist nicht hübsch, aber Pflicht nach Art. 30 DSGVO — und das Erste, wonach die Aufsichtsbehörde im Ernstfall fragt.
- Jährlicher Compliance-Check. Neue Dienste? Neue Rollen? Neue Risiken? Einmal pro Jahr durchsteppen, dokumentieren, nachbessern.
Microsoft 365 konkret — was Sie konfigurieren sollten
Weil bei 9 von 10 Hamburger Mittelständlern Microsoft 365 die zentrale Cloud-Plattform ist, hier die wichtigsten Stellschrauben — pragmatisch, ohne IT-Nerd-Tiefgang:
| Bereich | Empfehlung | Wo einstellen |
|---|---|---|
| Datenresidenz | EU Data Boundary für alle Workloads | Microsoft 365 Admin Center → Settings |
| Authentifizierung | MFA pflicht, Conditional Access für Risiko-Logins | Entra ID (ex Azure AD) |
| Geräte | Intune verpflichtend, BitLocker auf allen Endgeräten | Microsoft Intune |
| Klassifizierung | Sensitivity Labels für vertrauliche Daten | Microsoft Purview |
| DLP | Regeln für PII, Finanzdaten, Gesundheitsdaten | Microsoft Purview |
| Backup | Drittanbieter-Backup für Exchange, OneDrive, SharePoint, Teams | Veeam, Acronis o. ä. |
| Logging | Audit-Log aktivieren, mindestens 90 Tage aufbewahren | Microsoft Purview |
Wer hier Schritt für Schritt nachzieht, ist auf 80 % der Compliance-Pflichten vorbereitet. Die restlichen 20 % sind branchen- und unternehmensspezifisch — z. B. besondere Cloud-Compliance für Hamburger Steuerkanzleien oder DSGVO im Gesundheitswesen.
Aus der Praxis: Bauunternehmen mit 150 Mitarbeitern in Hamburg
Ein Mandant aus dem Bauwesen — 150 Mitarbeiter, mehrere Niederlassungen — hatte Microsoft 365 seit drei Jahren im Einsatz. Auf Nachfrage: „Klar, alles DSGVO-konform, sagt unser IT-Dienstleister.” Bei der ersten Bestandsaufnahme:
- Kein dokumentierter AVV (war zwar online geklickt, lag aber nicht im Compliance-Ordner).
- TOMs aus dem Jahr 2021 — vor der EU-DB-Aktivierung.
- Audit-Log seit Jahren deaktiviert, weil „Speicher kostet”.
- Mitarbeiterdaten in einer öffentlich freigegebenen SharePoint-Bibliothek (Linkfreigabe „Jeder mit Link”).
Ergebnis: Keine Aufsichtsbehörde involviert, aber im Falle eines Audits ein vierstelliger Bußgeld-Korridor offen. Wir haben in zwölf Wochen die sieben Punkte oben abgearbeitet, jährlich angepasst, in den Managed-IT-Service eingebettet. Heute wäre eine Anfrage von der HmbBfDI in zwei Tagen beantwortet — mit dokumentierten Fakten.
Ich habe neun IT-Häuser angeschrieben. Nur drei haben ein Angebot geschickt, das ich als Nicht-ITler verstanden habe. hagel IT war eins davon.
Was Sie als Geschäftsführer prüfen sollten — auch ohne IT-Background
- AVV griffbereit? Mit jedem Cloud-Anbieter — und nicht im Sharepoint-Tiefenarchiv versteckt, sondern im Compliance-Ordner.
- Externer Datenschutzbeauftragter benannt? Bei über 20 Mitarbeitern Pflicht. Auch interner DSB möglich, aber selten praktikabel.
- EU-Datenresidenz aktiv? Frage an Ihre IT: „Liegen unsere M365-Daten ausschließlich in der EU?" — Antwort muss „ja, dokumentiert" lauten.
- MFA für alle? Ohne Ausnahme. Auch GF, auch Externe.
- Audit-Log aktiv? Sonst können Sie im Ernstfall nicht nachvollziehen, wer was wann wo angefasst hat.
- Backup unabhängig vom Anbieter? Microsoft sichert die Plattform, nicht Ihre Daten gegen Bedienfehler oder Ransomware in Ihrem Tenant.
„Wir haben doch einen IT-Dienstleister, der macht das schon." Aufsichtsbehörden fragen nicht den Dienstleister, sondern Sie. Verantwortung lässt sich nicht delegieren — Aufgaben schon.
Wann Sie sich Hilfe holen sollten
Spätestens wenn der nächste Auditor zu Besuch kommt, eine Bank im Rahmen einer Finanzierung fragt oder Sie eine Cyberversicherung abschließen wollen, brauchen Sie belastbare Dokumentation. Wir bieten in unseren Managed-IT-Services Cloud-Compliance als integralen Bestandteil — inklusive jährlichem Geschäftsführer-Report, der die obigen sieben Themen mit Status, Risiken und nächsten Schritten zusammenfasst.
Tiefergehend: Cloud-Compliance in Hamburg — wer haftet wirklich bei DSGVO & Co., DSGVO und Datenschutz für Unternehmen und externer Datenschutzbeauftragter in Hamburg.
Cloud-Compliance ehrlich bewertet — in 15 Minuten.
Kostenlos. Direkt. Ohne Vertriebsdruck. Wir sagen Ihnen, wo Sie stehen.
Erstgespräch buchen →
