DSGVO-konforme Cloud: Welche Anbieter dürfen Berliner Unternehmen nutzen?

Cloud-Speicher ist bequem, günstig und für viele Berliner Unternehmen bereits selbstverständlich. Doch wer personenbezogene Daten — Kundendaten, Mitarbeiterinformationen, Gesundheitsdaten — in die Cloud auslagert, muss sicherstellen, dass dies DSGVO-konform geschieht. Ein Verstöß kann teuer werden: Die Berliner Datenschutzbehörde ist bekannt für aktives Vorgehen.

Das Problem mit US-amerikanischen Cloud-Diensten

Dropbox, Google Drive und klassisches OneDrive sind technisch ausgereifte Lösungen. Das Problem: Sie unterliegen dem US-amerikanischen Cloud Act, der US-Behörden den Zugriff auf Daten erlaubt, die von amerikanischen Unternehmen gespeichert werden — auch wenn die Server in Europa stehen. Für die DSGVO ist das problematisch, weil ein angemessenes Datenschutzniveau in den USA nicht vollständig gewährleistet ist. Zwar gibt es seit 2023 das EU-US Data Privacy Framework als Nachfolger des gescheiterten Privacy Shield, aber dessen Rechtsbeständigkeit ist weiterhin umstritten.

DSGVO-konforme Alternativen für Berliner Unternehmen

Es gibt gute europäische Alternativen, die rechtssicher eingesetzt werden können:

• Hetzner Storagebox (Deutschland): Günstiger Speicher auf deutschen Servern, SFTP/WebDAV/Samba-Zugriff. Ideal für Backups und Dateiablage. Ab 3,81 €/Monat für 1 TB.
• Strato HiDrive (Deutschland): Benutzerfreundlicher Cloud-Speicher mit Desktop-Client, deutschen Servern und AVV. Gut für Teams geeignet.
• Nextcloud (selbst gehostet): Open-Source-Lösung, die auf dem eigenen Server oder bei einem deutschen Hoster betrieben wird. Maximale Kontrolle, aber erfordert technisches Know-how.
• Microsoft 365 mit EU-Datengrenze: Seit 2023 bietet Microsoft für europäische Kunden die garantierte Datenspeicherung und -verarbeitung innerhalb der EU — ein Schritt in die richtige Richtung, aber noch nicht unumstritten.
• Ionos Drive (Deutschland): Cloud-Speicher von 1&1 IONOS mit deutschen Servern und DSGVO-konformem Auftragsverarbeitungsvertrag.

Was Sie bei jedem Cloud-Anbieter prüfen müssen

Unabhängig vom Anbieter müssen Sie als Verantwortlicher sicherstellen: Gibt es einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO? Wo werden die Daten gespeichert und verarbeitet? Welche Drittländer sind involviert? Werden die Daten verschlüsselt — idealerweise Ende-zu-Ende? Die Nutzung eines Cloud-Dienstes ohne AVV ist bereits ein DSGVO-Verstoß, auch wenn sonst alles stimmt. Im Zweifelsfall sollten Sie Ihren Datenschutzbeauftragten oder einen DSGVO-erfahrenen IT-Dienstleister hinzuziehen.

Sie haben Fragen zu Ihrer IT-Infrastruktur? Kontaktieren Sie uns — wir beraten Sie kostenlos und unverbindlich in Berlin.