Nach Schrems II: So prüfen Sie Ihre Cloud-Abhängigkeit

Das Schrems-II-Urteil und seine Folgen

Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) im Urteil C-311/18 (“Schrems II”) das EU-US Privacy Shield für ungültig. Die Begründung: US-Überwachungsprogramme wie FISA Section 702 und Executive Order 12333 bieten keinen mit EU-Recht vergleichbaren Schutz für personenbezogene Daten europäischer Bürger.

Dieses Urteil hat die Rechtsgrundlage für den Datentransfer zu US-Cloud-Anbietern grundlegend verändert. Zwar gilt seit Juli 2023 der EU-US Data Privacy Framework (DPF) als neü Rechtsgrundlage - doch Datenschutzexperten warnen vor einer Wiederholung: Ein “Schrems III”-Verfahren ist bereits in Vorbereitung, da die US-Überwachungsgesetzgebung im Kern unverändert geblieben ist.

Warum ein DSGVO Cloud Check unverzichtbar ist

Unternehmen, die personenbezogene Daten verarbeiten, müssen nach Art. 44-49 DSGVO sicherstellen, dass Datentransfers in Drittländer ein angemessenes Schutzniveau bieten. In der Praxis bedeutet das: Jeder Cloud-Dienst, der Daten in die USA transferiert oder von einem US-Unternehmen betrieben wird, erfordert eine dokumentierte Prüfung.

Die fünf Schritte des Transfer Impact Assessment

Der Europäische Datenschutzausschuss (EDPB) empfiehlt ein Transfer Impact Assessment (TIA) in fünf Schritten:

1. Datentransfers identifizieren: Welche Daten werden an welche Dienste übermittelt?
2. Transfermechanismus prüfen: Auf welcher Rechtsgrundlage basiert der Transfer (DPF, SCCs, BCR)?
3. Rechtslage im Zielland bewerten: Welche Überwachungsgesetze gelten?
4. Ergänzende Massnahmen identifizieren: Verschlüsselung, Pseudonymisierung, technische Zugriffskontrollen
5. Dokumentation und regelmässige Überprüfung: Compliance ist kein einmaliges Projekt

Die versteckten Abhängigkeiten

Die offensichtlichen Cloud-Dienste - E-Mail, Dateispeicher, CRM - sind nur die Spitze des Eisbergs. Eine vollständige Prüfung muss auch weniger sichtbare Abhängigkeiten erfassen.

Technische Abhängigkeiten

• Content Delivery Networks (CDNs): Cloudflare, Akamai und AWS CloudFront verarbeiten HTTP-Anfragen und sehen potenziell alle Nutzerdaten.
• DNS-Dienste: Cloud-basierte DNS-Resolver können Nutzungsprofile erstellen.
• TLS-Zertifikate: Managed-Certificate-Dienste erhalten Einblick in den verschlüsselten Datenverkehr.
• Analytics und Tracking: Google Analytics, Hotjar und ähnliche Dienste übermitteln Nutzerdaten an US-Server.
• Eingebettete Inhalte: Google Fonts, YouTube-Embeds und Social-Media-Widgets senden Daten an US-Anbieter.

Lieferketten-Abhängigkeiten

Auch wenn der direkte Cloud-Anbieter europäisch ist, kann er Subprozessoren in den USA einsetzen. Beispiel: Ein europäischer SaaS-Anbieter nutzt AWS als Infrastruktur. Die Daten liegen zwar in Frankfurt, aber AWS als US-Unternehmen unterliegt dem CLOUD Act.

Automatisierte Prüfmethoden

Eine manülle Prüfung aller Dienste ist bei modernen Tech-Stacks kaum noch praktikabel. Automatisierte Prüfverfahren nutzen öffentlich zugängliche technische Indikatoren, um Cloud-Abhängigkeiten systematisch zu erfassen.

DNS-Analyse

DNS-Einträge verraten, welche Infrastruktur ein Dienst nutzt. CNAME-Records auf amazonaws.com, azurewebsites.net oder googleusercontent.com zeigen Abhängigkeiten von US-Hyperscalern. MX-Records zeigen, über welche Dienste E-Mails geroutet werden.

HTTP-Header-Analyse

HTTP-Response-Header enthalten wertvolle Informationen:

• Der Server-Header zeigt die eingesetzte Serversoftware
• X-Powered-By gibt Hinweise auf das Framework
• X-CDN-Header identifizieren das Content Delivery Network
• Strict-Transport-Security-Header zeigen die TLS-Konfiguration

TLS-Zertifikat-Analyse

TLS-Zertifikate enthalten den Aussteller (Certificate Authority), die Organisation und Geo-Informationen. US-basierte CAs wie DigiCert (heute Teil von Thoma Bravo) oder Sectigo unterliegen US-Jurisdiktion.

Well-Known-URIs

Standardisierte Endpunkte wie /.well-known/security.txt (RFC 9116), /.well-known/openid-configuration und /.well-known/gpc.json liefern maschinenlesbare Informationen über Sicherheitspraktiken, Identity Provider und Datenschutzeinstellungen eines Dienstes.

Die Prüfung strukturieren

Schritt 1: Inventar erstellen

Erfassen Sie alle genutzten Dienste und kategorisieren Sie sie nach Datentyp:

• Personenbezogene Daten (Namen, E-Mail-Adressen)
• Besondere Kategorien (Gesundheitsdaten, biometrische Daten)
• Geschäftsdaten (Verträge, Finanzdaten)
• Metadaten (Nutzungsverhalten, Zugriffszeiten)

Schritt 2: Jurisdiktion bestimmen

Für jeden Dienst: Wo ist das Unternehmen ansässig? Wo werden die Daten gespeichert? Welche Subprozessoren werden eingesetzt? Unterliegt der Anbieter dem CLOUD Act oder FISA 702?

Schritt 3: Technische Massnahmen bewerten

Prüfen Sie, ob der Anbieter technische Schutzmassnahmen implementiert:

• Ende-zu-Ende-Verschlüsselung mit kundenseitig verwalteten Schlüsseln
• Zero-Knowledge-Architektur
• Datenlokalisierung mit vertraglicher Zusicherung
• Transparenzberichte zu Behördenanfragen

Schritt 4: Risiko-Score ermitteln

Kombinieren Sie die Ergebnisse zu einem Risiko-Score. Hohe Risiken bestehen bei:

• US-Anbieter + personenbezogene Daten + keine E2E-Verschlüsselung
• Keine Transparenz über Subprozessoren
• Fehlende oder abgelaufene Standardvertragsklauseln

Schritt 5: Massnahmenplan erstellen

Für jeden Dienst mit hohem Risiko: Gibt es eine europäische Alternative? Kann der Dienst mit technischen Massnahmen abgesichert werden? Bis wann soll eine Migration erfolgen?

DSGVO-Bussgelder als reales Risiko

Die DSGVO wird durchgesetzt. Im Jahr 2025 wurden EU-weit Bussgelder in Höhe von über 2,1 Milliarden Euro verhängt. Die österreichische Datenschutzbehörde hat bereits 2022 die Nutzung von Google Analytics für unzulässig erklärt. Ähnliche Entscheidungen folgten in Frankreich, Italien und Dänemark.

Für KMU sind nicht nur die Bussgelder relevant. Auch Abmahnungen durch Wettbewerber und der Reputationsschaden bei Datenpannen können existenzbedrohend sein.

Kontinuierliche Überwachung statt einmaliger Prüfung

Cloud-Anbieter ändern ihre Infrastruktur, Subprozessoren und Vertragsbedingungen regelmässig. Eine einmalige Prüfung ist daher nicht ausreichend. Automatisierte Monitoring-Systeme können Veränderungen in der technischen Infrastruktur eines Dienstes erkennen und Alarm schlagen, wenn sich die Souveränitätsbewertung verschlechtert.

Dies unterscheidet moderne Compliance-Ansätze von den traditionellen Point-in-Time-Assessments, wie sie etwa SUSE oder Red Hat anbieten. Während deren Selbstbewertungstools wertvolle Momentaufnahmen liefern, fehlt die kontinuierliche Überwachung.

Fazit

Nach Schrems II ist die Prüfung von Cloud-Abhängigkeiten keine optionale Best Practice mehr, sondern eine rechtliche Pflicht. Automatisierte Tools können diesen Prozess erheblich vereinfachen und von einer einmaligen Pflichtaufgabe in ein kontinuierliches Compliance-Monitoring verwandeln.

Prüfen Sie jetzt Ihren Stack: Der DASC Souveränitäts-Check analysiert automatisiert die Cloud-Abhängigkeiten Ihres Unternehmens und identifiziert DSGVO-relevante Risiken — kostenlos und in wenigen Minuten.