hyggecloud / datenschutz & compliance

Was EU-Hosting rechtlich wirklich ändert

Um dieses Thema ranken sich Marketing-Mythen — in beide Richtungen. Die einen versprechen „DSGVO-Konformität per Serverwechsel", die anderen behaupten, US-Cloud sei völlig unproblematisch. Beides ist falsch. Hier ist die ehrliche Version, verständlich sortiert.

Die Rechtslage

Drei Begriffe, die Sie kennen sollten

/01 — US CLOUD Act (2018)

US-Recht folgt dem Unternehmen, nicht dem Server

Der CLOUD Act verpflichtet US-Anbieter, US-Behörden auf Anordnung Zugriff auf Daten zu gewähren, die sie kontrollieren — unabhängig vom Speicherort. Ein Frankfurter AWS-Rechenzentrum ändert daran nichts: Amazon ist ein US-Unternehmen, also greift US-Jurisdiktion.

/02 — Schrems II (EuGH 2020)

Der strukturelle Konflikt ist gerichtlich bestätigt

Der EuGH kippte das Privacy-Shield-Abkommen, weil US-Überwachungsrecht und EU-Grundrechte kollidieren. Das Nachfolge-Abkommen (Data Privacy Framework) steht rechtlich auf ähnlich wackligen Beinen — eine erneute Kippe ist ein reales Szenario, auf das man vorbereitet sein sollte.

/03 — NIS2 (seit 2024/25)

Resilienz wird zur Pflicht, nicht zur Kür

Die NIS2-Richtlinie verpflichtet deutlich mehr Unternehmen zu Risikomanagement, Vorfallsmeldung und Lieferketten-Sicherheit. Die Abhängigkeit von einem einzelnen außereuropäischen Anbieter ist dabei ein Risiko, das Sie bewerten und begründen müssen.

Ehrliche Bilanz

Was der Wechsel löst — und was nicht

✓ Das ändert EU-Hosting

Vom Tisch: das strukturelle Risiko

  • Kein CLOUD-Act-Zugriff — Ihr Anbieter unterliegt keiner US-Jurisdiktion
  • Kein Drittlandtransfer für Ihre Infrastruktur-Daten — Schrems-Debatten betreffen Sie nicht mehr
  • AV-Vertrag mit einem EU-Unternehmen nach EU-Recht — einfacher zu prüfen, einfacher zu verteidigen
  • Sanktions- und Kill-Switch-Risiko drastisch reduziert
  • Einfachere Antworten in Security-Questionnaires Ihrer Enterprise-Kunden
  • Zertifizierte Provider (BSI C5, ISO 27001) als solide Grundlage für Ihre eigenen Nachweise
✗ Das bleibt Ihre Aufgabe

Nicht vom Tisch: Ihre Prozesse

  • Rechtsgrundlagen Ihrer Datenverarbeitung (Art. 6 DSGVO) — der Serverstandort ändert daran nichts
  • Betroffenenrechte: Auskunft, Löschung, Portabilität — Ihre Anwendung muss sie können
  • US-SaaS im Alltag: Wer Daten per US-Analytics-Tool erfasst, hat den Transfer nur verschoben
  • TOMs: Zugriffskonzepte, Verschlüsselung, Protokollierung in Ihrer Anwendung
  • Verzeichnis von Verarbeitungstätigkeiten & ggf. Datenschutz-Folgenabschätzung
  • Schulung und Prozesse Ihres Teams
Wichtig — keine Rechtsberatung: Wir sind Infrastruktur-Spezialisten, keine Kanzlei. Wir schaffen die technische und dokumentarische Grundlage (Architektur, AV-Verträge der Provider, TOMs auf Infrastruktur-Ebene, Löschkonzepte) und arbeiten auf Wunsch direkt mit Ihrem Datenschutzbeauftragten oder Ihrer Kanzlei zusammen. Die rechtliche Bewertung Ihres Einzelfalls gehört in juristische Hände.

Unser Beitrag

Was Sie von uns konkret bekommen

🗺️

Datenfluss-Karte

Im Hygge Check dokumentieren wir, welche Daten wo liegen und wohin sie fließen — inklusive der US-Dienste, die sich in Ihren Stack geschlichen haben (Analytics, Mail, CDN, Fonts). Oft die erste vollständige Übersicht, die ein Unternehmen je hatte.

📋

Compliance-Paket zur Migration

AV-Verträge der Ziel-Provider, Beschreibung der TOMs auf Infrastruktur-Ebene, Verschlüsselungs- und Backup-Konzept, Löschkonzept — als Dokumentation, die Ihr DSB direkt weiterverwenden kann.

🔐

Security by Default

Verschlüsselung at rest und in transit, Zugriff per SSO/2FA, Audit-Logs, Netzwerk-Segmentierung, automatische Patches. Nicht als Aufpreis-Option, sondern als Standard jeder Umgebung, die wir bauen.

Häufige Irrtümer

Drei Sätze, bei denen wir einschreiten

  • „Wir nutzen die EU-Region, also sind wir safe." — Die Region bestimmt die Latenz, nicht die Jurisdiktion. Entscheidend ist, wem der Anbieter gehört und welchem Recht er unterliegt.
  • „Encryption-at-Rest löst das CLOUD-Act-Problem." — Nur, wenn der Anbieter die Schlüssel nie sieht. Bei Standard-KMS-Diensten des Anbieters hält er sie. Ehrliches Key-Management ist Architektur-Arbeit.
  • „Der neue Datentransfer-Deal regelt das doch." — Bis zum nächsten Gerichtsurteil. Wer seine Architektur auf ein politisch verhandelbares Abkommen baut, baut auf Sand. Souveränität ist die robustere Strategie.

„Datenschutz ist bei uns kein Verkaufsargument mit Paragrafen-Deko.

Es ist die simple Frage: Können Sie Ihren Kunden in einem Satz erklären, wo ihre Daten liegen und wer darauf zugreifen kann?

Nach einer Migration mit uns: ja."

— Das HyggeCloud-Prinzip

Ihr DSB stellt unbequeme Fragen? Gut so.

Bringen Sie ihn mit ins Erstgespräch. Wir liefern die technischen Antworten — gemeinsam wird daraus ein Setup, das beiden Seiten den Schlaf zurückgibt.

→ Erstgespräch vereinbaren

Auf Wunsch mit Ihrem Datenschutzbeauftragten · keine Rechtsberatung