hyggecloud / datenschutz & compliance
Was EU-Hosting rechtlich wirklich ändert
Um dieses Thema ranken sich Marketing-Mythen — in beide Richtungen. Die einen versprechen „DSGVO-Konformität per Serverwechsel", die anderen behaupten, US-Cloud sei völlig unproblematisch. Beides ist falsch. Hier ist die ehrliche Version, verständlich sortiert.
Die Rechtslage
Drei Begriffe, die Sie kennen sollten
US-Recht folgt dem Unternehmen, nicht dem Server
Der CLOUD Act verpflichtet US-Anbieter, US-Behörden auf Anordnung Zugriff auf Daten zu gewähren, die sie kontrollieren — unabhängig vom Speicherort. Ein Frankfurter AWS-Rechenzentrum ändert daran nichts: Amazon ist ein US-Unternehmen, also greift US-Jurisdiktion.
Der strukturelle Konflikt ist gerichtlich bestätigt
Der EuGH kippte das Privacy-Shield-Abkommen, weil US-Überwachungsrecht und EU-Grundrechte kollidieren. Das Nachfolge-Abkommen (Data Privacy Framework) steht rechtlich auf ähnlich wackligen Beinen — eine erneute Kippe ist ein reales Szenario, auf das man vorbereitet sein sollte.
Resilienz wird zur Pflicht, nicht zur Kür
Die NIS2-Richtlinie verpflichtet deutlich mehr Unternehmen zu Risikomanagement, Vorfallsmeldung und Lieferketten-Sicherheit. Die Abhängigkeit von einem einzelnen außereuropäischen Anbieter ist dabei ein Risiko, das Sie bewerten und begründen müssen.
Ehrliche Bilanz
Was der Wechsel löst — und was nicht
Vom Tisch: das strukturelle Risiko
- Kein CLOUD-Act-Zugriff — Ihr Anbieter unterliegt keiner US-Jurisdiktion
- Kein Drittlandtransfer für Ihre Infrastruktur-Daten — Schrems-Debatten betreffen Sie nicht mehr
- AV-Vertrag mit einem EU-Unternehmen nach EU-Recht — einfacher zu prüfen, einfacher zu verteidigen
- Sanktions- und Kill-Switch-Risiko drastisch reduziert
- Einfachere Antworten in Security-Questionnaires Ihrer Enterprise-Kunden
- Zertifizierte Provider (BSI C5, ISO 27001) als solide Grundlage für Ihre eigenen Nachweise
Nicht vom Tisch: Ihre Prozesse
- Rechtsgrundlagen Ihrer Datenverarbeitung (Art. 6 DSGVO) — der Serverstandort ändert daran nichts
- Betroffenenrechte: Auskunft, Löschung, Portabilität — Ihre Anwendung muss sie können
- US-SaaS im Alltag: Wer Daten per US-Analytics-Tool erfasst, hat den Transfer nur verschoben
- TOMs: Zugriffskonzepte, Verschlüsselung, Protokollierung in Ihrer Anwendung
- Verzeichnis von Verarbeitungstätigkeiten & ggf. Datenschutz-Folgenabschätzung
- Schulung und Prozesse Ihres Teams
Unser Beitrag
Was Sie von uns konkret bekommen
Datenfluss-Karte
Im Hygge Check dokumentieren wir, welche Daten wo liegen und wohin sie fließen — inklusive der US-Dienste, die sich in Ihren Stack geschlichen haben (Analytics, Mail, CDN, Fonts). Oft die erste vollständige Übersicht, die ein Unternehmen je hatte.
Compliance-Paket zur Migration
AV-Verträge der Ziel-Provider, Beschreibung der TOMs auf Infrastruktur-Ebene, Verschlüsselungs- und Backup-Konzept, Löschkonzept — als Dokumentation, die Ihr DSB direkt weiterverwenden kann.
Security by Default
Verschlüsselung at rest und in transit, Zugriff per SSO/2FA, Audit-Logs, Netzwerk-Segmentierung, automatische Patches. Nicht als Aufpreis-Option, sondern als Standard jeder Umgebung, die wir bauen.
Häufige Irrtümer
Drei Sätze, bei denen wir einschreiten
- „Wir nutzen die EU-Region, also sind wir safe." — Die Region bestimmt die Latenz, nicht die Jurisdiktion. Entscheidend ist, wem der Anbieter gehört und welchem Recht er unterliegt.
- „Encryption-at-Rest löst das CLOUD-Act-Problem." — Nur, wenn der Anbieter die Schlüssel nie sieht. Bei Standard-KMS-Diensten des Anbieters hält er sie. Ehrliches Key-Management ist Architektur-Arbeit.
- „Der neue Datentransfer-Deal regelt das doch." — Bis zum nächsten Gerichtsurteil. Wer seine Architektur auf ein politisch verhandelbares Abkommen baut, baut auf Sand. Souveränität ist die robustere Strategie.
„Datenschutz ist bei uns kein Verkaufsargument mit Paragrafen-Deko.
Es ist die simple Frage: Können Sie Ihren Kunden in einem Satz erklären, wo ihre Daten liegen und wer darauf zugreifen kann?
Nach einer Migration mit uns: ja."
— Das HyggeCloud-Prinzip
Ihr DSB stellt unbequeme Fragen? Gut so.
Bringen Sie ihn mit ins Erstgespräch. Wir liefern die technischen Antworten — gemeinsam wird daraus ein Setup, das beiden Seiten den Schlaf zurückgibt.
→ Erstgespräch vereinbarenAuf Wunsch mit Ihrem Datenschutzbeauftragten · keine Rechtsberatung