Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie Sie auf eine Anfrage der Datenschutzbehörde zu Ihren US-Cloud-Provider-Vereinbarungen reagieren

Wie Sie auf eine Anfrage der Datenschutzbehörde zu Ihren US-Cloud-Provider-Vereinbarungen reagieren

von Danielle Barbour updated Februar 18, 2026 DSGVO-Compliance
Lesezeit: 9 Minuten

Ein Schreiben Ihrer nationalen Datenschutzaufsichtsbehörde ist keine routinemäßige Compliance-Übung. Wenn eine Datenschutzbehörde nach Ihren US-Cloud-Provider-Vereinbarungen fragt, stellt sie eine präzise Frage: Wie haben Sie sichergestellt, dass die von Ihnen über US-Plattformen verarbeiteten Daten vor dem Zugriff durch US-Behörden geschützt sind?

Die Anfrage kann durch eine Beschwerde einer betroffenen Person, ein nationales Audit-Programm oder durch aktuelle Durchsetzungstrends nach Schrems II ausgelöst werden. Unabhängig vom Auslöser erfordert die Antwort immer dasselbe – eine klare, dokumentierte und technisch überprüfbare Darstellung, wie Ihr Unternehmen ein Risiko adressiert hat, das sich nicht allein durch Verträge lösen lässt.

In diesem Beitrag führen wir Sie durch einen Vier-Stufen-Ansatz für Datenschutzbeauftragte sowie Rechts- und Compliance-Teams, die eine solche Anfrage erhalten haben: Bewerten, Dokumentieren, Beheben und Kommunizieren.

Executive Summary

Kernaussage: Eine Anfrage der Datenschutzbehörde zu US-Cloud-Provider-Vereinbarungen ist eine direkte Herausforderung für Ihre DSGVO-Compliance nach Kapitel V – insbesondere, ob Ihre Transfer Impact Assessments ehrlich sind, Ihre ergänzenden Maßnahmen technisch wirksam sind und Ihre Dokumentation zur Datensouveränität einer Prüfung standhält. Kundengesteuerte Verschlüsselungsschlüssel – gehalten von der europäischen Organisation, nicht vom Provider – ist die architektonische Maßnahme, die der EDPB als geeignet zur Adressierung des US-Überwachungsrisikos anerkennt.

Warum das relevant ist: Nach DSGVO Artikel 58 verfügen Datenschutzbehörden über weitreichende Untersuchungs- und Abhilfebefugnisse – einschließlich der Möglichkeit, ein vorübergehendes oder dauerhaftes Verarbeitungsverbot zu verhängen, Datenflüsse auszusetzen und Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes zu verhängen. Die kumulierten DSGVO-Bußgelder seit 2018 übersteigen 5,88 Milliarden €. Schlechte Kooperation mit einer Datenschutzbehörde kann selbst einen Verstoß darstellen. Wie Sie reagieren – die Qualität Ihrer Dokumentation, die Glaubwürdigkeit Ihrer ergänzenden Maßnahmen und Ihre Bereitschaft zur Behebung – beeinflusst das Ergebnis maßgeblich.

5 wichtige Erkenntnisse

  1. Verstehen Sie, was die Datenschutzbehörde tatsächlich wissen will, bevor Sie antworten. Die meisten Anfragen laufen auf eine Frage hinaus: Hat Ihr Provider technischen Zugriff auf die Klartextdaten, die Sie über ihn verarbeiten? Alles andere – Ihre SCCs, TIAs, DPF-Abstützung – ist Kontext für diese Antwort.
  2. Der Standort des EU-Rechenzentrums ist keine Verteidigung. Der CLOUD Act folgt der Kontrolle des Providers, nicht dem Speicherort der Daten. Ein US-Unternehmen, das EU-Infrastruktur betreibt, behält den Besitz und die Kontrolle über die dort gespeicherten Daten. Datenschutzbehörden in ganz Europa kennen diesen Unterschied und erwarten, dass Sie ihn in Ihrer Antwort direkt adressieren.
  3. Der EU-US Data Privacy Framework löst das CLOUD-Act-Risiko nicht. Der DPF regelt Übermittlungsregeln für zertifizierte US-Unternehmen. Er verhindert keine CLOUD-Act- oder FISA-Section-702-Anfragen. Wenn Ihre Hauptmaßnahme die DPF-Abstützung ist, müssen Sie dies erklären – und diese Erklärung ist schwer glaubhaft zu machen.
  4. Unzureichende Transfer Impact Assessments verschärfen die Situation. Ein TIA, das das CLOUD-Act-Risiko erkennt und schließt, dass es allein durch vertragliche Maßnahmen gemindert wird, kann darauf hindeuten, dass der Compliance-Prozess nicht in gutem Glauben durchgeführt wurde – nicht nur, dass das Ergebnis falsch war.
  5. Beheben Sie Schwachstellen, bevor Sie antworten – das stärkt Ihre Position erheblich. Eine Anfrage der Datenschutzbehörde mit bereits laufendem Maßnahmenplan – untermauert durch Nachweise für die Einführung von kundengesteuerter Verschlüsselung – ist eine völlig andere Ausgangslage als wenn das Unternehmen weiterhin auf die kritisierte Architektur setzt.

Eine vollständige Checkliste für die DSGVO-Compliance

Jetzt lesen

Der Durchsetzungskontext: Warum Datenschutzbehörden diese Frage stellen

Anfragen der Datenschutzbehörden zu US-Cloud-Provider-Vereinbarungen kommen nicht aus dem Nichts. Sie sind die Folge einer Reihe rechtlicher und politischer Entwicklungen, die mit dem Schrems-II-Urteil des EuGH im Juli 2020 begannen und sich seither verstärkt haben. Dieses Verständnis hilft Datenschutzbeauftragten, ihre Antworten richtig einzuordnen und die Anfrage nicht als isoliertes Verwaltungsvorkommnis zu behandeln.

Der rechtliche Hintergrund: Schrems II, der CLOUD Act und die Fragilität des DPF

Schrems II hat das EU-US Privacy Shield für ungültig erklärt und bestätigt, dass Standardvertragsklauseln ergänzende Maßnahmen erfordern, wenn US-Recht deren Wirksamkeit untergräbt. Die Empfehlungen 01/2020 des EDPB benennen kundengesteuerte Verschlüsselung – bei der der US-Provider niemals Zugriff auf unverschlüsselte Daten oder Schlüssel hat – als primäre technische Ergänzungsmaßnahme zur Adressierung des US-Überwachungsrisikos. Organisationen, die nach Schrems II TIAs durchgeführt haben, ohne zu diesem Schluss zu kommen, sollten prüfen, ob diese Bewertungen ausreichend waren.

Der US CLOUD Act von 2018 verschärft die Lage zusätzlich. Er verpflichtet US-Unternehmen, Daten weltweit auf Anforderung der US-Behörden bereitzustellen – unabhängig vom Speicherort. DSGVO Artikel 48 verbietet die Übermittlung personenbezogener Daten an Nicht-EU-Behörden allein auf Grundlage eines ausländischen Gerichts- oder Verwaltungsbeschlusses – und der CLOUD Act ist kein internationales Abkommen im Sinne dieser Vorschrift. Der Konflikt zwischen beiden Regelwerken ist strukturell.

Der EU-US Data Privacy Framework, verabschiedet im Juli 2023, löst das CLOUD-Act-Risiko nicht. Er regelt Übermittlungsregeln für zertifizierte Unternehmen – er verhindert keine US-Behördenanfragen. FISA Section 702 wurde im April 2024 mit erweitertem Geltungsbereich verlängert. Anfang 2025 entfernte die Trump-Regierung drei der fünf Mitglieder des US Privacy and Civil Liberties Oversight Board – des Gremiums zur Überwachung der DPF-Geheimdienstverpflichtungen – sodass es nicht mehr beschlussfähig war. Die Vorgänger des DPF, Safe Harbour und Privacy Shield, wurden beide vom EuGH für ungültig erklärt. Eine DPF-Zertifizierung allein ist keine ausreichende Risikominderung.

Warum die Durchsetzung zunimmt

Die Durchsetzung durch Datenschutzbehörden hat sich seit 2018 in klaren Phasen entwickelt. Die Anfangszeit war geprägt von Orientierung und Leitlinien. Seit 2022 hat die Durchsetzung stark zugenommen – einschließlich des ersten DSGVO-Bußgelds in Milliardenhöhe, das 2023 gegen Meta wegen unrechtmäßiger US-Datenübermittlungen verhängt wurde. Der DLA Piper GDPR Fines Survey 2024 verzeichnete Bußgelder in Höhe von 1,2 Milliarden € in Europa allein in diesem Jahr, wobei die Durchsetzung über den Technologiesektor hinaus auf Finanzdienstleistungen und Energie ausgeweitet wurde. Die gesamten DSGVO-Bußgelder seit 2018 übersteigen nun 5,88 Milliarden €. Die Durchsetzung betrifft längst nicht mehr nur Großunternehmen oder bekannte Marken. Datenschutzbehörden untersuchen zunehmend mittelständische und branchenspezifische Unternehmen und nutzen den Coordinated Enforcement Framework des EDPB zur Angleichung nationaler Prioritäten. US-Übermittlungsvereinbarungen sind in allen großen europäischen Jurisdiktionen etablierte Durchsetzungsschwerpunkte.

Stufe 1 — Bewerten: Verstehen, was die Datenschutzbehörde tatsächlich wissen will

Der erste Schritt bei Eingang einer Anfrage ist nicht das Verfassen einer Antwort. Es gilt zu verstehen, was sie ausgelöst hat, was die Behörde wissen will und wie Ihre aktuelle Architektur tatsächlich aussieht. Eine zu schnelle Reaktion birgt das Risiko, ein unvollständiges Bild zu liefern und damit mehr Probleme zu schaffen als zu lösen.

Art der Anfrage und deren Implikationen identifizieren

Anfragen der Datenschutzbehörden zu US-Cloud-Vereinbarungen lassen sich in drei Kategorien einteilen: Beschwerdegetrieben (eine betroffene Person oder ein Wettbewerber hat Beschwerde eingelegt), Audit-getrieben (ein nationales oder vom EDPB koordiniertes Audit zum US-Cloud-Einsatz in Ihrer Branche) oder Erkenntnis-getrieben (die Behörde hat potenzielle Verstöße durch eigene Überwachung identifiziert). Die Kategorie bestimmt, was die Behörde bereits weiß und wie viel Spielraum Sie bei der Beantwortung haben.

Tatsächliche technische Risiken erfassen

Führen Sie eine ehrliche interne Bewertung durch, bevor Sie mit der Beantwortung beginnen. Die zentrale Frage ist einfach: Hat Ihr US-Cloud-Provider technischen Zugriff auf die Klartextdaten, die Sie über ihn verarbeiten? Verwaltet er Verschlüsselungsschlüssel als Teil seines Dienstes? Wenn ja, besteht ein reales – kein theoretisches – Risiko, das Sie adressieren müssen. Vergleichen Sie Ihre Ergebnisse mit Ihren Artikel-30-Verzeichnissen, Ihren bestehenden TIAs und Ihren Übermittlungsmechanismen und erfassen Sie jede US-Provider-Beziehung im Geltungsbereich.

Stufe 2 — Dokumentieren: Die Beweisunterlagen zusammenstellen

Datenschutzbehörden erwarten dokumentierte Nachweise, keine bloßen Behauptungen. Nach DSGVO Artikel 58 dürfen sie Zugang zu allen für ihre Aufgaben erforderlichen Informationen verlangen. DSGVO Artikel 5(2) legt die Rechenschaftspflicht klar beim Verantwortlichen – Sie müssen Compliance nachweisen, nicht nur behaupten.

Was Ihre Beweisunterlagen enthalten müssen

Die Kerndokumente sind Ihre Transfer Impact Assessments für jede US-Provider-Beziehung im Geltungsbereich. Jedes TIA sollte zeigen, dass Sie die relevanten US-Gesetze (CLOUD Act, FISA 702) identifiziert, deren Auswirkungen auf die Wirksamkeit Ihrer SCCs bewertet, die ergänzenden technischen Maßnahmen beschrieben und begründet haben, warum diese Maßnahmen einen im Wesentlichen gleichwertigen Schutz bieten. TIAs, die vor Einführung von kundengesteuerter Verschlüsselung erstellt wurden, sollten vor Einreichung aktualisiert werden – schon diese Aktualisierung ist ein Beleg für Ihre Rechenschaftspflicht.

Technische Nachweise umfassen Architekturdiagramme, die zeigen, wo Verschlüsselung angewendet wird und wo die Schlüssel liegen, Schlüsselmanagement-Prozesse, die belegen, dass die Schlüssel unter EWR-Kontrolle bleiben, HSM-Einsatzprotokolle und Audit-Logs, die den Betrieb von Zugriffskontrollen belegen. Artikel-30-Verzeichnisse, Datenverarbeitungsvereinbarungen mit Ihren US-Providern und etwaige DPIA-Unterlagen für risikoreiche Verarbeitungen vervollständigen das Paket.

Ein Punkt, den Datenschutzbeauftragte häufig unterschätzen: Sie müssen nicht nur nachweisen, dass Sie die Schlüssel halten, sondern auch, dass Ihr Provider keinen operativen Zugriff auf Klartextdaten hat – weder für Support, noch für Diagnosen oder über sonstige Servicepfade. Wenn die Architektur des Providers dies nicht unterstützt, gehen Sie im Behebungsabschnitt darauf ein, bevor Sie Ihre Antwort einreichen.

Stufe 3 — Beheben: Schwachstellen vor der Antwort adressieren

Wenn die Bewertung ergibt, dass Ihr US-Provider technischen Zugriff auf Klartextdaten hat oder Verschlüsselungsschlüssel für Sie verwaltet, stellt sich die Frage, ob Sie vor der Antwort Maßnahmen ergreifen können oder die Lücke mit einem glaubwürdigen Zeitplan offenlegen müssen. In jedem Fall ist es besser, bereits vor der Antwort mit der Behebung zu beginnen, als eine Lücke ohne Plan zu erklären.

Kundengesteuerte Verschlüsselung als Behebungsmaßnahme einführen

Die vom EDPB empfohlene Behebungsmaßnahme ist kundengesteuerte Verschlüsselung: Daten werden verschlüsselt, bevor sie die Infrastruktur des US-Providers erreichen, mit Schlüsseln, die der Kunde unabhängig in Hardware-Sicherheitsmodulen innerhalb des EWR generiert und verwaltet. Wenn der US-Provider nur Chiffretext verarbeitet und nie Zugriff auf die Schlüssel hat, erreicht eine CLOUD-Act-Anfrage zwar den Provider, kann aber keine lesbaren Daten liefern. Die Architektur löst, was Verträge nicht können.

Für Unternehmen in Deutschland, Frankreich, den Niederlanden und Großbritannien ermöglicht kundengesteuerte Verschlüsselung eine länderspezifische Schlüsselverwaltung, ohne für jede Provider-Beziehung separate Infrastrukturen zu benötigen. Es ist kein Plattformwechsel erforderlich – entscheidend ist, dass die Verschlüsselung unter Ihrer Kontrolle erfolgt, bevor Daten US-Infrastrukturen erreichen. Plattformen, die sichere E-Mail, sicheres Filesharing, Managed File Transfer und sichere Web-Formulare in einem einheitlichen Verschlüsselungsmodell integrieren, ermöglichen Unternehmen, bestehende Cloud-Investitionen zu nutzen und dennoch die CLOUD-Act-Lücke zu schließen, auf die die Datenschutzbehörde abzielt. Dokumentieren Sie Behebungsschritte in Echtzeit – ein Plan mit Meilensteinen und einer benannten verantwortlichen Person signalisiert die Rechenschaftspflicht, die Datenschutzbehörden positiv bewerten.

Stufe 4 — Kommunizieren: Wie Sie der Behörde antworten

Mit bewerteten Risiken, zusammengestellten Nachweisen und laufender oder abgeschlossener Behebung sind Sie bereit für die Antwort. Wie Sie kommunizieren – Tonalität, Vollständigkeit und Transparenz – beeinflusst das Ergebnis maßgeblich.

Prinzipien für eine wirksame Antwort an die Datenschutzbehörde

Antworten Sie innerhalb der gesetzten Frist. Eine fehlende Kooperation mit der Datenschutzbehörde ist nach DSGVO Artikel 83 selbst ein Verstoß. Ist die Frist tatsächlich zu kurz, kontaktieren Sie die Behörde frühzeitig, bitten um Verlängerung und begründen dies.

Seien Sie offen bezüglich bestehender Lücken. Datenschutzbehörden erkennen ausweichende Antworten sofort. Wenn Ihre bisherigen TIAs sich auf unzureichende vertragliche Maßnahmen stützten oder Ihr Provider Verschlüsselungsschlüssel verwaltete, benennen Sie dies offen und erläutern Sie die eingeleiteten Behebungsschritte. Der EDPB und nationale Behörden werten Kooperation und belegte Behebungsbereitschaft regelmäßig als mildernde Faktoren bei der Durchsetzung.

Stellen Sie die technische Architektur in den Vordergrund. Das überzeugendste Argument ist kein juristischer Vortrag – sondern der klare Nachweis, dass Ihr US-Provider keinen Zugriff auf Klartextdaten hat. Architekturdiagramme, HSM-Einsatzprotokolle und RBAC-Matrizen sind die Substanz einer überzeugenden Antwort. Die rechtliche Einordnung liefert den Kontext für die technischen Nachweise, ersetzt sie aber nicht. Sorgen Sie dafür, dass Ihr Datenschutzbeauftragter die Antwort nach DSGVO Artikel 39 abzeichnet. War der Datenschutzbeauftragte bei der ursprünglichen TIA-Erstellung nicht ausreichend eingebunden, benennen Sie dies als Teil Ihrer Rechenschaftsdarstellung.

Wie Kiteworks europäische Unternehmen bei Anfragen der Datenschutzbehörde unterstützt

Eine Anfrage der Datenschutzbehörde zu Ihren US-Cloud-Provider-Vereinbarungen ist ebenso Chance wie Risiko. Unternehmen, die ehrlich, mit technischen Nachweisen und glaubwürdiger Behebungsstrategie antworten, sind in einer ganz anderen Position als jene, die auf rein vertragliche Behauptungen setzen, die einer Prüfung nicht standhalten. Eine gute Antwort beginnt mit ehrlicher Bewertung – und der Sicherstellung, dass Ihre Architektur zu Ihrer Aussage passt.

Kiteworks stellt die technische Architektur bereit, die Ihre Antwort auf eine Anfrage der Datenschutzbehörde glaubwürdig macht. Das Private Data Network nutzt kundengesteuerte Verschlüsselung – Schlüssel werden von der europäischen Organisation in HSMs unter Gerichtsbarkeit gehalten und sind weder für Kiteworks noch für US-Behörden zugänglich. Wenn eine Datenschutzbehörde fragt, ob Ihr US-Provider technischen Zugriff auf Ihre Klartextdaten hat, ist die Antwort nein – und die Architektur-Dokumentation als Nachweis ist sofort verfügbar.

Kiteworks unterstützt länderspezifische Schlüsselverwaltung in Deutschland, Frankreich, den Niederlanden, Großbritannien und anderen europäischen Ländern und erfüllt damit die Schrems-II-Anforderungen des EDPB an ergänzende Maßnahmen. Umfassende Audit-Logs, Zugriffskontrollen und Dokumentation zur Daten-Governance vervollständigen das Nachweispaket für Antworten an Datenschutzbehörden.

Erfahren Sie mehr über Datensouveränität und wie Sie auf Anfragen der Datenschutzbehörde zu US-Cloud-Provider-Vereinbarungen reagieren: Vereinbaren Sie eine individuelle Demo.

Häufig gestellte Fragen

Solche Anfragen werden in der Regel durch eine Beschwerde einer betroffenen Person, ein nationales oder vom EDPB koordiniertes Audit-Programm oder durch eigene Überwachungsaktivitäten der Behörde ausgelöst. Alle drei Fälle sind ernst zu nehmen. Nach DSGVO Artikel 58 haben Datenschutzbehörden das Recht, Informationen anzufordern, Audits durchzuführen, Datenflüsse auszusetzen und Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes zu verhängen. Auch mangelnde Kooperation kann einen eigenen Verstoß darstellen.

Der US CLOUD Act gilt auf Basis der Kontrolle des Providers, nicht der Datenlokalisierung. Ein US-Unternehmen, das EU-Infrastruktur betreibt, behält den Besitz und die Kontrolle über die dort gespeicherten Daten. Datenschutzbehörden kennen diesen Unterschied spätestens seit Schrems II. Der Standort eines EU-Rechenzentrums ist kein Schutz vor CLOUD-Act-Risiken, wenn der Betreiber ein US-Unternehmen mit US-Rechtspflichten ist.

Nein. Der DPF regelt die Compliance-Übermittlungsregeln für zertifizierte US-Unternehmen – er verhindert keine CLOUD-Act- oder FISA-Section-702-Anfragen. FISA 702 wurde 2024 mit erweitertem Geltungsbereich verlängert, und der DPF ist rechtlich umstritten. Eine Antwort, die sich primär auf den Privacy-Shield-Nachfolger als Risikominderung stützt, wird eine informierte Datenschutzbehörde kaum überzeugen.

Ein glaubwürdiges TIA dokumentiert die relevanten US-Gesetze (CLOUD Act, FISA 702), bewertet deren Auswirkungen auf die Wirksamkeit der Standardvertragsklauseln, benennt die umgesetzten technischen Ergänzungsmaßnahmen – insbesondere, dass kundengesteuerte Verschlüsselungsschlüssel im EWR gehalten werden – und begründet, warum diese Maßnahmen einen im Wesentlichen gleichwertigen Schutz bieten. Technische Nachweise, dass der Provider keinen Zugriff auf Klartextdaten hat, sind der Kern eines glaubwürdigen TIAs.

Benennen Sie die Lücke offen und legen Sie einen dokumentierten Maßnahmenplan vor. Datenschutzbehörden werten Transparenz und belegte Behebungsbereitschaft regelmäßig als mildernde Faktoren. Eine Antwort, die eine Lücke im Datenschutz offenlegt und gleichzeitig aktive Behebungsmaßnahmen – einschließlich Verbesserungen der Daten-Governance und Einführung von kundengesteuerter Verschlüsselung – nachweist, ist deutlich besser als eine, die die historische Compliance übertreibt.

Weitere Ressourcen 

  • Blogbeitrag  
    Datensouveränität: Best Practice oder gesetzliche Anforderung?
  • eBook  
    Datensouveränität und DSGVO
  • Blogbeitrag  
    Vermeiden Sie diese Fallstricke bei der Datensouveränität
  • Blogbeitrag  
    Best Practices für Datensouveränität
  • Blogbeitrag  
    Datensouveränität und DSGVO [Verständnis von Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks