DSGVO Cloud-Migration: 12-Punkte-Checkliste
TL;DR
- 12-Punkte-Checkliste für DSGVO-konforme Cloud-Migration
- Provider-Vergleich: EU-Region, Sub-Verarbeiter-Liste, ISO 27001, BSI C5
- AVV-Pflicht-Klauseln nach Art. 28 DSGVO + EU-Standardvertragsklauseln
- TIA (Transfer Impact Assessment) bei US-Anbieter trotz DPF
- Exit-Plan: Datenexport-Format + Lösch-Nachweis + Transition
Hauptartikel: Hauptartikel: AVV-Vorlage Art. 28 — der vollständige Pillar-Artikel zum Thema.
Pre-Migration (1-4)
1. Provider-Vergleich + DPF/EU-Hosting-Status. 2. AVV-Verhandlung mit Pflicht-Klauseln. 3. TIA bei Drittland-Komponenten. 4. DSFA bei Hochrisiko-Verarbeitung.
Migration (5-8)
5. Datenfluss-Mapping VVT-Update. 6. Verschlüsselung at-rest + in-transit. 7. Customer-Lockbox-Einstellungen. 8. Audit-Logging aktivieren.
Post-Migration (9-12)
9. Schulung Mitarbeitende. 10. Update Datenschutzerklärung. 11. Vorfall-Verfahren mit Cloud-Eskalation. 12. Exit-Plan (Datenrückführung + Löschung) dokumentieren.
Provider-Vergleich (Wichtig)
EU: IONOS Cloud, Stack-IT, OVHcloud, Hetzner. US: AWS (mit EU-Region), Azure (mit EU-Datenboundary), GCP (mit EU-Region). DPF-zertifiziert.
Exit-Plan
Datenformat-Standards (Open-Source: Parquet, JSON, CSV). Restore-Frist 90 Tage. Pflicht-Löschung mit Bestätigung.
Häufig gestellte Fragen
Welcher Cloud-Provider für KMU?
Was bei DPF-Kollaps?
Quellen
- Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
- Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
- Commission Implementing Decision (EU) 2023/1795 — EU-US Data Privacy Framework (Stand: 02.05.2026)
- EuG T-553/23 — Latombe v Kommission (DPF-Klage abgewiesen) (Stand: 02.05.2026)