Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Internationale Transfers · Auftragsverarbeitung · DSGVO Art. 28, 44, 46

AVV mit US-Cloud-Provider — typische Vertragslücken

Microsoft, Google, AWS und vergleichbare Anbieter haben professionelle DPAs (Data Processing Addendums), die mit der DSGVO grundsätzlich kompatibel sind. Im konkreten Vertrag bleiben dennoch wiederkehrende Lücken, die der Verantwortliche aktiv schließen muss.

Lücke 1 — Daten-Standort nicht spezifiziert

  • DPAs der Hyperscaler erlauben in der Regel weltweite Verarbeitung.
  • Action: Im Admin-Panel oder per SKU explizit EU/EEA-Region wählen, vertraglich festhalten.
  • Microsoft 365: Multi-Geo + EU Data Boundary aktivieren — gilt nicht automatisch.
  • Google Workspace: Data Regions auf EU setzen.
  • AWS: Region eu-central-1 (Frankfurt) oder eu-west-1 (Irland) + Vertragspassus „keine Verlagerung ohne Zustimmung”.

Lücke 2 — Sub-Liste als veränderbare URL

  • DPA verweist auf eine Sub-Liste „unter folgendem Link, jederzeit aktualisierbar”.
  • Action: Ergänzung verlangen, dass Änderungen mit 30 Tagen Vorlauf per E-Mail angekündigt werden, mit Widerspruchsrecht und definierter Folge bei Widerspruch (typisch: Sonderkündigungsrecht).
  • Sub-Liste am Tag der Unterschrift als PDF beim Auftragsverarbeiter abfordern und mitarchivieren.

Lücke 3 — TIA fehlt oder ist zu allgemein

  • DPA verweist nur auf den DPF-Angemessenheitsbeschluss.
  • Action: Eigenes Transfer Impact Assessment ergänzen, das mindestens FISA 702, EO 12333 und die Praxis der Government Access Requests adressiert. Auch wenn DPF gilt: Aufsichten erwarten zumindest eine kurze Risikoeinschätzung.

Lücke 4 — Audit-Rechte sind kastriert

  • DPA: „Audit über zertifizierte Drittprüfer (SOC 2, ISO 27001) — keine Vor-Ort-Audits.”
  • Action: Für nicht-sensible Verarbeitungen akzeptabel; für besondere Datenkategorien (Art. 9) zusätzlich verlangen: Recht auf konkrete Fragen-Sessions mit dem Anbieter (typisch 2-4 h/Jahr).

Lücke 5 — Datenpannen-Meldepflicht ist zu lang oder vage

  • DPA: „Without undue delay” oder „within 72 hours”.
  • Action: Konkretisieren auf „innerhalb von 24 Stunden ab Bekanntwerden”, inkl. Inhaltskatalog (was muss die Meldung enthalten) und Kanal (E-Mail an datenschutz@kunde).
  • Diese Frist ist nötig, damit Sie Ihrerseits die 72-Stunden-Frist gegenüber der Aufsicht einhalten können.

Lücke 6 — Rückgabe / Löschung der Daten am Vertragsende

  • DPA: „Bei Vertragsende werden die Daten gelöscht.”
  • Action: Konkretisieren: Frist für Rückgabe in maschinenlesbarem Format (typisch: 30 Tage), Frist für Löschung (typisch: 90 Tage), Nachweisform (schriftliche Bestätigung mit konkreten Backup-Systemen).
  • Backup-Frage wird oft vergessen: Backups bleiben oft 6-12 Monate erhalten — vertraglich klären.

Lücke 7 — Geltendes Recht / Gerichtsstand

  • DPA: meist US-Recht, Gerichtsstand Kalifornien o.ä.
  • Action: Wenigstens für die DSGVO-relevanten Klauseln EU-Recht/Wohnsitz-Gerichtsstand verlangen, sonst stehen Sie bei jedem Streit vor US-Gerichten.

Lücke 8 — Versicherung / Haftungsbegrenzung

  • DPA: Haftung auf 12 Monatsgebühren begrenzt.
  • Action: Für kritische Verarbeitungen Cyber-Versicherung bei sich selbst (nicht beim Anbieter) abschließen — die vertragliche Haftungsbegrenzung lässt sich selten weiter verhandeln.

Checkliste vor Unterschrift

  • DPA-Volltext gelesen, nicht nur Marketing-Übersicht.
  • Sub-Liste vom heutigen Tag als PDF.
  • Daten-Standort konfiguriert und vertraglich.
  • DPF-Zertifizierung geprüft, Screenshot.
  • Datenpannen-Meldefrist auf 24h verschärft.
  • Rückgabe-/Löschprozess in Frist und Form definiert.
  • TIA mit FISA-702-Eintrag dokumentiert.

Wenn wir DSB sind

Wir prüfen das DPA inhaltlich (Stichwort: Side Letters, Ergänzungsverträge) und liefern eine Ergänzungs-Klausel-Sammlung, die Sie zum Vertrag beilegen. Bei Hyperscalern haben wir Erfahrung, welche Klauseln durchsetzbar sind und welche nicht.

Quelle: FS/CS GmbH