Eine DSGVO-konforme Cloud-Migration ist kein juristisches Genie, sondern ordentliches Projektmanagement plus klare Dokumentation. Im deutschen Mittelstand scheitert sie selten am Datenschutzrecht selbst, sondern an fehlender Verantwortlichkeitenklärung, unvollständigem Verfahrensverzeichnis und Datenflüssen, die niemand kennt. Dieser Leitfaden beschreibt einen Standardweg für Migrationen nach Microsoft 365 und Azure, wie er sich in der Branche bewährt hat — und wie Nexaro ihn als Pilotmethodik anbietet.
In Kürze
- Eine DSGVO-konforme Cloud-Migration läuft in 6 Schritten: Datenaufnahme, Rechtsgrundlagen, Anbieterprüfung, technisch-organisatorische Maßnahmen, Migration, Dokumentation.
- Auftragsverarbeitungsvertrag (AVV / DPA) mit dem Cloud-Anbieter ist Pflicht — beide großen Hyperscaler bieten ihn standardisiert an.
- Schrems II ist mit den 2023 angepassten EU-Standardvertragsklauseln plus zusätzlichen technischen Maßnahmen für die meisten Mittelstandsfälle handhabbar.
- Verfahrensverzeichnis muss vor Migration aktualisiert werden, nicht danach.
- Realistische Projektdauer für 30–200 MA: 2–6 Monate, je nach Datenmenge und Anwendungsstack.
Schritt 1 — Datenaufnahme und Klassifizierung
Vor jedem Migrationsschritt steht eine ehrliche Bestandsaufnahme. Wer was wo verarbeitet — und vor allem, wer für welche Daten verantwortlich ist.
Konkrete Schritte:
- Verfahrensverzeichnis nach Art. 30 DSGVO sichten und gegebenenfalls aktualisieren.
- Datenarten klassifizieren in mindestens drei Stufen:
- Stufe A — besonders geschützt: Gesundheitsdaten, biometrische Daten, Sozialdaten, Mitarbeiter-Personalakten
- Stufe B — personenbezogen, normal: Kunden-Stammdaten, Mitarbeiter-Mails, CRM-Daten
- Stufe C — nicht personenbezogen: Produktdokumentation, technische Daten, öffentliche Inhalte
- Datenflüsse skizzieren: Wer schickt was wohin? Welche externen Partner sind beteiligt?
- Speicherorte heute dokumentieren: lokale Server, NAS, Mail-Server, vorhandene Cloud-Dienste.
- Schatten-IT identifizieren: Welche Cloud-Tools werden ohne IT-Wissen genutzt? Dropbox-Accounts, private OneDrives, WhatsApp-Gruppen mit Kundendaten.
Werkzeuge:
- Excel-Vorlage oder einfaches Tool wie OneTrust, Datenschutz.org oder ein selbst gebautes Inventar
- Microsoft Purview Data Map (wenn schon M365 in Ansätzen vorhanden) für die spätere Phase
Verantwortlich: Datenschutzbeauftragte:r (intern oder extern) plus IT-Leitung. Nicht die Geschäftsführung allein — das schiefe Bild führt zu Lücken.
Schritt 2 — Rechtsgrundlagen und Drittlandtransfer prüfen
Für jede Datenart eine Rechtsgrundlage festhalten und Drittlandtransfer-Risiken bewerten.
Rechtsgrundlagen nach Art. 6 DSGVO:
- Einwilligung (Art. 6 Abs. 1 lit. a)
- Vertragserfüllung (Art. 6 Abs. 1 lit. b)
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — der häufigste Fall im Geschäftsbetrieb
Drittland-Bewertung:
- Microsoft und AWS bieten Datenresidenz in der EU. Microsoft seit 2024 mit “EU Data Boundary” auch für die meisten Verarbeitungen einschließlich Support.
- Trotz EU-Residenz fallen einige Verarbeitungen weiterhin unter Drittlandregeln, weil US-Mutterkonzerne theoretisch Zugriff haben (Stichwort CLOUD Act).
- Schrems II ist mit EU-Standardvertragsklauseln (2021er Version) und zusätzlichen technischen Maßnahmen (Verschlüsselung, Customer-Managed Keys) in den meisten Mittelstandsfällen handhabbar.
- Für Stufe A (besonders geschützte Daten) im Zweifel deutsche oder europäische Anbieter prüfen (T-Systems Open Telekom Cloud, IONOS Compute Engine, STACKIT, plusserver).
Output: Eine Tabelle “Datenart × Rechtsgrundlage × Speicherort × Drittland-Maßnahmen”. Wird Anlage zum Verfahrensverzeichnis.
Schritt 3 — Anbieter prüfen und AVV abschließen
Mindest-Checkliste pro Cloud-Anbieter:
| Punkt | Was prüfen |
|---|---|
| AVV / DPA nach Art. 28 DSGVO | Standardvertrag vorhanden, deutsche Sprachfassung verfügbar |
| Standardvertragsklauseln 2021 | aktuelle Fassung, mit Modul je nach Konstellation |
| EU-Datenresidenz | dokumentiert, vertraglich zugesichert |
| Sub-Auftragsverarbeiter | Liste verfügbar, Änderungen werden angekündigt |
| Zertifizierungen | ISO 27001, ISO 27017, ISO 27018, BSI C5 (Typ 2 bevorzugt), SOC 2 Typ 2 |
| Transparenzberichte | Behördenauskünfte werden veröffentlicht |
| Audit-Rechte | mindestens Einsicht in Prüfberichte |
| Löschung / Rückgabe | Verfahren am Vertragsende dokumentiert |
Praxisrealität: Microsoft und Google haben hier sehr ähnliche, professionelle Standardverträge. Die DSGVO-Konformität entscheidet sich nicht am AVV, sondern an Ihrer Konfiguration und Dokumentation — siehe auch der Vergleich Microsoft 365 vs. Google Workspace.
Schritt 4 — Technisch-organisatorische Maßnahmen (TOM)
Die TOMs nach Art. 32 DSGVO sind kein Selbstzweck — sie sind das, was im Schadensfall die Behörde sehen will.
Pflicht-TOMs für eine Cloud-Migration:
- Identitäten: Single Sign-On, MFA für alle Konten, Conditional Access
- Verschlüsselung: TLS im Transport, Verschlüsselung at-rest (Cloud-Standard), Customer-Managed Keys für hochsensible Daten
- Berechtigungen: Least-Privilege, dokumentierte Rollen, regelmäßiges Access Review (mindestens jährlich)
- Logging und Monitoring: Sign-In-Logs, Audit-Logs, Aufbewahrung 6–12 Monate, Alerts für verdächtige Aktivitäten
- Backup: Drittanbieter-Backup mit eigenem Trust-Boundary (Warum M365-Backup nötig ist)
- Endgeräte-Schutz: MDM (Intune o. ä.), Festplattenverschlüsselung, Defender oder gleichwertige EDR-Lösung
- Schulung: Awareness-Programm mit dokumentierten Teilnahmen
- Notfall: Incident-Response-Plan mit Meldewegen, 72-Stunden-Meldepflicht nach Art. 33 DSGVO
Output: Aktualisiertes TOM-Dokument, das im DSB-Audit oder bei Behördenanfragen vorgelegt werden kann.
Schritt 5 — Migration durchführen
Erst jetzt geht es technisch los. Die Reihenfolge ist projektabhängig, ein bewährtes Schema:
- Pilotgruppe (5–10 Nutzer aus verschiedenen Abteilungen), 2–3 Wochen Testbetrieb.
- Wellen-Migration ab Pilot-Erfolg: 25 % → 50 % → 100 % der Belegschaft, jeweils mit 1–2 Wochen Stabilisierung.
- Daten-Migration:
- Postfächer mit nativen Microsoft-Tools, BitTitan oder CodeTwo
- Dateiablage von Fileserver/NAS zu SharePoint/OneDrive mit Migration Manager oder ShareGate
- Berechtigungen abbilden, nicht 1:1 kopieren — die Cloud-Welt fordert oft Konsolidierung
- Anwendungs-Integration: ERP, CRM, Branchensoftware anbinden, Outlook-Add-ins testen.
- Endgeräte-Enrollment in Intune oder gleichwertiges MDM.
- Altsysteme abschalten — terminiert, mit Datenarchiv und Bestätigungsprotokoll.
Stolperfallen:
- Mailgrößen über 50 GB ziehen die Migration spürbar in die Länge (planen Sie pro 10 GB ca. 1 Stunde Migrationszeit, hängt aber stark vom Werkzeug ab).
- Berechtigungen auf Fileserver-NTFS-Ebene sind selten 1:1 in SharePoint übertragbar — Aufwand für Re-Mapping einplanen.
- Public-Folder, geteilte Postfächer und Verteiler-Listen brauchen je nach Konstellation Sonderbehandlung.
- DNS-Übergang (MX-Records) sauber timen, sonst kommen E-Mails 24 h verzögert.
Schritt 6 — Dokumentation und kontinuierlicher Betrieb
Die Migration ist nicht beendet, wenn der letzte Nutzer migriert wurde — sondern wenn die Dokumentation fertig ist.
Pflicht-Dokumente nach Abschluss:
- Aktualisiertes Verfahrensverzeichnis (Art. 30 DSGVO)
- Aktualisierte TOM-Dokumentation (Art. 32 DSGVO)
- AVV mit allen Sub-Auftragsverarbeitern
- Datenschutz-Folgenabschätzung (DSFA, Art. 35), wenn besonders sensible Daten betroffen sind
- Notfall-Runbook mit Meldewegen und Verantwortlichkeiten
- Konfigurations-Baseline der M365- bzw. Azure-Umgebung
- Übergabe-Dokumentation an Betriebs-Team oder Managed Service Provider
- Schulungsnachweise der Mitarbeitenden
Kontinuierlicher Betrieb:
- Quartals-Review der Konfiguration
- Jährliches Access-Review der privilegierten Konten
- Halbjährlicher Recovery-Test des Backups
- Jährliches Update der DSFA bei wesentlichen Änderungen
- Monatlicher Sicherheits-Report durch Managed Service Provider oder internes Team
Häufige Stolperfallen im Mittelstand
- Geschäftsleitung delegiert “den Datenschutz” pauschal. Verantwortung bleibt nach DSGVO bei der Leitung — DSB beraten, GF entscheidet.
- DSFA wird übersprungen, weil “wir sind ja nur Mittelstand”. Falsch, wenn besonders schutzwürdige Daten oder neue Technologien (KI-Auswertung von Personaldaten) betroffen sind.
- AVV wird unterschrieben, aber nie gelesen. Die Sub-Auftragsverarbeiter-Liste ändert sich, und ohne Process zur Nachverfolgung fehlt das später im Audit.
- Schulung als E-Mail abgeschickt. Reicht behördlich nicht — dokumentierte Teilnahme, idealerweise mit Testfragen.
- Schatten-IT bleibt unbehandelt. Wer Cloud konform machen will, muss die alten privaten Dropboxen schließen — sonst sind die Daten weiter “irgendwo”.
- Kein Off-Boarding-Prozess für ausscheidende Mitarbeitende. Konten, Daten, Backup-Aufbewahrung müssen geregelt sein.
Wenn die Aufsichtsbehörde anruft
Die meisten DSGVO-Prüfungen kommen anlassbezogen (Beschwerde, Datenpanne) und fragen folgende Dinge ab:
- Verfahrensverzeichnis vorlegen
- Rechtsgrundlage für die konkrete Verarbeitung
- TOM-Dokumentation
- AVV mit dem betroffenen Anbieter
- Dokumentation der Drittlandübermittlungen
- Bei Panne: Meldung nach Art. 33 (innerhalb 72 h) und Benachrichtigung der Betroffenen nach Art. 34
Wer die obigen 6 Schritte sauber durchlaufen hat, kann das vorlegen.
FAQ
Ist Microsoft 365 DSGVO-konform? Microsoft 365 ist bei sachgerechter Konfiguration und Vertragsgestaltung DSGVO-konform betreibbar. Microsoft stellt einen Standard-AVV, die EU-Standardvertragsklauseln 2021 und seit 2024 die “EU Data Boundary” zur Verfügung. Verantwortlich für die DSGVO-Konformität bleibt jedoch das nutzende Unternehmen, nicht Microsoft.
Was ist EU Data Boundary? Eine Microsoft-Initiative, die ab 2024 die Verarbeitung von Kundendaten europäischer Microsoft-365-, Dynamics-365-, Power-Platform- und Azure-Kunden weitgehend in EU-Rechenzentren begrenzt. Sie reduziert Schrems-II-Risiken, hebt sie aber wegen US-Konzernzugriffsmöglichkeiten nicht vollständig auf.
Brauche ich eine DSFA für eine Cloud-Migration? Nicht automatisch. Eine Datenschutz-Folgenabschätzung ist nach Art. 35 DSGVO erforderlich, wenn die Verarbeitung “voraussichtlich hohes Risiko” für Betroffene mit sich bringt — etwa bei großflächiger Verarbeitung besonderer Datenkategorien, systematischer Überwachung oder neuen Technologien. Im Zweifel mit DSB klären.
Wie lange dauert eine DSGVO-konforme Cloud-Migration? Für einen Mittelständler mit 30–200 Mitarbeitenden realistisch 2–6 Monate von Schritt 1 bis Schritt 6, je nach Datenmenge, Anwendungsstack und vorhandener Dokumentation. Schritt 1 und 6 sind regelmäßig die zeitintensivsten Phasen, technisch reine Migrationen oft kürzer als erwartet.
Was kostet eine DSGVO-konforme Cloud-Migration? Marktübliche Richtwerte: 100–300 € pro Nutzer für die Migration plus Beratungs- und Dokumentationsaufwand von typisch 8.000–30.000 € für ein Unternehmen mit 30–200 MA — vergleichbar mit den Kosten für Managed M365 bei 50 MA.
Reicht der Datenschutzbeauftragte allein? Nein. Der DSB berät und überwacht, entscheidet aber nicht. Verantwortlich für die Konformität ist die Geschäftsleitung. Operativ braucht es zusätzlich IT-Leitung und Fachbereiche mit Datenhoheit.