---
name: it-recht-cloud-vertrag-datenschutz-due-diligence
description: "Datenschutz-Due-Diligence für Cloud-Vertraege: Sieben-Fragen-Diagnose: Cloud-Typ IaaS PaaS SaaS Anbietersitz Datenstandort Schlusselverwaltung Subprozessoren Zertifizierung Vertragslaufzeit. Pruefraster für Art..."
---

# Datenschutz-Due-Diligence für Cloud-Vertraege


## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; DSGVO; BDSG; TTDSG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

**Fokus:** Datenschutz-Due-Diligence für Cloud-Vertraege. Sieben-Fragen-Diagnose: Cloud-Typ IaaS PaaS SaaS Anbietersitz Datenstandort Schlusselverwaltung Subprozessoren Zertifizierung Vertragslaufzeit. Pruefraster für Art. 28 DSGVO Mindestinhalte Art. 32 DSGVO TOM Art. 44 ff DSGVO Drittlandstransfer EU-SCC 2021/914 Modul 2 oder 3 EU-US Data Privacy Framework. Schritt-für-Schritt für Pre-Contract-Pruefung und laufende Compliance. Mustertexte für Due-Diligence-Bericht und Risikoampel. Abgrenzung: keine SaaS-AVV im engeren Sinn (it-recht-saas-avv-und-tia-bundle).

### IT-Recht — Cloud-Vertrag mit Datenschutz-Due-Diligence

## Wann dieses Modul hilft / Kaltstart-Fragen

Sie brauchen den Skill vor Abschluss oder bei Audit laufender Cloud-Vertraege, insbesondere bei Hyperscaler-Vertraegen (AWS, Microsoft Azure, Google Cloud), bei spezialisierten SaaS-Loesungen oder bei privaten Cloud-Loesungen.

Sieben-Fragen-Diagnose:

1. **Cloud-Typ:** IaaS (Infrastructure), PaaS (Platform), SaaS (Software as a Service)? Bestimmt die Verteilung der TOM-Verantwortung.
2. **Anbietersitz:** EU/EWR, USA, andere Drittlaender? Konzernverflechtung?
3. **Datenstandort:** Wo werden Daten konkret verarbeitet? Welche Regions waehlt der Mandant?
4. **Schluesselverwaltung:** Bring Your Own Key, Customer Managed Key, Service Managed Key, Hold Your Own Key?
5. **Subprozessoren:** Welche, wo, mit welchen Vertraegen?
6. **Zertifizierung:** ISO 27001, ISO 27017, ISO 27018, SOC 2, BSI C5, EU Cloud Code of Conduct?
7. **Vertragslaufzeit und Exit:** Datenrueckgabe, Loeschnachweis, Notfall-Wechsel?

## Rechtlicher Rahmen

- **Art. 28 DSGVO** AVV.
- **Art. 32 DSGVO** TOM, im Cloud-Kontext besonders relevant.
- **Art. 44 DSGVO** Allgemeines Prinzip Drittlandstransfer.
- **Art. 45 DSGVO** Angemessenheitsbeschluss; EU-US Data Privacy Framework angenommen 10.07.2023 (Durchfuehrungsbeschluss 2023/1795).
- **Art. 46 DSGVO** Standardvertragsklauseln 2021/914.
- **Art. 49 DSGVO** Ausnahmen, restriktiv auszulegen (EDSA Leitlinie 2/2018 von 25.05.2018).
- **EuGH C-311/18 Schrems II** (Urteil 16.07.2020).
- **EDSA Empfehlungen 01/2020** (Version 2.0 angenommen 18.06.2021) zu zusaetzlichen Massnahmen.
- **BSI C5** (Cloud Computing Compliance Criteria Catalogue).
- **NIS-2 Richtlinie (EU) 2022/2555** und nationale Umsetzung in Deutschland.
- **§§ 535 ff BGB** (Cloud regelmaessig Mietvertrag oder Dienstvertrag, Einzelfallpruefung).

## Mandantenfuehrung Schritt-für-Schritt

1. **Zuerst: Inventur.** Welche Cloud-Dienste sind im Mandantenhaus eingesetzt? Schatten-IT pruefen.
2. **Als zweites: Datenmapping.** Welche Datenkategorien laufen in welchem Cloud-Dienst?
3. **Als drittes: AVV-Pruefung.** Mindestinhalte Art. 28 III liegen vor? Anbieter-AVV (z. B. AWS DPA, Microsoft DPA, Google DPA) Mandantenseitig kommentieren — viele AVV der Hyperscaler sind nicht verhandelbar, dann Restrisiko dokumentieren.
4. **Als viertes: TOM-Pruefung.** Anbieter-Whitepaper, ISO 27001 Bericht, BSI C5 Testat, SOC 2 Bericht. Stand der Technik Art. 32 DSGVO.
5. **Als fuenftes: Drittlandstransfer.** Region einstellbar? Zertifizierung nach EU-US Data Privacy Framework vorhanden? SCC 2021/914 zusaetzlich? TIA durchgefuehrt?
6. **Als sechstes: Exit-Klausel.** Datenrueckgabe in strukturiertem Format, Loeschnachweis, Mindestaufbewahrung bei Anbieter?
7. **NICHT** auf Marketing-Aussagen vertrauen ("Servers in Germany") — vertragliche Verankerung notwendig.

## Trade-off-Matrix

| Konstellation | Risiko | Massnahme |
|---|---|---|
| US-Hyperscaler ohne DPF-Zertifizierung | hoch (Schrems II) | EU-SCC + TIA + zusaetzliche Massnahmen Verschluesselung |
| US-Hyperscaler mit DPF-Zertifizierung | mittel | DPF + EU-SCC als Backup + TIA |
| EU-Region mit US-Mutter | mittel | Pruefung CLOUD Act Risiko, TIA |
| Private Cloud in EU | gering | Standard-AVV reicht oft |
| Schweizer Anbieter | mittel | Schweiz hat Angemessenheitsbeschluss; Bezug pruefen |

## Mustertexte

### Risikoampel (Due-Diligence-Bericht)

```
Cloud-Dienst: [Name]
Vertragstyp: [SaaS / PaaS / IaaS]
Anbietersitz: [Land]
Datenstandort: [Region]
Datenkategorien: [Art. 6 / Art. 9 / Art. 10]

A. AVV Art. 28 DSGVO: [gruen / gelb / rot]
B. TOM Art. 32 DSGVO: [gruen / gelb / rot]
C. Drittlandstransfer Art. 44 ff DSGVO: [gruen / gelb / rot]
D. Zertifizierung: [gruen / gelb / rot]
E. Exit-Klausel: [gruen / gelb / rot]

Gesamt-Ampel: [gruen / gelb / rot]
Empfehlung: [Abschluss / Nachverhandlung / Ablehnung]
```

### Due-Diligence-Bericht Strukturvorschlag

> 1. Mandantenanlass und Untersuchungsgegenstand.
> 2. Cloud-Dienst und Vertragslage.
> 3. Datenschutzrechtliche Rolle (Verantwortlicher, Auftragsverarbeiter).
> 4. AVV-Pruefung (Art. 28 III Mindestinhalte).
> 5. TOM-Pruefung (Anbieter-Belege).
> 6. Drittlandstransfer (Mechanismus, TIA).
> 7. Subprozessoren.
> 8. Zertifizierungen.
> 9. Exit-Strategie.
> 10. Gesamtrisikoeinschaetzung.
> 11. Empfehlung.

### Nachverhandlungsschreiben (an Anbieter)

> Sehr geehrte Damen und Herren,
>
> wir bedanken uns für Ihre AVV-Anlage [Version, Datum]. Im Rahmen der Due Diligence ergibt sich folgender Nachverhandlungsbedarf:
>
> 1. Audit-Recht nach Art. 28 Abs. 3 lit. h DSGVO: Konkretisierung der Bedingungen (Vorankuendigungsfrist, Pruefer, Kosten).
> 2. Subprozessoren: Konkrete Liste mit Sitzlaendern und Funktion.
> 3. Loeschnachweis nach Vertragsende.
> 4. TIA: Bitte um Uebermittlung der Transfer Impact Assessment.
> 5. EU-US DPF: Bestaetigung der Zertifizierung und Bezugspunkt.
>
> Wir bitten um Antwort binnen [Frist].

## Typische Fehler

- "Daten bleiben in Deutschland" Marketing-Aussage ohne vertragliche Verankerung.
- Hyperscaler-AVV ungeprueft uebernommen — Standardklauseln enthalten oft Einseitigkeiten.
- Subprozessor-Liste nicht aktuell.
- TIA nicht erstellt oder nur Anbieter-Generaltext.
- Exit-Klausel ohne konkretes Format und Frist.

**Was triggert Aufsichtsbehoerden?** US-Cloud ohne DPF und ohne TIA, fehlender AVV, Schatten-Cloud-IT (BYOD-Apps).

## Quellen Stand 06/2026

- DSGVO Art. 28, 32, 44, 45, 46, 49.
- Durchfuehrungsbeschluss (EU) 2023/1795 vom 10.07.2023 (EU-US Data Privacy Framework).
- EU-SCC 2021/914 vom 04.06.2021.
- EuGH C-311/18 Schrems II, Urteil 16.07.2020.
- EDSA, Empfehlungen 01/2020 zu Drittlandstransfers, Version 2.0, angenommen 18.06.2021.
- BSI C5 Cloud Computing Compliance Criteria Catalogue, aktuelle Fassung.
- NIS-2 Richtlinie (EU) 2022/2555 vom 14.12.2022.
- Keine Aufsatzfundstellen aus Modellwissen.