---
name: it-recht-cloud-vertrag-datenschutz-due-diligence
description: "Datenschutz-Due-Diligence fuer Cloud-Vertraege. Sieben-Fragen-Diagnose: Cloud-Typ IaaS PaaS SaaS Anbietersitz Datenstandort Schlusselverwaltung Subprozessoren Zertifizierung Vertragslaufzeit. Pruefraster fuer Art. 28 DSGVO Mindestinhalte Art. 32 DSGVO TOM Art. 44 ff DSGVO Drittlandstransfer EU-SCC 2021/914 Modul 2 oder 3 EU-US Data Privacy Framework. Schritt-fuer-Schritt fuer Pre-Contract-Pruefung und laufende Compliance. Mustertexte fuer Due-Diligence-Bericht und Risikoampel. Abgrenzung: keine SaaS-AVV im engeren Sinn (it-recht-saas-avv-und-tia-bundle)."
---

# IT-Recht — Cloud-Vertrag mit Datenschutz-Due-Diligence

## Zweck

Dieser Skill fuehrt eine strukturierte Due Diligence bei Cloud-Vertraegen durch, bei denen personenbezogene Daten verarbeitet werden. Er kombiniert IT-vertragsrechtliche Pruefung (Leistungsbeschreibung, SLA, Haftung, Exit) mit datenschutzrechtlicher Pruefung (AVV, TOM, Transfer, Zertifizierung) und liefert eine Risikoampel.

## Wann brauchen Sie diesen Skill / Kaltstart-Fragen

Sie brauchen den Skill vor Abschluss oder bei Audit laufender Cloud-Vertraege, insbesondere bei Hyperscaler-Vertraegen (AWS, Microsoft Azure, Google Cloud), bei spezialisierten SaaS-Loesungen oder bei privaten Cloud-Loesungen.

Sieben-Fragen-Diagnose:

1. **Cloud-Typ:** IaaS (Infrastructure), PaaS (Platform), SaaS (Software as a Service)? Bestimmt die Verteilung der TOM-Verantwortung.
2. **Anbietersitz:** EU/EWR, USA, andere Drittlaender? Konzernverflechtung?
3. **Datenstandort:** Wo werden Daten konkret verarbeitet? Welche Regions waehlt der Mandant?
4. **Schluesselverwaltung:** Bring Your Own Key, Customer Managed Key, Service Managed Key, Hold Your Own Key?
5. **Subprozessoren:** Welche, wo, mit welchen Vertraegen?
6. **Zertifizierung:** ISO 27001, ISO 27017, ISO 27018, SOC 2, BSI C5, EU Cloud Code of Conduct?
7. **Vertragslaufzeit und Exit:** Datenrueckgabe, Loeschnachweis, Notfall-Wechsel?

## Rechtlicher Rahmen

- **Art. 28 DSGVO** AVV.
- **Art. 32 DSGVO** TOM, im Cloud-Kontext besonders relevant.
- **Art. 44 DSGVO** Allgemeines Prinzip Drittlandstransfer.
- **Art. 45 DSGVO** Angemessenheitsbeschluss; EU-US Data Privacy Framework angenommen 10.07.2023 (Durchfuehrungsbeschluss 2023/1795).
- **Art. 46 DSGVO** Standardvertragsklauseln 2021/914.
- **Art. 49 DSGVO** Ausnahmen, restriktiv auszulegen (EDSA Leitlinie 2/2018 von 25.05.2018).
- **EuGH C-311/18 Schrems II** (Urteil 16.07.2020).
- **EDSA Empfehlungen 01/2020** (Version 2.0 angenommen 18.06.2021) zu zusaetzlichen Massnahmen.
- **BSI C5** (Cloud Computing Compliance Criteria Catalogue).
- **NIS-2 Richtlinie (EU) 2022/2555** und nationale Umsetzung in Deutschland.
- **§§ 535 ff BGB** (Cloud regelmaessig Mietvertrag oder Dienstvertrag, Einzelfallpruefung).

## Mandantenfuehrung Schritt-fuer-Schritt

1. **Zuerst: Inventur.** Welche Cloud-Dienste sind im Mandantenhaus eingesetzt? Schatten-IT pruefen.
2. **Als zweites: Datenmapping.** Welche Datenkategorien laufen in welchem Cloud-Dienst?
3. **Als drittes: AVV-Pruefung.** Mindestinhalte Art. 28 III liegen vor? Anbieter-AVV (z. B. AWS DPA, Microsoft DPA, Google DPA) Mandantenseitig kommentieren — viele AVV der Hyperscaler sind nicht verhandelbar, dann Restrisiko dokumentieren.
4. **Als viertes: TOM-Pruefung.** Anbieter-Whitepaper, ISO 27001 Bericht, BSI C5 Testat, SOC 2 Bericht. Stand der Technik Art. 32 DSGVO.
5. **Als fuenftes: Drittlandstransfer.** Region einstellbar? Zertifizierung nach EU-US Data Privacy Framework vorhanden? SCC 2021/914 zusaetzlich? TIA durchgefuehrt?
6. **Als sechstes: Exit-Klausel.** Datenrueckgabe in strukturiertem Format, Loeschnachweis, Mindestaufbewahrung bei Anbieter?
7. **NICHT** auf Marketing-Aussagen vertrauen ("Servers in Germany") — vertragliche Verankerung notwendig.

## Trade-off-Matrix

| Konstellation | Risiko | Massnahme |
|---|---|---|
| US-Hyperscaler ohne DPF-Zertifizierung | hoch (Schrems II) | EU-SCC + TIA + zusaetzliche Massnahmen Verschluesselung |
| US-Hyperscaler mit DPF-Zertifizierung | mittel | DPF + EU-SCC als Backup + TIA |
| EU-Region mit US-Mutter | mittel | Pruefung CLOUD Act Risiko, TIA |
| Private Cloud in EU | gering | Standard-AVV reicht oft |
| Schweizer Anbieter | mittel | Schweiz hat Angemessenheitsbeschluss; Bezug pruefen |

## Mustertexte

### Risikoampel (Due-Diligence-Bericht)

```
Cloud-Dienst: [Name]
Vertragstyp: [SaaS / PaaS / IaaS]
Anbietersitz: [Land]
Datenstandort: [Region]
Datenkategorien: [Art. 6 / Art. 9 / Art. 10]

A. AVV Art. 28 DSGVO: [gruen / gelb / rot]
B. TOM Art. 32 DSGVO: [gruen / gelb / rot]
C. Drittlandstransfer Art. 44 ff DSGVO: [gruen / gelb / rot]
D. Zertifizierung: [gruen / gelb / rot]
E. Exit-Klausel: [gruen / gelb / rot]

Gesamt-Ampel: [gruen / gelb / rot]
Empfehlung: [Abschluss / Nachverhandlung / Ablehnung]
```

### Due-Diligence-Bericht Strukturvorschlag

> 1. Mandantenanlass und Untersuchungsgegenstand.
> 2. Cloud-Dienst und Vertragslage.
> 3. Datenschutzrechtliche Rolle (Verantwortlicher, Auftragsverarbeiter).
> 4. AVV-Pruefung (Art. 28 III Mindestinhalte).
> 5. TOM-Pruefung (Anbieter-Belege).
> 6. Drittlandstransfer (Mechanismus, TIA).
> 7. Subprozessoren.
> 8. Zertifizierungen.
> 9. Exit-Strategie.
> 10. Gesamtrisikoeinschaetzung.
> 11. Empfehlung.

### Nachverhandlungsschreiben (an Anbieter)

> Sehr geehrte Damen und Herren,
>
> wir bedanken uns fuer Ihre AVV-Anlage [Version, Datum]. Im Rahmen der Due Diligence ergibt sich folgender Nachverhandlungsbedarf:
>
> 1. Audit-Recht nach Art. 28 Abs. 3 lit. h DSGVO: Konkretisierung der Bedingungen (Vorankuendigungsfrist, Pruefer, Kosten).
> 2. Subprozessoren: Konkrete Liste mit Sitzlaendern und Funktion.
> 3. Loeschnachweis nach Vertragsende.
> 4. TIA: Bitte um Uebermittlung der Transfer Impact Assessment.
> 5. EU-US DPF: Bestaetigung der Zertifizierung und Bezugspunkt.
>
> Wir bitten um Antwort binnen [Frist].

## Typische Fehler

- "Daten bleiben in Deutschland" Marketing-Aussage ohne vertragliche Verankerung.
- Hyperscaler-AVV ungeprueft uebernommen — Standardklauseln enthalten oft Einseitigkeiten.
- Subprozessor-Liste nicht aktuell.
- TIA nicht erstellt oder nur Anbieter-Generaltext.
- Exit-Klausel ohne konkretes Format und Frist.

**Was triggert Aufsichtsbehoerden?** US-Cloud ohne DPF und ohne TIA, fehlender AVV, Schatten-Cloud-IT (BYOD-Apps).

## Querverweise

- `it-recht-datenschutz-im-it-vertrag`
- `it-recht-saas-avv-und-tia-bundle`
- `avv-cloud-und-subverarbeitung-art-28-iv`
- `drittlandstransfer-pruefung`
- `us-transfer-tia-dokumentation`
- `datenschutz-erstgespraech-mandantenmatrix-7-fragen`

## Quellen Stand 06/2026

- DSGVO Art. 28, 32, 44, 45, 46, 49.
- Durchfuehrungsbeschluss (EU) 2023/1795 vom 10.07.2023 (EU-US Data Privacy Framework).
- EU-SCC 2021/914 vom 04.06.2021.
- EuGH C-311/18 Schrems II, Urteil 16.07.2020.
- EDSA, Empfehlungen 01/2020 zu Drittlandstransfers, Version 2.0, angenommen 18.06.2021.
- BSI C5 Cloud Computing Compliance Criteria Catalogue, aktuelle Fassung.
- NIS-2 Richtlinie (EU) 2022/2555 vom 14.12.2022.
- Keine Aufsatzfundstellen aus Modellwissen.