Öffentlicher Sektor migriert leise von US-Clouds

Europas Behörden verlassen still US-Cloud-Anbieter – und stehen vor dem Problem, Daten wirklich zu löschen. Die Rechtslage zwingt zum Handeln.

BERLIN/WIEN – Während das Geschäftsjahr in Europa zu Ende geht, verändert sich die Landschaft des Datenschutzes grundlegend. Eine Welle von „Cloud-Exits“ im öffentlichen Sektor und verschärfte Regulierung zur Datenlöschung bestimmen die Agenda. Hintergrund ist ein ungelöster Konflikt: Der US-amerikanische CLOUD Act ist mit der europäischen Datenschutz-Grundverordnung (DSGVO) nicht vereinbar. Diese rechtliche Realität treibt Institutionen in die Migration.

Diese „stille Abwanderung“ wirft ein Schlaglicht auf eine oft unterschätzte Herausforderung: die rechtskonforme Löschung von Daten beim Wechsel des Cloud-Anbieters. Die europäische Datenschutzbehörde EDPB hat das „Recht auf Vergessenwerden“ (Artikel 17 DSGVO) zum Schwerpunkt ihrer Überwachung für 2025 erklärt. Organisationen, die jetzt umziehen, müssen also doppelt vorsorgen. Sie müssen die Datensouveränität in der neuen Umgebung sicherstellen – und gleichzeitig den vollständigen Datenabschied vom alten Anbieter nachweisen.

Neue Berichte zeigen, dass europäische öffentliche Einrichtungen zunehmend Ausstiegsstrategien verfolgen, um DSGVO-Risiken zu minimieren. So migrierte das österreichische Bundesministerium für Wirtschaft, Energie und Tourismus kürzlich 1.200 Mitarbeiter innerhalb von vier Monaten auf die Open-Source-Plattform Nextcloud. In Deutschland vollzog das Land Schleswig-Holstein einen ähnlichen Schritt und brachte 24.000 Beschäftigte zu Alternativen wie LibreOffice und Thunderbird.

Viele öffentliche Stellen übersehen beim Cloud-Exit entscheidende Punkte der Auftragsdatenverarbeitung – etwa AVV-Klauseln, Löschzertifikate und Prüfrechte für Backups. Ein kostenloses E‑Book erklärt praxisnah, welche Vertragsklauseln Sie jetzt aufnehmen müssen, wie Löschnachweise aufgebaut werden und welche Checklisten Prüfer erwarten. Mit fertigen Mustervorlagen können Sie Migrationen DSGVO-konform dokumentieren und spätere Haftungsrisiken wirksam minimieren. Kostenloses E‑Book zur Auftragsdatenverarbeitung herunterladen

Der Trend beschränkt sich nicht auf nationale Regierungen. Selbst der Internationale Strafgerichtshof (IStGH) in Den Haag gab bekannt, Microsoft Office durch europäische Software zu ersetzen. Ein Vorfall, bei dem Chefankläger Karim Khan vorübergehend von seinem Account ausgesperrt war, beschleunigte die Entscheidung. Der eigentliche Treiber bleibt jedoch der Rechtskonflikt zwischen US-Gesetzen und europäischen Privatsphäre-Rechten.

Analysten sehen hier weniger politisches Signal als nüchterne Rechtsfolge. Risikobewertungen nach DSGVO bewerten den potenziellen Zugriff US-Behörden auf Daten bei US-Anbietern – unabhängig vom Serverstandort – als inakzeptables Risiko für sensible Bürgermdaten.

DSK und EDPB: Strengere Maßstäbe fürs Löschen

Den Druck auf Organisationen, Datenlebenszyklen streng zu managen, haben jüngste regulatorische Schritte verstärkt. Mitte Dezember 2025 kritisierte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in Berlin scharf die Deregulierungsvorschläge der EU-Kommission („Digital Omnibus“). Diese könnten, so die DSK, den Begriff der personenbezogenen Daten aufweichen und Rechtsunsicherheit schaffen.

Für Unternehmen bedeutet das: Entlastung von der Regulierungsseite ist unwahrscheinlich. Die strikte Einhaltung der DSGVO-Prinzipien bleibt Pflicht. Das gilt besonders für das Recht auf Löschung, das die EDPB zum Überwachungsschwerpunkt 2025 erklärt hat.

Die Schnittstelle von „Cloud-Exit“ und „Datenlöschung“ wird so zur komplexen Hürde. Verlässt eine Organisation einen Cloud-Anbieter, muss sie sicherstellen, dass alle personenbezogenen Daten unwiderruflich aus den Systemen des Anbieters gelöscht sind – inklusive Backups und Notfallwiederherstellungs-Standorten. Doch was, wenn der Anbieter dies nicht garantieren kann?

Hier kommt das Problem des „Sovereignty Washing“ ins Spiel: US-Anbieter werben mit „souveränen“ Clouds, die rechtlich aber weiter US-Gesetzen unterliegen. Kann ein Anbieter nicht rechtsverbindlich zusichern, dass US-Behörden keine Zugriffsmöglichkeit auf verbliebene Daten haben, wird schon der Löschvorgang selbst zum Compliance-Risiko.

Technische Hürden: Löschen in der Cloud ist komplex

Die praktische Umsetzung der Datenlöschung während einer Migration ist voller technischer Fallstricke. Eine Löschung in einer Hyperscale-Cloud-Umgebung ist selten sofortig.

Zu den größten Herausforderungen gehören:
* Backup-Aufbewahrung: Cloud-Anbieter halten Backups oft 30 bis 90 Tage nach Vertragsende vor. Nach strenger DSGVO-Auslegung werden diese Daten weiter „verarbeitet“ und müssen selbst nach Vertragsende durch eine gültige Auftragsverarbeitungsvereinbarung (AVV) abgedeckt sein.
* Schatten-IT und APIs: Eine Schwachstelle in M-Files (CVE-2025-13008), über die kürzlich berichtet wurde, unterstreicht die Gefahren von nicht widerrufenen Zugriffsrechten. Werden während der Migration API-Schlüssel und Session-Tokens nicht entzogen, können Angreifer Zugang zu „gelöschten“ Umgebungen behalten.
* Vendor-Lock-in: Proprietäre Datenformate verhindern oft einen vollständigen Export. In der Folge werden Daten eher „zurückgelassen“ als migriert oder gelöscht.

Rechtsexperten raten daher, eine „Cloud-Exit-Strategie“ von Anfang an im Vertrag zu verankern. Dazu gehören konkrete „Löschzertifikate“ und Prüfrechte, um zu verifizieren, dass Daten von allen physischen und virtuellen Standorten getilgt wurden.

Ausblick 2026: Hybrid, aber mit klarer Trennung

Die Entwicklungen Ende 2025 bereiten den Boden für ein konfliktreiches Jahr 2026. Analysten gehen zwar davon aus, dass kein großes europäisches Unternehmen US-Hyperscaler komplett verlassen wird. Das Hybrid-Modell verändert sich jedoch grundlegend.

Sensible Daten wandern zunehmend in souveräne europäische Clouds oder On-Premise-Lösungen (wie „air-gapped“ Clouds). Weniger kritische Workloads bleiben bei US-Anbietern. Die Ablehnung der Deregulierungspläne durch die DSK signalisiert: Der regulatorische Druck wird nicht nachlassen.

Unternehmen, die für das erste Quartal 2026 Cloud-Migrationen planen, müssen drei Punkte priorisieren:
1. Verifikation der Löschung: Technischen Nachweis vom alten Anbieter einfordern, nicht nur vertragliche Zusicherungen.
2. Souveränitäts-Check: Angebote für „souveräne Clouds“ genau auf extraterritoriale Rechtsfragen prüfen.
3. Exit-Planung: Verbindliche Ausstiegsklauseln in alle neuen SaaS- und IaaS-Verträge aufnehmen.

Wie die erfolgreiche Migration des österreichischen Ministeriums zeigt, ist ein vollständiger Ausstieg operativ machbar. Doch ohne einen rigorosen Datenlöschprozess können die „Geister“ der Datenvergangenheit eine Organisation noch lange nach Vertragsende verfolgen.

PS: Planen Sie eine Cloud‑Migration? Gerade bei Behörden werden Löschprozesse und Nachweisdokumentation häufig unterschätzt – und das kann Prüfanfragen oder Bußgeldverfahren nach sich ziehen. Der Gratis‑Report bietet detaillierte Vorlagen für Löschzertifikate, Muster‑AVV‑Klauseln und Prüflisten zur Verifikation, damit Sie den Ausstieg vom alten Anbieter rechtssicher nachweisen. Praktische Tipps zeigen, wie Sie Backups, API‑Zugänge und Vendor‑Lock‑in‑Risiken adressieren. Jetzt Gratis-Guide zur DSGVO-konformen Auftragsverarbeitung anfordern