EU-Datengesetz: Die Übergangsfrist für Cloud-Zugriffe ist abgelaufen

Die EU-Vorgaben für den Zugriff auf Cloud-Daten werden scharfgestellt. Mit dem voll anwendbaren EU-Datengesetz und verschärften Regeln für Auskunftsersuchen ausländischer Behörden endet heute die Schonfrist für Unternehmen.

Seit dem 12. September 2025 ist das Datengesetz (Verordnung (EU) 2023/2854) verbindlich. Doch erst mit dem Jahreswechsel rechnen Branchenkenner mit verschärften Kontrollen durch nationale Aufsichtsbehörden. Der Fokus liegt auf den Vorgaben zu Cloud-Wechsel und Datenzugang.

Anders als die DSGVO, die den Datenschutz regelt, verpflichtet das Datengesetz Unternehmen dazu, Nutzern einen einfachen, Echtzeit-Zugriff auf die von ihren vernetzten Produkten erzeugten Daten zu gewähren. Das stellt Firmen vor eine komplexe Aufgabe: Sie müssen einerseits diesen granularen Zugang ermöglichen, andererseits Geschäftsgeheimnisse schützen und unbefugte Zugriffe Dritter verhindern. Die Ausrede der „technischen Unmöglichkeit“ gilt kaum noch. Cloud-Anbieter müssen technische Schnittstellen (APIs) für eine sichere Datenweitergabe bereitstellen. Verstöße können zu Bußgeldern in DSGVO-Höhe führen.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und genau diese Lücke bedroht jetzt Cloud‑Projekte mit strengen EU‑Vorgaben. Ein kostenloses E‑Book erklärt praxisnah, wie Sie Verschlüsselung, die EU‑basierte Schlüsselverwaltung und sichere APIs zusammenbringen, um sowohl Artikel 48 DSGVO‑Risiken als auch Anforderungen aus dem neuen Datengesetz zu mindern. Mit konkreten Checklisten für SLAs, Verantwortlichkeiten und Nachweisdokumentation – ideal für IT‑Leiter und Compliance‑Teams. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Internationale Übermittlungen: Der Konflikt mit ausländischen Behörden

Die Zugangskontrolle hat eine neue, sicherheitsrelevante Dimension bekommen. Grund sind die finalisierten Leitlinien 2/2024 des Europäischen Datenschutzausschusses (EDPB) zu Artikel 48 DSGVO. Sie verschärfen die Pflichten europäischer Cloud-Anbieter bei Anfragen von Strafverfolgungsbehörden aus Drittländern.

Ein Ersuchen einer US-Behörde oder eines Gerichts stellt demnach keine ausreichende Rechtsgrundlage für eine Datenübermittlung dar. Unternehmen müssen prüfen, ob ein internationales Rechtshilfeabkommen (MLAT) besteht. Fehlt dieses, verstößt die Datenherausgabe gegen die DSGVO. Cloud-Anbieter sitzen in der Zwickmühle: Der ausländischen Order zu folgen, bedeutet, EU-Recht zu brechen. Sie zu ignorieren, könnte Strafen im Ausland nach sich ziehen. Die Lösung sind robuste technische Schutzmaßnahmen, wie eine Verschlüsselung, deren Schlüssel ausschließlich in der EU verwaltet werden.

„Digital Omnibus“: Die nächste Welle der Harmonisierung

Auf ihrer Plenartagung Anfang Dezember 2025 diskutierte die EDPB den „Digital Omnibus“-Vorschlag der EU-Kommission. Dieses Paket zielt darauf ab, die Vollziehung von DSGVO, Datengesetz und KI-Gesetz zu straffen und behördliche Lasten zu verringern.

Für Cloud-Daten bedeutet das: Die isolierte Betrachtung von DSGVO- und Datengesetz-Compliance reicht nicht mehr aus. Integrierte Daten-Governance-Systeme, die gleichzeitig Datenschutz, Zugriffsrechte und Sicherheitsanforderungen erfüllen, werden zum neuen Standard. Wichtig ist die Abgrenzung zu den separat behandelten EDPB-Leitlinien 3/2025 zum Digital Services Act (DSA), die sich vor allem auf Content-Moderation und Jugendschutz beziehen.

Ausblick 2026: Von der Umsetzung zum Nachweis

Im neuen Jahr wird der Fokus von der Implementierung auf den Nachweis der Konformität umschwenken. Cloud-Kunden werden in ihren Service-Level-Agreements (SLAs) zunehmend Beweise für die Einhaltung der Zugriffsregeln verlangen.
* Durchsetzung: Aufsichtsbehörden werden wahrscheinlich „tief hängende Früchte“ pflücken – Unternehmen, die Datenportabilität noch blockieren oder keine klaren Prozesse für ausländische Zugriffsersuchen haben.
* Verträge: Der „Digital Omnibus“ könnte weitere Anpassungen bei Standardvertragsklauseln (SCCs) für Cloud Computing erforderlich machen.
* Technologische Souveränität: Die Nachfrage nach „souveränen Cloud“-Lösungen wird steigen, angetrieben durch die praktischen Anforderungen von Artikel 48 DSGVO und die Debatte um das EUCS-Zertifizierungsschema.

Die Botschaft zum Jahreswechsel ist eindeutig: Die Ära theoretischer Datenrechte ist vorbei. Die Infrastruktur für sicheren, kontrollierten und verpflichtenden Datenzugriff muss jetzt vollständig betriebsbereit sein.

PS: Für alle, die nun Compliance‑Nachweise in SLAs liefern müssen: Dieses Gratis‑E‑Book fasst die wichtigsten Cyber‑Security‑Trends zusammen und liefert konkrete Maßnahmen für souveräne Cloud‑Architekturen, EU‑Schlüsselverwaltung und API‑Absicherung. Enthalten sind Checklisten zur Dokumentation gegenüber Aufsichtsbehörden, Umsetzungstipps zu EDPB‑Leitlinien und Hinweise zur Verknüpfung mit KI‑ und Datengesetz‑Pflichten – besonders nützlich für IT‑Sicherheitsverantwortliche und Datenschutz‑Beauftragte. Jetzt Cyber‑Security‑Report kostenlos anfordern