Was bedeutet es, Daten DSGVO-konform zu speichern? Und wie lässt sich dies mit S3 Object Storage realisieren?
Cloud-Speicher ist in vielen Unternehmen im Einsatz, ob für Backups, Archivierung oder Data Lakes. Daten liegen zunehmend in verteilten Infrastrukturen. Doch gerade bei personenbezogenen oder geschäftskritischen Informationen stellt sich die Frage, ob diese Speicherung mit der DSGVO vereinbar ist.
S3 Object Storage ist technisch eine flexible und leistungsfähige Lösung. Aber nicht jeder Anbieter erfüllt automatisch die rechtlichen Anforderungen. Entscheidend ist, wo und wie die Daten gespeichert werden und welche rechtlichen Rahmenbedingungen für den Anbieter gelten.
Was bedeutet DSGVO-konformes Speichern?
Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass personenbezogene Daten rechtmäßig, sicher und nachvollziehbar verarbeitet werden. Für Speicherlösungen bedeutet das:
- Unternehmen müssen wissen, in welchem Land ihre Daten liegen und welchem Recht der Anbieter unterliegt.
- Zugriff auf die Daten darf nur auf Basis einer klaren Rechtsgrundlage erfolgen.
- Verschlüsselung, rollenbasiertes Identity and Access Management (IAM) und Protokollierung sind Pflicht.
Object Storage erfüllt diese technischen Anforderungen grundsätzlich sehr gut – etwa durch Verschlüsselung, Metadatenverwaltung und Zugriffsprotokolle. Aber die rechtliche Dimension entscheidet, ob der Einsatz wirklich DSGVO-konform ist.
Risiken und rechtliche Rahmenbedingungen bei internationalen Anbietern
Viele Unternehmen nutzen S3 Object Storage bei US-Hyperscalern wie AWS, Google oder Microsoft. Dies ist rechtlich problematisch, da US-Anbieter dem CLOUD Act unterliegen. Dieser erlaubt es US-Behörden, auf Daten zuzugreifen – selbst dann, wenn sie physisch in Europa gespeichert sind.
Mit dem Schrems-II-Urteil des Europäischen Gerichtshofs wurde 2020 das „Privacy Shield“ zwischen EU und USA für ungültig erklärt. Seitdem stand der Datentransfer in die USA unter erheblicher Unsicherheit.
Um diese Lücke zu schließen, erließ die US-Regierung im Oktober 2022 die Executive Order (EO) 14086. Sie verpflichtet US-Geheimdienste, den Zugriff auf Daten aus Europa auf das notwendige Maß zu beschränken und neue Rechtsbehelfe für betroffene EU-Bürger:innen einzurichten. Diese Verordnung bildet die Grundlage für das EU-US Data Privacy Framework (DPF), das im Juli 2023 von der EU-Kommission angenommen wurde.
Das DPF erlaubt den Datentransfer an US-Unternehmen, die sich nach diesem Rahmenwerk zertifizieren lassen. Im September 2025 bestätigte das Europäische Gericht die Gültigkeit des Abkommens – zumindest vorläufig. Damit gibt es aktuell wieder eine Rechtsgrundlage für transatlantische Datentransfers.
Die Nutzung von US-Anbietern ist also rechtlich zulässig, wenn diese nach dem DPF zertifiziert sind. Dennoch bleibt Vorsicht angebracht. Nicht zuletzt, weil die latente Gefahr besteht, dass US-Präsident Trump die EO 14086 aufkündigt.
Wer langfristige digitale Souveränität und Unabhängigkeit von politischen Rahmenbedingungen anstrebt, setzt deshalb bevorzugt auf Anbieter mit Rechenzentren in Deutschland oder der EU. Dort greifen ausschließlich europäische Datenschutzgesetze ohne Abhängigkeit von internationalen Vereinbarungen.
Rechtslage im Überblick: S3 Object Storage & DSGVO
CLOUD Act: US-Anbieter unterliegen auch dann dem Zugriff durch US-Behörden, wenn Daten in Europa gespeichert sind.
Schrems-II-Urteil (2020): Das Privacy Shield wurde für ungültig erklärt – transatlantische Datentransfers waren rechtlich unsicher.
Executive Order (EO) 14086 (Okt. 2022): Neue US-Vorgaben begrenzen Geheimdienstzugriffe und schaffen Rechtsbehelfe für EU-Bürger:innen.
EU-US Data Privacy Framework (DPF, Juli 2023): EU-Kommission erkennt das DPF als neue Grundlage für Datentransfers an.
Bestätigung 2025: Das Europäische Gericht bestätigte die Gültigkeit des DPF, wenngleich Datenschutzorganisationen weiterhin Kritik üben.
Checkliste für die Auswahl des S3-Anbieters
Nicht jeder Anbieter, der mit „DSGVO-konformem Speicher“ wirbt, erfüllt alle Kriterien. IT-Entscheider:innen sollten deshalb genauer hinschauen.
- Werden die Daten ausschließlich in deutschen oder europäischen Rechenzentren gespeichert?
- Unterliegt der Anbieter ausschließlich EU-Recht oder auch dem CLOUD Act?
- Sind Verschlüsselung, Zugriffskontrollen und Audit-Logs standardmäßig integriert?
- Gibt es Auftragsverarbeitungsverträge (AVV) nach DSGVO?
- Legt der Anbieter offen, wie und wo Daten gespeichert und verarbeitet werden?
S3 Object Storage in Deutschland direkt ausprobieren
Wenn Sie erfahren möchten, wie DSGVO-konformer S3 Object Storage in der Praxis funktioniert, dann besuchen Sie unseren plusserver-Shop. Dort finden Sie S3-Speicher aus deutschen Rechenzentren und profitieren von unserem persönlichen 24/7 Support.
Zugehörige Produkte
„S3 Object Storage“ von plusserver: AWS-kompatibler Objektspeicher mit georedundanter Speicherung, kostenloser API & Traffic-Inklusive, drei Serviceklassen sowie deutschen Rechenzentren – ideal für Unternehmen jeder Größe.