Analyse der rechtlichen und finanziellen Konsequenzen bei der Nutzung nicht DSGVO-konformer SaaS in deutschen Unternehmen
Executive Summary
Kernbefund: Das primäre Risiko für deutsche Unternehmen bei der Nutzung nicht konformer Software-as-a-Service (SaaS)-Lösungen liegt weniger in direkten Bußgeldern für den Einsatz eines spezifischen Tools, sondern vielmehr in Sanktionen für fundamentale Verstöße gegen die Datenschutz-Grundverordnung (DSGVO). Diese Verstöße, wie rechtswidrige Datenverarbeitung (Art. 6), unzureichende Datensicherheit (Art. 32) oder illegale Drittlandtransfers (Art. 44-49), werden durch die Nutzung der Tools erst ermöglicht oder verschärft. Diese Unterscheidung ist für ein effektives Risikomanagement von entscheidender Bedeutung.
Praxis der Aufsichtsbehörden: Während Bußgelder in Millionenhöhe gegen Großkonzerne die Schlagzeilen dominieren, verhängen die deutschen Datenschutzaufsichtsbehörden (DSAs) aktiv Verwarnungen, Anordnungen und zunehmend auch Bußgelder im fünf- bis sechsstelligen Bereich gegen kleine und mittlere Unternehmen (KMU). Der Fokus der Behörden verschiebt sich von einer reinen Beratungsfunktion hin zur konsequenten Sanktionierung eindeutiger Verstöße, wie etwa fehlerhafte Cookie-Banner oder fehlende Auftragsverarbeitungsverträge (AVV).
Das US-SaaS-Dilemma: Der EU-US Data Privacy Framework (DPF) bietet eine fragile Rechtsgrundlage für Datentransfers, eliminiert jedoch nicht die grundlegenden Risiken, die aus US-Überwachungsgesetzen (FISA 702, CLOUD Act) resultieren. Eine „Schrems III“-Klage wird weithin erwartet, was die alleinige Stützung auf den DPF zu einem erheblichen Risiko für die Geschäftskontinuität macht. Unternehmen sind weiterhin verpflichtet, sogenannte Transfer-Folgenabschätzungen (Transfer Impact Assessments, TIAs) durchzuführen und zu dokumentieren.
Wesentliche finanzielle Risiken: Die größte finanzielle Bedrohung für ein KMU ist oft nicht das Bußgeld selbst, sondern die damit verbundenen Folgekosten: Reputationsschäden, Kundenabwanderung, hohe Anwalts- und Beratungskosten sowie die massive operative Störung, die durch eine behördliche Anordnung zur Einstellung der Nutzung einer tief integrierten, geschäftskritischen SaaS-Plattform entstehen kann.
Strategischer Imperativ: Deutsche Unternehmen müssen von einer reaktiven zu einer proaktiven Compliance-Haltung übergehen. Dies erfordert eine vollständige Inventarisierung aller SaaS-Tools (zur Eliminierung von „Schatten-IT“), die Implementierung eines rigorosen Prüfprozesses für Anbieter und die Priorisierung europäischer oder selbst gehosteter Alternativen, wo immer dies machbar ist. Nur so lassen sich digitale Souveränität und langfristige Rechtssicherheit erreichen.
I. Die DSGVO-Sanktionslandschaft in Deutschland: Eine Realitätsprüfung
Die öffentliche Wahrnehmung der DSGVO-Durchsetzung ist oft von einem scheinbaren Paradox geprägt: Auf der einen Seite stehen theoretische Bußgeldandrohungen in Millionenhöhe, auf der anderen Seite eine gefühlte Seltenheit von Sanktionen, insbesondere im KMU-Sektor. Diese Analyse dekonstruiert diesen Widerspruch und zeichnet ein datengestütztes Bild der tatsächlichen Sanktionspraxis in Deutschland.
1.1. Die Mechanik der DSGVO-Bußgelder: Jenseits der Schlagzeilen
Um das finanzielle Risiko realistisch einzuschätzen, ist ein Verständnis der rechtlichen und administrativen Grundlagen der Bußgeldbemessung unerlässlich.
Rechtlicher Rahmen: Die DSGVO etabliert in Art. 83 ein zweistufiges Bußgeldsystem.
Für weniger schwerwiegende, formelle Verstöße (z.B. gegen Pflichten des Verantwortlichen oder des Auftragsverarbeiters aus den Art. 8, 11, 25-39, 42 und 43) sieht Art. 83 Abs. 4 DSGVO Geldbußen von bis zu 10 Mio. Euro oder, im Fall eines Unternehmens, von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor, je nachdem, welcher der Beträge höher ist.
Für schwerwiegende, materielle Verstöße (z.B. gegen die Grundsätze der Verarbeitung aus Art. 5, 6, 7 und 9; die Rechte der betroffenen Personen aus Art. 12-22; oder die Vorschriften zu Drittlandtransfers aus Art. 44-49) können gemäß Art. 83 Abs. 5 DSGVO Geldbußen von bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden.
Diese enormen Bußgeldrahmen stellen das theoretische Höchstrisiko dar und signalisieren die hohe Priorität, die der Gesetzgeber dem Datenschutz beimisst.
Das Berechnungsmodell der Datenschutzkonferenz (DSK): Um die Anwendung dieser Rahmen konsistent und nachvollziehbar zu gestalten, hat die DSK, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden, im Oktober 2019 ein eigenes Konzept zur Bußgeldzumessung verabschiedet. Obwohl dieses Modell für Gerichte nicht bindend ist, dient es den deutschen Behörden als Leitfaden und macht die Bußgeldberechnung transparenter. Das Modell folgt einem fünfstufigen Prozess:
Unternehmenskategorisierung: Das betroffene Unternehmen wird basierend auf seinem weltweiten Vorjahresumsatz einer von vier Größenklassen (A: Kleinstunternehmen, B: Kleine Unternehmen, C: Mittlere Unternehmen, D: Großunternehmen) und weiteren Unterklassen zugeordnet.
Bestimmung des mittleren Jahresumsatzes: Für jede Unterklasse wird ein mittlerer Jahresumsatz als Basiswert festgelegt.
Ermittlung des wirtschaftlichen Grundwerts: Der mittlere Jahresumsatz wird durch 360 geteilt, um einen durchschnittlichen „Tagessatz“ zu ermitteln. Dieser Wert stellt den wirtschaftlichen Grundwert für die weitere Berechnung dar.
Multiplikation nach Schweregrad: Der Grundwert wird mit einem Faktor multipliziert, der sich aus der Schwere der Tat ergibt (leicht, mittel, schwer, sehr schwer). Dabei wird zwischen formellen (Art. 83 Abs. 4) und materiellen (Art. 83 Abs. 5) Verstößen unterschieden.
Anpassung anhand täterbezogener Umstände: Der so ermittelte Betrag wird abschließend anhand der Kriterien des Art. 83 Abs. 2 DSGVO (z.B. Vorsatz oder Fahrlässigkeit, getroffene Abhilfemaßnahmen, Kooperation mit der Behörde, frühere Verstöße) individuell angepasst.
Dieses Modell verdeutlicht, dass Bußgelder nicht willkürlich festgesetzt werden. Für KMU bedeutet dies, dass selbst bei einem mittleren Verstoß die Strafen schnell in den fünf- oder sechsstelligen Bereich reichen können, was eine existenzielle Bedrohung darstellen kann. Die umsatzbasierte Berechnung sorgt dafür, dass die Strafe für das Unternehmen eine spürbare und abschreckende Wirkung entfaltet, wie von der DSGVO beabsichtigt.
1.2. Enforcement in der Praxis: Analyse der Tätigkeitsberichte der Aufsichtsbehörden (2020-2024)
Die jährlichen Tätigkeitsberichte der Landesdatenschutzbehörden sind die wichtigste Primärquelle, um die tatsächlichen Prüfungsschwerpunkte und die Entwicklung der Sanktionspraxis zu verstehen. Eine Analyse der Berichte aus Schlüsselbundesländern wie Bayern (BayLDA), Niedersachsen (LfD), Nordrhein-Westfalen (LDI NRW), Berlin (BlnBDI), Hessen (HBDI) und Schleswig-Holstein (ULD) für den Zeitraum 2020 bis 2024 zeichnet ein klares Bild.
Identifizierte Prüfungsschwerpunkte: Die Berichte zeigen konsistent, dass die Behörden sich weniger auf spezifische Softwareprodukte konzentrieren, sondern vielmehr auf grundlegende Compliance-Lücken, die durch den Einsatz von Software entstehen. Häufige Auslöser für Verfahren sind:
Fehlende Rechtsgrundlage für die Verarbeitung: Dies ist der häufigste Verstoß. Ein klassisches Beispiel ist das Tracking von Webseitenbesuchern mittels Tools wie Google Analytics ohne eine wirksame, vorherige Einwilligung. Dies verstößt sowohl gegen Art. 6 DSGVO als auch gegen § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG).
Unzureichende technische und organisatorische Maßnahmen (TOMs): Verstöße gegen Art. 32 DSGVO sind ein weiterer Schwerpunkt. Dies umfasst mangelhafte Sicherheitsvorkehrungen, die zu Datenpannen führen, wie z.B. unverschlüsselte Datenübertragung, fehlende Zugriffskontrollen oder das Versäumnis, Sicherheitsupdates zeitnah zu installieren.
Nichtbeachtung von Betroffenenrechten: Die verspätete oder unvollständige Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO ist ein häufiger Beschwerdegrund und führt regelmäßig zu behördlichen Maßnahmen.
Fehlende oder mangelhafte Auftragsverarbeitungsverträge (AVV): Der Einsatz externer Dienstleister (wie SaaS-Anbieter) ohne einen gültigen AVV nach Art. 28 DSGVO ist ein klarer formeller Verstoß, der leicht feststellbar und sanktionierbar ist.
Rechtswidrige Videoüberwachung und Mitarbeiterkontrolle: Dies bleibt ein Dauerthema in den Tätigkeitsberichten und führt regelmäßig zu Bußgeldern.
Die Analyse der Tätigkeitsberichte über die Jahre offenbart eine deutliche Entwicklung in der behördlichen Praxis. Während in den ersten Jahren nach Inkrafttreten der DSGVO (2018-2020) die Beratung und Aufklärung im Vordergrund standen, ist seit etwa 2021 ein klarer Trend zur aktiven Sanktionierung zu beobachten. Die sogenannte „Schonfrist“ ist vorbei. Die Ankündigung des BayLDA, zukünftig den Einsatz von Tracking-Tools ohne Einwilligung konsequent mit Bußgeldern zu ahnden, ist hierfür ein signifikantes Beispiel. Die LfDI Bremen hat bereits in fünf Fällen Bußgelder wegen der Nutzung von Google Analytics ohne Einwilligung verhängt. Dies widerlegt die Annahme, dass die Sanktionierung selten erfolgt. Das Risiko für KMU ist nicht länger nur theoretisch, sondern aktiv und wachsend. Die Behörden nutzen zudem vermehrt automatisierte Tools wie das Website Auditing Tool des Europäischen Datenschutzausschusses (EDSA), um Verstöße effizient aufzudecken.
1.3. Das volle Spektrum der Konsequenzen: Mehr als nur Bußgelder
Die Fokussierung allein auf die Höhe von Bußgeldern verkennt die wahre Dimension des unternehmerischen Risikos. Die finanziellen und operativen Folgen eines Datenschutzverstoßes sind weitaus vielfältiger.
Direkte finanzielle Kosten: Bußgelder sind die sichtbarste Sanktion. Statistiken zeigen, dass Deutschland im EU-Vergleich den zweiten Platz bei der Gesamthöhe der verhängten Bußgelder einnimmt. Dies ist zwar durch spektakuläre Fälle wie H&M (35 Mio. Euro) oder Deutsche Wohnen (14,5 Mio. Euro) verzerrt, doch die Zahl der Bußgelder im fünf- und sechsstelligen Bereich gegen KMU nimmt stetig zu.
Indirekte und operative Kosten:
Schadensersatzansprüche (Art. 82 DSGVO): Betroffene Personen können sowohl für materielle als auch für immaterielle Schäden (z.B. Kontrollverlust über Daten, Stress) Schadensersatz fordern. Deutsche Gerichte sprechen zunehmend Summen zu, die auch eine abschreckende Wirkung entfalten sollen, was die finanzielle Belastung für Unternehmen erhöht.
Reputationsschaden und Kundenabwanderung: Ein öffentlich bekannt gewordener Datenschutzvorfall oder ein Bußgeld kann das Vertrauen von Kunden und Geschäftspartnern nachhaltig erschüttern. Studien zeigen, dass ein signifikanter Teil der Kunden Unternehmen nach einem Datenleck meidet, was zu direkten Umsatzeinbußen führt.
Anwalts- und Sanierungskosten: Die Kosten für die Bewältigung eines Vorfalls sind erheblich. Dazu zählen Anwaltskosten für die Kommunikation mit Behörden und Betroffenen, Kosten für IT-Forensik zur Aufklärung des Vorfalls sowie der Aufwand für die Behebung der Sicherheitslücken. Für ein KMU können diese Kosten schnell die Höhe eines Bußgeldes übersteigen.
Betriebsunterbrechung: Die potenziell verheerendste Konsequenz ist eine behördliche Anordnung nach Art. 58 Abs. 2 lit. f DSGVO, die eine vorübergehende oder endgültige Beschränkung oder gar ein Verbot der Verarbeitung anordnet. Für ein Unternehmen, das sein gesamtes Kundenmanagement über ein nicht konformes SaaS-CRM-System abwickelt, käme eine solche Anordnung einem Betriebsverbot gleich und stellt eine existenzielle Bedrohung dar.
Persönliche Haftung der Geschäftsführung: Bei grober Fahrlässigkeit oder Vorsatz kann es zu einer Durchgriffshaftung auf das Privatvermögen der Geschäftsführung kommen. In solchen Fällen greifen übliche Manager-Haftpflichtversicherungen (D&O) oft nicht, da Gesetzesverstöße in der Regel vom Versicherungsschutz ausgenommen sind.
II. Das transatlantische Datendilemma: Die instabile Brücke zu US-SaaS
Ein Großteil der datenschutzrechtlichen Probleme bei der Nutzung moderner Software ergibt sich aus der Tatsache, dass viele marktführende SaaS-Anbieter ihren Sitz in den USA haben. Dies schafft ein fundamentales Spannungsfeld mit den strengen Anforderungen der DSGVO an den Datentransfer in Drittländer.
2.1. Das „Schrems II“-Urteil: Das Ende der einfachen Datenübermittlung
Das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C-311/18 vom 16. Juli 2020, bekannt als „Schrems II“, stellt eine Zäsur im internationalen Datenverkehr dar.
Kern des Urteils: Der EuGH erklärte den Angemessenheitsbeschluss für das EU-US Privacy Shield für ungültig. Die zentrale Begründung war, dass die US-amerikanischen Überwachungsgesetze, insbesondere Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) und die Executive Order 12333, den US-Sicherheitsbehörden einen unverhältnismäßigen Zugriff auf die Daten von EU-Bürgerinnen und -Bürgern ermöglichen, ohne diesen wirksame Rechtsbehelfe zur Verfügung zu stellen. Das in den USA vorherrschende Schutzniveau wurde daher als nicht „der Sache nach gleichwertig“ mit dem EU-Recht eingestuft.
Auswirkungen auf Standardvertragsklauseln (SCCs): Gleichzeitig entschied der EuGH, dass Standardvertragsklauseln (Standard Contractual Clauses, SCCs) grundsätzlich ein gültiges Instrument für Drittlandtransfers bleiben. Allerdings sind sie kein Freifahrtschein. Der Datenexporteur (das deutsche Unternehmen) und der Datenimporteur (der US-SaaS-Anbieter) sind verpflichtet, für jeden Einzelfall zu prüfen, ob die Rechtslage im Zielland die Einhaltung der vertraglichen Garantien der SCCs tatsächlich zulässt. Ist dies, wie im Fall der USA, aufgrund weitreichender behördlicher Zugriffsrechte nicht gewährleistet, müssen „zusätzliche Maßnahmen“ (supplementary measures) ergriffen werden, um ein angemessenes Schutzniveau sicherzustellen.
2.2. Der EU-US Data Privacy Framework (DPF): Ein fragiler Nachfolger
Als Reaktion auf die durch „Schrems II“ entstandene Rechtsunsicherheit haben die EU und die USA den EU-US Data Privacy Framework (DPF) ausgehandelt, der im Juli 2023 von der Europäischen Kommission als neuer Angemessenheitsbeschluss angenommen wurde.
Funktionsweise: Der DPF ermöglicht die Übermittlung personenbezogener Daten an US-Unternehmen, die sich auf der offiziellen DPF-Liste selbstzertifiziert haben. Für Transfers an diese zertifizierten Unternehmen sind keine weiteren Garantien wie SCCs erforderlich.
Anhaltende Kritik und das Damoklesschwert „Schrems III“: Trotz einiger Verbesserungen, wie der Einrichtung eines Data Protection Review Court (DPRC) als Rechtsbehelfsmechanismus, bleibt die grundlegende Kritik bestehen. Juristen und Datenschutzaktivisten argumentieren, dass der DPF die US-Überwachungsgesetze nicht substanziell ändert. Insbesondere der CLOUD Act von 2018 verpflichtet US-Anbieter weiterhin, US-Behörden auf Anfrage Zugriff auf Daten zu gewähren, selbst wenn diese auf Servern in der EU gespeichert sind. Eine erneute Klage vor dem EuGH, ein „Schrems III“-Verfahren, wird als sehr wahrscheinlich angesehen und von der Organisation NOYB des Aktivisten Max Schrems bereits vorbereitet. Dies schafft eine erhebliche Rechtsunsicherheit für jedes Unternehmen, das seine digitale Infrastruktur langfristig auf DPF-zertifizierte Dienste stützt.
Diese Situation schafft eine gefährliche Illusion von Stabilität. Während der DPF derzeit eine gültige Rechtsgrundlage darstellt, ist seine langfristige Tragfähigkeit höchst fraglich. Ein deutsches KMU, das heute einen US-SaaS-Anbieter allein aufgrund seiner DPF-Zertifizierung auswählt, geht ein erhebliches strategisches Risiko ein. Sollte der DPF vom EuGH gekippt werden, fände sich das Unternehmen in derselben rechtlichen Unsicherheit wie nach dem Schrems-II-Urteil wieder, jedoch mit dem Vorwurf, nicht aus der Vergangenheit gelernt zu haben. Dies ist ein kritisches Risiko für die Geschäftskontinuität und nicht nur eine formale Compliance-Frage. Die strategisch klügere Handlung ist daher, die Abhängigkeit von der transatlantischen Datenbrücke zu reduzieren, anstatt auf deren Stabilität zu hoffen.
2.3. Die obligatorische Transfer-Folgenabschätzung (TIA)
Unabhängig von der Debatte um den DPF ist bei der Nutzung von SCCs die Durchführung einer Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) zwingend erforderlich. Auch bei der Nutzung des DPF ist eine solche Risikobewertung im Rahmen der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO dringend anzuraten.
Inhalt einer TIA: Das Unternehmen muss die spezifischen Umstände des Transfers (Art der Daten, Zweck, Empfänger), die Rechtslage im Zielland (insbesondere Überwachungsgesetze) und die getroffenen vertraglichen, technischen und organisatorischen Schutzmaßnahmen dokumentieren und bewerten.
Zusätzliche Maßnahmen: Stellt die TIA ein hohes Risiko für die Rechte und Freiheiten der Betroffenen fest (z.B. durch mögliche behördliche Zugriffe), müssen wirksame zusätzliche Maßnahmen ergriffen werden. Rein vertragliche Zusicherungen des US-Anbieters, sich gegen behördliche Anfragen zu wehren, sind hierfür unzureichend. Als wirksam gelten vor allem technische Maßnahmen wie eine durchgehende Ende-zu-Ende-Verschlüsselung, bei der der Anbieter selbst keinen Zugriff auf die Entschlüsselungsschlüssel hat.
Praktische Hürden für KMU: Für ein KMU ist die Durchführung einer fundierten rechtlichen Analyse der US-Überwachungsgesetze praktisch kaum leistbar. Dies verdeutlicht die inhärente Komplexität und das Risiko, das mit der Beauftragung von US-Anbietern für die Verarbeitung personenbezogener Daten verbunden ist.
III. Risiko-Hotspots im SaaS-Portfolio: Eine Tool-spezifische Analyse
Die Anwendung der dargelegten rechtlichen Prinzipien auf konkrete, in Deutschland weit verbreitete SaaS-Tools zeigt, wo die größten Risiken für Unternehmen lauern. Die folgende Analyse bewertet einige der populärsten Anwendungen.
Tabelle: SaaS-Risikomatrix für deutsche KMU
Tool-Name | Primäre Funktion | Anbieter-HQ | Standard-Datenhosting | DPF-zertifiziert | Wesentliche DSGVO-Risiken | Dokumentierte behördliche Maßnahmen/Kritik | Risikobewertung |
Google Analytics | Web-Analyse | USA | USA | Ja | Rechtswidriger Drittlandtransfer (Art. 44 ff.); Verarbeitung ohne gültige Einwilligung (Art. 6) | Urteile in AT, FR, IT; Bußgelder in SE, DE (Bremen); Prüfankündigung (Bayern) | 🔴 Hoch |
Microsoft 365 | Office & Kollaboration | USA | EU (konfigurierbar) | Ja | Mangelnde Transparenz bei Verarbeitung zu eigenen Zwecken durch Microsoft; Unzureichender AVV (Art. 28); Drittlandtransfer | Kritischer DSK-Bericht (2022); EDPS-Urteil gegen EU-Kommission (2024) | 🔴 Hoch |
Zoom | Videokonferenzen | USA | EU (konfigurierbar) | Ja | Drittlandtransfer; Mangelnde Transparenz bei KI-Funktionen; E2E-Verschlüsselung nicht standardmäßig | Kritische Berichte von Datenschützern; Erfordert kostenpflichtigen Account für DSGVO-Einstellungen | 🟡 Mittel bis 🔴 Hoch |
Slack | Team-Kommunikation | USA | USA/EU (wählbar) | Ja | Drittlandtransfer; Hohes Risiko durch unstrukturierte Verarbeitung von PII; Erfüllung von Betroffenenrechten | Bietet DPA und Export-Tools, aber Verantwortung liegt beim Kunden | 🟡 Mittel |
Mailchimp | E-Mail-Marketing | USA | USA | Ja | Rechtswidriger Drittlandtransfer; Unzureichende Garantien durch SCCs allein | BayLDA hat Einsatz in einem Fall für unzulässig erklärt | 🔴 Hoch |
Salesforce | CRM | USA | EU (konfigurierbar) | Ja | Drittlandtransfer; Verarbeitung hochsensibler Kundendaten in US-Infrastruktur | Bietet umfangreiche Compliance-Dokumentation, aber Grundproblem des US-Zugriffs bleibt | 🟡 Mittel |
Risikobewertung: 🔴 Hoch (Einsatz ohne erhebliche Anpassungen und Restrisiken kaum möglich), 🟡 Mittel (Einsatz mit Konfiguration und Dokumentation möglich, aber Restrisiken bleiben), 🟢 Geringer (Einsatz mit Standardmaßnahmen meist konform)
3.1. Web-Analyse: Google Analytics
Kernproblem: Die Nutzung von Google Analytics führt zwangsläufig zur Übermittlung von personenbezogenen Daten (mindestens IP-Adresse, Client-ID, Browser-Fingerprints) an Google in die USA. Diese Verarbeitung erfordert nach herrschender Meinung eine explizite, informierte und freiwillige Einwilligung der Nutzer, die in der Praxis oft fehlt oder durch mangelhafte Cookie-Banner unwirksam ist.
Behördliche Praxis: Zahlreiche europäische Datenschutzbehörden, darunter die in Österreich, Frankreich und Italien, haben den Einsatz von Google Analytics (in seiner älteren Version Universal Analytics) nach dem Schrems-II-Urteil für rechtswidrig erklärt. In Deutschland hat die LfDI Bremen bereits Bußgelder verhängt, und das BayLDA hat angekündigt, dies ebenfalls zu tun. Ein schwedisches Telekommunikationsunternehmen wurde wegen des Einsatzes von Google Analytics zu einem Bußgeld von rund 1 Million Euro verurteilt.
Google Analytics 4 (GA4): Obwohl GA4 als datenschutzfreundlicher beworben wird, löst es die Kernprobleme nicht. Die Datenübermittlung in die USA bleibt bestehen, und eine wirksame Einwilligung ist weiterhin zwingend erforderlich. Die serverseitige IP-Anonymisierung allein reicht nicht aus, da Google weiterhin über andere Identifikatoren wie die Client-ID Nutzer über verschiedene Sitzungen hinweg wiedererkennen kann.
Risikobewertung: 🔴 Hoch. Die Kombination aus klaren behördlichen Entscheidungen, aktiver Bußgeldpraxis und den ungelösten Grundproblemen macht Google Analytics zu einem der riskantesten Standard-Tools für deutsche Unternehmen.
3.2. Office- & Kollaborations-Suiten: Microsoft 365
Kernproblem: Das Hauptproblem bei Microsoft 365 ist die mangelnde Transparenz. Microsoft verarbeitet die Daten seiner Kunden nicht nur als reiner Auftragsverarbeiter (also weisungsgebunden), sondern auch für eigene Zwecke, die unter dem Begriff „legitimate business operations“ zusammengefasst werden. Dazu gehören die Analyse von Diagnosedaten zur Produktverbesserung und Sicherheitsanalysen. Die Datenschutzkonferenz (DSK) und der Europäische Datenschutzbeauftragte (EDSB) haben übereinstimmend festgestellt, dass die Verträge von Microsoft (insbesondere der Auftragsverarbeitungsvertrag) nicht klar und transparent genug abgrenzen, welche Daten für welche Zwecke verarbeitet werden. Dies macht es für ein Unternehmen (den Verantwortlichen) unmöglich, seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen und die Rechtmäßigkeit aller Verarbeitungsvorgänge zu gewährleisten.
Behördliche Praxis: Im November 2022 veröffentlichte die DSK einen kritischen Bericht, der den datenschutzkonformen Einsatz von M365 auf Basis der damaligen Vertragsgrundlagen als nicht nachweisbar einstufte. Im März 2024 folgte eine wegweisende Entscheidung des EDSB: Er befand die Nutzung von Microsoft 365 durch die Europäische Kommission selbst als rechtswidrig und ordnete an, bestimmte Datenflüsse an Microsoft auszusetzen. Diese Entscheidung hat eine enorme Signalwirkung für alle deutschen Aufsichtsbehörden und Unternehmen.
Risikobewertung: 🔴 Hoch. Die detaillierte und offizielle Kritik der DSK sowie das Urteil des EDSB gegen die EU-Kommission schaffen ein extrem hohes Risikoprofil. Unternehmen, die M365 einsetzen, können nachweislich nicht vollständig über alle Datenverarbeitungen Rechenschaft ablegen, was einen fundamentalen Verstoß gegen die DSGVO darstellt.
3.3. Kommunikationsplattformen: Zoom & Slack
Zoom:
Kernprobleme: Wie bei anderen US-Anbietern ist der Drittlandtransfer ein Grundproblem. Hinzu kommt eine mangelnde Transparenz bei neuen KI-Funktionen wie dem „AI Companion“, der Meeting-Inhalte analysieren kann, ohne dass alle Teilnehmer dies zwangsläufig bemerken oder dem zugestimmt haben. Die oft beworbene Ende-zu-Ende-Verschlüsselung ist nicht standardmäßig aktiviert und funktioniert nicht bei Telefoneinwahl oder Nutzung über den Web-Client.
Risikominderung: Ein datenschutzkonformerer Einsatz erfordert zwingend einen kostenpflichtigen Account, den Abschluss eines AV-Vertrags und eine bewusste Konfiguration durch den Nutzer (z.B. Auswahl europäischer Rechenzentren, Deaktivierung von Aufzeichnungs- und Tracking-Funktionen). Dennoch bleibt das Restrisiko des US-Zugriffs bestehen.
Risikobewertung: 🟡 Mittel bis 🔴 Hoch. Der Einsatz „out of the box“ ist hochriskant. Mit erheblichem Konfigurations- und Dokumentationsaufwand lässt sich das Risiko auf ein mittleres Niveau senken, das grundlegende Problem des US-Anbieters bleibt jedoch bestehen.
Slack:
Kernprobleme: Auch hier ist der Datentransfer in die USA das Hauptproblem. Die besondere Gefahr bei Slack liegt in der Natur der Plattform: Durch die informelle und schnelle Kommunikation werden massenhaft unstrukturierte Daten ausgetauscht, die mit hoher Wahrscheinlichkeit personenbezogene oder sogar sensible Informationen enthalten. Dies macht Slack zu einem Minenfeld für Betroffenenanfragen (insbesondere auf Auskunft und Löschung) und zu einer erheblichen Haftungsquelle.
Compliance-Funktionen: Slack bietet einen AV-Vertrag, ist DPF-zertifiziert und stellt Werkzeuge für den Datenexport und die Löschung von Nutzerprofilen zur Verfügung. Die Verantwortung für die Umsetzung von Datenaufbewahrungsrichtlinien und die Beantwortung von Betroffenenanfragen liegt jedoch vollständig beim Kunden.
Risikobewertung: 🟡 Mittel. Slack stellt im Vergleich zu manchen Wettbewerbern bessere Compliance-Werkzeuge bereit. Die unstrukturierte Natur der Plattform schafft jedoch inhärente Risiken, die ein aktives und konsequentes Management durch das einsetzende Unternehmen erfordern.
3.4. Marketing & CRM: Mailchimp & Salesforce
Mailchimp:
Kernproblem: Der Datentransfer in die USA bei der Nutzung für den Newsletter-Versand.
Behördliche Praxis: Das BayLDA hat den Einsatz von Mailchimp durch ein deutsches Unternehmen explizit geprüft und für unzulässig befunden. Die Begründung: Die Verwendung von Standardvertragsklauseln allein reichte nicht aus, da keine wirksamen zusätzlichen Maßnahmen zum Schutz vor US-Behördenzugriffen getroffen wurden. Obwohl in diesem konkreten Fall kein Bußgeld verhängt wurde, da das Unternehmen den Dienst einstellte, wurde ein klarer Präzedenzfall geschaffen.
Risikobewertung: 🔴 Hoch. Die direkte und öffentliche Bewertung durch eine große deutsche Aufsichtsbehörde macht den Einsatz von Mailchimp zu einer hochriskanten Entscheidung.
Salesforce:
Kernproblem: Als US-Marktführer im CRM-Bereich unterliegt Salesforce denselben Problemen des Drittlandtransfers und des potenziellen US-Behördenzugriffs. Die Verarbeitung von riesigen Mengen an oft sehr sensiblen Kundendaten verschärft dieses Risiko.
Compliance-Funktionen: Salesforce ist nach dem DPF zertifiziert und bietet umfangreiche Dokumentationen, einen AV-Vertrag und die Möglichkeit, Daten in europäischen Rechenzentren zu hosten. Dennoch unterliegt das Unternehmen als US-Entität dem CLOUD Act und den Überwachungsgesetzen, was das Grundproblem nicht löst.
Risikobewertung: 🟡 Mittel. Die umfangreichen Compliance-Bemühungen und die Marktstellung von Salesforce ordnen das Risiko im mittleren Bereich ein. Unternehmen, die Salesforce nutzen, müssen jedoch eine sorgfältige TIA durchführen und sich des verbleibenden Restrisikos bewusst sein, insbesondere angesichts der Sensitivität von CRM-Daten.
IV. Strategische Wege zur Compliance: Ein Handlungsrahmen für KMU
Angesichts der komplexen Risikolage benötigen deutsche Unternehmen, insbesondere KMU, einen klaren und pragmatischen Handlungsrahmen, um ihre Compliance zu stärken und Geschäftsrisiken zu minimieren.
4.1. Das Drei-Schritte-Risikomanagement-Modell
Ein systematischer Ansatz ist der Schlüssel zur Beherrschung der SaaS-Compliance. Er besteht aus drei fundamentalen Schritten.
Schritt 1: Aufdecken und Eliminieren von Schatten-IT. Der erste Schritt zur Compliance ist die Herstellung von Transparenz. Viele Datenschutzrisiken entstehen durch „Schatten-IT“ – Software und Dienste, die von Mitarbeitern oder Abteilungen ohne zentrale Prüfung und Freigabe beschafft und genutzt werden. Unternehmen müssen eine vollständige und kontinuierliche Inventarisierung aller genutzten SaaS-Abonnements durchführen. Nur was bekannt ist, kann gemanagt werden.
Schritt 2: Implementierung eines rigorosen Anbieter-Prüfprozesses. Die Auswahl von Software darf sich nicht mehr nur auf Funktionen und Preis beschränken. Ein datenschutzfokussierter Prüfprozess ist unerlässlich. Die folgende Checkliste operationalisiert die komplexen rechtlichen Anforderungen in ein praktisches Werkzeug für die Anbieterauswahl.
Tabelle: Due-Diligence-Checkliste für die SaaS-Anbieterauswahl
Prüfpunkt | Was ist zu prüfen/fragen? | Warum ist das wichtig (DSGVO-Relevanz)? | Akzeptabler Nachweis |
1. Anbieterstandort & Rechtsform | Wo ist der Hauptsitz des Unternehmens? Welchem Recht unterliegt es? | Bestimmt die Anwendbarkeit von Drittland-Gesetzen (z.B. US CLOUD Act). | Handelsregisterauszug, Impressum. |
2. Ort der Datenverarbeitung | Kann eine ausschließliche Speicherung und Verarbeitung in der EU/EWR vertraglich garantiert werden? | Minimiert Risiken aus Drittlandtransfers (Art. 44 ff.). | Vertragliche Zusicherung, Klauseln im AVV. |
3. Auftragsverarbeitungsvertrag (AVV) | Wird ein DSGVO-konformer AVV nach Art. 28 angeboten? Ist dieser verhandelbar? | Zwingende rechtliche Voraussetzung für die Beauftragung eines Verarbeiters. | Vorlage des AVV zur Prüfung. |
4. Drittlandtransfers | Werden Daten (z.B. für Support, Analyse) in Drittländer übermittelt? Auf welcher Rechtsgrundlage (DPF, SCC)? | Kritischer Risikopunkt nach Schrems II. | DPF-Zertifizierung, abgeschlossene SCCs, TIA-Dokumentation. |
5. Unterauftragsverarbeiter | Wird eine transparente, aktuelle Liste aller Unterauftragsverarbeiter (inkl. Sitz und Tätigkeit) bereitgestellt? | Der Verantwortliche muss die gesamte Verarbeitungskette kennen und genehmigen (Art. 28 Abs. 2). | Öffentliche Liste, Informationspflichten im AVV. |
6. Technische & Organisatorische Maßnahmen (TOMs) | Liegt eine detaillierte Dokumentation zu Verschlüsselung, Zugriffskontrolle, Protokollierung etc. vor? | Nachweis der Datensicherheit nach Art. 32 DSGVO. | TOM-Dokumentation, Sicherheits-Whitepaper. |
7. Zertifizierungen & Audits | Liegen anerkannte Zertifikate (z.B. ISO 27001, SOC 2) oder Auditberichte vor? | Unabhängige Bestätigung der Sicherheitsstandards. | Gültige Zertifikate, Audit-Berichte (ggf. unter NDA). |
8. Datenportabilität & Löschung | Gibt es klare Prozesse und technische Möglichkeiten für den Datenexport und die unwiderrufliche Löschung nach Vertragsende? | Gewährleistung der Betroffenenrechte und Vermeidung von Vendor-Lock-in (Art. 20). | Vertragliche Regelungen, technische Dokumentation der Export-/Löschfunktionen. |
Schritt 3: Konfiguration für "Privacy by Default" (Art. 25 DSGVO). Für jedes ausgewählte Tool gilt der Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellungen. Unternehmen müssen aktiv die privatesten Einstellungen wählen. Das bedeutet: Deaktivierung unnötiger Tracking-Funktionen, Begrenzung der Datenerhebung auf das Notwendige, Implementierung strenger Zugriffsberechtigungen und Minimierung der Datenspeicherfristen. Ein solch proaktives Vorgehen ist ein starkes Argument im Falle einer behördlichen Prüfung, da es den Willen zur Compliance demonstriert.
4.2. Die europäische Alternative: Aufbau digitaler Souveränität
Die effektivste Langfriststrategie zur Eliminierung der Risiken von Drittlandtransfers ist die bewusste Entscheidung für Anbieter, die ihren Hauptsitz und ihr Hosting ausschließlich im Rechtsraum der EU/des EWR haben. Das Argument, es gäbe keine konkurrenzfähigen Alternativen, ist heute nicht mehr haltbar.
Der strategische Wandel: Der europäische SaaS-Markt ist in den letzten Jahren, angetrieben durch die DSGVO und das wachsende Bedürfnis nach digitaler Souveränität, erheblich gereift. Während US-Anbieter historisch oft einen Funktionsvorsprung hatten, sind europäische Alternativen heute in Kernbereichen nicht nur konkurrenzfähig, sondern oft auch überlegen in Bezug auf Kosten-Effizienz, Performance und vor allem Compliance.
Vergleichende Analyse verfügbarer EU-Alternativen:
Web-Analyse (statt Google Analytics):
Matomo (DE/Open Source): Bietet als selbst gehostete oder Cloud-Version volle Datenhoheit. Funktionalität ist vergleichbar mit Google Analytics.
etracker (DE): Deutscher Anbieter, der standardmäßig ohne Cookies auskommt und Daten anonymisiert verarbeitet.
Plausible Analytics (EU/Open Source): Fokussiert sich auf eine einfache, datenschutzfreundliche Analyse ohne Cookies.
Office & Kollaboration (statt Microsoft 365 / Google Workspace):
Nextcloud (DE/Open Source): Eine umfassende, selbst hostbare Plattform für Filesharing, Kalender, Kontakte und Office-Integrationen (z.B. mit ONLYOFFICE oder Collabora).
Open-Xchange (DE): Eine etablierte Groupware-Lösung, die von vielen europäischen Providern genutzt wird.
Collabora Online (EU/Open Source): Eine webbasierte Office-Suite auf Basis von LibreOffice, die die Bearbeitung von Dokumenten im Browser ermöglicht, ohne Daten an Dritte zu senden.
Videokonferenzen (statt Zoom / Teams):
OpenTalk (DE): Fokussiert auf Sicherheit, DSGVO-Konformität und digitale Souveränität.
Jitsi Meet (Open Source): Kann selbst gehostet werden und bietet somit maximale Kontrolle.
meetergo connect (DE): Deutsche Peer-to-Peer-Lösung, die als DSGVO-konform beworben wird.
E-Mail-Marketing (statt Mailchimp):
Brevo (ehemals Sendinblue) (DE/FR): All-in-One-Marketing-Plattform mit Servern in der EU.
CleverReach (DE): Etablierter deutscher Anbieter mit umfangreichen Funktionen.
Rapidmail (DE): Einfach zu bedienender deutscher Dienst mit fairem Preismodell.
Die Existenz dieser und vieler weiterer europäischer Anbieter widerlegt das Narrativ der Alternativlosigkeit. Ein Umstieg ist zwar mit Aufwand verbunden, schafft aber langfristige Rechtssicherheit und Unabhängigkeit von den volatilen transatlantischen Datenschutzabkommen.
4.3. Fazit und Handlungsempfehlungen
Das Risiko bei der Nutzung nicht konformer, insbesondere US-amerikanischer SaaS-Dienste, ist für deutsche Unternehmen real, wachsend und vielschichtig. Es ist kein rein juristisches, sondern ein strategisches Geschäftsrisiko. Eine proaktive Auseinandersetzung ist unumgänglich, um Bußgelder, Schadensersatzforderungen und existenzbedrohende Betriebsstörungen zu vermeiden.
Priorisierter Aktionsplan für KMU:
Sofortmaßnahmen (Quick Wins):
SaaS-Inventur durchführen: Identifizieren Sie alle im Unternehmen genutzten SaaS-Tools, insbesondere die „Schatten-IT“.
Cookie-Banner prüfen und korrigieren: Stellen Sie sicher, dass Ihr Consent-Banner den aktuellen Anforderungen der DSK entspricht (z.B. gleichwertige „Akzeptieren“- und „Ablehnen“-Buttons). Dies ist eine der am leichtesten von außen prüfbaren und am häufigsten sanktionierten Schwachstellen.
Kurzfristige Maßnahmen (nächste 3-6 Monate):
Risiko-Priorisierung: Bewerten Sie alle identifizierten Tools anhand der Risikomatrix.
Dokumentation für Hochrisiko-Tools: Für alle im Einsatz befindlichen Hochrisiko-US-SaaS-Tools (wie M365, Google Analytics, Mailchimp): Schließen Sie die notwendigen AV-Verträge ab, führen Sie eine TIA durch und dokumentieren Sie diese sorgfältig.
Konfiguration anpassen: Implementieren Sie für alle Tools die maximal datenschutzfreundlichen Einstellungen („Privacy by Default“).
Mittelfristige Maßnahmen (nächste 6-12 Monate):
Alternativen evaluieren: Beginnen Sie aktiv mit der Evaluierung von EU-basierten oder selbst gehosteten Alternativen für Ihre geschäftskritischen Funktionen (insbesondere CRM, Kollaboration, Marketing).
Migrationsplan entwickeln: Erstellen Sie einen realistischen Plan für den Umstieg von Hochrisiko-Tools auf sichere Alternativen. Berücksichtigen Sie dabei technische, organisatorische und finanzielle Aspekte.
Langfristige Strategie:
Etablierung einer „EU-First“-Beschaffungsrichtlinie: Verankern Sie in Ihren internen Prozessen den Grundsatz, bei der Neuanschaffung von Software europäischen Anbietern den Vorzug zu geben.
Aufbau digitaler Souveränität: Verstehen Sie Datenschutz und die Kontrolle über Ihre Daten nicht als Last, sondern als strategischen Wettbewerbsvorteil. Eine resiliente, zukunftssichere und DSGVO-konforme IT-Infrastruktur stärkt das Vertrauen von Kunden und Partnern und sichert die langfristige Handlungsfähigkeit Ihres Unternehmens.
Referenzen
DSGVO-Bußgeld I Bußgeldkatalog zum Datenschutz 2025, Zugriff am Juni 24, 2025, https://www.datenschutz.org/dsgvo-bussgeld/
Fines / Penalties - General Data Protection Regulation (GDPR), Zugriff am Juni 24, 2025, https://gdpr-info.eu/issues/fines-penalties/
1/8 Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren geg - Datenschutzkonferenz, Zugriff am Juni 24, 2025, https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
DSGVO Verstoß & Strafe: Bußgeldkatalog im Datenschutz - Datenschutzexperte, Zugriff am Juni 24, 2025, https://www.datenschutzexperte.de/blog/bussgeldkatalog-bei-datenschutzverstoss
Tätigkeitsberichte des HBDI - datenschutz.hessen.de, Zugriff am Juni 24, 2025, https://datenschutz.hessen.de/infothek/taetigkeitsberichte
Tätigkeitsbericht Datenschutz 2024 | HmbBfDI, Zugriff am Juni 24, 2025, https://datenschutz-hamburg.de/service-information/taetigkeitsberichte/taetigkeitsbericht-datenschutz-2024
33. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2024 - BfDI, Zugriff am Juni 24, 2025, https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/33TB_24.html
12. Tätigkeitsbericht 2022 - Das Bayerische Landesamt für Datenschutzaufsicht, Zugriff am Juni 24, 2025, https://www.lda.bayern.de/media/baylda_report_12.pdf
Veröffentlichung des 32. Tätigkeitsberichts 2022 - BayLfD, Zugriff am Juni 24, 2025, https://www.datenschutz-bayern.de/presse/20230614_TB.html
BayLDA veröffentlicht seinen 13. Tätigkeitsbericht - datenschutz notizen, Zugriff am Juni 24, 2025, https://www.datenschutz-notizen.de/baylda-veroeffentlicht-seinen-13-taetigkeitsbericht-5150000/
14. Tätigkeitsbericht 2024 - Das Bayerische Landesamt für Datenschutzaufsicht, Zugriff am Juni 24, 2025, https://www.lda.bayern.de/de/taetigkeitsberichte.html
Veröffentlichung des 33. Tätigkeitsberichts 2023 - BayLfD, Zugriff am Juni 24, 2025, https://www.datenschutz-bayern.de/presse/20240916_TB.html
Tätigkeitsbericht 2023: BayLDA verhängte Millionen-Bußgeld - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/taetigkeitsbericht-2023-baylda-verhaengte-millionen-bussgeld/
13. Tätigkeitsbericht - Das Bayerische Landesamt für ..., Zugriff am Juni 24, 2025, https://www.lda.bayern.de/media/baylda_report_13.pdf
28.Tätigkeitsbericht 2022 - Der Landesbeauftragte für den Datenschutz Niedersachsen, Zugriff am Juni 24, 2025, https://www.lfd.niedersachsen.de/2022/28-tatigkeitsbericht-2022-223047.html
Jahresberichte - Der Landesbeauftragte für Datenschutz - datenschutz.bremen.de, Zugriff am Juni 24, 2025, https://www.datenschutz.bremen.de/publikationen/jahresberichte-7242
19. Wahlperiode Drucksache 19/4500 Unterrichtung Hannover, den 06.06.2024 Der Landesbeauftragte f - Landtag Niedersachsen, Zugriff am Juni 24, 2025, https://www.landtag-niedersachsen.de/drucksachen/drucksachen_19_05000/04001-04500/19-04500.pdf
Tätigkeitsbericht 2023 | Der Landesbeauftragte für den Datenschutz ..., Zugriff am Juni 24, 2025, https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/tatigkeitsbericht-2023-232717.html
Tätigkeitsbericht 2023 - Der Landesbeauftragte für den Datenschutz Niedersachsen, Zugriff am Juni 24, 2025, https://www.lfd.niedersachsen.de/2023/tatigkeitsbericht-2023-232714.html
ChatGPT und der Datenschutz: So bewertet der LfD Niedersachsen den Chatbot, Zugriff am Juni 24, 2025, https://www.datenschutz-notizen.de/chatgpt-und-der-datenschutz-so-bewertet-der-lfd-niedersachsen-den-chatbot-3448788/
HBDI stellt aktuelle Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit vor, Zugriff am Juni 24, 2025, https://www.datenschutz.de/hbdi-stellt-aktuelle-taetigkeitsberichte-zum-datenschutz-und-zur-informationsfreiheit-vor/
Tätigkeitsberichte - datenschutz.hessen.de, Zugriff am Juni 24, 2025, https://datenschutz.hessen.de/Themen-A-Z/taetigkeitsberichte
52. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten – Hinweise zum Datenschutz – - Rechtsanwaltskammer Frankfurt, Zugriff am Juni 24, 2025, https://www.rak-ffm.de/fileadmin/user_upload/Dokumente/Mitglieder/Mandat_und_Kanzlei/Datenschutz/52._T%C3%A4tigkeitsbericht_des_Hessischen_Datenschutzbeauftragten__Hinweise_zum_Datenschutz.pdf
HBDI stellt Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit für das Jahr 2023 vor | datenschutz.hessen.de, Zugriff am Juni 24, 2025, https://datenschutz.hessen.de/presse/hbdi-stellt-taetigkeitsberichte-zum-datenschutz-und-zur-informationsfreiheit-fuer-das-jahr-2023-vor
52. Tätigkeitsbericht LfD Hessen 2023 - DatenschutzArchiv, Zugriff am Juni 24, 2025, https://datenschutzarchiv.org/detailansicht/Dokumente/2023/52_TB_LfD_Hessen_2023_21-27_07052024.pdf
Ausschuss für Digitales, Innovation und Datenschutz - 5. Sitzung - Hessischer Landtag, Zugriff am Juni 24, 2025, https://hessischer-landtag.de/termine/ausschuss-fuer-digitales-innovation-und-datenschutz-5-sitzung
Jahresbericht 2022 - Berliner Beauftragte für Datenschutz und Informationsfreiheit, Zugriff am Juni 24, 2025, https://www.datenschutz-berlin.de/jahresbericht-2022/
Jahresberichte - Berliner Beauftragte für Datenschutz und Informationsfreiheit, Zugriff am Juni 24, 2025, https://www.datenschutz-berlin.de/infothek/jahresberichte/
Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht Jahresbericht 2022 - Virtuelles Datenschutzbüro, Zugriff am Juni 24, 2025, https://www.datenschutz.de/berliner-beauftragte-fuer-datenschutz-und-informationsfreiheit-veroeffentlicht-jahresbericht-2022/
Vorstellung des 32. Tätigkeitsberichts für den Datenschutz und die Informationsfreiheit 2023 - BfDI, Zugriff am Juni 24, 2025, https://www.bfdi.bund.de/SharedDocs/Termine/DE/2024/National/Uebergabe_32.TB.html
Jahresbericht 2023 - Berliner Beauftragte für Datenschutz und ..., Zugriff am Juni 24, 2025, https://www.datenschutz-berlin.de/jahresbericht-2023/
Tätigkeitsbericht 2023: Zukunft mit Datenschutz gestalten | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Zugriff am Juni 24, 2025, https://www.baden-wuerttemberg.datenschutz.de/taetigkeitsbericht-2023-zukunft-mit-datenschutz-gestalten/
28. Tätigkeitsbericht LfD NRW 2022 - DatenschutzArchiv, Zugriff am Juni 24, 2025, https://datenschutzarchiv.org/detailansicht/Dokumente/2022/28_TB_LfD_NRW_2022_oDrsNr_22062023.pdf
LDI NRW Archive - datenschutz notizen | News-Blog der DSN GROUP, Zugriff am Juni 24, 2025, https://www.datenschutz-notizen.de/tag/ldi-nrw/
27. Bericht 2022 LDI NRW - Landesbeauftragte für Datenschutz und ..., Zugriff am Juni 24, 2025, https://www.ldi.nrw.de/system/files/media/document/file/27_datenschutzbericht_2022_ldi_nrw.pdf
TÄTIGKEITSBERICHT ZUM DATENSCHUTZ 2023 - datenschutz.rlp ..., Zugriff am Juni 24, 2025, https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Taetigkeitsberichte/ds_tb32.pdf
28. Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Gayk zum Datenschutz, Zugriff am Juni 24, 2025, https://www.ldi.nrw.de/system/files/media/document/file/28_datenschutzbericht_2023_ldi-nrw_1.pdf
Neues Wissen aus dem Tätigkeitsbericht der LDI NRW 2023 - legitimis GmbH, Zugriff am Juni 24, 2025, https://legitimis.com/neues-wissen-aus-dem-taetigkeitsbericht-der-ldi-nrw-2023/
Datenschutzbericht 2025 – Mehr Beschwerden, mehr Datenpannen … und jetzt auch noch mehr Datenrecht: Das Unabhängige Landeszentrum für Datenschutz hilft - Virtuelles Datenschutzbüro, Zugriff am Juni 24, 2025, https://www.datenschutz.de/datenschutzbericht-2025-mehr-beschwerden-mehr-datenpannen-und-jetzt-auch-noch-mehr-datenrecht-das-unabhaengige-landeszentrum-fuer-datenschutz-hilft/
Tätigkeitsberichte des ULD - Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Zugriff am Juni 24, 2025, https://www.datenschutzzentrum.de/tb/
LfD Schleswig-Holstein - DatenschutzArchiv, Zugriff am Juni 24, 2025, https://datenschutzarchiv.org/organisationen/bundeslaender/lfd-schleswig-holstein
Tätigkeitsbericht 2023 des Unabhängigen Landeszentrums für ..., Zugriff am Juni 24, 2025, https://www.datenschutzzentrum.de/tb/tb41/uld-41-taetigkeitsbericht-2023.pdf
Tätigkeitsbericht Datenschutz | 1. Januar bis 31. Dezember 2023 - Sächsische Datenschutz- und Transparenzbeauftragte, Zugriff am Juni 24, 2025, https://www.datenschutz.sachsen.de/download/taetigkeitsberichte/Taetigkeitsbericht_Datenschutz_2023.pdf
Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt - datensicherheit.de, Zugriff am Juni 24, 2025, https://www.datensicherheit.de/schleswig-holstein-datenschutzbericht-2023-vorstellung
Überblick über DSGVO-Verstöße: Hohe Bußgelder für EU-Unternehmen - wbs.legal, Zugriff am Juni 24, 2025, https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/dsgvo-verstoesse-hohe-bussgelder-fuer-eu-unternehmen-79732/
Bußgelder für Website-Tracking ohne Einwilligung angekündigt | dhpg, Zugriff am Juni 24, 2025, https://www.dhpg.de/de/newsroom/blog/bussgelder-website-tracking-ohne-einwilligung-angekuendigt
Top 5 DSGVO-Bußgelder im November 2024 - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-november-2024/
Orientierungshilfe – Cloud Computing - Datenschutzkonferenz, Zugriff am Juni 24, 2025, https://www.datenschutzkonferenz-online.de/media/oh/20141009_oh_cloud_computing.pdf
Übersicht DSGVO-Bußgelder (Deutschland und Europa) - Datenschutzkanzlei, Zugriff am Juni 24, 2025, https://www.datenschutzkanzlei.de/bussgeld-radar/
Der Auskunftsanspruch nach Art. 15 DSGVO – aktuelle Urteile datenschutzticker.de - Seite 0, Zugriff am Juni 24, 2025, https://www.datenschutzticker.de/2025/02/der-auskunftsanspruch-nach-art-15-dsgvo-aktuelle-urteile/
Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO (Joint Controllership) - GDD-Praxishilfe DS-GVO, Zugriff am Juni 24, 2025, https://www.gdd.de/wp-content/uploads/2023/06/GDD-Praxishilfe-DS-GVO-Joint-Controllership.pdf
Diese Unternehmen mussten 2020 die höchsten DSGVO-Bußgelder zahlen, Zugriff am Juni 24, 2025, https://www.onlinehaendler-news.de/recht/rechtsfragen/134365-unternehmen-2020-hoechste-dsgvo-bussgelder
Strafen und Bußgelder im Datenschutz - heyData, Zugriff am Juni 24, 2025, https://heydata.eu/studien/dsgvo-geburtstag-hohe-strafen
DSGVO: Deutschland auf Platz #2 mit höchsten Bußgeldern - Social Media Statistiken, Zugriff am Juni 24, 2025, https://socialmediastatistik.de/datensicherheit-internet-dsgvo-datenschutz/
DSGVO: Bußgelder und Erkenntnisse - DER Datenschutzbeauftragte in Mitteldeutschland, Zugriff am Juni 24, 2025, https://datenschutz-eprivacy.de/dsgvo-bussgelder/
The Cost of Ignoring Privacy Laws: Small Business Fines That Could Sink You, Zugriff am Juni 24, 2025, https://sanguinesa.com/the-cost-of-ignoring-privacy-laws-small-business-fines-that-could-sink-you/
210+ Cybersecurity Statistics to Inspire Action This Year [Updated 2025] - Secureframe, Zugriff am Juni 24, 2025, https://secureframe.com/blog/cybersecurity-statistics
Top 10 GDPR Compliance Cost and How to Manage Them - CookieYes, Zugriff am Juni 24, 2025, https://www.cookieyes.com/blog/gdpr-compliance-cost/
The True Cost Of A Data Breach To Small Business - PurpleSec, Zugriff am Juni 24, 2025, https://purplesec.us/learn/data-breach-cost-for-small-businesses/
Schrems-II-Urteil: Auswirkungen und Umsetzung in der Praxis - Heise Business Services, Zugriff am Juni 24, 2025, https://business-services.heise.de/security/datenschutz-dsgvo/beitrag/schrems-ii-urteil-auswirkungen-und-umsetzung-in-der-praxis-4166
Schrems II und Privacy Shield | EDSA-Empfehlungen - Cookiebot, Zugriff am Juni 24, 2025, https://www.cookiebot.com/de/schrems-ii/
Internationaler Datenverkehr EU-USA - WKO, Zugriff am Juni 24, 2025, https://www.wko.at/datenschutz/internationaler-datenverkehr-eu-usa
Das Schrems II-Urteil des Europäischen Gerichtshofs und seine Bedeutung für Datentransfers in Drittländer | Der Landesbeauftragte für den Datenschutz Niedersachsen, Zugriff am Juni 24, 2025, https://www.lfd.niedersachsen.de/startseite/themen/internationaler_datenverkehr/das_schrems_ii_urteil_des_eugh_und_seine_bedeutung_fur_datentransfers_in_drittlander/das-schrems-ii-urteil-des-europaischen-gerichtshofs-und-seine-bedeutung-fur-datentransfers-in-drittlander-194085.html
Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte? - legal-tech.de, Zugriff am Juni 24, 2025, https://legal-tech.de/was-bedeutet-das-eugh-urteil-schrems-ii/
Schrems II - Thales CPL, Zugriff am Juni 24, 2025, https://cpl.thalesgroup.com/de/compliance/emea/schrems-ii
Risiko Datentransfer in die USA: Das EU–US Data Privacy Framework auf dem Prüfstand - wetzel.berlin, Zugriff am Juni 24, 2025, https://wetzel.berlin/risiko-datentransfer-in-die-usa-das-eu-us-data-privacy-framework-auf-dem-pruefstand/
Questions & Answers: EU-US Data Privacy Framework - European Commission, Zugriff am Juni 24, 2025, https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752
Datenübermittlung in die USA und in Drittstaaten - IHK Region Stuttgart, Zugriff am Juni 24, 2025, https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/datenschutzrecht/datenuebermittlung-usa-4852420
Datenübermittlungen in die USA und Schrems II Urteil - BfDI, Zugriff am Juni 24, 2025, https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html
EU U.S. Data Privacy Framework - IHK München, Zugriff am Juni 24, 2025, https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Daten%C3%BCbermittlung-in-Drittstaaten/
Data Privacy Framework (DPF): the third fruitless attempt? - Dastra, Zugriff am Juni 24, 2025, https://www.dastra.eu/en/article/data-privacy-framework-dpf-third-attempt-third-failure/59126
The Trump Administration Should Not Mess With the EU-U.S. Data Privacy Framework, Zugriff am Juni 24, 2025, https://www.lawfaremedia.org/article/the-trump-administration-should-not-mess-with-the-eu-u.s.-data-privacy-framework
Promises unkept: The EU-US Data Privacy Framework under fire, Zugriff am Juni 24, 2025, https://edri.org/our-work/promises-unkept-the-eu-us-data-privacy-framework-under-fire/
Drittlandübermittlung: Leitfaden zu Transfer Impact Assessments, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/drittlanduebermittlung-leitfaden-zu-transfer-impact-assessments/
Erste-Hilfe-Paket „Schrems II“-Compliance, Zugriff am Juni 24, 2025, https://www.luther-lawfirm.com/fileadmin/user_upload/WP_Erste_Hilfe_Schrems_II.pdf
Schrems II, die neuen Standardvertragsklauseln & der risikobasierte Ansatz der DSGVO - 3. Hannoverscher Datenschutztag, Zugriff am Juni 24, 2025, https://www.hannoverscher-datenschutztag.de/vortraege/vortrag-diercks.pdf
Einsatz von Google Analytics führt zu 1 Millionen Euro Bußgeld - datenschutz notizen, Zugriff am Juni 24, 2025, https://www.datenschutz-notizen.de/einsatz-von-google-analytics-fuehrt-zu-1-millionen-euro-bussgeld-2743627/
Erfüllt Google Analytics 4 die Anforderungen von DSGVO? - Termly, Zugriff am Juni 24, 2025, https://termly.io/de/ressourcen/artikel/google-analytics-gdpr/
M 365 einsetzen ohne Datenschutzrisiko - so gehts - IHK München, Zugriff am Juni 24, 2025, https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Die-EU-Datenschutz-Grundverordnung/m-365-datenschutz/
Datenschutz & Microsoft 365: DSGVO-konformer Einsatz | SRD, Zugriff am Juni 24, 2025, https://www.srd-rechtsanwaelte.de/blog/datenschutz-microsoft365-dsgvo-konform
Update: Data protection with Microsoft 365 | reuschlaw News, Zugriff am Juni 24, 2025, https://www.reuschlaw.de/en/news/update-data-protection-with-microsoft-365/
Datenschutzwidrige Nutzung von MS365 durch die EU-Kommission - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/datenschutzwidrige-nutzung-von-ms365-durch-die-eu-kommission/
Zoom AI Companion DSGVO und Datenschutz: Alles Wichtige, Zugriff am Juni 24, 2025, https://www.sally.de/blog/zoom-ai-companion-dsgvo-datenschutz
Ist Zoom datenschutzkonform? 3 Fakten, die dir nicht gefallen werden, Zugriff am Juni 24, 2025, https://ist.training/ist-zoom-datenschutzkonform/
Zoom & Datenschutz: DSGVO-konform? - eRecht24, Zugriff am Juni 24, 2025, https://www.e-recht24.de/datenschutz/13060-datenschutz-bei-zoom.html
Wie Du mit ZOOM Datenschutz konform Videokonferenzen abhalten kannst, Zugriff am Juni 24, 2025, https://easyrechtssicher.de/zoom-datenschutz/
Is Slack GDPR Compliant? - Mimecast, Zugriff am Juni 24, 2025, https://www.mimecast.com/blog/slack-and-gdpr-the-complete-guide/
Slack's GDPR Commitment | Legal, Zugriff am Juni 24, 2025, https://slack.com/trust/compliance/gdpr
DSGVO Beschwerde: Einsatz von Mailchimp erstmals verboten, Zugriff am Juni 24, 2025, https://www.hub24.de/blog/einsatz-von-mailchimp/
Unzulässiger Einsatz von Mailchimp und die Folgen - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/unzulaessiger-einsatz-von-mailchimp-und-die-folgen/
GDPR - Compliance Salesforce, Zugriff am Juni 24, 2025, https://compliance.salesforce.com/gdpr
Salesforce-Sicherheit und Datenschutz-Grundverordnung, Zugriff am Juni 24, 2025, https://security.salesforce.com/de/general-data-protection-regulation
Salesforce DSGVO - Wissenswertes | comselect GmbH, Zugriff am Juni 24, 2025, https://comselect.de/salesforce-dsgvo/
Google Analytics datenschutzkonform einsetzen | Anleitung inkl. Muster - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/google-analytics-datenschutzkonform-einsetzen/
Google Analytics 4 & DSGVO: Ihre Datenschutz-Checkliste, Zugriff am Juni 24, 2025, https://datenschutz-generator.de/google-analytics/
DSGVO-konforme Website Analytics? So sicher ist Google Analytics 4 wirklich - Datenschutzexperte, Zugriff am Juni 24, 2025, https://www.datenschutzexperte.de/blog/dsgvo-konforme-website-analytics-so-sicher-ist-google-analytics-4-wirklich
Google Analytics DSGVO-konform nutzen - eRecht24, Zugriff am Juni 24, 2025, https://www.e-recht24.de/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html
Copilot von Microsoft 365 – Ist der Dienst mit der DSGVO vereinbar? - Datenschutzkanzlei, Zugriff am Juni 24, 2025, https://www.datenschutzkanzlei.de/copilot-von-microsoft-365-ist-der-dienst-mit-der-dsgvo-vereinbar/
Is Microsoft O365 GDPR Compliant? The Answer in Germany May Surprise You. - Virtru, Zugriff am Juni 24, 2025, https://www.virtru.com/blog/compliance/gdpr/microsoft-365
Windows Pain? German Report Casts Doubt on Microsoft GDPR Compliance, Zugriff am Juni 24, 2025, https://www.privacyanddatasecurityinsight.com/2022/12/windows-pain-german-report-casts-doubt-on-microsoft-gdpr-compliance/
Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365? - Heuking, Zugriff am Juni 24, 2025, https://www.heuking.de/de/news-events/newsletter-fachbeitraege/artikel/europaeische-kommission-verstoesst-gegen-dsgvo-wiederaufleben-der-debatte-um-die-nutzung-von-microsoft-365.html
Microsoft 365: EU-Kommission hat rechtswidrig Daten übertragen - netzpolitik.org, Zugriff am Juni 24, 2025, https://netzpolitik.org/2024/microsoft-365-eu-kommission-hat-rechtswidrig-daten-uebertragen/
Checkliste Einführung Neue Software Datenschutz DSGVO, Zugriff am Juni 24, 2025, https://giel-rechtsanwalt.de/allgemein/checkliste-einfuehrung-neue-software-datenschutz/
Guide: SaaS-Sicherheit | LeanIX, Zugriff am Juni 24, 2025, https://www.leanix.net/de/wiki/trm/saas-security
Checkliste zur Auswahl eines Cloud-Dienstes - BSI, Zugriff am Juni 24, 2025, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/UPK/upk-checkliste-auswahl-cloud-dienst.pdf?__blob=publicationFile&v=6
EU-US-Datentransfers unsicher: Wie EU-basierte Analytics Ihre Marketing-Performance verbessert - Piwik PRO, Zugriff am Juni 24, 2025, https://piwikpro.de/blog/eu-us-datentransfers-und-eu-basierte-analytics/
Europäische Alternativen zu AWS? : r/aws - Reddit, Zugriff am Juni 24, 2025, https://www.reddit.com/r/aws/comments/1iw6m25/european_alternatives_for_aws/?tl=de
IT: Welche europäische Alternativen es zu Software und Diensten aus den USA gibt, Zugriff am Juni 24, 2025, https://www.ingenieur.de/technik/fachbereiche/ittk/it-welche-europaeische-alternativen-es-zu-software-und-diensten-aus-den-usa-gibt/
M&A-Branchenreport: SaaS, KI & Cloud – Entwicklungen und Bewertungen im Software-Markt 2025 - COVENDIT, Zugriff am Juni 24, 2025, https://covendit.de/m-a-wissen/ma-branchenreport-saas-ki-cloud-entwicklungen-und-bewertungen-im-softwaremarkt-2025/
Cloud-Nutzung in Deutschland - hendricks Makler, Zugriff am Juni 24, 2025, https://hendricks-makler.de/wp-content/uploads/2024/08/Parametrix-Cloud-Nutzung-in-Deutschland_Howden.pdf
Die Drei Top europäischen Cloudanbieter 2025 - GuideStream, Zugriff am Juni 24, 2025, https://www.guidestream.digital/de/blog-posts/the-top-3-european-cloud-providers
Google Analytics & Alternativen DSGVO-konform nutzen, Zugriff am Juni 24, 2025, https://www.datenschutzexperte.de/blog/google-analytics-alternativen-so-konnen-sie-tracking-tools-dsgvo-konform-nutzen
Die 12 besten Alternativen zu Google Analytics in 2025 - Blogmojo, Zugriff am Juni 24, 2025, https://www.blogmojo.de/google-analytics-alternative/
Google Analytics Alternativen: 9 DSGVO-konforme Tools - Decareto, Zugriff am Juni 24, 2025, https://decareto.com/de/google-analytics-alternativen-9-dsgvo-konforme-tools/
Die besten europäischen Alternativen zu US Cloud Lösungen ..., Zugriff am Juni 24, 2025, https://www.mybits.de/die-besten-europaeischen-alternativen-zu-us-cloud-loesungen-microsoft-365-google-co-ein-praxisvergleich/
Alternativen für Microsoft 365: Da freut sich die DSGVO (und der Geldbeutel), Zugriff am Juni 24, 2025, https://ap-verlag.de/alternativen-fuer-microsoft-365-da-freut-sich-die-dsgvo-und-der-geldbeutel/80169/
Microsoft 365 Alternativen 2025: Die 9 heißesten Tools, die Ihr IT-Team lieben wird, Zugriff am Juni 24, 2025, https://www.gecko.de/wissenshub/microsoft-365-alternativen-2025-die-9-heissesten-tools-die-ihr-it-team-lieben-wird/
Raus aus der US-Cloud : Souveräne SaaS-Angebote im Überblick + Handlungsempfehlungen - Xpert.Digital, Zugriff am Juni 24, 2025, https://xpert.digital/raus-aus-der-us-cloud/
Vergleich: 5 Zoom-Alternativen und Datenschutz: Was ist DSGVO-konform? - DataGuard, Zugriff am Juni 24, 2025, https://www.dataguard.de/blog/zoom-alternativen
Videokonferenzen und Datenschutz: Der große Vergleichstest zu Zoom und Co. - eRecht24, Zugriff am Juni 24, 2025, https://www.e-recht24.de/datenschutz/12122-videokonferenzen-und-datenschutz-vergleichstest-zoom.html
Die besten Zoom-Alternativen für Online-Meetings in diesem Jahr, Zugriff am Juni 24, 2025, https://www.bitrix24.de/articles/die-besten-zoom-alternativen-fuer-online-meetings-in-diesem-jahr.php
Deutsche Zoom Alternative 2025 (DSGVO-konform) - meetergo, Zugriff am Juni 24, 2025, https://meetergo.com/blog/zoom-alternative-dsgvo
Europäische E-Commerce SaaS Alternativen - Carl Korn, Zugriff am Juni 24, 2025, https://www.carlkorn.de/eu-saas-alternativen.html
Mailchimp Alternative: DSGVO konforme Newsletter Tools | 2025, Zugriff am Juni 24, 2025, https://teamstreber.de/mailchimp-alternative
Alternatives to Mailchimp that ARE GDPR COMPLIANT? Netherlands here : r/marketing, Zugriff am Juni 24, 2025, https://www.reddit.com/r/marketing/comments/1bcl6q5/alternatives_to_mailchimp_that_are_gdpr_compliant/
Alternativen zu US-Software: 4 E-Mail-Anbieter aus Europa - BASIC thinking, Zugriff am Juni 24, 2025, https://www.basicthinking.de/blog/2025/04/11/alternativen-zu-us-software-e-mail-dienste/
Trelica Alternativen im Test: Die besten SaaS-Management-Lösungen | Beedex, Zugriff am Juni 24, 2025, https://www.beedex.com/blog/trelica-alternativen-im-test/
Alternativen zu US-Software: 4 Cloud-Anbieter aus Europa - BASIC thinking, Zugriff am Juni 24, 2025, https://www.basicthinking.de/blog/2025/04/14/alternativen-zu-us-software-4-cloud-anbieter/
