Analyse der rechtlichen und finanziellen Konsequenzen bei der Nutzung nicht DSGVO-konformer SaaS in deutschen Unternehmen

Executive Summary

Kernbefund: Das primäre Risiko für deutsche Unternehmen bei der Nutzung nicht konformer Software-as-a-Service (SaaS)-Lösungen liegt weniger in direkten Bußgeldern für den Einsatz eines spezifischen Tools, sondern vielmehr in Sanktionen für fundamentale Verstöße gegen die Datenschutz-Grundverordnung (DSGVO). Diese Verstöße, wie rechtswidrige Datenverarbeitung (Art. 6), unzureichende Datensicherheit (Art. 32) oder illegale Drittlandtransfers (Art. 44-49), werden durch die Nutzung der Tools erst ermöglicht oder verschärft. Diese Unterscheidung ist für ein effektives Risikomanagement von entscheidender Bedeutung.

Praxis der Aufsichtsbehörden: Während Bußgelder in Millionenhöhe gegen Großkonzerne die Schlagzeilen dominieren, verhängen die deutschen Datenschutzaufsichtsbehörden (DSAs) aktiv Verwarnungen, Anordnungen und zunehmend auch Bußgelder im fünf- bis sechsstelligen Bereich gegen kleine und mittlere Unternehmen (KMU). Der Fokus der Behörden verschiebt sich von einer reinen Beratungsfunktion hin zur konsequenten Sanktionierung eindeutiger Verstöße, wie etwa fehlerhafte Cookie-Banner oder fehlende Auftragsverarbeitungsverträge (AVV).

Das US-SaaS-Dilemma: Der EU-US Data Privacy Framework (DPF) bietet eine fragile Rechtsgrundlage für Datentransfers, eliminiert jedoch nicht die grundlegenden Risiken, die aus US-Überwachungsgesetzen (FISA 702, CLOUD Act) resultieren. Eine „Schrems III“-Klage wird weithin erwartet, was die alleinige Stützung auf den DPF zu einem erheblichen Risiko für die Geschäftskontinuität macht. Unternehmen sind weiterhin verpflichtet, sogenannte Transfer-Folgenabschätzungen (Transfer Impact Assessments, TIAs) durchzuführen und zu dokumentieren.

Wesentliche finanzielle Risiken: Die größte finanzielle Bedrohung für ein KMU ist oft nicht das Bußgeld selbst, sondern die damit verbundenen Folgekosten: Reputationsschäden, Kundenabwanderung, hohe Anwalts- und Beratungskosten sowie die massive operative Störung, die durch eine behördliche Anordnung zur Einstellung der Nutzung einer tief integrierten, geschäftskritischen SaaS-Plattform entstehen kann.

Strategischer Imperativ: Deutsche Unternehmen müssen von einer reaktiven zu einer proaktiven Compliance-Haltung übergehen. Dies erfordert eine vollständige Inventarisierung aller SaaS-Tools (zur Eliminierung von „Schatten-IT“), die Implementierung eines rigorosen Prüfprozesses für Anbieter und die Priorisierung europäischer oder selbst gehosteter Alternativen, wo immer dies machbar ist. Nur so lassen sich digitale Souveränität und langfristige Rechtssicherheit erreichen.

I. Die DSGVO-Sanktionslandschaft in Deutschland: Eine Realitätsprüfung

Die öffentliche Wahrnehmung der DSGVO-Durchsetzung ist oft von einem scheinbaren Paradox geprägt: Auf der einen Seite stehen theoretische Bußgeldandrohungen in Millionenhöhe, auf der anderen Seite eine gefühlte Seltenheit von Sanktionen, insbesondere im KMU-Sektor. Diese Analyse dekonstruiert diesen Widerspruch und zeichnet ein datengestütztes Bild der tatsächlichen Sanktionspraxis in Deutschland.

1.1. Die Mechanik der DSGVO-Bußgelder: Jenseits der Schlagzeilen

Um das finanzielle Risiko realistisch einzuschätzen, ist ein Verständnis der rechtlichen und administrativen Grundlagen der Bußgeldbemessung unerlässlich.

Rechtlicher Rahmen: Die DSGVO etabliert in Art. 83 ein zweistufiges Bußgeldsystem.

  • Für weniger schwerwiegende, formelle Verstöße (z.B. gegen Pflichten des Verantwortlichen oder des Auftragsverarbeiters aus den Art. 8, 11, 25-39, 42 und 43) sieht Art. 83 Abs. 4 DSGVO Geldbußen von bis zu 10 Mio. Euro oder, im Fall eines Unternehmens, von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor, je nachdem, welcher der Beträge höher ist.

  • Für schwerwiegende, materielle Verstöße (z.B. gegen die Grundsätze der Verarbeitung aus Art. 5, 6, 7 und 9; die Rechte der betroffenen Personen aus Art. 12-22; oder die Vorschriften zu Drittlandtransfers aus Art. 44-49) können gemäß Art. 83 Abs. 5 DSGVO Geldbußen von bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden.

Diese enormen Bußgeldrahmen stellen das theoretische Höchstrisiko dar und signalisieren die hohe Priorität, die der Gesetzgeber dem Datenschutz beimisst.

Das Berechnungsmodell der Datenschutzkonferenz (DSK): Um die Anwendung dieser Rahmen konsistent und nachvollziehbar zu gestalten, hat die DSK, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden, im Oktober 2019 ein eigenes Konzept zur Bußgeldzumessung verabschiedet. Obwohl dieses Modell für Gerichte nicht bindend ist, dient es den deutschen Behörden als Leitfaden und macht die Bußgeldberechnung transparenter. Das Modell folgt einem fünfstufigen Prozess:

  1. Unternehmenskategorisierung: Das betroffene Unternehmen wird basierend auf seinem weltweiten Vorjahresumsatz einer von vier Größenklassen (A: Kleinstunternehmen, B: Kleine Unternehmen, C: Mittlere Unternehmen, D: Großunternehmen) und weiteren Unterklassen zugeordnet.

  2. Bestimmung des mittleren Jahresumsatzes: Für jede Unterklasse wird ein mittlerer Jahresumsatz als Basiswert festgelegt.

  3. Ermittlung des wirtschaftlichen Grundwerts: Der mittlere Jahresumsatz wird durch 360 geteilt, um einen durchschnittlichen „Tagessatz“ zu ermitteln. Dieser Wert stellt den wirtschaftlichen Grundwert für die weitere Berechnung dar.

  4. Multiplikation nach Schweregrad: Der Grundwert wird mit einem Faktor multipliziert, der sich aus der Schwere der Tat ergibt (leicht, mittel, schwer, sehr schwer). Dabei wird zwischen formellen (Art. 83 Abs. 4) und materiellen (Art. 83 Abs. 5) Verstößen unterschieden.

  5. Anpassung anhand täterbezogener Umstände: Der so ermittelte Betrag wird abschließend anhand der Kriterien des Art. 83 Abs. 2 DSGVO (z.B. Vorsatz oder Fahrlässigkeit, getroffene Abhilfemaßnahmen, Kooperation mit der Behörde, frühere Verstöße) individuell angepasst.

Dieses Modell verdeutlicht, dass Bußgelder nicht willkürlich festgesetzt werden. Für KMU bedeutet dies, dass selbst bei einem mittleren Verstoß die Strafen schnell in den fünf- oder sechsstelligen Bereich reichen können, was eine existenzielle Bedrohung darstellen kann. Die umsatzbasierte Berechnung sorgt dafür, dass die Strafe für das Unternehmen eine spürbare und abschreckende Wirkung entfaltet, wie von der DSGVO beabsichtigt.

1.2. Enforcement in der Praxis: Analyse der Tätigkeitsberichte der Aufsichtsbehörden (2020-2024)

Die jährlichen Tätigkeitsberichte der Landesdatenschutzbehörden sind die wichtigste Primärquelle, um die tatsächlichen Prüfungsschwerpunkte und die Entwicklung der Sanktionspraxis zu verstehen. Eine Analyse der Berichte aus Schlüsselbundesländern wie Bayern (BayLDA), Niedersachsen (LfD), Nordrhein-Westfalen (LDI NRW), Berlin (BlnBDI), Hessen (HBDI) und Schleswig-Holstein (ULD) für den Zeitraum 2020 bis 2024 zeichnet ein klares Bild.

Identifizierte Prüfungsschwerpunkte: Die Berichte zeigen konsistent, dass die Behörden sich weniger auf spezifische Softwareprodukte konzentrieren, sondern vielmehr auf grundlegende Compliance-Lücken, die durch den Einsatz von Software entstehen. Häufige Auslöser für Verfahren sind:

  • Fehlende Rechtsgrundlage für die Verarbeitung: Dies ist der häufigste Verstoß. Ein klassisches Beispiel ist das Tracking von Webseitenbesuchern mittels Tools wie Google Analytics ohne eine wirksame, vorherige Einwilligung. Dies verstößt sowohl gegen Art. 6 DSGVO als auch gegen § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG).

  • Unzureichende technische und organisatorische Maßnahmen (TOMs): Verstöße gegen Art. 32 DSGVO sind ein weiterer Schwerpunkt. Dies umfasst mangelhafte Sicherheitsvorkehrungen, die zu Datenpannen führen, wie z.B. unverschlüsselte Datenübertragung, fehlende Zugriffskontrollen oder das Versäumnis, Sicherheitsupdates zeitnah zu installieren.

  • Nichtbeachtung von Betroffenenrechten: Die verspätete oder unvollständige Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO ist ein häufiger Beschwerdegrund und führt regelmäßig zu behördlichen Maßnahmen.

  • Fehlende oder mangelhafte Auftragsverarbeitungsverträge (AVV): Der Einsatz externer Dienstleister (wie SaaS-Anbieter) ohne einen gültigen AVV nach Art. 28 DSGVO ist ein klarer formeller Verstoß, der leicht feststellbar und sanktionierbar ist.

  • Rechtswidrige Videoüberwachung und Mitarbeiterkontrolle: Dies bleibt ein Dauerthema in den Tätigkeitsberichten und führt regelmäßig zu Bußgeldern.

Die Analyse der Tätigkeitsberichte über die Jahre offenbart eine deutliche Entwicklung in der behördlichen Praxis. Während in den ersten Jahren nach Inkrafttreten der DSGVO (2018-2020) die Beratung und Aufklärung im Vordergrund standen, ist seit etwa 2021 ein klarer Trend zur aktiven Sanktionierung zu beobachten. Die sogenannte „Schonfrist“ ist vorbei. Die Ankündigung des BayLDA, zukünftig den Einsatz von Tracking-Tools ohne Einwilligung konsequent mit Bußgeldern zu ahnden, ist hierfür ein signifikantes Beispiel. Die LfDI Bremen hat bereits in fünf Fällen Bußgelder wegen der Nutzung von Google Analytics ohne Einwilligung verhängt. Dies widerlegt die Annahme, dass die Sanktionierung selten erfolgt. Das Risiko für KMU ist nicht länger nur theoretisch, sondern aktiv und wachsend. Die Behörden nutzen zudem vermehrt automatisierte Tools wie das Website Auditing Tool des Europäischen Datenschutzausschusses (EDSA), um Verstöße effizient aufzudecken.

1.3. Das volle Spektrum der Konsequenzen: Mehr als nur Bußgelder

Die Fokussierung allein auf die Höhe von Bußgeldern verkennt die wahre Dimension des unternehmerischen Risikos. Die finanziellen und operativen Folgen eines Datenschutzverstoßes sind weitaus vielfältiger.

  • Direkte finanzielle Kosten: Bußgelder sind die sichtbarste Sanktion. Statistiken zeigen, dass Deutschland im EU-Vergleich den zweiten Platz bei der Gesamthöhe der verhängten Bußgelder einnimmt. Dies ist zwar durch spektakuläre Fälle wie H&M (35 Mio. Euro) oder Deutsche Wohnen (14,5 Mio. Euro) verzerrt, doch die Zahl der Bußgelder im fünf- und sechsstelligen Bereich gegen KMU nimmt stetig zu.

  • Indirekte und operative Kosten:

  • Schadensersatzansprüche (Art. 82 DSGVO): Betroffene Personen können sowohl für materielle als auch für immaterielle Schäden (z.B. Kontrollverlust über Daten, Stress) Schadensersatz fordern. Deutsche Gerichte sprechen zunehmend Summen zu, die auch eine abschreckende Wirkung entfalten sollen, was die finanzielle Belastung für Unternehmen erhöht.

  • Reputationsschaden und Kundenabwanderung: Ein öffentlich bekannt gewordener Datenschutzvorfall oder ein Bußgeld kann das Vertrauen von Kunden und Geschäftspartnern nachhaltig erschüttern. Studien zeigen, dass ein signifikanter Teil der Kunden Unternehmen nach einem Datenleck meidet, was zu direkten Umsatzeinbußen führt.

  • Anwalts- und Sanierungskosten: Die Kosten für die Bewältigung eines Vorfalls sind erheblich. Dazu zählen Anwaltskosten für die Kommunikation mit Behörden und Betroffenen, Kosten für IT-Forensik zur Aufklärung des Vorfalls sowie der Aufwand für die Behebung der Sicherheitslücken. Für ein KMU können diese Kosten schnell die Höhe eines Bußgeldes übersteigen.

  • Betriebsunterbrechung: Die potenziell verheerendste Konsequenz ist eine behördliche Anordnung nach Art. 58 Abs. 2 lit. f DSGVO, die eine vorübergehende oder endgültige Beschränkung oder gar ein Verbot der Verarbeitung anordnet. Für ein Unternehmen, das sein gesamtes Kundenmanagement über ein nicht konformes SaaS-CRM-System abwickelt, käme eine solche Anordnung einem Betriebsverbot gleich und stellt eine existenzielle Bedrohung dar.

  • Persönliche Haftung der Geschäftsführung: Bei grober Fahrlässigkeit oder Vorsatz kann es zu einer Durchgriffshaftung auf das Privatvermögen der Geschäftsführung kommen. In solchen Fällen greifen übliche Manager-Haftpflichtversicherungen (D&O) oft nicht, da Gesetzesverstöße in der Regel vom Versicherungsschutz ausgenommen sind.

II. Das transatlantische Datendilemma: Die instabile Brücke zu US-SaaS

Ein Großteil der datenschutzrechtlichen Probleme bei der Nutzung moderner Software ergibt sich aus der Tatsache, dass viele marktführende SaaS-Anbieter ihren Sitz in den USA haben. Dies schafft ein fundamentales Spannungsfeld mit den strengen Anforderungen der DSGVO an den Datentransfer in Drittländer.

2.1. Das „Schrems II“-Urteil: Das Ende der einfachen Datenübermittlung

Das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C-311/18 vom 16. Juli 2020, bekannt als „Schrems II“, stellt eine Zäsur im internationalen Datenverkehr dar.

  • Kern des Urteils: Der EuGH erklärte den Angemessenheitsbeschluss für das EU-US Privacy Shield für ungültig. Die zentrale Begründung war, dass die US-amerikanischen Überwachungsgesetze, insbesondere Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) und die Executive Order 12333, den US-Sicherheitsbehörden einen unverhältnismäßigen Zugriff auf die Daten von EU-Bürgerinnen und -Bürgern ermöglichen, ohne diesen wirksame Rechtsbehelfe zur Verfügung zu stellen. Das in den USA vorherrschende Schutzniveau wurde daher als nicht „der Sache nach gleichwertig“ mit dem EU-Recht eingestuft.

  • Auswirkungen auf Standardvertragsklauseln (SCCs): Gleichzeitig entschied der EuGH, dass Standardvertragsklauseln (Standard Contractual Clauses, SCCs) grundsätzlich ein gültiges Instrument für Drittlandtransfers bleiben. Allerdings sind sie kein Freifahrtschein. Der Datenexporteur (das deutsche Unternehmen) und der Datenimporteur (der US-SaaS-Anbieter) sind verpflichtet, für jeden Einzelfall zu prüfen, ob die Rechtslage im Zielland die Einhaltung der vertraglichen Garantien der SCCs tatsächlich zulässt. Ist dies, wie im Fall der USA, aufgrund weitreichender behördlicher Zugriffsrechte nicht gewährleistet, müssen „zusätzliche Maßnahmen“ (supplementary measures) ergriffen werden, um ein angemessenes Schutzniveau sicherzustellen.

2.2. Der EU-US Data Privacy Framework (DPF): Ein fragiler Nachfolger

Als Reaktion auf die durch „Schrems II“ entstandene Rechtsunsicherheit haben die EU und die USA den EU-US Data Privacy Framework (DPF) ausgehandelt, der im Juli 2023 von der Europäischen Kommission als neuer Angemessenheitsbeschluss angenommen wurde.

  • Funktionsweise: Der DPF ermöglicht die Übermittlung personenbezogener Daten an US-Unternehmen, die sich auf der offiziellen DPF-Liste selbstzertifiziert haben. Für Transfers an diese zertifizierten Unternehmen sind keine weiteren Garantien wie SCCs erforderlich.

  • Anhaltende Kritik und das Damoklesschwert „Schrems III“: Trotz einiger Verbesserungen, wie der Einrichtung eines Data Protection Review Court (DPRC) als Rechtsbehelfsmechanismus, bleibt die grundlegende Kritik bestehen. Juristen und Datenschutzaktivisten argumentieren, dass der DPF die US-Überwachungsgesetze nicht substanziell ändert. Insbesondere der CLOUD Act von 2018 verpflichtet US-Anbieter weiterhin, US-Behörden auf Anfrage Zugriff auf Daten zu gewähren, selbst wenn diese auf Servern in der EU gespeichert sind. Eine erneute Klage vor dem EuGH, ein „Schrems III“-Verfahren, wird als sehr wahrscheinlich angesehen und von der Organisation NOYB des Aktivisten Max Schrems bereits vorbereitet. Dies schafft eine erhebliche Rechtsunsicherheit für jedes Unternehmen, das seine digitale Infrastruktur langfristig auf DPF-zertifizierte Dienste stützt.

Diese Situation schafft eine gefährliche Illusion von Stabilität. Während der DPF derzeit eine gültige Rechtsgrundlage darstellt, ist seine langfristige Tragfähigkeit höchst fraglich. Ein deutsches KMU, das heute einen US-SaaS-Anbieter allein aufgrund seiner DPF-Zertifizierung auswählt, geht ein erhebliches strategisches Risiko ein. Sollte der DPF vom EuGH gekippt werden, fände sich das Unternehmen in derselben rechtlichen Unsicherheit wie nach dem Schrems-II-Urteil wieder, jedoch mit dem Vorwurf, nicht aus der Vergangenheit gelernt zu haben. Dies ist ein kritisches Risiko für die Geschäftskontinuität und nicht nur eine formale Compliance-Frage. Die strategisch klügere Handlung ist daher, die Abhängigkeit von der transatlantischen Datenbrücke zu reduzieren, anstatt auf deren Stabilität zu hoffen.

2.3. Die obligatorische Transfer-Folgenabschätzung (TIA)

Unabhängig von der Debatte um den DPF ist bei der Nutzung von SCCs die Durchführung einer Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) zwingend erforderlich. Auch bei der Nutzung des DPF ist eine solche Risikobewertung im Rahmen der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO dringend anzuraten.

  • Inhalt einer TIA: Das Unternehmen muss die spezifischen Umstände des Transfers (Art der Daten, Zweck, Empfänger), die Rechtslage im Zielland (insbesondere Überwachungsgesetze) und die getroffenen vertraglichen, technischen und organisatorischen Schutzmaßnahmen dokumentieren und bewerten.

  • Zusätzliche Maßnahmen: Stellt die TIA ein hohes Risiko für die Rechte und Freiheiten der Betroffenen fest (z.B. durch mögliche behördliche Zugriffe), müssen wirksame zusätzliche Maßnahmen ergriffen werden. Rein vertragliche Zusicherungen des US-Anbieters, sich gegen behördliche Anfragen zu wehren, sind hierfür unzureichend. Als wirksam gelten vor allem technische Maßnahmen wie eine durchgehende Ende-zu-Ende-Verschlüsselung, bei der der Anbieter selbst keinen Zugriff auf die Entschlüsselungsschlüssel hat.

  • Praktische Hürden für KMU: Für ein KMU ist die Durchführung einer fundierten rechtlichen Analyse der US-Überwachungsgesetze praktisch kaum leistbar. Dies verdeutlicht die inhärente Komplexität und das Risiko, das mit der Beauftragung von US-Anbietern für die Verarbeitung personenbezogener Daten verbunden ist.

III. Risiko-Hotspots im SaaS-Portfolio: Eine Tool-spezifische Analyse

Die Anwendung der dargelegten rechtlichen Prinzipien auf konkrete, in Deutschland weit verbreitete SaaS-Tools zeigt, wo die größten Risiken für Unternehmen lauern. Die folgende Analyse bewertet einige der populärsten Anwendungen.

Tabelle: SaaS-Risikomatrix für deutsche KMU

Tool-Name

Primäre Funktion

Anbieter-HQ

Standard-Datenhosting

DPF-zertifiziert

Wesentliche DSGVO-Risiken

Dokumentierte behördliche Maßnahmen/Kritik

Risikobewertung

Google Analytics

Web-Analyse

USA

USA

Ja

Rechtswidriger Drittlandtransfer (Art. 44 ff.); Verarbeitung ohne gültige Einwilligung (Art. 6)

Urteile in AT, FR, IT; Bußgelder in SE, DE (Bremen); Prüfankündigung (Bayern)

🔴 Hoch

Microsoft 365

Office & Kollaboration

USA

EU (konfigurierbar)

Ja

Mangelnde Transparenz bei Verarbeitung zu eigenen Zwecken durch Microsoft; Unzureichender AVV (Art. 28); Drittlandtransfer

Kritischer DSK-Bericht (2022); EDPS-Urteil gegen EU-Kommission (2024)

🔴 Hoch

Zoom

Videokonferenzen

USA

EU (konfigurierbar)

Ja

Drittlandtransfer; Mangelnde Transparenz bei KI-Funktionen; E2E-Verschlüsselung nicht standardmäßig

Kritische Berichte von Datenschützern; Erfordert kostenpflichtigen Account für DSGVO-Einstellungen

🟡 Mittel bis 🔴 Hoch

Slack

Team-Kommunikation

USA

USA/EU (wählbar)

Ja

Drittlandtransfer; Hohes Risiko durch unstrukturierte Verarbeitung von PII; Erfüllung von Betroffenenrechten

Bietet DPA und Export-Tools, aber Verantwortung liegt beim Kunden

🟡 Mittel

Mailchimp

E-Mail-Marketing

USA

USA

Ja

Rechtswidriger Drittlandtransfer; Unzureichende Garantien durch SCCs allein

BayLDA hat Einsatz in einem Fall für unzulässig erklärt

🔴 Hoch

Salesforce

CRM

USA

EU (konfigurierbar)

Ja

Drittlandtransfer; Verarbeitung hochsensibler Kundendaten in US-Infrastruktur

Bietet umfangreiche Compliance-Dokumentation, aber Grundproblem des US-Zugriffs bleibt

🟡 Mittel

Risikobewertung: 🔴 Hoch (Einsatz ohne erhebliche Anpassungen und Restrisiken kaum möglich), 🟡 Mittel (Einsatz mit Konfiguration und Dokumentation möglich, aber Restrisiken bleiben), 🟢 Geringer (Einsatz mit Standardmaßnahmen meist konform)

3.1. Web-Analyse: Google Analytics

  • Kernproblem: Die Nutzung von Google Analytics führt zwangsläufig zur Übermittlung von personenbezogenen Daten (mindestens IP-Adresse, Client-ID, Browser-Fingerprints) an Google in die USA. Diese Verarbeitung erfordert nach herrschender Meinung eine explizite, informierte und freiwillige Einwilligung der Nutzer, die in der Praxis oft fehlt oder durch mangelhafte Cookie-Banner unwirksam ist.

  • Behördliche Praxis: Zahlreiche europäische Datenschutzbehörden, darunter die in Österreich, Frankreich und Italien, haben den Einsatz von Google Analytics (in seiner älteren Version Universal Analytics) nach dem Schrems-II-Urteil für rechtswidrig erklärt. In Deutschland hat die LfDI Bremen bereits Bußgelder verhängt, und das BayLDA hat angekündigt, dies ebenfalls zu tun. Ein schwedisches Telekommunikationsunternehmen wurde wegen des Einsatzes von Google Analytics zu einem Bußgeld von rund 1 Million Euro verurteilt.

  • Google Analytics 4 (GA4): Obwohl GA4 als datenschutzfreundlicher beworben wird, löst es die Kernprobleme nicht. Die Datenübermittlung in die USA bleibt bestehen, und eine wirksame Einwilligung ist weiterhin zwingend erforderlich. Die serverseitige IP-Anonymisierung allein reicht nicht aus, da Google weiterhin über andere Identifikatoren wie die Client-ID Nutzer über verschiedene Sitzungen hinweg wiedererkennen kann.

  • Risikobewertung: 🔴 Hoch. Die Kombination aus klaren behördlichen Entscheidungen, aktiver Bußgeldpraxis und den ungelösten Grundproblemen macht Google Analytics zu einem der riskantesten Standard-Tools für deutsche Unternehmen.

3.2. Office- & Kollaborations-Suiten: Microsoft 365

  • Kernproblem: Das Hauptproblem bei Microsoft 365 ist die mangelnde Transparenz. Microsoft verarbeitet die Daten seiner Kunden nicht nur als reiner Auftragsverarbeiter (also weisungsgebunden), sondern auch für eigene Zwecke, die unter dem Begriff „legitimate business operations“ zusammengefasst werden. Dazu gehören die Analyse von Diagnosedaten zur Produktverbesserung und Sicherheitsanalysen. Die Datenschutzkonferenz (DSK) und der Europäische Datenschutzbeauftragte (EDSB) haben übereinstimmend festgestellt, dass die Verträge von Microsoft (insbesondere der Auftragsverarbeitungsvertrag) nicht klar und transparent genug abgrenzen, welche Daten für welche Zwecke verarbeitet werden. Dies macht es für ein Unternehmen (den Verantwortlichen) unmöglich, seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen und die Rechtmäßigkeit aller Verarbeitungsvorgänge zu gewährleisten.

  • Behördliche Praxis: Im November 2022 veröffentlichte die DSK einen kritischen Bericht, der den datenschutzkonformen Einsatz von M365 auf Basis der damaligen Vertragsgrundlagen als nicht nachweisbar einstufte. Im März 2024 folgte eine wegweisende Entscheidung des EDSB: Er befand die Nutzung von Microsoft 365 durch die Europäische Kommission selbst als rechtswidrig und ordnete an, bestimmte Datenflüsse an Microsoft auszusetzen. Diese Entscheidung hat eine enorme Signalwirkung für alle deutschen Aufsichtsbehörden und Unternehmen.

  • Risikobewertung: 🔴 Hoch. Die detaillierte und offizielle Kritik der DSK sowie das Urteil des EDSB gegen die EU-Kommission schaffen ein extrem hohes Risikoprofil. Unternehmen, die M365 einsetzen, können nachweislich nicht vollständig über alle Datenverarbeitungen Rechenschaft ablegen, was einen fundamentalen Verstoß gegen die DSGVO darstellt.

3.3. Kommunikationsplattformen: Zoom & Slack

  • Zoom:

  • Kernprobleme: Wie bei anderen US-Anbietern ist der Drittlandtransfer ein Grundproblem. Hinzu kommt eine mangelnde Transparenz bei neuen KI-Funktionen wie dem „AI Companion“, der Meeting-Inhalte analysieren kann, ohne dass alle Teilnehmer dies zwangsläufig bemerken oder dem zugestimmt haben. Die oft beworbene Ende-zu-Ende-Verschlüsselung ist nicht standardmäßig aktiviert und funktioniert nicht bei Telefoneinwahl oder Nutzung über den Web-Client.

  • Risikominderung: Ein datenschutzkonformerer Einsatz erfordert zwingend einen kostenpflichtigen Account, den Abschluss eines AV-Vertrags und eine bewusste Konfiguration durch den Nutzer (z.B. Auswahl europäischer Rechenzentren, Deaktivierung von Aufzeichnungs- und Tracking-Funktionen). Dennoch bleibt das Restrisiko des US-Zugriffs bestehen.

  • Risikobewertung: 🟡 Mittel bis 🔴 Hoch. Der Einsatz „out of the box“ ist hochriskant. Mit erheblichem Konfigurations- und Dokumentationsaufwand lässt sich das Risiko auf ein mittleres Niveau senken, das grundlegende Problem des US-Anbieters bleibt jedoch bestehen.

  • Slack:

  • Kernprobleme: Auch hier ist der Datentransfer in die USA das Hauptproblem. Die besondere Gefahr bei Slack liegt in der Natur der Plattform: Durch die informelle und schnelle Kommunikation werden massenhaft unstrukturierte Daten ausgetauscht, die mit hoher Wahrscheinlichkeit personenbezogene oder sogar sensible Informationen enthalten. Dies macht Slack zu einem Minenfeld für Betroffenenanfragen (insbesondere auf Auskunft und Löschung) und zu einer erheblichen Haftungsquelle.

  • Compliance-Funktionen: Slack bietet einen AV-Vertrag, ist DPF-zertifiziert und stellt Werkzeuge für den Datenexport und die Löschung von Nutzerprofilen zur Verfügung. Die Verantwortung für die Umsetzung von Datenaufbewahrungsrichtlinien und die Beantwortung von Betroffenenanfragen liegt jedoch vollständig beim Kunden.

  • Risikobewertung: 🟡 Mittel. Slack stellt im Vergleich zu manchen Wettbewerbern bessere Compliance-Werkzeuge bereit. Die unstrukturierte Natur der Plattform schafft jedoch inhärente Risiken, die ein aktives und konsequentes Management durch das einsetzende Unternehmen erfordern.

3.4. Marketing & CRM: Mailchimp & Salesforce

  • Mailchimp:

  • Kernproblem: Der Datentransfer in die USA bei der Nutzung für den Newsletter-Versand.

  • Behördliche Praxis: Das BayLDA hat den Einsatz von Mailchimp durch ein deutsches Unternehmen explizit geprüft und für unzulässig befunden. Die Begründung: Die Verwendung von Standardvertragsklauseln allein reichte nicht aus, da keine wirksamen zusätzlichen Maßnahmen zum Schutz vor US-Behördenzugriffen getroffen wurden. Obwohl in diesem konkreten Fall kein Bußgeld verhängt wurde, da das Unternehmen den Dienst einstellte, wurde ein klarer Präzedenzfall geschaffen.

  • Risikobewertung: 🔴 Hoch. Die direkte und öffentliche Bewertung durch eine große deutsche Aufsichtsbehörde macht den Einsatz von Mailchimp zu einer hochriskanten Entscheidung.

  • Salesforce:

  • Kernproblem: Als US-Marktführer im CRM-Bereich unterliegt Salesforce denselben Problemen des Drittlandtransfers und des potenziellen US-Behördenzugriffs. Die Verarbeitung von riesigen Mengen an oft sehr sensiblen Kundendaten verschärft dieses Risiko.

  • Compliance-Funktionen: Salesforce ist nach dem DPF zertifiziert und bietet umfangreiche Dokumentationen, einen AV-Vertrag und die Möglichkeit, Daten in europäischen Rechenzentren zu hosten. Dennoch unterliegt das Unternehmen als US-Entität dem CLOUD Act und den Überwachungsgesetzen, was das Grundproblem nicht löst.

  • Risikobewertung: 🟡 Mittel. Die umfangreichen Compliance-Bemühungen und die Marktstellung von Salesforce ordnen das Risiko im mittleren Bereich ein. Unternehmen, die Salesforce nutzen, müssen jedoch eine sorgfältige TIA durchführen und sich des verbleibenden Restrisikos bewusst sein, insbesondere angesichts der Sensitivität von CRM-Daten.

IV. Strategische Wege zur Compliance: Ein Handlungsrahmen für KMU

Angesichts der komplexen Risikolage benötigen deutsche Unternehmen, insbesondere KMU, einen klaren und pragmatischen Handlungsrahmen, um ihre Compliance zu stärken und Geschäftsrisiken zu minimieren.

4.1. Das Drei-Schritte-Risikomanagement-Modell

Ein systematischer Ansatz ist der Schlüssel zur Beherrschung der SaaS-Compliance. Er besteht aus drei fundamentalen Schritten.

  • Schritt 1: Aufdecken und Eliminieren von Schatten-IT. Der erste Schritt zur Compliance ist die Herstellung von Transparenz. Viele Datenschutzrisiken entstehen durch „Schatten-IT“ – Software und Dienste, die von Mitarbeitern oder Abteilungen ohne zentrale Prüfung und Freigabe beschafft und genutzt werden. Unternehmen müssen eine vollständige und kontinuierliche Inventarisierung aller genutzten SaaS-Abonnements durchführen. Nur was bekannt ist, kann gemanagt werden.

  • Schritt 2: Implementierung eines rigorosen Anbieter-Prüfprozesses. Die Auswahl von Software darf sich nicht mehr nur auf Funktionen und Preis beschränken. Ein datenschutzfokussierter Prüfprozess ist unerlässlich. Die folgende Checkliste operationalisiert die komplexen rechtlichen Anforderungen in ein praktisches Werkzeug für die Anbieterauswahl.

Tabelle: Due-Diligence-Checkliste für die SaaS-Anbieterauswahl

Prüfpunkt

Was ist zu prüfen/fragen?

Warum ist das wichtig (DSGVO-Relevanz)?

Akzeptabler Nachweis

1. Anbieterstandort & Rechtsform

Wo ist der Hauptsitz des Unternehmens? Welchem Recht unterliegt es?

Bestimmt die Anwendbarkeit von Drittland-Gesetzen (z.B. US CLOUD Act).

Handelsregisterauszug, Impressum.

2. Ort der Datenverarbeitung

Kann eine ausschließliche Speicherung und Verarbeitung in der EU/EWR vertraglich garantiert werden?

Minimiert Risiken aus Drittlandtransfers (Art. 44 ff.).

Vertragliche Zusicherung, Klauseln im AVV.

3. Auftragsverarbeitungsvertrag (AVV)

Wird ein DSGVO-konformer AVV nach Art. 28 angeboten? Ist dieser verhandelbar?

Zwingende rechtliche Voraussetzung für die Beauftragung eines Verarbeiters.

Vorlage des AVV zur Prüfung.

4. Drittlandtransfers

Werden Daten (z.B. für Support, Analyse) in Drittländer übermittelt? Auf welcher Rechtsgrundlage (DPF, SCC)?

Kritischer Risikopunkt nach Schrems II.

DPF-Zertifizierung, abgeschlossene SCCs, TIA-Dokumentation.

5. Unterauftragsverarbeiter

Wird eine transparente, aktuelle Liste aller Unterauftragsverarbeiter (inkl. Sitz und Tätigkeit) bereitgestellt?

Der Verantwortliche muss die gesamte Verarbeitungskette kennen und genehmigen (Art. 28 Abs. 2).

Öffentliche Liste, Informationspflichten im AVV.

6. Technische & Organisatorische Maßnahmen (TOMs)

Liegt eine detaillierte Dokumentation zu Verschlüsselung, Zugriffskontrolle, Protokollierung etc. vor?

Nachweis der Datensicherheit nach Art. 32 DSGVO.

TOM-Dokumentation, Sicherheits-Whitepaper.

7. Zertifizierungen & Audits

Liegen anerkannte Zertifikate (z.B. ISO 27001, SOC 2) oder Auditberichte vor?

Unabhängige Bestätigung der Sicherheitsstandards.

Gültige Zertifikate, Audit-Berichte (ggf. unter NDA).

8. Datenportabilität & Löschung

Gibt es klare Prozesse und technische Möglichkeiten für den Datenexport und die unwiderrufliche Löschung nach Vertragsende?

Gewährleistung der Betroffenenrechte und Vermeidung von Vendor-Lock-in (Art. 20).

Vertragliche Regelungen, technische Dokumentation der Export-/Löschfunktionen.

  • Schritt 3: Konfiguration für "Privacy by Default" (Art. 25 DSGVO). Für jedes ausgewählte Tool gilt der Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellungen. Unternehmen müssen aktiv die privatesten Einstellungen wählen. Das bedeutet: Deaktivierung unnötiger Tracking-Funktionen, Begrenzung der Datenerhebung auf das Notwendige, Implementierung strenger Zugriffsberechtigungen und Minimierung der Datenspeicherfristen. Ein solch proaktives Vorgehen ist ein starkes Argument im Falle einer behördlichen Prüfung, da es den Willen zur Compliance demonstriert.

4.2. Die europäische Alternative: Aufbau digitaler Souveränität

Die effektivste Langfriststrategie zur Eliminierung der Risiken von Drittlandtransfers ist die bewusste Entscheidung für Anbieter, die ihren Hauptsitz und ihr Hosting ausschließlich im Rechtsraum der EU/des EWR haben. Das Argument, es gäbe keine konkurrenzfähigen Alternativen, ist heute nicht mehr haltbar.

  • Der strategische Wandel: Der europäische SaaS-Markt ist in den letzten Jahren, angetrieben durch die DSGVO und das wachsende Bedürfnis nach digitaler Souveränität, erheblich gereift. Während US-Anbieter historisch oft einen Funktionsvorsprung hatten, sind europäische Alternativen heute in Kernbereichen nicht nur konkurrenzfähig, sondern oft auch überlegen in Bezug auf Kosten-Effizienz, Performance und vor allem Compliance.

  • Vergleichende Analyse verfügbarer EU-Alternativen:

  • Web-Analyse (statt Google Analytics):

  • Matomo (DE/Open Source): Bietet als selbst gehostete oder Cloud-Version volle Datenhoheit. Funktionalität ist vergleichbar mit Google Analytics.

  • etracker (DE): Deutscher Anbieter, der standardmäßig ohne Cookies auskommt und Daten anonymisiert verarbeitet.

  • Plausible Analytics (EU/Open Source): Fokussiert sich auf eine einfache, datenschutzfreundliche Analyse ohne Cookies.

  • Office & Kollaboration (statt Microsoft 365 / Google Workspace):

  • Nextcloud (DE/Open Source): Eine umfassende, selbst hostbare Plattform für Filesharing, Kalender, Kontakte und Office-Integrationen (z.B. mit ONLYOFFICE oder Collabora).

  • Open-Xchange (DE): Eine etablierte Groupware-Lösung, die von vielen europäischen Providern genutzt wird.

  • Collabora Online (EU/Open Source): Eine webbasierte Office-Suite auf Basis von LibreOffice, die die Bearbeitung von Dokumenten im Browser ermöglicht, ohne Daten an Dritte zu senden.

  • Videokonferenzen (statt Zoom / Teams):

  • OpenTalk (DE): Fokussiert auf Sicherheit, DSGVO-Konformität und digitale Souveränität.

  • Jitsi Meet (Open Source): Kann selbst gehostet werden und bietet somit maximale Kontrolle.

  • meetergo connect (DE): Deutsche Peer-to-Peer-Lösung, die als DSGVO-konform beworben wird.

  • E-Mail-Marketing (statt Mailchimp):

  • Brevo (ehemals Sendinblue) (DE/FR): All-in-One-Marketing-Plattform mit Servern in der EU.

  • CleverReach (DE): Etablierter deutscher Anbieter mit umfangreichen Funktionen.

  • Rapidmail (DE): Einfach zu bedienender deutscher Dienst mit fairem Preismodell.

Die Existenz dieser und vieler weiterer europäischer Anbieter widerlegt das Narrativ der Alternativlosigkeit. Ein Umstieg ist zwar mit Aufwand verbunden, schafft aber langfristige Rechtssicherheit und Unabhängigkeit von den volatilen transatlantischen Datenschutzabkommen.

4.3. Fazit und Handlungsempfehlungen

Das Risiko bei der Nutzung nicht konformer, insbesondere US-amerikanischer SaaS-Dienste, ist für deutsche Unternehmen real, wachsend und vielschichtig. Es ist kein rein juristisches, sondern ein strategisches Geschäftsrisiko. Eine proaktive Auseinandersetzung ist unumgänglich, um Bußgelder, Schadensersatzforderungen und existenzbedrohende Betriebsstörungen zu vermeiden.

Priorisierter Aktionsplan für KMU:

  1. Sofortmaßnahmen (Quick Wins):

  • SaaS-Inventur durchführen: Identifizieren Sie alle im Unternehmen genutzten SaaS-Tools, insbesondere die „Schatten-IT“.

  • Cookie-Banner prüfen und korrigieren: Stellen Sie sicher, dass Ihr Consent-Banner den aktuellen Anforderungen der DSK entspricht (z.B. gleichwertige „Akzeptieren“- und „Ablehnen“-Buttons). Dies ist eine der am leichtesten von außen prüfbaren und am häufigsten sanktionierten Schwachstellen.

  1. Kurzfristige Maßnahmen (nächste 3-6 Monate):

  • Risiko-Priorisierung: Bewerten Sie alle identifizierten Tools anhand der Risikomatrix.

  • Dokumentation für Hochrisiko-Tools: Für alle im Einsatz befindlichen Hochrisiko-US-SaaS-Tools (wie M365, Google Analytics, Mailchimp): Schließen Sie die notwendigen AV-Verträge ab, führen Sie eine TIA durch und dokumentieren Sie diese sorgfältig.

  • Konfiguration anpassen: Implementieren Sie für alle Tools die maximal datenschutzfreundlichen Einstellungen („Privacy by Default“).

  1. Mittelfristige Maßnahmen (nächste 6-12 Monate):

  • Alternativen evaluieren: Beginnen Sie aktiv mit der Evaluierung von EU-basierten oder selbst gehosteten Alternativen für Ihre geschäftskritischen Funktionen (insbesondere CRM, Kollaboration, Marketing).

  • Migrationsplan entwickeln: Erstellen Sie einen realistischen Plan für den Umstieg von Hochrisiko-Tools auf sichere Alternativen. Berücksichtigen Sie dabei technische, organisatorische und finanzielle Aspekte.

  1. Langfristige Strategie:

  • Etablierung einer „EU-First“-Beschaffungsrichtlinie: Verankern Sie in Ihren internen Prozessen den Grundsatz, bei der Neuanschaffung von Software europäischen Anbietern den Vorzug zu geben.

  • Aufbau digitaler Souveränität: Verstehen Sie Datenschutz und die Kontrolle über Ihre Daten nicht als Last, sondern als strategischen Wettbewerbsvorteil. Eine resiliente, zukunftssichere und DSGVO-konforme IT-Infrastruktur stärkt das Vertrauen von Kunden und Partnern und sichert die langfristige Handlungsfähigkeit Ihres Unternehmens.

Referenzen

  1. DSGVO-Bußgeld I Bußgeldkatalog zum Datenschutz 2025, Zugriff am Juni 24, 2025, https://www.datenschutz.org/dsgvo-bussgeld/

  2. Fines / Penalties - General Data Protection Regulation (GDPR), Zugriff am Juni 24, 2025, https://gdpr-info.eu/issues/fines-penalties/

  3. 1/8 Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren geg - Datenschutzkonferenz, Zugriff am Juni 24, 2025, https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf

  4. DSGVO Verstoß & Strafe: Bußgeldkatalog im Datenschutz - Datenschutzexperte, Zugriff am Juni 24, 2025, https://www.datenschutzexperte.de/blog/bussgeldkatalog-bei-datenschutzverstoss

  5. Tätigkeitsberichte des HBDI - datenschutz.hessen.de, Zugriff am Juni 24, 2025, https://datenschutz.hessen.de/infothek/taetigkeitsberichte

  6. Tätigkeitsbericht Datenschutz 2024 | HmbBfDI, Zugriff am Juni 24, 2025, https://datenschutz-hamburg.de/service-information/taetigkeitsberichte/taetigkeitsbericht-datenschutz-2024

  7. 33. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2024 - BfDI, Zugriff am Juni 24, 2025, https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/33TB_24.html

  8. 12. Tätigkeitsbericht 2022 - Das Bayerische Landesamt für Datenschutzaufsicht, Zugriff am Juni 24, 2025, https://www.lda.bayern.de/media/baylda_report_12.pdf

  9. Veröffentlichung des 32. Tätigkeitsberichts 2022 - BayLfD, Zugriff am Juni 24, 2025, https://www.datenschutz-bayern.de/presse/20230614_TB.html

  10. BayLDA veröffentlicht seinen 13. Tätigkeitsbericht - datenschutz notizen, Zugriff am Juni 24, 2025, https://www.datenschutz-notizen.de/baylda-veroeffentlicht-seinen-13-taetigkeitsbericht-5150000/

  11. 14. Tätigkeitsbericht 2024 - Das Bayerische Landesamt für Datenschutzaufsicht, Zugriff am Juni 24, 2025, https://www.lda.bayern.de/de/taetigkeitsberichte.html

  12. Veröffentlichung des 33. Tätigkeitsberichts 2023 - BayLfD, Zugriff am Juni 24, 2025, https://www.datenschutz-bayern.de/presse/20240916_TB.html

  13. Tätigkeitsbericht 2023: BayLDA verhängte Millionen-Bußgeld - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/taetigkeitsbericht-2023-baylda-verhaengte-millionen-bussgeld/

  14. 13. Tätigkeitsbericht - Das Bayerische Landesamt für ..., Zugriff am Juni 24, 2025, https://www.lda.bayern.de/media/baylda_report_13.pdf

  15. 28.Tätigkeitsbericht 2022 - Der Landesbeauftragte für den Datenschutz Niedersachsen, Zugriff am Juni 24, 2025, https://www.lfd.niedersachsen.de/2022/28-tatigkeitsbericht-2022-223047.html

  16. Jahresberichte - Der Landesbeauftragte für Datenschutz - datenschutz.bremen.de, Zugriff am Juni 24, 2025, https://www.datenschutz.bremen.de/publikationen/jahresberichte-7242

  17. 19. Wahlperiode Drucksache 19/4500 Unterrichtung Hannover, den 06.06.2024 Der Landesbeauftragte f - Landtag Niedersachsen, Zugriff am Juni 24, 2025, https://www.landtag-niedersachsen.de/drucksachen/drucksachen_19_05000/04001-04500/19-04500.pdf

  18. Tätigkeitsbericht 2023 | Der Landesbeauftragte für den Datenschutz ..., Zugriff am Juni 24, 2025, https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/tatigkeitsbericht-2023-232717.html

  19. Tätigkeitsbericht 2023 - Der Landesbeauftragte für den Datenschutz Niedersachsen, Zugriff am Juni 24, 2025, https://www.lfd.niedersachsen.de/2023/tatigkeitsbericht-2023-232714.html

  20. ChatGPT und der Datenschutz: So bewertet der LfD Niedersachsen den Chatbot, Zugriff am Juni 24, 2025, https://www.datenschutz-notizen.de/chatgpt-und-der-datenschutz-so-bewertet-der-lfd-niedersachsen-den-chatbot-3448788/

  21. HBDI stellt aktuelle Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit vor, Zugriff am Juni 24, 2025, https://www.datenschutz.de/hbdi-stellt-aktuelle-taetigkeitsberichte-zum-datenschutz-und-zur-informationsfreiheit-vor/

  22. Tätigkeitsberichte - datenschutz.hessen.de, Zugriff am Juni 24, 2025, https://datenschutz.hessen.de/Themen-A-Z/taetigkeitsberichte

  23. 52. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten – Hinweise zum Datenschutz – - Rechtsanwaltskammer Frankfurt, Zugriff am Juni 24, 2025, https://www.rak-ffm.de/fileadmin/user_upload/Dokumente/Mitglieder/Mandat_und_Kanzlei/Datenschutz/52._T%C3%A4tigkeitsbericht_des_Hessischen_Datenschutzbeauftragten__Hinweise_zum_Datenschutz.pdf

  24. HBDI stellt Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit für das Jahr 2023 vor | datenschutz.hessen.de, Zugriff am Juni 24, 2025, https://datenschutz.hessen.de/presse/hbdi-stellt-taetigkeitsberichte-zum-datenschutz-und-zur-informationsfreiheit-fuer-das-jahr-2023-vor

  25. 52. Tätigkeitsbericht LfD Hessen 2023 - DatenschutzArchiv, Zugriff am Juni 24, 2025, https://datenschutzarchiv.org/detailansicht/Dokumente/2023/52_TB_LfD_Hessen_2023_21-27_07052024.pdf

  26. Ausschuss für Digitales, Innovation und Datenschutz - 5. Sitzung - Hessischer Landtag, Zugriff am Juni 24, 2025, https://hessischer-landtag.de/termine/ausschuss-fuer-digitales-innovation-und-datenschutz-5-sitzung

  27. Jahresbericht 2022 - Berliner Beauftragte für Datenschutz und Informationsfreiheit, Zugriff am Juni 24, 2025, https://www.datenschutz-berlin.de/jahresbericht-2022/

  28. Jahresberichte - Berliner Beauftragte für Datenschutz und Informationsfreiheit, Zugriff am Juni 24, 2025, https://www.datenschutz-berlin.de/infothek/jahresberichte/

  29. Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht Jahresbericht 2022 - Virtuelles Datenschutzbüro, Zugriff am Juni 24, 2025, https://www.datenschutz.de/berliner-beauftragte-fuer-datenschutz-und-informationsfreiheit-veroeffentlicht-jahresbericht-2022/

  30. Vorstellung des 32. Tätigkeitsberichts für den Datenschutz und die Informationsfreiheit 2023 - BfDI, Zugriff am Juni 24, 2025, https://www.bfdi.bund.de/SharedDocs/Termine/DE/2024/National/Uebergabe_32.TB.html

  31. Jahresbericht 2023 - Berliner Beauftragte für Datenschutz und ..., Zugriff am Juni 24, 2025, https://www.datenschutz-berlin.de/jahresbericht-2023/

  32. Tätigkeitsbericht 2023: Zukunft mit Datenschutz gestalten | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Zugriff am Juni 24, 2025, https://www.baden-wuerttemberg.datenschutz.de/taetigkeitsbericht-2023-zukunft-mit-datenschutz-gestalten/

  33. 28. Tätigkeitsbericht LfD NRW 2022 - DatenschutzArchiv, Zugriff am Juni 24, 2025, https://datenschutzarchiv.org/detailansicht/Dokumente/2022/28_TB_LfD_NRW_2022_oDrsNr_22062023.pdf

  34. LDI NRW Archive - datenschutz notizen | News-Blog der DSN GROUP, Zugriff am Juni 24, 2025, https://www.datenschutz-notizen.de/tag/ldi-nrw/

  35. 27. Bericht 2022 LDI NRW - Landesbeauftragte für Datenschutz und ..., Zugriff am Juni 24, 2025, https://www.ldi.nrw.de/system/files/media/document/file/27_datenschutzbericht_2022_ldi_nrw.pdf

  36. TÄTIGKEITSBERICHT ZUM DATENSCHUTZ 2023 - datenschutz.rlp ..., Zugriff am Juni 24, 2025, https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Taetigkeitsberichte/ds_tb32.pdf

  37. 28. Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Gayk zum Datenschutz, Zugriff am Juni 24, 2025, https://www.ldi.nrw.de/system/files/media/document/file/28_datenschutzbericht_2023_ldi-nrw_1.pdf

  38. Neues Wissen aus dem Tätigkeitsbericht der LDI NRW 2023 - legitimis GmbH, Zugriff am Juni 24, 2025, https://legitimis.com/neues-wissen-aus-dem-taetigkeitsbericht-der-ldi-nrw-2023/

  39. Datenschutzbericht 2025 – Mehr Beschwerden, mehr Datenpannen … und jetzt auch noch mehr Datenrecht: Das Unabhängige Landeszentrum für Datenschutz hilft - Virtuelles Datenschutzbüro, Zugriff am Juni 24, 2025, https://www.datenschutz.de/datenschutzbericht-2025-mehr-beschwerden-mehr-datenpannen-und-jetzt-auch-noch-mehr-datenrecht-das-unabhaengige-landeszentrum-fuer-datenschutz-hilft/

  40. Tätigkeitsberichte des ULD - Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Zugriff am Juni 24, 2025, https://www.datenschutzzentrum.de/tb/

  41. LfD Schleswig-Holstein - DatenschutzArchiv, Zugriff am Juni 24, 2025, https://datenschutzarchiv.org/organisationen/bundeslaender/lfd-schleswig-holstein

  42. Tätigkeitsbericht 2023 des Unabhängigen Landeszentrums für ..., Zugriff am Juni 24, 2025, https://www.datenschutzzentrum.de/tb/tb41/uld-41-taetigkeitsbericht-2023.pdf

  43. Tätigkeitsbericht Datenschutz | 1. Januar bis 31. Dezember 2023 - Sächsische Datenschutz- und Transparenzbeauftragte, Zugriff am Juni 24, 2025, https://www.datenschutz.sachsen.de/download/taetigkeitsberichte/Taetigkeitsbericht_Datenschutz_2023.pdf

  44. Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt - datensicherheit.de, Zugriff am Juni 24, 2025, https://www.datensicherheit.de/schleswig-holstein-datenschutzbericht-2023-vorstellung

  45. Überblick über DSGVO-Verstöße: Hohe Bußgelder für EU-Unternehmen - wbs.legal, Zugriff am Juni 24, 2025, https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/dsgvo-verstoesse-hohe-bussgelder-fuer-eu-unternehmen-79732/

  46. Bußgelder für Website-Tracking ohne Einwilligung angekündigt | dhpg, Zugriff am Juni 24, 2025, https://www.dhpg.de/de/newsroom/blog/bussgelder-website-tracking-ohne-einwilligung-angekuendigt

  47. Top 5 DSGVO-Bußgelder im November 2024 - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-november-2024/

  48. Orientierungshilfe – Cloud Computing - Datenschutzkonferenz, Zugriff am Juni 24, 2025, https://www.datenschutzkonferenz-online.de/media/oh/20141009_oh_cloud_computing.pdf

  49. Übersicht DSGVO-Bußgelder (Deutschland und Europa) - Datenschutzkanzlei, Zugriff am Juni 24, 2025, https://www.datenschutzkanzlei.de/bussgeld-radar/

  50. Der Auskunftsanspruch nach Art. 15 DSGVO – aktuelle Urteile datenschutzticker.de - Seite 0, Zugriff am Juni 24, 2025, https://www.datenschutzticker.de/2025/02/der-auskunftsanspruch-nach-art-15-dsgvo-aktuelle-urteile/

  51. Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO (Joint Controllership) - GDD-Praxishilfe DS-GVO, Zugriff am Juni 24, 2025, https://www.gdd.de/wp-content/uploads/2023/06/GDD-Praxishilfe-DS-GVO-Joint-Controllership.pdf

  52. Diese Unternehmen mussten 2020 die höchsten DSGVO-Bußgelder zahlen, Zugriff am Juni 24, 2025, https://www.onlinehaendler-news.de/recht/rechtsfragen/134365-unternehmen-2020-hoechste-dsgvo-bussgelder

  53. Strafen und Bußgelder im Datenschutz - heyData, Zugriff am Juni 24, 2025, https://heydata.eu/studien/dsgvo-geburtstag-hohe-strafen

  54. DSGVO: Deutschland auf Platz #2 mit höchsten Bußgeldern - Social Media Statistiken, Zugriff am Juni 24, 2025, https://socialmediastatistik.de/datensicherheit-internet-dsgvo-datenschutz/

  55. DSGVO: Bußgelder und Erkenntnisse - DER Datenschutzbeauftragte in Mitteldeutschland, Zugriff am Juni 24, 2025, https://datenschutz-eprivacy.de/dsgvo-bussgelder/

  56. The Cost of Ignoring Privacy Laws: Small Business Fines That Could Sink You, Zugriff am Juni 24, 2025, https://sanguinesa.com/the-cost-of-ignoring-privacy-laws-small-business-fines-that-could-sink-you/

  57. 210+ Cybersecurity Statistics to Inspire Action This Year [Updated 2025] - Secureframe, Zugriff am Juni 24, 2025, https://secureframe.com/blog/cybersecurity-statistics

  58. Top 10 GDPR Compliance Cost and How to Manage Them - CookieYes, Zugriff am Juni 24, 2025, https://www.cookieyes.com/blog/gdpr-compliance-cost/

  59. The True Cost Of A Data Breach To Small Business - PurpleSec, Zugriff am Juni 24, 2025, https://purplesec.us/learn/data-breach-cost-for-small-businesses/

  60. Schrems-II-Urteil: Auswirkungen und Umsetzung in der Praxis - Heise Business Services, Zugriff am Juni 24, 2025, https://business-services.heise.de/security/datenschutz-dsgvo/beitrag/schrems-ii-urteil-auswirkungen-und-umsetzung-in-der-praxis-4166

  61. Schrems II und Privacy Shield | EDSA-Empfehlungen - Cookiebot, Zugriff am Juni 24, 2025, https://www.cookiebot.com/de/schrems-ii/

  62. Internationaler Datenverkehr EU-USA - WKO, Zugriff am Juni 24, 2025, https://www.wko.at/datenschutz/internationaler-datenverkehr-eu-usa

  63. Das Schrems II-Urteil des Europäischen Gerichtshofs und seine Bedeutung für Datentransfers in Drittländer | Der Landesbeauftragte für den Datenschutz Niedersachsen, Zugriff am Juni 24, 2025, https://www.lfd.niedersachsen.de/startseite/themen/internationaler_datenverkehr/das_schrems_ii_urteil_des_eugh_und_seine_bedeutung_fur_datentransfers_in_drittlander/das-schrems-ii-urteil-des-europaischen-gerichtshofs-und-seine-bedeutung-fur-datentransfers-in-drittlander-194085.html

  64. Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte? - legal-tech.de, Zugriff am Juni 24, 2025, https://legal-tech.de/was-bedeutet-das-eugh-urteil-schrems-ii/

  65. Schrems II - Thales CPL, Zugriff am Juni 24, 2025, https://cpl.thalesgroup.com/de/compliance/emea/schrems-ii

  66. Risiko Datentransfer in die USA: Das EU–US Data Privacy Framework auf dem Prüfstand - wetzel.berlin, Zugriff am Juni 24, 2025, https://wetzel.berlin/risiko-datentransfer-in-die-usa-das-eu-us-data-privacy-framework-auf-dem-pruefstand/

  67. Questions & Answers: EU-US Data Privacy Framework - European Commission, Zugriff am Juni 24, 2025, https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752

  68. Datenübermittlung in die USA und in Drittstaaten - IHK Region Stuttgart, Zugriff am Juni 24, 2025, https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/datenschutzrecht/datenuebermittlung-usa-4852420

  69. Datenübermittlungen in die USA und Schrems II Urteil - BfDI, Zugriff am Juni 24, 2025, https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html

  70. EU U.S. Data Privacy Framework - IHK München, Zugriff am Juni 24, 2025, https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Daten%C3%BCbermittlung-in-Drittstaaten/

  71. Data Privacy Framework (DPF): the third fruitless attempt? - Dastra, Zugriff am Juni 24, 2025, https://www.dastra.eu/en/article/data-privacy-framework-dpf-third-attempt-third-failure/59126

  72. The Trump Administration Should Not Mess With the EU-U.S. Data Privacy Framework, Zugriff am Juni 24, 2025, https://www.lawfaremedia.org/article/the-trump-administration-should-not-mess-with-the-eu-u.s.-data-privacy-framework

  73. Promises unkept: The EU-US Data Privacy Framework under fire, Zugriff am Juni 24, 2025, https://edri.org/our-work/promises-unkept-the-eu-us-data-privacy-framework-under-fire/

  74. Drittlandübermittlung: Leitfaden zu Transfer Impact Assessments, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/drittlanduebermittlung-leitfaden-zu-transfer-impact-assessments/

  75. Erste-Hilfe-Paket „Schrems II“-Compliance, Zugriff am Juni 24, 2025, https://www.luther-lawfirm.com/fileadmin/user_upload/WP_Erste_Hilfe_Schrems_II.pdf

  76. Schrems II, die neuen Standardvertragsklauseln & der risikobasierte Ansatz der DSGVO - 3. Hannoverscher Datenschutztag, Zugriff am Juni 24, 2025, https://www.hannoverscher-datenschutztag.de/vortraege/vortrag-diercks.pdf

  77. Einsatz von Google Analytics führt zu 1 Millionen Euro Bußgeld - datenschutz notizen, Zugriff am Juni 24, 2025, https://www.datenschutz-notizen.de/einsatz-von-google-analytics-fuehrt-zu-1-millionen-euro-bussgeld-2743627/

  78. Erfüllt Google Analytics 4 die Anforderungen von DSGVO? - Termly, Zugriff am Juni 24, 2025, https://termly.io/de/ressourcen/artikel/google-analytics-gdpr/

  79. M 365 einsetzen ohne Datenschutzrisiko - so gehts - IHK München, Zugriff am Juni 24, 2025, https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Die-EU-Datenschutz-Grundverordnung/m-365-datenschutz/

  80. Datenschutz & Microsoft 365: DSGVO-konformer Einsatz | SRD, Zugriff am Juni 24, 2025, https://www.srd-rechtsanwaelte.de/blog/datenschutz-microsoft365-dsgvo-konform

  81. Update: Data protection with Microsoft 365 | reuschlaw News, Zugriff am Juni 24, 2025, https://www.reuschlaw.de/en/news/update-data-protection-with-microsoft-365/

  82. Datenschutzwidrige Nutzung von MS365 durch die EU-Kommission - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/datenschutzwidrige-nutzung-von-ms365-durch-die-eu-kommission/

  83. Zoom AI Companion DSGVO und Datenschutz: Alles Wichtige, Zugriff am Juni 24, 2025, https://www.sally.de/blog/zoom-ai-companion-dsgvo-datenschutz

  84. Ist Zoom datenschutzkonform? 3 Fakten, die dir nicht gefallen werden, Zugriff am Juni 24, 2025, https://ist.training/ist-zoom-datenschutzkonform/

  85. Zoom & Datenschutz: DSGVO-konform? - eRecht24, Zugriff am Juni 24, 2025, https://www.e-recht24.de/datenschutz/13060-datenschutz-bei-zoom.html

  86. Wie Du mit ZOOM Datenschutz konform Videokonferenzen abhalten kannst, Zugriff am Juni 24, 2025, https://easyrechtssicher.de/zoom-datenschutz/

  87. Is Slack GDPR Compliant? - Mimecast, Zugriff am Juni 24, 2025, https://www.mimecast.com/blog/slack-and-gdpr-the-complete-guide/

  88. Slack's GDPR Commitment | Legal, Zugriff am Juni 24, 2025, https://slack.com/trust/compliance/gdpr

  89. DSGVO Beschwerde: Einsatz von Mailchimp erstmals verboten, Zugriff am Juni 24, 2025, https://www.hub24.de/blog/einsatz-von-mailchimp/

  90. Unzulässiger Einsatz von Mailchimp und die Folgen - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/unzulaessiger-einsatz-von-mailchimp-und-die-folgen/

  91. GDPR - Compliance Salesforce, Zugriff am Juni 24, 2025, https://compliance.salesforce.com/gdpr

  92. Salesforce-Sicherheit und Datenschutz-Grundverordnung, Zugriff am Juni 24, 2025, https://security.salesforce.com/de/general-data-protection-regulation

  93. Salesforce DSGVO - Wissenswertes | comselect GmbH, Zugriff am Juni 24, 2025, https://comselect.de/salesforce-dsgvo/

  94. Google Analytics datenschutzkonform einsetzen | Anleitung inkl. Muster - Dr. Datenschutz, Zugriff am Juni 24, 2025, https://www.dr-datenschutz.de/google-analytics-datenschutzkonform-einsetzen/

  95. Google Analytics 4 & DSGVO: Ihre Datenschutz-Checkliste, Zugriff am Juni 24, 2025, https://datenschutz-generator.de/google-analytics/

  96. DSGVO-konforme Website Analytics? So sicher ist Google Analytics 4 wirklich - Datenschutzexperte, Zugriff am Juni 24, 2025, https://www.datenschutzexperte.de/blog/dsgvo-konforme-website-analytics-so-sicher-ist-google-analytics-4-wirklich

  97. Google Analytics DSGVO-konform nutzen - eRecht24, Zugriff am Juni 24, 2025, https://www.e-recht24.de/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html

  98. Copilot von Microsoft 365 – Ist der Dienst mit der DSGVO vereinbar? - Datenschutzkanzlei, Zugriff am Juni 24, 2025, https://www.datenschutzkanzlei.de/copilot-von-microsoft-365-ist-der-dienst-mit-der-dsgvo-vereinbar/

  99. Is Microsoft O365 GDPR Compliant? The Answer in Germany May Surprise You. - Virtru, Zugriff am Juni 24, 2025, https://www.virtru.com/blog/compliance/gdpr/microsoft-365

  100. Windows Pain? German Report Casts Doubt on Microsoft GDPR Compliance, Zugriff am Juni 24, 2025, https://www.privacyanddatasecurityinsight.com/2022/12/windows-pain-german-report-casts-doubt-on-microsoft-gdpr-compliance/

  101. Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365? - Heuking, Zugriff am Juni 24, 2025, https://www.heuking.de/de/news-events/newsletter-fachbeitraege/artikel/europaeische-kommission-verstoesst-gegen-dsgvo-wiederaufleben-der-debatte-um-die-nutzung-von-microsoft-365.html

  102. Microsoft 365: EU-Kommission hat rechtswidrig Daten übertragen - netzpolitik.org, Zugriff am Juni 24, 2025, https://netzpolitik.org/2024/microsoft-365-eu-kommission-hat-rechtswidrig-daten-uebertragen/

  103. Checkliste Einführung Neue Software Datenschutz DSGVO, Zugriff am Juni 24, 2025, https://giel-rechtsanwalt.de/allgemein/checkliste-einfuehrung-neue-software-datenschutz/

  104. Guide: SaaS-Sicherheit | LeanIX, Zugriff am Juni 24, 2025, https://www.leanix.net/de/wiki/trm/saas-security

  105. Checkliste zur Auswahl eines Cloud-Dienstes - BSI, Zugriff am Juni 24, 2025, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/UPK/upk-checkliste-auswahl-cloud-dienst.pdf?__blob=publicationFile&v=6

  106. EU-US-Datentransfers unsicher: Wie EU-basierte Analytics Ihre Marketing-Performance verbessert - Piwik PRO, Zugriff am Juni 24, 2025, https://piwikpro.de/blog/eu-us-datentransfers-und-eu-basierte-analytics/

  107. Europäische Alternativen zu AWS? : r/aws - Reddit, Zugriff am Juni 24, 2025, https://www.reddit.com/r/aws/comments/1iw6m25/european_alternatives_for_aws/?tl=de

  108. IT: Welche europäische Alternativen es zu Software und Diensten aus den USA gibt, Zugriff am Juni 24, 2025, https://www.ingenieur.de/technik/fachbereiche/ittk/it-welche-europaeische-alternativen-es-zu-software-und-diensten-aus-den-usa-gibt/

  109. M&A-Branchenreport: SaaS, KI & Cloud – Entwicklungen und Bewertungen im Software-Markt 2025 - COVENDIT, Zugriff am Juni 24, 2025, https://covendit.de/m-a-wissen/ma-branchenreport-saas-ki-cloud-entwicklungen-und-bewertungen-im-softwaremarkt-2025/

  110. Cloud-Nutzung in Deutschland - hendricks Makler, Zugriff am Juni 24, 2025, https://hendricks-makler.de/wp-content/uploads/2024/08/Parametrix-Cloud-Nutzung-in-Deutschland_Howden.pdf

  111. Die Drei Top europäischen Cloudanbieter 2025 - GuideStream, Zugriff am Juni 24, 2025, https://www.guidestream.digital/de/blog-posts/the-top-3-european-cloud-providers

  112. Google Analytics & Alternativen DSGVO-konform nutzen, Zugriff am Juni 24, 2025, https://www.datenschutzexperte.de/blog/google-analytics-alternativen-so-konnen-sie-tracking-tools-dsgvo-konform-nutzen

  113. Die 12 besten Alternativen zu Google Analytics in 2025 - Blogmojo, Zugriff am Juni 24, 2025, https://www.blogmojo.de/google-analytics-alternative/

  114. Google Analytics Alternativen: 9 DSGVO-konforme Tools - Decareto, Zugriff am Juni 24, 2025, https://decareto.com/de/google-analytics-alternativen-9-dsgvo-konforme-tools/

  115. Die besten europäischen Alternativen zu US Cloud Lösungen ..., Zugriff am Juni 24, 2025, https://www.mybits.de/die-besten-europaeischen-alternativen-zu-us-cloud-loesungen-microsoft-365-google-co-ein-praxisvergleich/

  116. Alternativen für Microsoft 365: Da freut sich die DSGVO (und der Geldbeutel), Zugriff am Juni 24, 2025, https://ap-verlag.de/alternativen-fuer-microsoft-365-da-freut-sich-die-dsgvo-und-der-geldbeutel/80169/

  117. Microsoft 365 Alternativen 2025: Die 9 heißesten Tools, die Ihr IT-Team lieben wird, Zugriff am Juni 24, 2025, https://www.gecko.de/wissenshub/microsoft-365-alternativen-2025-die-9-heissesten-tools-die-ihr-it-team-lieben-wird/

  118. Raus aus der US-Cloud : Souveräne SaaS-Angebote im Überblick + Handlungsempfehlungen - Xpert.Digital, Zugriff am Juni 24, 2025, https://xpert.digital/raus-aus-der-us-cloud/

  119. Vergleich: 5 Zoom-Alternativen und Datenschutz: Was ist DSGVO-konform? - DataGuard, Zugriff am Juni 24, 2025, https://www.dataguard.de/blog/zoom-alternativen

  120. Videokonferenzen und Datenschutz: Der große Vergleichstest zu Zoom und Co. - eRecht24, Zugriff am Juni 24, 2025, https://www.e-recht24.de/datenschutz/12122-videokonferenzen-und-datenschutz-vergleichstest-zoom.html

  121. Die besten Zoom-Alternativen für Online-Meetings in diesem Jahr, Zugriff am Juni 24, 2025, https://www.bitrix24.de/articles/die-besten-zoom-alternativen-fuer-online-meetings-in-diesem-jahr.php

  122. Deutsche Zoom Alternative 2025 (DSGVO-konform) - meetergo, Zugriff am Juni 24, 2025, https://meetergo.com/blog/zoom-alternative-dsgvo

  123. Europäische E-Commerce SaaS Alternativen - Carl Korn, Zugriff am Juni 24, 2025, https://www.carlkorn.de/eu-saas-alternativen.html

  124. Mailchimp Alternative: DSGVO konforme Newsletter Tools | 2025, Zugriff am Juni 24, 2025, https://teamstreber.de/mailchimp-alternative

  125. Alternatives to Mailchimp that ARE GDPR COMPLIANT? Netherlands here : r/marketing, Zugriff am Juni 24, 2025, https://www.reddit.com/r/marketing/comments/1bcl6q5/alternatives_to_mailchimp_that_are_gdpr_compliant/

  126. Alternativen zu US-Software: 4 E-Mail-Anbieter aus Europa - BASIC thinking, Zugriff am Juni 24, 2025, https://www.basicthinking.de/blog/2025/04/11/alternativen-zu-us-software-e-mail-dienste/

  127. Trelica Alternativen im Test: Die besten SaaS-Management-Lösungen | Beedex, Zugriff am Juni 24, 2025, https://www.beedex.com/blog/trelica-alternativen-im-test/

  128. Alternativen zu US-Software: 4 Cloud-Anbieter aus Europa - BASIC thinking, Zugriff am Juni 24, 2025, https://www.basicthinking.de/blog/2025/04/14/alternativen-zu-us-software-4-cloud-anbieter/