DSGVO-konform in der Cloud: Wo liegen meine Daten?
29.01.2026
|
Lesezeit 6 Minuten
"Unsere Daten bleiben auf unserem Server." Diesen Satz höre ich in Gesprächen mit Geschäftsführern häufig. Die Aussage dahinter: Die Cloud ist unsicher, der eigene Server ist sicher. Dieses Bild ist verständlich – aber es stimmt nicht mehr.
Der eigene Server im Keller ist nicht automatisch sicherer als eine professionelle Cloud-Lösung. Oft ist das Gegenteil der Fall. Aber die Bedenken sind real, und sie verdienen eine ehrliche Antwort.
Das größte Sicherheitsrisiko ist nicht die Cloud
Die häufigsten IT-Sicherheitsvorfälle in mittelständischen Unternehmen haben eine gemeinsame Ursache: veraltete Software ohne Sicherheitsupdates. Der Windows Server 2012 im Keller, der "noch läuft". Die Firewall, deren Firmware seit drei Jahren nicht aktualisiert wurde. Das Backup, das niemand testet.
Professionelle Cloud-Anbieter investieren mehr in Sicherheit als die meisten Mittelständler es könnten: redundante Rechenzentren, automatische Backups, Verschlüsselung im Ruhezustand und während der Übertragung, 24/7-Monitoring, dedizierte Sicherheitsteams.
Das bedeutet nicht, dass die Cloud automatisch sicher ist. Es bedeutet, dass die Frage "Cloud oder lokal?" die falsche Frage ist. Die richtige Frage lautet: "Wer betreibt meine IT-Infrastruktur professioneller – ich selbst oder ein spezialisierter Anbieter?"
Wo deine Daten tatsächlich liegen
Beim Thema Cloud-Speicher ist der Serverstandort entscheidend – aus rechtlichen und praktischen Gründen.
Nextcloud als Dokumentenmanagement-System lässt sich bei deutschen Hostern betreiben, die ihre Server in deutschen Rechenzentren haben. Damit gelten ausschließlich deutsche Datenschutzgesetze. Ein Auftragsverarbeitungsvertrag (AVV) regelt, wie der Hoster mit deinen Daten umgeht. Du behältst die volle Kontrolle.
ERPNext kann wahlweise bei einem europäischen Cloud-Anbieter oder auf einem eigenen Server betrieben werden. Die Entscheidung hängt davon ab, wie viel IT-Kompetenz intern vorhanden ist und wie kritisch die Daten sind.
Onshape speichert Daten in AWS-Rechenzentren. Für reine CAD-Modelle ist das in der Regel unproblematisch. Für besonders sensible Dokumentation – etwa Kundenverträge oder Fertigungsunterlagen mit personenbezogenen Daten – empfehle ich die Ablage der exportierten Dateien in Nextcloud statt direkt in Onshape.
Das Shared-Responsibility-Modell verstehen
Ein häufiges Missverständnis: "Wenn meine Daten in der Cloud liegen, ist der Cloud-Anbieter für die Sicherheit verantwortlich." Das stimmt nur teilweise.
Cloud-Sicherheit funktioniert nach dem Shared-Responsibility-Modell:
Der Anbieter verantwortet:
Physische Sicherheit der Rechenzentren
Verfügbarkeit der Infrastruktur
Netzwerksicherheit
Grundlegende Verschlüsselung
Du verantwortest:
Zugriffsrechte und Benutzerverwaltung
Starke Passwörter und Zwei-Faktor-Authentifizierung
Welche Daten du hochlädst
Einhaltung von Branchenvorschriften
Ein sicherer Cloud-Anbieter nützt wenig, wenn alle Mitarbeiter dasselbe Passwort nutzen und sensible Zeichnungen per E-Mail verschickt werden.
DSGVO und US-Cloud-Dienste: Was sich 2025 ändert
Die rechtliche Situation bei US-Cloud-Anbietern ist kompliziert geworden. Das EU-US Data Privacy Framework von 2023 sollte Rechtssicherheit schaffen, aber politische Entwicklungen in den USA haben 2025 für neue Unsicherheit gesorgt. Deutsche Cloud-Anbieter wie Nextcloud berichten von einer Verdreifachung der Anfragen seit Jahresbeginn.
Für Maschinenbau-Unternehmen bedeutet das konkret:
Reine CAD-Modelle ohne personenbezogene Daten sind weniger kritisch
Dokumentation mit Kundendaten, Mitarbeiterdaten oder Geschäftsgeheimnissen sollte bei europäischen Anbietern liegen
Auftragsverarbeitungsverträge müssen aktuell gehalten werden
Im Zweifelsfall: deutsche Server wählen
Nextcloud als DSGVO-konforme Basis
Nextcloud ist eine Open-Source-Plattform für Dateispeicherung und Zusammenarbeit. Der Vorteil gegenüber Diensten wie Dropbox oder Google Drive: Du entscheidest, wo die Server stehen. Bei einem deutschen Hoster mit ISO-27001-Zertifizierung und AVV bist du auf der sicheren Seite.
Was Nextcloud bietet:
Dateisynchronisation wie Dropbox, aber selbst gehostet
Gemeinsame Ordner mit Berechtigungssteuerung
Volltextsuche in Dokumenten
Integration mit Office-Anwendungen
Mobile Apps für iOS und Android
Für Maschinenbau-Unternehmen ist Nextcloud die sinnvolle Ablage für technische Dokumentation, Kundenunterlagen und exportierte CAD-Daten. Die Integration mit Onshape und ERPNext sorgt dafür, dass freigegebene Zeichnungen und Stücklisten automatisch im richtigen Ordner landen.
Die Backup-Frage: Cloud vs. Lokal
Ein Argument für den lokalen Server ist oft: "Ich habe meine Daten unter Kontrolle." Aber Kontrolle bedeutet auch Verantwortung – für Backups, für Redundanz, für Notfallwiederherstellung.
Fragen, die du ehrlich beantworten solltest:
Wie oft werden Backups durchgeführt? Täglich? Wöchentlich?
Wo werden Backup-Medien gelagert? Im selben Gebäude wie der Server?
Wann wurde das Backup zuletzt getestet? Funktioniert die Wiederherstellung?
Was passiert bei einem Einbruch, Brand oder Wasserschaden?
Professionelle Cloud-Anbieter replizieren Daten über mehrere geografisch getrennte Rechenzentren. Ein Ausfall an einem Standort hat keine Auswirkung auf die Verfügbarkeit. Das gleiche Niveau lokal zu erreichen würde erhebliche Investitionen erfordern.
Eine pragmatische Cloud-Strategie für Maschinenbauer
Die Frage ist nicht "Cloud ja oder nein", sondern "Welche Daten gehören wohin". Eine sinnvolle Strategie für Maschinenbau-KMUs:
In die Cloud (mit deutschem/europäischem Anbieter):
Aktive Arbeitsdaten und Dokumente (Nextcloud)
ERP-Daten für standortunabhängigen Zugriff (ERPNext)
CAD-Modelle für Teamarbeit (Onshape)
Lokal oder in besonders gesicherter Cloud:
Archivierte Altprojekte mit hohem Geheimhaltungswert
Daten, die vertragliche Geheimhaltungspflichten unterliegen
Systemkritische Backups als zusätzliche Sicherheitsebene
Der nächste Schritt: Eine Bestandsaufnahme deiner aktuellen Datenhaltung zeigt, wo Risiken liegen und welche Cloud-Strategie zu deinem Unternehmen passt.
