DSGVO in der Praxis: Wie du datenschutzfreundliche Dienste auswählst

Über den Haken hinaus: Was DSGVO-Konformität wirklich bedeutet

Jedes Tech-Unternehmen behauptet, „DSGVO-konform” zu sein. Es ist zu einem Marketing-Häkchen geworden — ein Siegel auf der Website anbringen und sich fertig nennen. Aber DSGVO-Konformität existiert auf einem Spektrum, und der Unterschied zwischen echter Konformität und oberflächlicher Konformität kann der Unterschied sein zwischen deinen Daten, die geschützt sind, und deinen Daten, die ausgebeutet werden.

Dieser Leitfaden hilft dir, über das Marketing hinaus zu schauen und informierte Entscheidungen über die Dienste zu treffen, die du nutzt.

Die drei Ebenen der DSGVO-Konformität

Ebene 1: Echte Konformität (EU-ansässige Unternehmen)

Unternehmen mit Sitz in der EU unterliegen direkt der DSGVO-Durchsetzung durch europäische Datenschutzbehörden. Sie können sich der europäischen Rechtsprechung nicht entziehen, und Verstöße bringen Bußgelder von bis zu 4% des globalen jährlichen Umsatzes mit sich.

Das sieht so aus:

• Unternehmen ist in einem EU/EWR-Land registriert
• Daten werden auf EU-Servern verarbeitet und gespeichert
• Unterliegt der Aufsicht durch eine nationale Datenschutzbehörde (z.B. CNIL in Frankreich, BfDI in Deutschland)
• Keine rechtliche Verpflichtung, US-Datenzugriffsforderungen unter FISA oder CLOUD Act zu erfüllen

Beispiele: Proton (Schweiz/DSGVO-äquivalent), Infomaniak (Schweiz), Hetzner (Deutschland), OVHcloud (Frankreich)

Ebene 2: Strukturelle Konformität (US-Unternehmen mit EU-Operationen)

Große US-Unternehmen haben EU-Tochtergesellschaften und Rechenzentren eingerichtet, um europäische Kunden zu bedienen. Sie bemühen sich ernsthaft, die DSGVO zu erfüllen, aber ihre Mutterkonzerne unterliegen immer noch US-amerikanischem Recht.

Das sieht so aus:

• EU-Tochtergesellschaft verarbeitet europäische Daten
• Europäische Rechenzentren verfügbar
• Standard Contractual Clauses (SCCs) oder andere Transfermechanismen vorhanden
• Aber: Mutterkonzern kann immer noch von US-Gerichten gezwungen werden, Daten herauszugeben

Beispiele: Microsoft (EU Data Boundary Initiative), Google (EU-Datenspeicherungsoptionen), AWS (EU-basierte Regionen)

Ebene 3: Oberflächliche Konformität (Häkchen-Ansatz)

Einige Unternehmen aktualisieren ihre Datenschutzrichtlinie, fügen eine Cookie-Einwilligungsbanner hinzu und nennen es einen Tag. Sie erfüllen technisch die DSGVO-Offenlegungsanforderungen, während sie weiterhin Daten so sammeln und verarbeiten, dass sie die Grenzen der Regulierung ausloten.

Das sieht so aus:

• Aktualisierte Datenschutzrichtlinie mit Erwähnung der DSGVO
• Cookie-Einwilligungsbanner (oft so gestaltet, dass es Nutzer zu akzeptieren manipuliert)
• Datenverarbeitung geschieht weiterhin auf US-Servern
• Breite Datensammlung unter „berechtigtem Interesse” gerechtfertigt
• Dunkle Muster in Einwilligungsflüssen

Fünf Fragen, die du vor der Wahl eines Dienstes stellen solltest

1. Wo ist das Unternehmen ansässig?

Dies bestimmt, welcher Rechtsrahmen letztendlich deine Daten regelt. Ein in der EU ansässiges Unternehmen unterliegt der DSGVO als sein primäres Gesetz. Ein in den USA ansässiges Unternehmen unterliegt zunächst US-amerikanischem Recht, mit DSGVO-Konformität als zusätzliche Verpflichtung, die in Konflikt geraten kann.

2. Wo werden deine Daten wirklich gespeichert und verarbeitet?

„Wir haben EU-Rechenzentren” bedeutet nicht immer, dass deine Daten dort bleiben. Manche Unternehmen leiten Daten für Verarbeitung, Analytik oder Sicherung durch US-Server weiter. Suche nach expliziten Verpflichtungen zur ausschließlich EU-Datenspeicherung.

3. Wie verdient das Unternehmen Geld?

Wenn ein Dienst kostenlos ist und werbegestützt, sind deine Daten wahrscheinlich das Produkt. Unternehmen, die mit Werbung Geld verdienen, haben einen strukturellen Anreiz, so viele Daten wie möglich zu sammeln. Abonnement-basierte Dienste richten die Interessen des Unternehmens mit deinen aus: Du zahlst Geld, sie erbringen einen Dienst.

4. Kannst du deine Daten wirklich löschen?

Die DSGVO gewährt das Recht auf Vergessenwerden, aber die Umsetzung variiert stark. Manche Unternehmen machen Löschung unkompliziert. Andere verstecken es in Einstellungen, verhängen Wartezeiten oder behalten „anonymisierte” Daten, die möglicherweise re-identifiziert werden können.

5. Wurden sie getestet?

Schau dir den Track Record eines Unternehmens an. Wurden sie von Datenschutzbehörden mit Bußgeldern belegt? Waren sie in Datenpannen verwickelt? Wie haben sie reagiert? Unternehmen, die transparent über Zwischenfälle waren und ihre Praktiken verbessert haben, verdienen mehr Vertrauen als solche, die nie getestet wurden.

Rote Flaggen, auf die du achten solltest

• „Berechtigtes Interesse” für alles: Unternehmen, die „berechtigtes Interesse” statt expliziter Einwilligung für nicht-wesentliche Datenverarbeitung nutzen
• Cookie-Mauern: Websites, die den Zugriff blockieren, es sei denn, du akzeptierst alle Cookies
• Manipulative Einwilligungsflüsse: Wenn „Alle akzeptieren” ein heller Button ist und „Einstellungen verwalten” mehrere Klicks erfordert
• Vage Datenfreigabe: Datenschutzrichtlinien, die sagen, dass Daten mit „Partnern” geteilt werden, ohne anzugeben, wer diese sind
• Kein EU-Vertreter: Nicht-EU-Unternehmen, die in der EU tätig sind, ohne einen ernannten EU-Vertreter (erforderlich durch DSGVO Artikel 27)
• Nur US-Support-Kanäle: Unternehmen, die nicht können oder wollen, Anfragen zur Ausübung von Betroffenenrechten über EU-basierte Kanäle bearbeiten

Den Wechsel vollziehen

Die Wahl datenschutzfreundlicher Dienste bedeutet nicht, auf Funktionalität zu verzichten. Europäische Alternativen existieren für nahezu jede Kategorie digitaler Dienste, oft mit konkurrenzfähigen Funktionen und dem zusätzlichen Vorteil echten DSGVO-Schutzes.

Der Schlüssel ist, mit den Diensten zu beginnen, die deine sensibelsten Daten behandeln — E-Mail, Cloud-Speicher, Messaging — und schrittweise zu europäischen Alternativen zu migrieren. Du musst nicht alles auf einmal wechseln, aber jeder Dienst, den du zu einem EU-Anbieter verlagerst, ist ein Datenpunkt weniger, der für ausländische Überwachungsprogramme zugänglich ist.

Das Fazit

Die DSGVO ist der weltweit stärkste Datenschutzrahmen, aber er funktioniert nur, wenn du Dienste wählst, die ihn wirklich respektieren. Schau über das Marketing hinaus, stelle die richtigen Fragen und bevorzuge Unternehmen, deren Geschäftsmodell, rechtliche Zuständigkeit und technische Architektur alle darauf ausgerichtet sind, deine Privatsphäre zu schützen. Deine Daten verdienen mehr als ein Häkchen.