Cloud-Entscheidungen waren lange eine Frage von Preis, Funktionsumfang und Skalierung. Jetzt rückt ein viertes Kriterium in den Vordergrund: das Herkunftsland – und damit die Jurisdiktion, die auf den Anbieter wirkt. EU-Regeln, geopolitische Risiken und neue Switching-Regeln verschieben die Kriterien für Verlage spürbar. Bei einer IT-Beschaffung treten zunehmend Governance-Fragen in den Vordergrund.

Für Verlage ist Cloud heute Kerninfrastruktur: CMS, Workflow-Tools, Datenanalyse, Abosysteme und zunehmend KI-Workflows. In den zugehörigen Cloudsystemen liegen nicht nur „Betriebsdaten“, sondern oft auch personenbezogene Daten (Kund:innen, Newsletter), vertrauliche Inhaltsdaten (Manuskripte) und strategische Informationen. Damit steigt die Relevanz von Fragen der Compliance: Welche Behörden können unter welchen Voraussetzungen Zugriff verlangen – und was bedeutet das für Informationssicherheit und Datenschutz?

In Debatten rund um US-Anbieter ist der US CLOUD Act der zentrale Referenzpunkt. Entscheidend ist: Behördenzugriffe knüpfen nicht zwingend an den physischen Speicherort an, sondern an die rechtliche Kontrolle eines Providers über die Daten (Personal Jurisdiction). Europäische Datenschutzorganisationen wie der Europäische Datenschutzausschuss (EDPB) oder der Europäische Datenschutzbeauftragte (EDPS) weisen in ihren Analysen regelmäßig auf diesen potenziellen Konflikt mit Artikel 48 der DSGVO hin, der Datenherausgaben ohne Rechtshilfeabkommen untersagt.

Cloud-Anbieter wie AWS oder Microsoft betonen, dass Zugriffe rechtlich geregelt seien, und veröffentlichen Transparenzstatistiken. Für Verlage bleibt die Quintessenz dennoch pragmatisch: Das Herkunftsland eines Cloud-Anbieters ist ein wichtiger Indikator dafür, welche rechtlichen Zugriffspfade der Verlag im Risiko- und Vertragsmanagement mitbedenken sollte – unabhängig davon, ob der Server in Frankfurt oder Dublin steht.

Werbung

Die zweite Ebene ist der internationale Datentransfer. Das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) von 2020 kippte den EU-US-Privacy Shield; seitdem müssen Unternehmen Transfers auf Instrumente wie Standardvertragsklauseln (SCCs) stützen und oft zusätzliche technische Maßnahmen (wie Verschlüsselung) vorsehen.

Seit 2023 existiert mit dem EU-U. S. Data Privacy Framework (DPF) wieder ein Regelwerk der EU-Kommission zur Zertifizierung von US-Unternehmen.

Stand 2026:

Zwar wird die Beständigkeit dieses Rahmens durch NGOs (wie NOYB) vor den Gerichten erneut geprüft, doch bis zu einer etwaigen gegenteiligen Entscheidung des EuGH bleibt dieser Angemessenheitsbeschluss die gültige Rechtsgrundlage. Verlage sollten jedoch im Rahmen ihrer Rechenschaftspflicht die Notwendigkeit prüfen, die Tatsache zu dokumentieren, dass sie die DPF-Teilnahme ihrer Partner sowie von deren Unterauftragnehmern regelmäßig kontrollieren.

Parallel verschärft die EU das Spielfeld bei Cybersecurity und Anbieter-Abhängigkeiten.

Data Act:

Die Verordnung soll den Wechsel zwischen Cloud-Anbietern erleichtern. Verlage profitieren von neuen Portabilitätsregeln und Interoperabilitätsvorgaben. Wichtig für die Planung: Während erste Erleichterungen bereits gelten, sieht der Data Act eine Übergangsphase vor: Die vollständige Kostenfreiheit von Wechselgebühren (Switching Charges) wird erst zum 12. Januar 2027 für alle Verträge verbindlich.

NIS2-Richtlinie:

Cloud-Computing-Dienste werden als „Wichtige Einrichtungen“ (Digitale Dienste) eingestuft. Solche Verlage, die als Teil der Lieferkette für kritische Sektoren agieren oder eine gewisse Größe überschreiten, müssen nachweisen, dass ihre Cloud-Partner die strengen Sicherheitsanforderungen der NIS2 erfüllen.

DORA:

Auch wenn DORA primär den Finanzsektor betrifft, setzt die Verordnung neue Maßstäbe für die Aufsicht über „kritische IKT-Drittanbieter“ (darunter die großen Hyperscaler). Die von den europäischen Aufsichtsbehörden (ESAs) etablierten Standards für Resilienz und Konzentrationsrisiken werden zum neuen Industrie-Benchmark für alle professionellen Cloud-Ausschreibungen.

In Europa entstehen parallel Referenzrahmen für „Souveränität“. Initiativen wie das europäische Cybersicherheits-Zertifizierungsschema für Cloud-Dienste (EUCS) zielen darauf ab, Transparenz über den Schutz vor unberechtigten Zugriffen aus Drittstaaten zu schaffen.

Für Verlage heißt das: Selbst bei Standard-Anwendungen könnte morgen ein Kunde oder ein öffentliches Kontrollorgan verlangen, dass Herkunftsland und Betriebsmodell des Providers nachweisbar DSGVO-konform und resilient gegenüber ausländischen Zugriffsrechten sind.

1. Datenklassifizierung:

Unterscheidung zwischen personenbezogenen Daten (Leser), vertraulichen Inhalten (Manuskripte) und reinen Betriebsdaten.

2. Jurisdiktion:

Welches Recht gilt für den Anbieter (Sitz der Muttergesellschaft) und wie werden Behördenanfragen rechtlich und technisch (Verschlüsselung mit eigenem Key-Management) behandelt?

3. Transfer-Grundlage:

Ist der Anbieter unter dem EU-U. S. Data Privacy Framework zertifiziert? Liegt ein aktuelles Transfer Impact Assessment (TIA) vor?

4. Exit-Strategie:

Erfüllen die Verträge bereits die Anforderungen des Data Act bezüglich Portabilität und der schrittweisen Reduzierung von Wechselgebühren?

5. Resilienz:

Existieren Multi-Cloud-Ansätze oder Backup-Szenarien bei europäischen Providern für geschäftskritische Prozesse?

Die Diskussion hat sich in den letzten Jahren verschoben von „Cloud ja/nein“ zu „Cloud – unter welchen Bedingungen“. Wer Cloud-Entscheidungen entlang von Jurisdiktion, Transferlogik und Exit-Fähigkeit dokumentiert, gewinnt nicht nur an Compliance, sondern an strategischer Beweglichkeit und beim Vertrauen seiner Partner.

Dieser Artikel ist Teil des Channels Digital Publishing Technologien, der sich mit Content-Strategien und Prozessen beschäftigt. Der Channel wird gesponsert von Fabasoft Xpublisher.