Server-Beratung

DSGVO-konforme Cloud für Unternehmen — ohne US-Drittlandtransfer

Ihre Unternehmensdaten gehören Ihnen. Wir sorgen dafür, dass das auch so bleibt.

Sie suchen eine Cloud-Lösung, bei der Ihre Unternehmensdaten wirklich in Europa bleiben — nicht nur laut Marketing-Folie, sondern rechtlich belastbar? Wir zeigen Ihnen, welche Alternativen zu Microsoft 365 und Google Workspace es gibt, was sie kosten, was sie können und wo sie an Grenzen stoßen. Ehrlich, mit Zahlen und ohne Verkaufs-Sprech.

Erstgespräch vereinbaren → Gratis-Checkliste sichern

Was bedeutet „DSGVO-konforme Cloud" eigentlich?

Der Begriff „DSGVO-konforme Cloud" wird inflationär verwendet — von Anbietern, die damit alles Mögliche meinen. Deshalb hier eine nüchterne Einordnung für Entscheider, die keine Juristen sind, aber trotzdem verstehen wollen, worum es geht.
Das Grundproblem: Drittlandtransfer
Die DSGVO erlaubt die Übermittlung personenbezogener Daten in Länder außerhalb des EWR nur unter bestimmten Bedingungen. Für die USA galten nacheinander zwei Abkommen — Safe Harbor und Privacy Shield. Beide hat der Europäische Gerichtshof gekippt (Schrems I, 2015; Schrems II, 2020). Der Grund: US-Geheimdienste können nach dem CLOUD Act und FISA 702 auf Daten zugreifen, die US-Unternehmen verarbeiten — auch wenn die Server physisch in Europa stehen.
Der neue Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework)
Seit Juli 2023 gibt es einen neuen Angemessenheitsbeschluss für die USA. Damit ist der Datentransfer an zertifizierte US-Unternehmen grundsätzlich wieder erlaubt. Allerdings: Max Schrems hat bereits angekündigt, auch diesen Beschluss gerichtlich anzufechten. Und selbst wenn er Bestand hat — die zugrundeliegenden US-Gesetze (CLOUD Act, FISA 702) haben sich nicht geändert. Die Zugriffsmöglichkeit besteht weiterhin.
Was das für Ihr Unternehmen bedeutet
Wenn Sie personenbezogene Daten verarbeiten — Kundendaten, Mitarbeiterdaten, Gesundheitsdaten, Finanzdaten — und diese bei einem US-Anbieter liegen, tragen Sie ein Restrisiko. Je sensibler die Daten, desto höher das Risiko. Und je strenger Ihre Branchenaufsicht (Gesundheitswesen, Steuerkanzlei, Sozialwesen), desto eher wird dieses Risiko zum Problem.
Wir raten nicht zu Panik. Wir raten zu einer bewussten Entscheidung: Wollen Sie dieses Risiko tragen, oder wollen Sie es eliminieren?

Der Unterschied: echte EU-Cloud vs. „EU-Region" bei US-Hyperscalern

Microsoft, Google und Amazon bieten alle Rechenzentren in der EU an. Auf dem Papier klingt das gut: Daten in Frankfurt, Amsterdam oder Dublin. Aber die entscheidende Frage ist nicht, wo der Server steht — sondern wer juristisch auf die Daten zugreifen kann.
„EU-Region" bei US-Anbietern
Wenn Sie Microsoft 365 nutzen und als Region „Deutschland" wählen, liegen Ihre Daten physisch in deutschen Rechenzentren. Aber: Microsoft ist ein US-Unternehmen. Nach dem CLOUD Act sind US-Unternehmen verpflichtet, Daten an US-Behörden herauszugeben — unabhängig davon, wo die Daten gespeichert sind. Microsoft kann sich dagegen wehren (und tut das gelegentlich), aber die gesetzliche Grundlage bleibt.
Microsofts EU Data Boundary ist ein Schritt in die richtige Richtung. Aber es ist eine vertragliche Zusage, kein Gesetz. Und es ändert nichts am CLOUD Act.
Echte EU-Cloud-Anbieter
Anbieter wie Hetzner, IONOS, Open Telekom Cloud oder Nextcloud-Hoster mit Sitz in Deutschland unterliegen ausschließlich europäischem Recht. Kein CLOUD Act, kein FISA 702. Wenn eine US-Behörde Daten will, muss sie den Rechtsweg über deutsche Gerichte gehen. Das ist ein fundamentaler Unterschied.
Eigene Infrastruktur (NAS/Server im Haus)
Die konsequenteste Variante: Ihre Daten liegen auf Hardware, die Ihnen gehört, in Räumen, die Sie kontrollieren. Kein Cloud-Anbieter, kein Drittlandtransfer, keine Abhängigkeit von AGB-Änderungen. Dafür tragen Sie die Verantwortung für Betrieb, Backup und Sicherheit selbst — oder delegieren sie an einen lokalen Dienstleister.
Keine dieser Varianten ist pauschal „die beste". Aber Sie sollten den Unterschied kennen, bevor Sie sich festlegen.

Synology + eigenes NAS als vollwertige Cloud-Alternative

Wenn wir von einer DSGVO-konformen Cloud-Alternative sprechen, meinen wir damit keine halbe Lösung. Moderne NAS-Systeme — insbesondere von Synology — bieten heute einen Funktionsumfang, der für die meisten KMU die wesentlichen Cloud-Dienste ersetzen kann.
Synology Drive — Ihr eigener Datei-Cloud-Speicher
Synology Drive funktioniert wie Dropbox oder OneDrive: Dateien werden zwischen Endgeräten synchronisiert, Sie können Ordner freigeben, Versionierung nutzen und von unterwegs über den Browser zugreifen. Der Unterschied: Die Daten liegen auf Ihrem NAS, nicht bei einem externen Anbieter. Die Clients gibt es für Windows, macOS, Linux, iOS und Android.
Synology Office — Dokumente gemeinsam bearbeiten
Synology Office bietet Textverarbeitung, Tabellenkalkulation und Präsentationen direkt im Browser. Mehrere Personen können gleichzeitig an einem Dokument arbeiten. Es ersetzt nicht den vollen Funktionsumfang von Microsoft Word oder Excel, aber für 80 % der typischen Büroarbeit — Angebote schreiben, Tabellen pflegen, Protokolle erstellen — reicht es aus.
Synology Calendar und Contacts
CalDAV- und CardDAV-basierte Kalender- und Kontaktverwaltung, die sich mit allen gängigen Clients synchronisiert (Outlook, Thunderbird, iOS, Android). Keine Google- oder Microsoft-Cloud nötig.
Synology Chat — interne Kommunikation
Eine Slack-ähnliche Messaging-Lösung für Teams. Kanäle, Direktnachrichten, Dateianhänge. Nicht so funktionsreich wie Microsoft Teams, aber für die interne Abstimmung in kleinen Teams völlig ausreichend.
Synology MailPlus (optional)
Ein vollständiger Mailserver auf dem NAS. Für manche Unternehmen sinnvoll, für viele aber zu aufwändig im Betrieb. Wir empfehlen hier oft eine Hybrid-Lösung: E-Mail bei einem deutschen Anbieter (mailbox.org, Hetzner), alles andere auf dem NAS.
Alle diese Dienste laufen auf einer einzigen Hardware-Plattform, werden über eine zentrale Oberfläche verwaltet und sind über VPN oder Synologys Relay-Dienst auch von außen erreichbar.

Was verliere ich gegenüber Microsoft 365 / Google Workspace?

Wir wären schlechte Berater, wenn wir Ihnen nur die Vorteile erzählen würden. Deshalb hier eine ehrliche Aufstellung dessen, was eine Synology-basierte Lösung heute nicht bietet — oder nur eingeschränkt:
Echtzeit-Kollaboration auf Enterprise-Niveau: Synology Office funktioniert für gleichzeitiges Bearbeiten, aber die Erfahrung ist nicht so flüssig wie bei Google Docs oder Microsoft 365. Bei komplexen Tabellen mit vielen Formeln merken Sie den Unterschied.
Vollständige Office-Kompatibilität: Synology Office hat ein eigenes Dateiformat. Import und Export von .docx und .xlsx funktionieren, aber bei aufwändigen Formatierungen gehen Details verloren. Wenn Sie täglich komplexe Excel-Makros oder Word-Vorlagen austauschen, ist das eine echte Einschränkung.
Videokonferenzen: Synology bietet keine eigene Videokonferenz-Lösung. Sie brauchen einen separaten Dienst — Jitsi (selbst gehostet), Whereby oder zur Not Zoom/Teams nur für Calls.
App-Ökosystem und Integrationen: Microsoft 365 bietet Power Automate, Power BI, SharePoint, Planner und dutzende weitere Dienste. Synology hat nichts Vergleichbares. Wenn Ihr Unternehmen tief in dieses Ökosystem integriert ist, ist ein kompletter Umstieg unrealistisch.
Mobile Apps: Die Synology-Apps sind funktional, aber nicht so poliert wie OneDrive oder Google Drive auf dem Smartphone.
KI-Funktionen: Copilot, Gemini und vergleichbare KI-Assistenten gibt es nur bei den großen Anbietern. Synology hat hier (noch) nichts zu bieten.
Unsere Einschätzung: Für Unternehmen, die hauptsächlich Dateien speichern, teilen, gemeinsam an einfachen Dokumenten arbeiten und intern kommunizieren müssen, ist Synology eine vollwertige Alternative. Für Unternehmen, die auf spezifische Microsoft-365-Funktionen angewiesen sind, empfehlen wir eine Hybrid-Strategie statt eines Komplettumstiegs.

Was gewinne ich?

Der Wechsel zu einer eigenen Infrastruktur ist kein Rückschritt — er ist eine bewusste Entscheidung für mehr Kontrolle. Hier ist, was Sie konkret gewinnen:
Datensouveränität ohne Wenn und Aber
Ihre Daten liegen auf Hardware, die Ihnen gehört. Kein US-Anbieter, kein Drittlandtransfer, kein Restrisiko durch CLOUD Act oder wechselnde Angemessenheitsbeschlüsse. Wenn Ihr Datenschutzbeauftragter oder Ihre Branchenaufsicht fragt, wo die Daten liegen, zeigen Sie auf den Serverschrank in Ihrem Büro.
Einmalige Kosten statt Abo-Spirale
Cloud-Abos steigen regelmäßig im Preis — Microsoft hat allein zwischen 2021 und 2024 die Preise für Microsoft 365 Business zweimal erhöht. Bei einer eigenen Infrastruktur zahlen Sie einmal für Hardware und Einrichtung. Danach fallen nur noch Strom, Internet und gelegentliche Wartung an. Nach 3–4 Jahren haben Sie den Break-even in der Regel erreicht.
Unabhängigkeit von Anbieter-Entscheidungen
Wenn Microsoft morgen beschließt, eine Funktion zu streichen, den Preis zu verdoppeln oder die Nutzungsbedingungen zu ändern, haben Sie keine Wahl. Bei eigener Hardware entscheiden Sie selbst, wann Sie updaten, was Sie nutzen und wie lange Sie ein System betreiben.
Keine Nutzerdaten als Geschäftsmodell
Bei Microsoft und Google sind Ihre Nutzungsdaten Teil des Geschäftsmodells — auch im Business-Tarif. Telemetriedaten, Nutzungsstatistiken und Metadaten fließen an den Anbieter. Auf Ihrem eigenen NAS: nicht.
Geschwindigkeit im lokalen Netzwerk
Ein NAS im Gigabit- oder 10-Gigabit-Netzwerk ist bei großen Dateien deutlich schneller als jede Cloud-Lösung. Wenn Sie regelmäßig mit Videodateien, CAD-Zeichnungen oder großen Bildbeständen arbeiten, merken Sie den Unterschied sofort.

Rechenbeispiel: 10 Mitarbeiter über 5 Jahre

Zahlen sagen mehr als Versprechen. Hier ein realistisches Rechenbeispiel für ein Unternehmen mit 10 Mitarbeitenden, das grundlegende Cloud-Funktionen benötigt: Dateispeicher, Synchronisation, gemeinsame Dokumente, Kalender, E-Mail.
Variante A: Microsoft 365 Business Basic

Lizenzkosten: 6,00 EUR/Nutzer/Monat (Stand 2024, netto) - 10 Nutzer x 6,00 EUR x 60 Monate = 3.600 EUR - Zusätzlich für erweitertes Backup (Drittanbieter): ca. 2,00 EUR/Nutzer/Monat = 1.200 EUR - Einrichtung und Migration durch IT-Dienstleister: ca. 1.500 EUR - Gesamtkosten über 5 Jahre: ca. 6.300 EUR
Nicht eingerechnet: mögliche Preiserhöhungen (Microsoft hat 2023 und 2024 erhöht), Kosten für Compliance-Add-ons, SharePoint-Anpassungen oder Schulungen.
Variante B: Eigenes Synology NAS
Hardware (z.B. Synology DS1522+ mit 5x 4TB im RAID): ca. 1.800 EUR (netto) - Festplatten-Ersatz-Reserve (1 Spare-Disk): ca. 120 EUR - USV (unterbrechungsfreie Stromversorgung): ca. 250 EUR - Einrichtung, Konfiguration, Datenmigration durch TS-Scherer: ca. 3.000 EUR - Jährliche Wartung und Monitoring (optional): 600 EUR/Jahr x 5 = 3.000 EUR - E-Mail bei deutschem Anbieter (mailbox.org Business): 3,00 EUR/Nutzer/Monat x 10 x 60 = 1.800 EUR - Gesamtkosten über 5 Jahre: ca. 9.970 EUR (mit Wartungsvertrag) - Ohne Wartungsvertrag: ca. 6.970 EUR
Ehrliche Einordnung
Bei reiner Kostenbetrachtung ist Microsoft 365 Business Basic für 10 Nutzer über 5 Jahre günstiger oder vergleichbar — vor allem, wenn Sie keinen Wartungsvertrag abschließen. Der finanzielle Vorteil der eigenen Infrastruktur zeigt sich erst bei höheren Tarifen (Business Standard: 12,50 EUR/Nutzer/Monat = 7.500 EUR Lizenzen allein), bei mehr Nutzern oder bei längeren Zeiträumen.
Der eigentliche Gewinn liegt nicht primär im Preis, sondern in der Datensouveränität, der Unabhängigkeit von Preiserhöhungen und der Kontrolle über Ihre Daten. Wenn das für Ihr Unternehmen ein entscheidender Faktor ist, rechnet sich die Investition — auch wenn die reine Summe zunächst ähnlich aussieht.
Alle Preise netto, Stand Anfang 2025. Hardware-Preise schwanken je nach Verfügbarkeit.

Migrations-Ablauf und Risiken

Eine Migration von Microsoft 365 oder Google Workspace auf eine eigene Infrastruktur ist kein Wochenendprojekt. Sie braucht Planung, klare Zuständigkeiten und einen realistischen Zeitrahmen. Hier ist unser typischer Ablauf:
Phase 1: Bestandsaufnahme (1 Woche)
Wir erfassen Ihre aktuelle Situation: Wie viele Nutzer, wie viel Datenvolumen, welche Dienste werden tatsächlich genutzt, welche Abhängigkeiten bestehen? Oft stellt sich heraus, dass nur 3 von 10 verfügbaren Cloud-Diensten wirklich im Einsatz sind.
Phase 2: Konzept und Hardware-Auswahl (1 Woche)
Basierend auf der Bestandsaufnahme erstellen wir ein Migrationskonzept: Was wird ersetzt, was bleibt in der Cloud (Hybrid), welche Hardware wird benötigt? Sie erhalten ein schriftliches Konzept mit Kostenaufstellung.
Phase 3: Hardware-Beschaffung und Einrichtung (1–2 Wochen)
Wir bestellen, konfigurieren und testen die Hardware. RAID-Setup, Netzwerkintegration, VPN-Zugang, Benutzerkonten, Berechtigungsstruktur, Backup-Konzept — alles wird eingerichtet und dokumentiert.
Phase 4: Datenmigration (1–2 Wochen)
Dateien, Kalender, Kontakte werden übertragen. E-Mail-Konten werden beim neuen Anbieter eingerichtet. Wir migrieren schrittweise und betreiben beide Systeme parallel, bis alles funktioniert.
Phase 5: Schulung und Übergabe (2–3 Tage)
Jeder Mitarbeitende bekommt eine Einweisung in die neuen Werkzeuge. Keine PowerPoint-Vorträge, sondern praktisches Arbeiten am eigenen Rechner. Zusätzlich erhalten Sie eine schriftliche Anleitung für die häufigsten Arbeitsschritte.
Typische Risiken — und wie wir sie handhaben

Datenverlust bei der Migration: Wir arbeiten immer mit Kopien, nie mit dem Original. Das Quellsystem bleibt aktiv, bis die Migration bestätigt ist. - Mitarbeiter-Widerstand: Der häufigste Grund für gescheiterte Migrationen. Deshalb schulen wir gründlich und begleiten die ersten Wochen aktiv. - Technische Abhängigkeiten: Manche Branchensoftware setzt Microsoft-Dienste voraus. Das klären wir in Phase 1, bevor Geld fließt. - Ausfallzeiten: Durch den Parallelbetrieb gibt es keinen harten Umschalttag. Der Übergang ist fließend.
Gesamtdauer: Für ein Unternehmen mit 10 Arbeitsplätzen rechnen Sie mit 4–6 Wochen vom Erstgespräch bis zum abgeschlossenen Umzug.

Häufige Fragen

Häufige Fragen zur DSGVO-konforme Cloud

Ist Microsoft 365 nicht DSGVO-konform, seit es den neuen Angemessenheitsbeschluss gibt?

Der Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework) erlaubt den Datentransfer an zertifizierte US-Unternehmen. Microsoft ist zertifiziert. Formal ist die Nutzung damit derzeit zulässig. Aber: Die zugrundeliegenden US-Gesetze (CLOUD Act, FISA 702) haben sich nicht geändert. Der Beschluss kann, wie seine Vorgänger, vom EuGH gekippt werden. Für Unternehmen mit sensiblen Daten oder strenger Branchenaufsicht bleibt ein Restrisiko, das Sie bewusst abwägen sollten.

Brauche ich technisches Wissen, um ein Synology NAS zu betreiben?

Für den täglichen Betrieb nicht. Die Synology-Oberfläche ist so gestaltet, dass auch Anwender ohne IT-Hintergrund Dateien teilen, Kalender nutzen und Dokumente bearbeiten können. Für Administration, Updates und Troubleshooting empfehlen wir entweder einen Wartungsvertrag oder eine gründliche Einweisung des zuständigen Mitarbeitenden.

Was passiert, wenn das NAS ausfällt?

Bei einem richtig eingerichteten NAS mit RAID-System fällt nicht gleich alles aus, wenn eine Festplatte stirbt. Das RAID überbrückt den Ausfall, Sie tauschen die defekte Platte und das System rebuildet automatisch. Für den Fall eines kompletten Hardware-Defekts greifen Ihre Backups — lokal, auf einem zweiten NAS oder verschlüsselt bei einem deutschen Cloud-Anbieter. Ausfallzeit bei guter Planung: wenige Stunden, nicht Tage.

Können wir schrittweise umsteigen, statt alles auf einmal zu ändern?

Ja, und das empfehlen wir sogar in den meisten Fällen. Ein typischer Einstieg ist, den Dateispeicher auf das NAS zu verlagern und E-Mail zunächst bei Microsoft oder einem deutschen Anbieter zu belassen. So reduzieren Sie die Komplexität und können in Ruhe testen, bevor weitere Dienste umziehen.

Wie sicher sind die Daten auf einem NAS im Vergleich zur Cloud?

Sicherheit ist kein Entweder-oder. Ein schlecht konfiguriertes NAS ist unsicherer als Microsoft 365. Ein richtig eingerichtetes NAS — hinter einer Firewall, mit VPN-Zugang, 2FA, regelmäßigen Updates und durchdachtem Backup-Konzept — bietet ein Sicherheitsniveau, das für KMU mehr als ausreichend ist. Der entscheidende Vorteil: Sie wissen genau, wer Zugriff hat, und kein Dritter kann per Gesetz Daten herausgeben.

Was kostet die Erstberatung bei TS-Scherer?

Das Erstgespräch (30–45 Minuten per Telefon oder Video) ist kostenlos und unverbindlich. Darin klären wir gemeinsam, ob eine eigene Infrastruktur für Ihre Situation sinnvoll ist — oder ob Sie mit Ihrer aktuellen Lösung besser beraten sind. Ehrlich.