Datenmigrationen sind aus Compliance-Sicht Hochrisiko-Events. Du verschiebst Daten — möglicherweise mit PII, PHI oder Finanzdaten — zwischen Systemen, unter Umständen über Netzwerkgrenzen hinweg. Regulierungsbehörden interessiert dein Infrastruktur-Refresh-Zeitplan nicht; sie interessiert, ob die Daten durchgehend geschützt waren.

Dieser Guide bildet Compliance-Anforderungen auf konkrete Migrationsschritte ab und gibt dir eine universelle Checkliste, die du an dein regulatorisches Umfeld anpassen kannst.

Warum Migrationen Compliance-Events sind

Eine Datenmigration löst regulatorische Prüfung aus, weil:

Daten sind im Transit — Verschlüsselungsanforderungen gelten
Zugriffskontrollen können sich ändern — Berechtigungen müssen am Ziel verifiziert werden
Audit-Trails sind wichtig — du musst nachweisen, was wann von wem verschoben wurde
Daten können Grenzen überschreiten — geographisch, netzwerktechnisch oder organisatorisch
Integrität muss erhalten bleiben — korrupte oder fehlende Daten sind ein Compliance-Verstoß

Compliance ist keine Kür

Eine Migration, die Daten verliert, PII offenlegt oder keinen Audit-Trail hat, kann regulatorische Bußgelder auslösen. DSGVO-Bußgelder können 4 % des Jahresumsatzes erreichen. HIPAA-Strafen reichen von 100 $ bis 1,9 Mio. $ pro Verstoß. Plane Compliance in die Migration ein — nicht als Nachgedanken.

Regulierungsspezifische Anforderungen

DSGVO (Datenschutz-Grundverordnung)

Gilt für: Jede Organisation, die personenbezogene Daten aus der EU/dem EWR verarbeitet.

Anforderung	Auswirkung auf die Migration
Datenminimierung (Art. 5)	Migriere nur Daten, die noch benötigt werden — kopiere keine obsoleten PII
Zweckbindung (Art. 5)	Dokumentiere, warum und wohin Daten migriert werden
Verschlüsselung im Transit (Art. 32)	Nutze verschlüsselte Protokolle (NFSv4+krb5p, SMB3+Encryption, HTTPS für S3)
Auftragsverarbeitungsvertrag (Art. 28)	Bei Nutzung eines Migrationsdienstleisters ist ein AVV erforderlich
Recht auf Löschung (Art. 17)	Stelle sicher, dass Löschanfragen in den migrierten Daten berücksichtigt sind
Meldung von Datenpannen (Art. 33)	Bei Offenlegung während der Migration gilt die 72-Stunden-Meldepflicht
Verarbeitungsverzeichnis (Art. 30)	Dokumentiere die Migration als Verarbeitungstätigkeit

DSGVO-Migrationscheckliste:

Datenschutz-Folgenabschätzung (DSFA) durchgeführt, falls Hochrisikodaten betroffen
Rechtsgrundlage für die Migration dokumentiert
Auftragsverarbeitungsvertrag mit beteiligten Migrationsdienstleistern abgeschlossen
Verschlüsselung für Daten im Transit aktiviert
Zugriff während der Migration auf autorisiertes Personal beschränkt
Migration im Verarbeitungsverzeichnis dokumentiert
Nach der Migration: Löschanfragen werden auf dem neuen System umgesetzt

HIPAA (Health Insurance Portability and Accountability Act)

Gilt für: Covered Entities und Business Associates, die PHI verarbeiten.

Anforderung	Auswirkung auf die Migration
Zugriffskontrollen (§164.312(a))	Nur autorisierte Nutzer greifen während der Migration auf Daten zu
Audit-Kontrollen (§164.312(b))	Alle Zugriffe auf PHI während der Migration protokollieren
Integritätskontrollen (§164.312(c))	Sicherstellen, dass PHI beim Transfer nicht verändert werden
Übertragungssicherheit (§164.312(e))	PHI im Transit verschlüsseln
Business Associate Agreement (§164.502(e))	BAA mit Migrationsdienstleistern erforderlich

HIPAA-Migrationscheckliste:

Business Associate Agreement mit Migrationstools/-anbietern abgeschlossen
PHI vor der Migration identifiziert und klassifiziert
Verschlüsselung für alle PHI im Transit aktiviert
Zugriffsprotokolle aktiviert und für 6 Jahre aufbewahrt
Integritätsverifizierung (Checksummen) nach der Migration durchgeführt
Mitarbeiterschulung zum Umgang mit PHI während der Migration
Backup der PHI für den Fall eines Migrationsausfalls vorhanden

SOC 2 (Service Organization Control 2)

Gilt für: Dienstleistungsunternehmen, die Kundendaten speichern/verarbeiten.

Trust-Prinzip	Auswirkung auf die Migration
Security	Zugriffskontrollen, Verschlüsselung, Change Management
Availability	Migration verursacht keine ungeplante Downtime
Processing Integrity	Daten sind nach der Migration vollständig und korrekt
Confidentiality	Daten sind vor unbefugtem Zugriff geschützt
Privacy	Personenbezogene Daten werden richtlinienkonform erhoben, genutzt und aufbewahrt

SOC-2-Migrationscheckliste:

Change-Management-Prozess eingehalten (Genehmigung, Test, Rollback-Plan)
Verschlüsselung im Transit und at Rest am Ziel
Zugriff auf autorisiertes Personal mit MFA beschränkt
Migration zuerst in Nicht-Produktionsumgebung getestet
Datenintegritätsprüfung mit Checksummen
Incident-Response-Plan für den Migrationszeitraum aktualisiert
Nachweise gesammelt: Logs, Verifizierungsberichte, Genehmigungsprotokolle

Universelle Migrations-Compliance-Checkliste

Diese Checkliste funktioniert regulierungsübergreifend. Passe sie an deine spezifischen Anforderungen an.

Vor der Migration

Datenklassifizierung — PII, PHI, Finanzdaten, vertrauliche Dokumente identifizieren
Rechtliche Prüfung — bestätigen, dass die Migration im rechtlichen/vertraglichen Rahmen liegt
Risikobewertung — DSFA (DSGVO) oder Security Assessment (HIPAA/SOC 2)
Lieferantenverträge — AVV/BAA mit allen beteiligten Drittparteien
Zugriffskontrollen — festlegen, wer während der Migration auf Daten zugreifen darf
Verschlüsselungsplan — Verschlüsselung für Daten im Transit und at Rest dokumentieren
Rollback-Plan — definieren, wie die Migration bei Problemen rückgängig gemacht wird
Kommunikationsplan — Stakeholder benachrichtigen, einschließlich DSB falls zutreffend
Aufbewahrungsprüfung — Daten über der Aufbewahrungsfrist identifizieren (nicht migrieren)

Während der Migration

Verschlüsselter Transfer — Verschlüsselung ist aktiv (nicht nur konfiguriert)
Zugriffsprotokollierung — alle Datenzugriffe während der Migration werden geloggt
Fortschrittsüberwachung — verfolgen, was übertragen wurde und was noch aussteht
Fehlerbehandlung — fehlgeschlagene Transfers werden geloggt und wiederholt oder eskaliert
Keine Daten at Rest an Zwischenorten — Staging-Bereiche sind verschlüsselt und werden bereinigt
Incident-Erkennung — Monitoring auf unautorisierte Zugriffsversuche

Nach der Migration

Integritätsverifizierung — Checksummen-Vergleich zwischen Quelle und Ziel
Berechtigungsverifizierung — ACLs/Berechtigungen entsprechen den Anforderungen am Ziel
Vollständigkeitsprüfung — alle erwarteten Dateien/Datensätze sind vorhanden
Quelldaten-Handhabung — sichere Löschung von der Quelle gemäß Aufbewahrungsrichtlinie
Audit-Report-Generierung — dokumentieren, was wann von wem mit welchem Ergebnis migriert wurde
Zugriffskontrolle aktualisieren — temporäre Migrationszugriffe entziehen
Nachweisarchivierung — Logs, Reports und Verifizierungsergebnisse für den Audit-Zeitraum aufbewahren

Nachweise richtig lang aufbewahren

Die DSGVO schreibt keine spezifische Aufbewahrungsfrist für Verarbeitungsverzeichnisse vor, aber Best Practice sind 3-5 Jahre. HIPAA verlangt 6 Jahre. SOC-2-Audit-Nachweise werden typischerweise 12-15 Monate aufbewahrt. Kenne deine Aufbewahrungsanforderungen.

Migrationstools und Compliance

Wie unterstützen gängige Migrationstools Compliance-Anforderungen?

Anforderung	rsync	Robocopy	rclone	syncopio
Verschlüsselter Transfer	SSH	SMB Encryption	HTTPS	NFS krb5p, SMB3, HTTPS
Audit-Logging	`--log-file`	`/LOG`	`--log-file`	Integrierter Audit-Trail
Checksummen-Verifizierung	`--checksum` (Extra-Durchlauf)	Nicht verfügbar	`--checksum`	Während des Transfers
Compliance-Reports	Manuell	Manuell	Manuell	PDF/CSV/Excel-Export
Zugriffskontrolle	SSH Keys	AD/NTFS	Config-basiert	Rollenbasiert + API-Keys
Nachweisgenerierung	Logs manuell parsen	Logs manuell parsen	Logs manuell parsen	Automatisierte Reports

Compliance-ready Migrationsreports

syncopio generiert Compliance-Nachweise automatisch: Transferberichte mit Checksummen, Audit-Trails mit Zeitstempeln und exportierbare Reports in PDF, CSV und Excel. Kein manuelles Log-Parsen nötig. Alle Features ansehen.

Häufige Compliance-Fehler bei Migrationen

Daten migrieren, die man hätte löschen sollen — Aufbewahrungsrichtlinien existieren aus gutem Grund
Unverschlüsselte Protokolle nutzen — NFSv3 und SMB1 übertragen Daten im Klartext
Keine Verifizierung — “Hat erfolgreich kopiert” ist kein Nachweis; Checksummen schon
Temporäres Staging ohne Verschlüsselung — Daten, die unverschlüsselt auf einem Staging-Server liegen
Fehlender Audit-Trail — “Wir haben die Daten letzten Monat migriert” ohne Logs oder Zeitstempel
BAA/AVV vergessen — ein Cloud-Migrationstool ohne Lieferantenvertrag nutzen
Migrationszugriffe nicht entziehen — temporäre erhöhte Berechtigungen, die bestehen bleiben

Weiterführende Artikel

Warum Prüfsummen wichtig sind: Wie syncopio jede Datei verifiziert — Deep-Dive Datenintegrität
Datenmigration: Der komplette Guide — End-to-End-Methodik
NFS vs SMB: Sicherheitsvergleich — Sicherheitsfeatures der Protokolle