Cloud-Lösungen sind grundsätzlich mit deutschen Datenschutzanforderungen vereinbar, wenn sie sorgfältig ausgewählt und konfiguriert werden. Entscheidend sind der Serverstandort, vertragliche Garantien wie Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO sowie technische und organisatorische Maßnahmen (TOMs). Anbieter mit Rechenzentren in der EU und nachweisbaren Zertifizierungen wie ISO 27001 bieten die verlässlichste Grundlage für einen rechtskonformen Cloud-Betrieb in Deutschland.
Viele Unternehmen nutzen Cloud-Dienste, ohne einen rechtswirksamen Auftragsverarbeitungsvertrag abgeschlossen zu haben. Das ist kein Formalfehler, sondern ein echtes Haftungsrisiko. Ohne AVV fehlt die gesetzlich vorgeschriebene Grundlage für die Datenverarbeitung durch Dritte. Bei einem Datenschutzvorfall haftet das Unternehmen vollständig, selbst wenn der Fehler beim Anbieter liegt. Der konkrete Schritt: Prüfen Sie für jeden genutzten Cloud-Dienst, ob ein gültiger AVV vorliegt, und fordern Sie ihn aktiv beim Anbieter an.
Ein verbreitetes Problem beim Cloud-Einsatz ist das sogenannte Shared-Responsibility-Modell, das in der Praxis oft missverstanden wird. Anbieter sind für die Sicherheit der Infrastruktur verantwortlich, Unternehmen jedoch für die Sicherheit ihrer Daten, Zugriffsrechte und Konfigurationen. Wer davon ausgeht, dass der Anbieter alles regelt, riskiert ungeschützte Datenspeicher, offene Zugriffsrechte und fehlende Verschlüsselung. Der erste Schritt zur Abhilfe: Dokumentieren Sie klar, welche Schutzmaßnahmen in Ihrer Verantwortung liegen, und überprüfen Sie diese regelmäßig.
Cloud-Lösungen sind IT-Dienste, die über das Internet bereitgestellt werden, anstatt lokal auf eigenen Servern zu laufen. Sie umfassen Rechenleistung, Speicher, Datenbanken und Anwendungen, die Anbieter in ihren Rechenzentren betreiben und Nutzern auf Abruf zur Verfügung stellen. Das Modell folgt in der Regel einem Pay-per-Use-Prinzip.
Technisch basieren Cloud-Lösungen auf Virtualisierung: Physische Server werden in mehrere virtuelle Einheiten aufgeteilt, die unabhängig voneinander betrieben werden können. Nutzer greifen über gesicherte Verbindungen auf diese Ressourcen zu, ohne eigene Hardware betreiben zu müssen. Die drei grundlegenden Servicemodelle sind Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS).
Für Unternehmen bedeutet das konkret: IT-Ressourcen lassen sich flexibel skalieren, der Wartungsaufwand sinkt, und Mitarbeitende können von unterschiedlichen Standorten auf dieselben Systeme zugreifen. Gleichzeitig entstehen neue Anforderungen an Datenschutz und Informationssicherheit, da Daten das eigene Rechenzentrum verlassen.
Für Cloud-Dienste gilt in Deutschland die Datenschutz-Grundverordnung (DSGVO) der EU sowie ergänzend das Bundesdatenschutzgesetz (BDSG). Zentrale Anforderungen sind der Abschluss eines Auftragsverarbeitungsvertrags, die Einhaltung technischer und organisatorischer Maßnahmen sowie die Dokumentationspflicht. Die Verarbeitung personenbezogener Daten ist nur auf Basis einer Rechtsgrundlage zulässig.
Konkret bedeutet das für den Cloud-Einsatz: Unternehmen müssen vor der Nutzung prüfen, wo Daten gespeichert und verarbeitet werden, welche Subauftragnehmer der Anbieter einsetzt, und ob dieser ausreichende Garantien für die Einhaltung der DSGVO bieten kann. Diese Pflichten treffen das Unternehmen als Verantwortlichen, nicht den Cloud-Anbieter.
Zusätzlich können branchenspezifische Regelungen gelten. Im Gesundheitswesen etwa greifen strengere Anforderungen aus dem Sozialgesetzbuch (SGB V) und der ärztlichen Schweigepflicht. Für Behörden und öffentliche Einrichtungen gelten teils abweichende Landesdatenschutzgesetze. Unternehmen sollten daher nicht nur die DSGVO, sondern auch sektorspezifische Vorgaben in ihrer Compliance-Prüfung berücksichtigen.
US-amerikanische Cloud-Anbieter können DSGVO-konform eingesetzt werden, wenn geeignete Garantien für die Datenübermittlung in Drittstaaten vorliegen. Seit Juli 2023 bildet das EU-US Data Privacy Framework (DPF) die rechtliche Grundlage für Datentransfers in die USA, sofern der Anbieter zertifiziert ist. Die Rechtslage bleibt jedoch dynamisch und sollte regelmäßig überprüft werden.
Das EU-US Data Privacy Framework wurde als Nachfolger des gescheiterten Privacy Shield eingeführt. Anbieter, die unter diesem Rahmenwerk zertifiziert sind, verpflichten sich zur Einhaltung europäischer Datenschutzstandards. Ob ein Anbieter zertifiziert ist, lässt sich im offiziellen DPF-Register des US-Handelsministeriums nachprüfen.
Trotzdem bestehen Risiken: US-amerikanisches Recht, insbesondere der CLOUD Act, erlaubt US-Behörden unter bestimmten Voraussetzungen den Zugriff auf Daten, die US-Unternehmen weltweit speichern, auch wenn die Server in der EU stehen. Für besonders sensible Daten empfehlen Datenschutzbehörden daher Anbieter mit ausschließlichem EU-Sitz und ohne US-Muttergesellschaft. Hinweis: Die tatsächliche Rechtslage kann sich durch Gerichtsentscheidungen oder politische Entwicklungen verändern. Eine aktuelle Rechtsberatung ist empfehlenswert.
Private Cloud und souveräne Cloud-Modelle mit Rechenzentren in Deutschland erfüllen deutsche Datenschutzstandards am zuverlässigsten. Sie bieten volle Kontrolle über Datenspeicherort und Zugriffe. Zertifizierte Anbieter nach ISO 27001 und BSI C5 bieten zusätzliche Nachweissicherheit für Compliance-Anforderungen.
Bei einer Private Cloud betreibt ein Unternehmen eine dedizierte Cloud-Infrastruktur, entweder im eigenen Rechenzentrum oder bei einem Managed-Service-Anbieter. Daten bleiben vollständig unter Kontrolle des Unternehmens, und Zugriffsrechte lassen sich granular steuern. Dieses Modell eignet sich besonders für Organisationen mit hohen Compliance-Anforderungen, etwa im Finanz- oder Gesundheitsbereich.
Souveräne Cloud-Angebote europäischer Anbieter, darunter Initiativen wie GAIA-X, zielen darauf ab, Datensouveränität innerhalb der EU zu gewährleisten. Community Clouds teilen Infrastruktur zwischen Organisationen mit ähnlichen Anforderungen, zum Beispiel Behörden oder Forschungseinrichtungen, und bieten damit einen Mittelweg zwischen Kosteneffizienz und Datenschutz.
Auch Public-Cloud-Dienste können datenschutzkonform genutzt werden, wenn der Anbieter Rechenzentren ausschließlich in der EU betreibt, einen gültigen AVV anbietet, BSI C5- oder ISO-27001-Zertifizierungen vorweisen kann und keine Datenweitergabe in Drittstaaten ohne geeignete Garantien erfolgt. Netzwerksicherheit und Zugriffskontrollen spielen dabei eine zentrale Rolle.
Eine DSGVO-konforme Cloud-Migration folgt einem strukturierten Prozess: Datenkategorisierung, Anbieterprüfung, Vertragsabschluss, technische Absicherung und Dokumentation. Entscheidend ist, dass Datenschutz nicht als nachgelagerte Aufgabe behandelt wird, sondern von Beginn an Teil der Migrationsplanung ist.
Ein bewährter Ablauf sieht wie folgt aus:
Besondere Aufmerksamkeit verdient die Phase nach der Migration: Zugriffsrechte sollten regelmäßig überprüft, Sicherheitskonfigurationen auditiert und Anbieterverträge bei Änderungen aktuell gehalten werden. Anwendungsdienste und Integrationslösungen können dabei helfen, Prozesse sicher und compliant zu gestalten.
Die häufigsten Datenschutzfehler beim Cloud-Einsatz sind fehlende Auftragsverarbeitungsverträge, unkontrollierte Schatten-IT, unzureichende Zugriffskontrollen und fehlende Verschlüsselung. Diese Fehler entstehen oft nicht aus Nachlässigkeit, sondern aus unklaren Verantwortlichkeiten oder fehlendem Überblick über genutzte Dienste.
Konkrete Risiken im Überblick:
Ein strukturiertes Cloud-Governance-Konzept, das klare Richtlinien für die Nutzung, Freigabe und Überprüfung von Cloud-Diensten definiert, reduziert diese Risiken erheblich. Hinweis: Die tatsächliche Risikobewertung hängt von der jeweiligen Unternehmensstruktur und den verarbeiteten Datenkategorien ab.
Wir begleiten Unternehmen bei der Planung, Umsetzung und dem Betrieb von Cloud-Lösungen, die deutschen Datenschutzanforderungen entsprechen. Dabei verbinden wir technisches Know-how mit einem tiefen Verständnis für regulatorische Anforderungen in unterschiedlichen Branchen, von mittelständischen Unternehmen bis hin zu öffentlichen Einrichtungen und Forschungsinstituten.
Unser Leistungsangebot im Bereich datenschutzkonforme Cloud-Lösungen umfasst:
Wenn Sie Ihre Cloud-Strategie datenschutzkonform aufstellen oder eine bestehende Umgebung auf Compliance-Lücken prüfen möchten, sprechen Sie uns an. Nehmen Sie Kontakt mit uns auf und erfahren Sie, wie wir Ihre Cloud-Migration sicher und regelkonform gestalten können.
