Wie erfüllt Cloud Computing die Anforderungen der DSGVO?

Cloud Computing erfüllt die Anforderungen der DSGVO dann, wenn personenbezogene Daten ausschließlich auf Servern innerhalb der EU oder des EWR verarbeitet werden, ein rechtsgültiger Auftragsverarbeitungsvertrag abgeschlossen wurde und der Anbieter nachweislich geeignete technische und organisatorische Schutzmaßnahmen umsetzt. Diese Anforderungen gelten für Unternehmen jeder Größe, die Cloud-Dienste zur Verarbeitung personenbezogener Daten einsetzen. Die folgenden Abschnitte beantworten die wichtigsten Fragen rund um DSGVO-konformes Cloud Computing.

Welche DSGVO-Anforderungen gelten speziell für Cloud-Dienste?

Für Cloud-Dienste gelten dieselben DSGVO-Grundsätze wie für jede andere Form der Datenverarbeitung: Zweckbindung, Datensparsamkeit, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Zusätzlich entstehen bei der Cloud-Nutzung spezifische Pflichten, weil personenbezogene Daten an einen externen Dienstleister übertragen werden, der als Auftragsverarbeiter handelt.

Konkret bedeutet das für Unternehmen, die Cloud-Dienste nutzen:

• Eine Rechtsgrundlage für jede Datenverarbeitung muss vorliegen (Art. 6 DSGVO).
• Der Cloud-Anbieter muss als Auftragsverarbeiter vertraglich gebunden werden (Art. 28 DSGVO).
• Betroffene Personen müssen über die Datenverarbeitung informiert werden (Art. 13, 14 DSGVO).
• Das Unternehmen bleibt als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung zuständig.
• Bei Datenpannen muss die Aufsichtsbehörde innerhalb von 72 Stunden informiert werden (Art. 33 DSGVO).

Wichtig: Die Verantwortung für die DSGVO-Konformität liegt beim datenverarbeitenden Unternehmen, nicht allein beim Cloud-Anbieter. Ein zertifizierter Anbieter entbindet Sie nicht von Ihrer eigenen Rechenschaftspflicht.

Wo dürfen Cloud-Anbieter personenbezogene Daten speichern?

Personenbezogene Daten dürfen grundsätzlich ohne zusätzliche Absicherung nur innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) gespeichert werden. Eine Übermittlung in Drittstaaten außerhalb des EWR ist nur unter bestimmten Voraussetzungen zulässig.

Für Datentransfers in Drittstaaten sieht die DSGVO folgende Mechanismen vor:

• Angemessenheitsbeschluss der EU-Kommission: Für Länder, denen die EU ein gleichwertiges Datenschutzniveau bescheinigt hat (z. B. Japan, Kanada, Großbritannien).
• Standardvertragsklauseln (SCC): Von der EU-Kommission genehmigte Vertragsklauseln, die zwischen Verantwortlichem und Empfänger vereinbart werden.
• Verbindliche interne Datenschutzvorschriften (BCR): Für konzerninterne Transfers innerhalb multinationaler Unternehmen.

In der Praxis empfiehlt sich für Unternehmen in Deutschland die Wahl eines Anbieters mit Rechenzentren ausschließlich in Deutschland oder der EU. Das minimiert rechtliche Unsicherheiten und vereinfacht die Nachweispflichten gegenüber Aufsichtsbehörden erheblich. Achten Sie bei der Anbieterauswahl darauf, dass der Speicherort vertraglich festgelegt ist und nicht einseitig geändert werden kann.

Was ist ein Auftragsverarbeitungsvertrag und wann ist er Pflicht?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtlich verbindlicher Vertrag zwischen dem Verantwortlichen (Ihrem Unternehmen) und dem Auftragsverarbeiter (dem Cloud-Anbieter), der regelt, wie personenbezogene Daten verarbeitet werden dürfen. Der AVV ist immer dann Pflicht, wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, Art. 28 DSGVO schreibt ihn zwingend vor.

Ein rechtsgültiger AVV muss mindestens folgende Inhalte umfassen:

1. Gegenstand, Dauer und Art der Verarbeitung
2. Zweck der Datenverarbeitung
3. Art der personenbezogenen Daten und Kategorien betroffener Personen
4. Pflichten und Rechte des Verantwortlichen
5. Weisungsgebundenheit des Auftragsverarbeiters
6. Regelungen zu Unterauftragsverarbeitern
7. Nachweispflichten und Unterstützungspflichten bei Betroffenenanfragen
8. Löschung oder Rückgabe der Daten nach Vertragsende

Viele Cloud-Anbieter stellen standardisierte AVV-Dokumente bereit. Diese sollten Sie sorgfältig prüfen und bei Bedarf anpassen, bevor Sie einen Cloud-Dienst produktiv einsetzen. Fehlt ein AVV, liegt ein Datenschutzverstoß vor, der Bußgelder nach sich ziehen kann.

Wie schützen technische und organisatorische Maßnahmen Cloud-Daten?

Technische und organisatorische Maßnahmen (TOM) sind konkrete Sicherheitsvorkehrungen, die Cloud-Anbieter und Unternehmen gemeinsam umsetzen müssen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Art. 32 DSGVO verpflichtet beide Seiten zur Umsetzung eines dem Risiko angemessenen Schutzniveaus.

Technische Maßnahmen

Auf technischer Ebene umfassen relevante Schutzmaßnahmen unter anderem:

• Verschlüsselung: Daten sollten sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) verschlüsselt sein.
• Zugangskontrollen: Mehrstufige Authentifizierung und rollenbasierte Zugriffsrechte begrenzen, wer auf welche Daten zugreifen kann.
• Pseudonymisierung: Wo möglich, sollten Daten so verarbeitet werden, dass ein direkter Personenbezug ohne Zusatzinformationen nicht herstellbar ist.
• Backup und Wiederherstellung: Regelmäßige Datensicherungen gewährleisten die Verfügbarkeit und Belastbarkeit der Systeme.

Organisatorische Maßnahmen

Auf organisatorischer Ebene sind folgende Maßnahmen relevant:

• Zertifizierungen: ISO 27001 und ISO 9001 belegen ein systematisches Informationssicherheits- und Qualitätsmanagementsystem.
• Mitarbeiterschulungen: Regelmäßige Datenschutzschulungen für alle Mitarbeitenden, die mit personenbezogenen Daten arbeiten.
• Incident-Response-Prozesse: Definierte Abläufe für den Fall einer Datenpanne, inklusive Meldeketten und Dokumentationspflichten.
• Datenschutz-Folgenabschätzung (DSFA): Bei risikoreichen Verarbeitungen ist eine strukturierte Risikoanalyse vor dem Einsatz eines Cloud-Dienstes erforderlich.

Hinweis: Die tatsächliche Wirksamkeit von TOM hängt von der konkreten Konfiguration und dem Betrieb ab. Verlassen Sie sich nicht allein auf Herstellerangaben, sondern prüfen Sie die Maßnahmen im Rahmen Ihrer eigenen Risikobeurteilung.

Welche Cloud-Modelle sind am besten DSGVO-konform?

Kein Cloud-Modell ist von vornherein DSGVO-konform oder nicht konform. Die Datenschutzkonformität hängt nicht vom Deployment-Modell ab, sondern davon, wie der Datenschutz im jeweiligen Modell umgesetzt wird. Dennoch bieten unterschiedliche Modelle unterschiedliche Kontrollmöglichkeiten.

Eine Einordnung der gängigen Modelle:

• Private Cloud: Bietet die größte Kontrolle, da Infrastruktur und Datenhaltung ausschließlich für ein Unternehmen betrieben werden. Erleichtert die Umsetzung individueller Sicherheitsanforderungen, erfordert aber entsprechende interne oder extern betriebene Ressourcen.
• Public Cloud: Infrastruktur wird von einem Anbieter geteilt. DSGVO-Konformität ist möglich, setzt aber voraus, dass Speicherort, AVV und TOM klar geregelt sind. Die Verantwortung für die Konfiguration liegt beim Unternehmen.
• Hybrid Cloud: Kombiniert Private und Public Cloud. Ermöglicht es, besonders schutzbedürftige Daten in der Private Cloud zu halten, während weniger sensible Workloads in der Public Cloud laufen.
• Community Cloud: Gemeinsam genutzte Infrastruktur für eine definierte Nutzergruppe, z. B. Behörden oder Forschungseinrichtungen. Kann hohe Datenschutzstandards bieten, wenn die Governance klar geregelt ist.

Für Unternehmen mit hohen Datenschutzanforderungen, etwa im Gesundheitswesen oder bei öffentlichen Einrichtungen, empfiehlt sich häufig eine Private Cloud oder ein Hybrid-Ansatz mit klar definierten Datenhaltungsregeln.

Wie wählt man einen DSGVO-konformen Cloud-Anbieter aus?

Einen DSGVO-konformen Cloud-Anbieter wählt man aus, indem man systematisch Speicherort, Zertifizierungen, Vertragsunterlagen und Sicherheitsmaßnahmen prüft. Die Auswahl sollte dokumentiert und begründbar sein, da Sie als Verantwortlicher gegenüber Aufsichtsbehörden nachweisen müssen, warum Sie diesen Anbieter gewählt haben.

Eine strukturierte Prüfliste für die Anbieterauswahl:

1. Speicherort: Werden Daten ausschließlich in der EU oder dem EWR gespeichert? Ist der Standort vertraglich garantiert?
2. Auftragsverarbeitungsvertrag: Stellt der Anbieter einen AVV bereit, der Art. 28 DSGVO entspricht?
3. Zertifizierungen: Verfügt der Anbieter über relevante Zertifizierungen wie ISO 27001, ISO 9001 oder C5 (BSI Cloud Computing Compliance Criteria Catalogue)?
4. Transparenz über Unterauftragsverarbeiter: Sind alle Subunternehmen, die Daten verarbeiten könnten, im AVV oder in einer öffentlichen Liste aufgeführt?
5. Lösch- und Rückgabeprozesse: Wie werden Daten nach Vertragsende gelöscht oder zurückgegeben?
6. Incident-Management: Gibt es definierte Prozesse zur Meldung von Datenpannen, die Ihre gesetzliche 72-Stunden-Frist einhalten?
7. Auditrechte: Räumt der Anbieter Ihnen das Recht ein, Prüfungen durchzuführen oder Nachweise anzufordern?

Zusätzlich empfiehlt sich eine sichere Netzwerkanbindung an den Cloud-Dienst, um Übertragungsrisiken zu minimieren. Beziehen Sie bei der Entscheidung Ihren Datenschutzbeauftragten ein, sofern ein solcher bestellt ist.

Wie Concat AG Sie bei DSGVO-konformem Cloud Computing unterstützt

Als erfahrenes IT-Systemhaus unterstützen wir Unternehmen dabei, Cloud-Lösungen rechtssicher und datenschutzkonform einzuführen und zu betreiben. Unsere eigenen Rechenzentren in Deutschland sind nach ISO 9001 und ISO 27001 zertifiziert und erfüllen damit zentrale Anforderungen der DSGVO. Unser Portfolio an Cloud- und Applikationsdiensten wird ausschließlich auf deutschen Servern betrieben.

Konkret unterstützen wir Sie bei folgenden Aufgaben:

• Analyse Ihrer aktuellen IT-Infrastruktur und Identifikation datenschutzrelevanter Risiken
• Auswahl und Implementierung geeigneter Cloud-Modelle (Private, Public, Hybrid) nach Ihrem Schutzbedarf
• Bereitstellung rechtssicherer Auftragsverarbeitungsverträge als Teil unserer Managed Services
• Umsetzung technischer und organisatorischer Maßnahmen nach ITIL- und ISO-9001-Standards
• Betrieb Ihrer Cloud-Umgebung durch unseren 24×7-Servicedesk mit klaren SLAs
• Unterstützung bei der Dokumentation und Nachweisführung gegenüber Datenschutzaufsichtsbehörden

Sprechen Sie uns an: Nehmen Sie Kontakt auf und lassen Sie sich von unseren Experten beraten, wie Sie Cloud Computing in Ihrem Unternehmen DSGVO-konform gestalten können.