BlogDSGVO Compliance
18. Juni 2025 Compliance 15 Min. Lesezeit

DSGVO-konforme Cloud-Services: Worauf deutsche Unternehmen achten müssen

DSGVO Compliance

Die Datenschutz-Grundverordnung (DSGVO) stellt deutsche Unternehmen vor besondere Herausforderungen bei der Nutzung von Cloud-Services. Dieser umfassende Leitfaden zeigt, wie Sie Cloud-Computing DSGVO-konform einsetzen und dabei von den Vorteilen der Cloud profitieren können.

DSGVO und Cloud Computing: Die Grundlagen

Seit dem 25. Mai 2018 regelt die DSGVO den Umgang mit personenbezogenen Daten in der Europäischen Union. Für Unternehmen, die Cloud-Services nutzen, ergeben sich dabei besondere Anforderungen, da personenbezogene Daten oft an externe Dienstleister übertragen werden.

⚠️ Wichtiger Hinweis

Bei Verstößen gegen die DSGVO drohen Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Grundprinzipien der DSGVO

Rechtmäßigkeit

Verarbeitung nur bei vorhandener Rechtsgrundlage

Zweckbindung

Daten nur für festgelegte Zwecke verwenden

Datenminimierung

Nur notwendige Daten erheben und verarbeiten

Transparenz

Betroffene über Datenverarbeitung informieren

Speicherbegrenzung

Daten nicht länger als nötig speichern

Integrität & Vertraulichkeit

Angemessene Sicherheit gewährleisten

Cloud-Provider-Kategorien aus DSGVO-Sicht

Die DSGVO unterscheidet zwischen verschiedenen Rollen bei der Datenverarbeitung:

1. Auftragsverarbeiter (Processor)

Definition: Cloud-Provider, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Beispiele: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS)

Anforderungen: Auftragsverarbeitungsvertrag (AVV) erforderlich

2. Gemeinsam Verantwortlicher (Joint Controller)

Definition: Cloud-Provider bestimmt gemeinsam Zwecke und Mittel der Verarbeitung.

Beispiele: Manche Software-as-a-Service (SaaS) Lösungen

Anforderungen: Vereinbarung über gemeinsame Verantwortlichkeit

3. Eigenständiger Verantwortlicher

Definition: Cloud-Provider nutzt Daten für eigene Zwecke.

Beispiele: Werbefinanzierte Services, Analytics-Tools

Anforderungen: Eigene Rechtsgrundlage erforderlich

Der Auftragsverarbeitungsvertrag (AVV)

Das Herzstück der DSGVO-Compliance in der Cloud ist der Auftragsverarbeitungsvertrag. Dieser muss zwingend vor Beginn der Datenverarbeitung geschlossen werden.

Pflichtinhalte eines AVV nach Art. 28 DSGVO

Inhalt Beschreibung Praktische Umsetzung
Gegenstand und Dauer Beschreibung der Verarbeitung Konkrete Benennung der Cloud-Services
Art und Zweck Warum werden Daten verarbeitet? Geschäftszweck dokumentieren
Datenkategorien Welche Daten werden verarbeitet? Liste aller Datentypen
Betroffenenkreis Wessen Daten werden verarbeitet? Kunden, Mitarbeiter, etc. definieren
Weisungen Nur auf dokumentierte Anweisung Klare Prozesse für Änderungen
Vertraulichkeit Verpflichtung zur Vertraulichkeit Mitarbeiter-Schulungen beim Provider
Sicherheitsmaßnahmen Technische und organisatorische Maßnahmen Konkrete Security-Controls
Unterauftragsverarbeiter Regelung für Sub-Processor Liste und Genehmigungsverfahren

Technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. In der Cloud sind folgende Bereiche besonders relevant:

1. Verschlüsselung

Transport-Verschlüsselung

  • TLS 1.3 für alle Datenübertragungen
  • Perfect Forward Secrecy
  • Zertifikats-Validierung

Speicher-Verschlüsselung

  • AES-256 Verschlüsselung at Rest
  • Sichere Schlüsselverwaltung
  • Hardware Security Modules (HSM)

2. Zugriffskontrolle

Identity and Access Management

  • Multi-Faktor-Authentifizierung (MFA)
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Least-Privilege-Prinzip
  • Regelmäßige Access Reviews

3. Monitoring und Logging

Überwachungsmaßnahmen

  • Umfassendes Audit-Logging
  • Security Information and Event Management (SIEM)
  • Anomalie-Erkennung
  • Incident Response Prozesse

Internationale Datentransfers

Einer der komplexesten Aspekte der DSGVO-Compliance in der Cloud sind internationale Datentransfers, insbesondere in die USA.

Rechtliche Grundlagen für Drittlandtransfers

1. Angemessenheitsbeschluss

Status: EU-Kommission erklärt Drittland als "angemessen"

Aktuelle Länder: Schweiz, UK, Japan, Kanada, Israel u.a.

USA: Kein Angemessenheitsbeschluss (Privacy Shield ungültig)

2. Standardvertragsklauseln (SCC)

Anwendung: Vertragliche Garantien für Datenschutzniveau

Anforderung: Transfer Impact Assessment (TIA) erforderlich

Problem: Zusätzliche Schutzmaßnahmen oft nötig

3. Binding Corporate Rules (BCR)

Anwendung: Interne Datenschutzregeln multinationaler Konzerne

Vorteil: Einheitliche Standards konzernweit

Nachteil: Komplexes Genehmigungsverfahren

Schrems II und die Folgen

Das EuGH-Urteil "Schrems II" vom Juli 2020 hat die Landschaft für US-Cloud-Services fundamental verändert:

Auswirkungen auf US-Cloud-Provider:

  • Verstärkte Prüfungspflichten bei US-Transfers
  • Berücksichtigung von US-Überwachungsgesetzen (FISA, CLOUD Act)
  • Notwendigkeit zusätzlicher Schutzmaßnahmen
  • Mögliche Unzulässigkeit bestimmter Transfers

Praktische Lösungsansätze:

  • Nutzung europäischer Cloud-Provider
  • Datenverarbeitung ausschließlich in EU-Rechenzentren
  • End-to-End-Verschlüsselung mit EU-Key-Management
  • Pseudonymisierung und Anonymisierung

Cloud-Service-Modelle und DSGVO-Compliance

Infrastructure as a Service (IaaS)

Verantwortungsverteilung: Shared Responsibility Model

Provider-Verantwortung: Physische Sicherheit, Netzwerk, Hardware

Kunden-Verantwortung: Betriebssystem, Anwendungen, Daten

DSGVO-Besonderheiten: Kunde hat volle Kontrolle über Datenverarbeitung

Platform as a Service (PaaS)

Verantwortungsverteilung: Provider verwaltet Plattform

Provider-Verantwortung: Runtime, Middleware, OS

Kunden-Verantwortung: Anwendungen, Daten, Konfiguration

DSGVO-Besonderheiten: Eingeschränkte Konfigurationsmöglichkeiten

Software as a Service (SaaS)

Verantwortungsverteilung: Provider verwaltet komplette Lösung

Provider-Verantwortung: Gesamte Software-Stack

Kunden-Verantwortung: Nutzerkonfiguration, Datenklassifizierung

DSGVO-Besonderheiten: Oft gemeinsame Verantwortlichkeit

Betroffenenrechte in der Cloud

Die DSGVO gewährt Betroffenen umfassende Rechte, die auch in Cloud-Umgebungen gewährleistet werden müssen:

Auskunftsrecht (Art. 15)

Betroffene können Auskunft über ihre gespeicherten Daten verlangen

Cloud-Herausforderung: Daten sind oft über mehrere Services verteilt

Berichtigungsrecht (Art. 16)

Korrektur unrichtiger personenbezogener Daten

Cloud-Herausforderung: Synchronisation zwischen Services

Löschungsrecht (Art. 17)

"Recht auf Vergessenwerden" unter bestimmten Bedingungen

Cloud-Herausforderung: Backup-Systeme und Replikation

Datenübertragbarkeit (Art. 20)

Übertragung der Daten in strukturiertem Format

Cloud-Herausforderung: Herstellerabhängige Formate

Praktische Compliance-Checkliste

☐ Vor der Cloud-Einführung

  • ☐ Datenschutz-Folgenabschätzung (DSFA) durchführen
  • ☐ Rechtsgrundlagen für Datenverarbeitung identifizieren
  • ☐ Cloud-Provider auf DSGVO-Compliance prüfen
  • ☐ Auftragsverarbeitungsvertrag verhandeln
  • ☐ Technische und organisatorische Maßnahmen definieren
  • ☐ Datentransfer-Mechanismen bewerten

☐ Bei der Implementierung

  • ☐ Sicherheitskonfiguration nach Best Practices
  • ☐ Verschlüsselung für Daten in Ruhe und Transit aktivieren
  • ☐ Zugriffskontrolle und MFA implementieren
  • ☐ Logging und Monitoring konfigurieren
  • ☐ Backup- und Recovery-Prozesse etablieren
  • ☐ Incident Response Prozesse definieren

☐ Im laufenden Betrieb

  • ☐ Regelmäßige Security-Audits durchführen
  • ☐ Verzeichnis von Verarbeitungstätigkeiten pflegen
  • ☐ Mitarbeiter regelmäßig schulen
  • ☐ Datenschutz-Management-System betreiben
  • ☐ Verträge und Zertifizierungen aktuell halten
  • ☐ Betroffenenrechte-Prozesse testen

Zertifizierungen und Standards

Zertifizierungen können bei der Auswahl DSGVO-konformer Cloud-Provider helfen:

Zertifizierung Fokus DSGVO-Relevanz
ISO 27001 Informationssicherheit Technische Maßnahmen
SOC 2 Type II Interne Kontrollen Organisatorische Maßnahmen
C5 (BSI) Cloud Security Deutsche Standards
TISAX Automotive Branchenspezifisch
GDPR Zertifizierung DSGVO-Compliance Direkt relevant

Aktuelle Entwicklungen und Ausblick

EU-US Data Privacy Framework

Die EU und USA arbeiten an einem neuen Rahmenwerk für Datentransfers:

  • Nachfolger des ungültigen Privacy Shield
  • Stärkere Schutzmaßnahmen gegen US-Überwachung
  • Beschwerde- und Rechtsmittelverfahren
  • Zeitplan: Geplant für Ende 2025

Digital Services Act (DSA) und Digital Markets Act (DMA)

Neue EU-Regulierungen mit Auswirkungen auf Cloud-Services:

  • Zusätzliche Transparenz-Anforderungen
  • Interoperabilitäts-Verpflichtungen
  • Verstärkte Aufsicht über Plattformen
  • Mögliche Auswirkungen auf Cloud-Architektur

Fazit: DSGVO-Compliance als Wettbewerbsvorteil

DSGVO-konforme Cloud-Nutzung ist machbar, erfordert aber sorgfältige Planung und kontinuierliche Überwachung. Unternehmen, die Datenschutz von Anfang an mitdenken (Privacy by Design), können dies sogar als Wettbewerbsvorteil nutzen.

Die wichtigsten Erfolgsfaktoren:

  • Frühe Integration: Datenschutz bereits bei der Cloud-Strategie berücksichtigen
  • Risikobasierter Ansatz: Maßnahmen an Risiko und Datenkategorien anpassen
  • Dokumentation: Alle Prozesse und Entscheidungen nachvollziehbar dokumentieren
  • Kontinuierliche Verbesserung: Regelmäßige Reviews und Anpassungen
  • Expertenunterstützung: Juristische und technische Beratung einbeziehen

Die Investition in DSGVO-konforme Cloud-Services zahlt sich langfristig aus – durch reduzierten Compliance-Aufwand, erhöhtes Kundenvertrauen und vermiedene Bußgelder.

DSGVO-konforme Cloud-Strategie entwickeln

Unsere Datenschutz- und Cloud-Experten helfen Ihnen dabei, eine vollständig DSGVO-konforme Cloud-Infrastruktur aufzubauen.

Compliance-Beratung anfordern

Über den Autor

Dr. jur. Maria Schneider ist Datenschutz- und Cloud-Expertin bei FernyPath. Sie ist zertifizierte Datenschutzbeauftragte und spezialisiert auf DSGVO-Compliance in Cloud-Umgebungen.

← Vorheriger Artikel Zurück zum Blog