Magazin

DSGVO-konforme Cloud-Lösungen: Was deutsche Unternehmen wissen müssen

November 2025

DSGVO-konforme Cloud-Lösungen: Was deutsche Unternehmen wissen müssen

Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten. Besonders bei Cloud-Services sind viele Unternehmen verunsichert: Darf ich meine Daten in die Cloud auslagern? Welche Anforderungen muss mein Cloud-Provider erfüllen? Dieser Artikel gibt Ihnen einen umfassenden Überblick.

Die wichtigsten DSGVO-Anforderungen für Cloud-Services

1. Serverstandort in der EU/Deutschland

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei ist der Serverstandort entscheidend:

  • Server in Deutschland/EU: Volle DSGVO-Konformität, deutsche Datenschutzgesetze gelten
  • Server außerhalb der EU: Problematisch, insbesondere in den USA (Cloud Act, Patriot Act)
  • Datentransfers in Drittländer: Nur unter strengen Auflagen erlaubt

Wichtig: Nach dem Schrems II-Urteil des EuGH sind US-Cloud-Provider ohne zusätzliche Maßnahmen nicht DSGVO-konform. Deutsche Rechenzentren sind die sicherste Wahl.

2. Auftragsverarbeitungsvertrag (AVV)

Wenn Sie einen Cloud-Provider nutzen, ist dieser Auftragsverarbeiter im Sinne der DSGVO. Sie benötigen einen AVV gemäß Art. 28 DSGVO, der folgende Punkte regelt:

  • Art, Zweck und Dauer der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Unterstützung bei Betroffenenrechten
  • Löschpflichten nach Vertragsende

Tipp: Ein professioneller Cloud-Provider sollte Ihnen einen fertigen AVV zur Verfügung stellen. Bei focusnet erhalten Sie einen DSGVO-konformen AVV standardmäßig.

3. Technische und Organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO fordert angemessene technische und organisatorische Maßnahmen zur Datensicherheit:

  • Verschlüsselung: Daten im Transit und at Rest
  • Pseudonymisierung: Wo möglich und sinnvoll
  • Verfügbarkeit: Backup, Redundanz, Disaster Recovery
  • Belastbarkeit: Hochverfügbare Systeme
  • Wiederherstellbarkeit: Schnelle Datenwiederherstellung im Notfall
  • Verfahren zur Überprüfung: Regelmäßige Security-Audits

4. Datensouveränität und Kontrolle

Sie bleiben auch bei Nutzung eines Cloud-Providers Verantwortlicher für Ihre Daten. Das bedeutet:

  • Sie entscheiden, welche Daten verarbeitet werden
  • Sie haben Weisungsbefugnis gegenüber dem Provider
  • Sie müssen Betroffenenrechte (Auskunft, Löschung etc.) erfüllen können
  • Sie tragen die Haftung bei Datenschutzverstößen

Probleme mit US-Cloud-Providern

Das Schrems II-Urteil und seine Folgen

Im Juli 2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt. Die Gründe:

  • US Cloud Act: US-Behörden können Zugriff auf Daten fordern, auch wenn Server in der EU stehen
  • FISA 702: Überwachungsprogramme der NSA
  • Fehlende Rechtsschutzmöglichkeiten: EU-Bürger können sich nicht gegen US-Überwachung wehren

Konsequenz: Große US-Cloud-Provider (AWS, Azure, Google Cloud) sind ohne zusätzliche Schutzmaßnahmen nicht DSGVO-konform.

Standardvertragsklauseln (SCCs) reichen nicht aus

Standardvertragsklauseln sind ein Mechanismus für Datentransfers in Drittländer. Doch der EuGH hat klargestellt: SCCs allein reichen nicht, wenn das Drittland Zugriff auf die Daten hat.

Unternehmen müssen eine Transfer Impact Assessment (TIA) durchführen und prüfen, ob zusätzliche Schutzmaßnahmen notwendig sind. In der Praxis ist das bei US-Providern kaum umsetzbar.

Deutsche Cloud-Provider: Die sichere Alternative

Um DSGVO-Probleme zu vermeiden, setzen immer mehr Unternehmen auf deutsche Cloud-Provider:

Vorteile deutscher Rechenzentren:

  • ✅ Volle DSGVO-Konformität ohne Zusatzaufwand
  • ✅ Deutsches Datenschutzrecht gilt
  • ✅ Keine Zugriffsmöglichkeit für ausländische Geheimdienste
  • ✅ Datensouveränität bleibt in Deutschland
  • ✅ Einfachere Auditierung und Compliance
  • ✅ Schnellere Latenz für deutsche Nutzer

focusnet betreibt ausschließlich Rechenzentren in Deutschland und unterliegt deutschem Recht. Ihre Daten verlassen niemals das Land.

Checkliste: Ist Ihr Cloud-Provider DSGVO-konform?

Prüfen Sie folgende Punkte bei der Auswahl eines Cloud-Providers:

  • ☐ Rechenzentren stehen in Deutschland/EU
  • ☐ Provider bietet AVV gemäß Art. 28 DSGVO an
  • ☐ TOMs sind dokumentiert und angemessen
  • ☐ Provider hat keine Verpflichtungen gegenüber Drittland-Behörden
  • ☐ Zertifizierungen vorhanden (ISO 27001, BSI C5 o.ä.)
  • ☐ Verschlüsselung im Transit und at Rest
  • ☐ Backup und Disaster Recovery inklusive
  • ☐ Unterstützung bei Betroffenenrechten (Auskunft, Löschung etc.)
  • ☐ Klare Löschprozesse nach Vertragsende
  • ☐ Transparente Sub-Auftragsverarbeiter

Häufige DSGVO-Fehler bei Cloud-Nutzung

Fehler 1: Kein AVV abgeschlossen

Ohne AVV ist die Nutzung eines Cloud-Providers nicht DSGVO-konform. Dieser Vertrag muss VOR Beginn der Datenverarbeitung vorliegen.

Fehler 2: US-Provider ohne TIA

Viele Unternehmen nutzen US-Cloud-Provider, ohne eine Transfer Impact Assessment durchzuführen. Das ist ein DSGVO-Verstoß.

Fehler 3: Fehlende Dokumentation

Die DSGVO fordert Nachweispflichten. Dokumentieren Sie Ihre Entscheidungen für einen Cloud-Provider und die getroffenen Schutzmaßnahmen.

Fehler 4: Keine Kontrolle über Sub-Auftragsverarbeiter

Ihr Cloud-Provider kann weitere Dienstleister einsetzen (z.B. für Backup). Diese müssen Ihnen transparent gemacht werden, und Sie müssen zustimmen.

Fehler 5: Unklare Verantwortlichkeiten

In der Cloud gibt es ein "Shared Responsibility Model". Klären Sie genau, wer für was verantwortlich ist (Provider vs. Kunde).

DSGVO-Anforderungen in verschiedenen Cloud-Modellen

Private Cloud

In einer Private Cloud haben Sie maximale Kontrolle. Die DSGVO-Anforderungen sind am einfachsten zu erfüllen, da die Infrastruktur nur für Sie bereitgestellt wird.

Public Cloud

In der Public Cloud teilen Sie sich Ressourcen mit anderen Kunden. Wichtig: Logische Trennung der Daten muss gewährleistet sein (Multi-Tenancy).

Hybrid Cloud

Bei Hybrid-Cloud-Szenarien müssen Sie besonders auf Datenflüsse achten. Welche Daten liegen wo? Wie werden Daten zwischen On-Premise und Cloud synchronisiert?

Branchenspezifische Anforderungen

Gesundheitswesen

Besonders strenge Anforderungen gelten für Gesundheitsdaten. Zusätzlich zur DSGVO müssen Sie das Patientendatengesetz und weitere Vorschriften beachten.

Finanzbranche

Banken und Versicherungen müssen zusätzlich BaFin-Anforderungen erfüllen. Die BaFin hat eigene Rundschreiben zu Cloud-Auslagerungen (BAIT, VAIT).

Öffentliche Verwaltung

Behörden haben oft noch strengere Vorgaben. Viele setzen auf deutsche Cloud-Provider oder sogar Government Clouds.

Praktische Tipps für DSGVO-konforme Cloud-Nutzung

Tipp 1: Datenklassifizierung

Klassifizieren Sie Ihre Daten nach Schutzbedarf. Nicht alle Daten sind gleich sensibel. Hochsensible Daten sollten in einer Private Cloud liegen.

Tipp 2: Verschlüsselung nutzen

Verschlüsseln Sie Daten zusätzlich, bevor Sie sie in die Cloud hochladen. So haben Sie eine Extra-Schutzschicht.

Tipp 3: Regelmäßige Audits

Prüfen Sie regelmäßig, ob Ihr Cloud-Provider die DSGVO-Anforderungen noch erfüllt. Zertifizierungen sollten aktuell sein.

Tipp 4: Mitarbeiter schulen

Ihre Mitarbeiter müssen wissen, wie sie mit Cloud-Daten umgehen. Schulen Sie sie in Datenschutz und Cloud-Security.

Tipp 5: Exit-Strategie planen

Was passiert, wenn Sie den Provider wechseln wollen? Wie bekommen Sie Ihre Daten zurück? Eine Exit-Strategie sollte im AVV geregelt sein.

Die Rolle von Zertifizierungen

Zertifizierungen sind ein wichtiger Indikator für die Sicherheit eines Cloud-Providers:

  • ISO 27001: Informationssicherheits-Managementsystem
  • BSI C5: Cloud Computing Compliance Criteria Catalogue (speziell für Cloud-Provider)
  • PCI-DSS: Payment Card Industry Data Security Standard (für Zahlungsdatenverarbeitung)
  • SOC 2: Service Organization Control (US-Standard, aber auch in DE anerkannt)

focusnet erfüllt die relevanten Zertifizierungsstandards und kann Nachweise auf Anfrage bereitstellen.

Betroffenenrechte in der Cloud

Die DSGVO gewährt Betroffenen umfangreiche Rechte. Als Verantwortlicher müssen Sie diese erfüllen können:

  • Auskunftsrecht (Art. 15): Betroffene können Auskunft über ihre Daten verlangen
  • Recht auf Berichtigung (Art. 16): Fehlerhafte Daten müssen korrigiert werden
  • Recht auf Löschung (Art. 17): "Recht auf Vergessenwerden"
  • Recht auf Datenübertragbarkeit (Art. 20): Daten müssen in maschinenlesbarem Format bereitgestellt werden

Ihr Cloud-Provider muss Sie dabei unterstützen. Im AVV sollte geregelt sein, wie der Provider bei Betroffenenanfragen hilft.

Datenschutz-Folgenabschätzung (DSFA)

Bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist eine DSFA (Art. 35 DSGVO) erforderlich. Das betrifft z.B.:

  • Umfangreiche Verarbeitung sensibler Daten
  • Systematisches Monitoring
  • Automatisierte Entscheidungsfindung mit Rechtswirkung

Bei der Cloud-Migration sollten Sie prüfen, ob eine DSFA notwendig ist.

Meldepflichten bei Datenpannen

Bei einem Datenschutzvorfall (Data Breach) haben Sie 72 Stunden Zeit, um die Aufsichtsbehörde zu informieren (Art. 33 DSGVO). Ihr Cloud-Provider muss Sie unverzüglich über Sicherheitsvorfälle informieren, damit Sie dieser Frist nachkommen können.

Kosten vs. Compliance: Der richtige Balance

Ja, US-Hyperscaler sind oft günstiger. Aber die Kosten einer DSGVO-Verletzung können immens sein:

  • Bußgelder: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes
  • Reputationsschaden: Vertrauensverlust bei Kunden
  • Schadensersatzforderungen: Betroffene können Schadenersatz fordern
  • Geschäftsunterbrechung: Behörden können Verarbeitung untersagen

Ein deutscher Cloud-Provider mag minimal teurer sein, spart aber Compliance-Aufwand und vermeidet Risiken.

Fazit: DSGVO-Konformität beginnt bei der Provider-Wahl

Die DSGVO ist komplex, aber mit dem richtigen Cloud-Provider wird sie handhabbar. Entscheidend sind:

  • ✅ Serverstandort Deutschland/EU
  • ✅ Professioneller AVV
  • ✅ Dokumentierte TOMs
  • ✅ Transparente Prozesse
  • ✅ Unterstützung bei Compliance

focusnet erfüllt alle DSGVO-Anforderungen out-of-the-box. Unsere Cloud-Services werden ausschließlich in deutschen Rechenzentren betrieben. Sie erhalten von uns:

  • Fertigen AVV gemäß Art. 28 DSGVO
  • Dokumentierte TOMs
  • Unterstützung bei Betroffenenrechten
  • Transparente Sub-Auftragsverarbeiter
  • Klare Löschprozesse

Möchten Sie Ihre Cloud DSGVO-konform gestalten? Sprechen Sie mit unseren Datenschutz-Experten!

💡 Weitere Fragen zur DSGVO und Cloud?
In unseren FAQ beantworten wir die häufigsten Fragen zu Cloud-Sicherheit, Compliance und mehr!